Libraesva : nuova ondata di campagne malware EXCEL 4.0 che abusano della funzione macro FORMULA

Estratto , tradotto, da un articolo di :
Rodolfo Saccani / Responsabile ricerca e sviluppo sicurezza @ Libraesva
L’articolo originale lo puoi trovare qui

MVBA è stato introdotto in Excel 5.0. Prima di allora Excel aveva solo macro XLM, che sono ancora supportate oggi.

Le macro XLM consentono di scrivere codice immettendo istruzioni direttamente nelle celle, proprio come le normali formule. In realtà sono chiamati macro-formule.

[omissis]

Ci sono alcune dichiarazioni tra queste macro-formule che consentono l’esecuzione di codice dannoso, queste sono denominate EXEC, RUN e CALL. Il mese scorso, nell’aprile 2020, è circolata un’ondata di malware che abusa di queste chiamate.

A maggio abbiamo visto una nuova ondata che apparentemente abusava ancora delle macro XLM ma senza chiamare EXEC, RUN o CALL. Al momento in cui li abbiamo ottenuti, la maggior parte di questi campioni aveva un tasso di rilevamento pari a 0 su virustotal, quindi sembra che valga la pena investigarli.

[omissis]

Alcuni di questi file stavano usando trucchi aggiuntivi per confondere l’analisi, come mettere le macro in fogli “nascosti”. Alcuni hanno usato fogli “molto nascosti”, altri sono stati protetti con la password “VelvetSweatshop” (che è un trucco usato da Microsoft per definire documenti di sola lettura). C’è anche una grande variabilità nei nomi dei file e nelle campagne e-mail. Non perderò tempo con questi dettagli e andrò subito al punto.

[omissis]

[Dall’analisi dei campioni , si e’ visto che tutti hanno in comune] l’abuso della macro-formula FORMULA. La denominazione ricorsiva può creare confusione, quindi lasciatemi fornire un po ‘di chiarimenti: proprio come qualsiasi altra istruzione formula (come IF o SUM per esempio), l’istruzione FORMULA può essere inserita in una cella sotto forma di formula. Questa affermazione particolare sembra essere denominata FORMULA stessa.

Cosa fa questa dichiarazione FORMULA? Immette una formula nella cella attiva (o in un riferimento). Fondamentalmente ciò che viene dato come parametro a questa chiamata diventa una fomula.

Generazione indiretta di formule se lo desideri e, sì, è pericoloso come sembra.

[omissis]

Questo è fondamentalmente il comportamento di questi campioni dannosi: creano una formula raccogliendo dati da molte celle diverse e apportando alcune trasformazioni. Quindi applicano la formula usando l’istruzione FORMULA.FILL (o una delle sue varianti, vedi il riferimento alle funzioni collegato sopra se sei interessato).

Il testo esatto del FORMULA è costruito in fase di esecuzione e ciò garantisce l’offuscamento che sembra essere efficace dato il punteggio zero o molto basso ottenuto da questi campioni su Virustotal.

[omissis]

Non siamo interessati a retroingegnerizzare ogni campione per scoprire i dettagli del comportamento. Come società di sicurezza della posta elettronica ci concentriamo sui metodi e sugli strumenti utilizzati dagli aggressori piuttosto che sulla specifica variante di malware.

Il nostro compito è bloccare queste minacce sul gateway, sappiamo che l’approccio del riconoscimento di elementi dannosi noti non è efficace e pertanto ci concentriamo sulla rimozione degli strumenti utilizzati dagli aggressori.

La filosofia del nostro sandbox QuickSand è più simile a un firewall: quando i nostri sistemi vedono un modello come questo, non si preoccupano davvero del reverse engineering del comportamento reale, non si preoccupano nemmeno di riconoscere se si tratta di una variante di malware nota o uno nuovo.

Che sia diretto o indiretto, non è consentito alcun modo di eseguire materiale per i documenti consegnati via e-mail. Questo approccio è meno soggetto all’evasione ed è proattivo: blocca le varianti attuali e future, note e sconosciute.

Il basso tasso di rilevamento di questi campioni su virustotal e su molti servizi di sandboxing basati sulla virtualizzazione conferma che, per essere efficace con le minacce in continua evoluzione, questo è un approccio migliore.

Estratto , tradotto, da un articolo di :
Rodolfo Saccani / Responsabile ricerca e sviluppo sicurezza @ Libraesva
L’articolo originale lo puoi trovare qui

16 Maggio 2020

PhantomLance: un Trojan su Google Play

Gli esperti di Kaspersky hanno individuato su Google Play il Trojan backdoor per Android denominato PhantomLance.

 

Lo scorso luglio, i nostri colleghi di Doctor Web hanno rilevato un  Trojan backdoor su Google Play. Queste scoperte non sono esattamente cosa di tutti i giorni, ma non sono nemmeno così rare, i ricercatori possono rilevare dei Trojan su Google Play  e spesso centinaia tutti in una volta.

Questo backdoor, tuttavia, era sorprendentemente sofisticata rispetto ai malware che si è soliti trovare su Google Play, così i nostri esperti hanno deciso di scavare più a fondo. Hanno condotto una loro indagine e hanno scoperto che il malware fa parte di una campagna dannosa (che abbiamo denominato PhantomLance), in corso dalla fine del 2015.

Cosa può fare PhantomLance

I nostri esperti hanno rilevato diverse versioni di PhantomLance. Nonostante la sua crescente complessità e le differenze nel tempo di apparizione, sono abbastanza simili in termini di funzionalità.

L’obiettivo principale del Trojan PhantomLance è quello di raccogliere informazioni riservate dal dispositivo della vittima. Il malware è in grado di fornire ai suoi creatori dati di localizzazione, registro delle chiamate, messaggi di testo, elenchi di applicazioni installate e informazioni complete sullo smartphone infetto. Inoltre, le sue funzionalità possono essere ampliate in qualsiasi momento semplicemente caricando moduli aggiuntivi dal server C&C.

Diffusione di PhantomLance

Google Play è la principale piattaforma di distribuzione del malware. È stato trovato anche in repository di terze parti, ma per la maggior parte delle volte si tratta per lo più di copie dell’app store ufficiale di Google.

Possiamo dire con certezza che le prime app infettate da una versione del Trojan sono comparse nello store nell’estate del 2018. Il malware è stato trovato nascosto in utility per la modifica di font, per la rimozione di annunci, per la pulizia del sistema e così via.

Un’app su Google Play che si è scoperto contenere la backdoor PhantomLance.

Le applicazioni contenenti PhantomLance sono state tutte rimosse da Google Play, naturalmente, ma si possono ancora trovare delle copie in repository mirror. Ironia della sorte, alcuni di questi repository mirror affermano che il pacchetto di installazione di PhantomLance sia stato scaricato direttamente da Google Play, rassicurando l’utente circa l’assenza di virus.

Come hanno fatto i cybercriminali a introdurre di nascosto il loro Trojan nello store ufficiale di Google? In primo luogo, per una maggiore autenticità, i cybercriminali hanno creato un profilo di ogni sviluppatore su GitHub. Questi profili contenevano  semplicemente una specie di contratto di licenza. Tuttavia, avere un profilo su GitHub apparentemente conferisce agli sviluppatori una certa rispettabilità.

In secondo luogo, le app che i creatori di PhantomLance hanno inizialmente caricato nello store non erano dannose. Le prime versioni dei programmi non contenevano alcuna caratteristica sospetta, e quindi hanno superato i controlli di Google Play a pieni voti. Solo qualche tempo dopo, con gli aggiornamenti, le app hanno acquisito caratteristiche dannose, come la capacità di rubare dati.

Gli obiettivi di PhantomLance

A giudicare dalla geografia della sua diffusione, così come dalla presenza di versioni vietnamite delle applicazioni dannose negli store online, riteniamo che i principali obiettivi dei creatori di PhantomLance fossero gli utenti provenienti dal Vietnam.

Inoltre, i nostri esperti hanno rilevato una serie di caratteristiche che collegano PhantomLance con il gruppo OceanLotus,  responsabile della creazione di una gamma di malware rivolta anch’essa agli utenti del Vietnam.

Il set di strumenti malware OceanLotus precedentemente analizzato comprende una famiglia di backdoor macOS, una famiglia di backdoor Windows e un set di Trojan Android, la cui attività è stata individuata nel periodo 2014-2017. I nostri esperti sono giunti alla conclusione che PhantomLance sia subentrata ai suddetti Trojan Android a partire dal 2016.

PhantomLance è vincolato ad altre armi malware di  OceanLotus.

Come proteggersi da PhantomLance

Uno dei consigli che ripetiamo spesso nei post sul malware per Android è: “installate le applicazioni solo da Google Play”. Tuttavia, PhantomLance dimostra ancora una volta che il malware può talvolta ingannare anche i giganti di Internet.

Google si impegna molto per mantenere il suo app store sicuro e libero da malware (altrimenti ci imbatteremmo molto più spesso in software dannosi o sospetti), ma le capacità dell’azienda non sono infinite e gli hacker hanno molta inventiva. Pertanto, il semplice fatto che un’app sia su Google Play non è garanzia di sicurezza. Considerate sempre altri fattori per non essere vittime di Trojan su Android:

  • Date la preferenza alle applicazioni di sviluppatori di fiducia;
  • Prestate attenzione alle valutazioni delle app e alle recensioni degli utenti;
  • Analizzate attentamente le autorizzazioni che un’ applicazione richiede, e non esitate a rifiutare se pensate che siano eccessive. Ad esempio, un’app meteo probabilmente non ha bisogno di accedere ai vostri contatti e messaggi o un filtro fotografico non ha bisogno di conoscere la vostra posizione;
  • Analizzate le app installate sul vostro dispositivo Android servendovi di una soluzione di sicurezza affidabile.

 

Autore
Pavel Shoshin
Kaspersky blog

6 Maggio 2020

Tool per decifrare il ransomware Shade

I ricercatori di Kaspersky hanno pubblicato un decryptor che può aiutare a recuperare i file cifrati da tutte le varietà del ransomware Shade/Troldesh.

Ricordate il ransomware Shade? Abbiamo scritto questo post perché non è più una minaccia ormai  e potrete riavere i vostri file, anche quelli cifrati dalle ultime versioni di Shade. Vediamo come è andata.

Cos’è il ransomware Shade?

Shade, conosciuto anche come Troldesh, è uno sgradevole cryptor che ha iniziato a diffondersi già nel 2015. Cifrava documenti di lavoro, immagini e archivi (così come alcuni altri tipi di file) e poi chiedeva alle vittime di pagare un riscatto per decifrarli (anche conosciuto come rasomware). Diverse varietà utilizzavano nomi di file di fantasia come breaking_bad e da_vinci_code. Shade, tra l’altro, portava con sé degli amici, scaricando altri malware dopo aver cifrato tutti i dati che voleva.

Nel 2016, i nostri analisti del malware sono riusciti a creare un decryptor per le differenti versioni di Shade che esistevano allora. La cooperazione tra la polizia, dopo aver sequestrato i server con le chiavi di cifratura, e i ricercatori della sicurezza, ha reso possibile questo importante traguardo.

Tuttavia, il gruppo di cybercriminali che ha creato Shade ha continuato a sviluppare nuovi ceppi di ransomware per i quali il decryptor non poteva far nulla. I cybecriminali hanno continuato a diffondere Shade, rimanendo molto attivi fino a metà del 2019.

Il gruppo responsabile di Shade

Ma poi le cose sono cambiate. Tra la fine del 2019 e l’inizio del 2020, il numero di utenti che si è imbattuto nel ransomware Shade è diminuito significativamente rispetto agli anni precedenti. Inoltre, i cybercriminali responsabili di questo ransomware hanno annunciato di aver deciso di gettare la spugna. Si sono persino scusati per i danni causati e hanno pubblicato circa 750.000 chiavi per decifrare i file.

Questo è un buon motivo per aggiornare il decryptor ed è quello che abbiamo fatto. Il nuovo decryptor di Shade è ora disponibile su noransom.kaspersky.com/it e può aiutare le persone a recuperare i loro file cifrati da Shade, indipendentemente dalla versione che li ha messi nei guai.

Ricordate, diciamo sempre che non dovreste pagare il riscatto anche se al momento non c’è un decryptor per recuperarli, perché alla fine verrà creato. Questo caso è un ottimo esempio del perché dovreste tenere i vostri file cifrati e aspettare, anche se siete stati colpiti da qualche altro tipo di ransomware: prima o poi si troverà il decryptor, come nel caso di Yatron y FortuneCrypt.

Uomo avvisato…

È un bene che tutte le vittime di Shade possano riavere i loro file. Tuttavia, sarebbe stato meglio non perderli affatto. Ecco quindi i nostri soliti tre consigli che vi aiuteranno a non essere vittime dei ransomware:

  • Effettuate regolarmente il backup dei vostri dati. Ecco come farlo correttamente;
  • Non cliccate su link sospetti e non aprite gli allegati alle e-mail da mittenti sconosciuti. In sostanza, usate il buon senso e imparate dagli errori. Una volta che si conoscono i soliti vettori di attacco, evitare minacce come Shade diventerà naturale;
  • Utilizzate una buona soluzione di sicurezza. Anche se pensate di essere davvero bravi a individuare le potenziali minacce, una soluzione di sicurezza affidabile vi aiuterà se in una remota occasione doveste sbagliarvi. È un po’ come la corda di sicurezza per il funambolo, meglio averla nonostante si sia sperimentato il rischio mille volte.

 

Autore
Hugh Aver
Kaspersky blog

5 Maggio 2020

La sicurezza delle app per videochiamate

 

Quanto sono sicure le applicazioni più popolari per videochiamate?

#iorestoacasa non è solo un tag popolare sui social network, ma anche una dura realtà per le aziende costrette dalla pandemia da coronavirus a far lavorare da remoto la maggior parte del proprio personale. Gli incontri faccia a faccia sono stati sostituiti dalle videochiamate. Tuttavia, le conferenze aziendali non servono solo per parlare del tempo, quindi prima di affidarsi a un’applicazione per videoconferenze, date un’occhiata ai suoi meccanismi di protezione dei dati. Per essere chiari, non abbiamo condotto dei test di laboratorio su queste app; abbiamo consultato fonti disponibili pubblicamente per informazioni su problemi noti nei software più diffusi.

Google Meet e Google Duo

Google offre due servizi di videochiamata: Meet e Duo. Il primo è un’applicazione che si integra con gli altri servizi di Google (G Suite). Se la vostra azienda li utilizza, Hangouts Meet si adatta bene.

Sicurezza — Google Meet

Tra i vantaggi di Meet, il vendor cita un’infrastruttura di elaborazione dati affidabile, la cifratura (non end-to-end, però) e una serie di strumenti di protezione, tutti attivi di default. Come la maggior parte degli altri prodotti aziendali, G Suite (e quindi anche Google Meet), segue standard di sicurezza avanzati e offre, tra le sue caratteristiche, opzioni di configurazione e di gestione dei diritti di accesso fra le sue impostazioni di sicurezza.

Sicurezza — Google Duo

L’app per cellulari Duo, invece, protegge i dati con la cifratura end-to-end. Tuttavia, si tratta di un’applicazione pensata per utenti privati, non per aziende. Le sue videochiamate possono ospitare un massimo di 12 partecipanti.

Vulnerabilità e lati negativi

A parte alcuni messaggi che ricordano a tutti noi che Google raccoglie i dati degli utenti e quindi può essere una minaccia per i segreti commerciali non siamo riusciti a trovare informazioni concrete sulle prestazioni di sicurezza di queste applicazioni di videoconferenza. Questo non significa che i servizi di Google siano impeccabili, ma sono supportati da un team di sicurezza molto forte che tende a risolvere i problemi prima che causino danni.

Slack

Su Slack, è possibile creare più spazi di lavoro in chat per i team, comodamente visualizzati in un’unica finestra, più canali all’interno dello spazio di lavoro dedicato ai diversi progetti. Le conferenze sono limitate a 15 partecipanti.

Sicurezza

Slack rispetta una serie di standard di sicurezza internazionali, tra cui SOC 2. Il servizio può essere configurato per lavorare con dati medici e finanziari e permette alle aziende di selezionare una zona per l’archiviazione dei dati. Inoltre, per entrare a far parte di uno spazio di lavoro Slack è necessario un invito o un indirizzo e-mail utilizzando il dominio aziendale.

Slack in più offre ai propri clienti strumenti flessibili di gestione dei rischi, integrazione con soluzioni di Data Loss Prevention (DLP) e strumenti di controllo di accesso ai dati. Ad esempio, gli amministratori possono limitare l’uso di Slack da dispositivi personali e la copia di informazioni dai propri canali.

Vulnerabilità e lati negativi

Secondo gli sviluppatori di Slack, solo un numero limitato di aziende ha realmente bisogno di una cifratura end-to-end, e l’implementazione della stessa per la sicurezza nell’applicazione per le videoconferenze può limitare le funzionalità. Pertanto, Slack apparentemente non ha intenzione di aggiungere la cifratura end-to-end.

Slack consente inoltre di integrare applicazioni di terze parti, la cui sicurezza non è di sua competenza.

Per di più, i ricercatori hanno trovato delle vulnerabilità gravi in Slack. L’azienda ha rilasciato patch per due vulnerabilità: un bug che permetteva ai cybercriminali di rubare i dati e uno che consentiva l’intercettazione della sessione di un utente.

Microsoft Teams

Microsoft Teams è integrato in Office 365, principale vantaggio per un utente aziendale. In risposta alla crescente richiesta di tool per lavorare da casa, Microsoft offre ora una prova gratuita di sei mesi di Microsoft Teams, ma gli utenti di prova non potranno configurare le impostazioni e le politiche degli utenti, un potenziale pericolo per la sicurezza.

Sicurezza

Teams rispetta diversi standard internazionali, può essere impostato per lavorare con dati medici riservati e vanta opzioni di gestione della sicurezza flessibili. Per quanto riguarda alcuni piani dei servizi, su Teams è possibile integrare strumenti aggiuntivi, come il DLP o la scansione dei file in uscita. La nostra soluzione di sicurezza per la protezione di MS Office 365 esegue la scansione dei dati scambiati attraverso Teams per evitare che i malware si diffondano attraverso la rete aziendale.

I dati inviati al server, sia che si tratti di chat che di videochiamate, sono cifrati, ma anche in questo caso non stiamo parlando di cifratura end-to-end. Parlando di immagazzinamento ed elaborazione, le informazioni non lasciano mai la zona in cui opera la vostra azienda.

Vulnerabilità

È una buona idea monitorare le vulnerabilità su Teams. In genere Microsoft le risolve rapidamente, ma si ripresentano di tanto in tanto. Ad esempio, dei ricercatori hanno recentemente scoperto una vulnerabilità (già risolta) che permetteva di prendere il controllo di un account.

Skype for Business

La versione su cloud di Skype for Business (il predecessore di Teams for Office 365) sta gradualmente diventando un ricordo del passato, ma è ancora possibile installarla in locale. Alcuni utenti lo trovano più comoda rispetto a Teams e Microsoft continuerà a fornire supporto per la versione locale di Skype durante i prossimi due anni.

Sicurezza

Skype for Business cifra le informazioni, ma non end-to-end, e la protezione del servizio è configurabile. Questa applicazione per videoconferenze utilizza anche un software per server locali, in modo tale che le videochiamate e altri dati non escano mai dalla rete aziendale, un evidente vantaggio.

Vulnerabilità e lati negativi

Il prodotto non durerà per sempre, per questo sarà vulnerabile ad attacchi come gli spyware commerciali. A meno che Microsoft non modifichi i suoi piani, il supporto per l’applicazione terminerà a luglio 2021 e Skype for Business Server 2019 riceverà supporto esteso fino al 14 ottobre 2025.

WebEx Meetings e WebEx Teams

Cisco WebEx Meetings è un servizio focalizzato esclusivamente sulle videoconferenze e Cisco WebEx Teams è un servizio completo di coworking che, tra le altre cose, supporta le videochiamate. Per quanto riguarda l’argomento di questo post, la differenza è nell’approccio dal punto di vista della cifratura.

Sicurezza

Cisco WebEx Meetings include servizi aziendali e cifratura end-to-end (l’opzione è disattivata di default, ma il provider del servizio può attivarla su richiesta. In questo modo si limita in qualche modo la funzionalità, ma se i vostri dipendenti si occupano di informazioni riservate durante le riunioni, è certamente una buona opzione da prendere in considerazione). Cisco WebEx Teams fornisce una cifratura end-to-end solo per i messaggi e i documenti, mentre le chiamate video e audio vengono decifrate sui server Cisco.

Vulnerabilità e lati negativi

Solo a marzo scorso, il vendor ha rilasciato una patch per due vulnerabilità di WebEx Meetings che minacciavano l’esecuzione da remoto del codice. E all’inizio dello scorso anno, un grave bug è stato individuato nel client WebEx Teams. Ciò ha permesso l’esecuzione di comandi con i diritti propri di un utente. Nonostante ciò, Cisco è noto per la sua serietà in materia di sicurezza e aggiorna i suoi servizi in modo rapido.

WhatsApp

WhatsApp è stato ideato per la comunicazione sociale, non per il business, ma l’applicazione gratuita può coprire le esigenze di videoconferenza di piccole aziende o team. Il programma non è adatto alle grandi aziende; la videoconferenza è disponibile solo per un massimo di quattro partecipanti alla volta.

Sicurezza

WhatsApp ha l’indiscutibile vantaggio di una vera cifratura end-to-end. Ciò significa che né terzi né i dipendenti di WhatsApp possono vedere le vostre videochiamate. Ma a differenza delle applicazioni aziendali, WhatsApp non offre quasi nessuna opzione di gestione della sicurezza per chat e chiamate, ma solo ciò che è integrato.

Vulnerabilità e lati negativi

Solamente l’anno scorso gli hacker hanno diffuso lo spyware Pegasus attraverso le videochiamate WhatsApp. Il bug è stato risolto, ma ricordate che l’app non è stata pensata per offrire una protezione per le aziende, quindi, come minimo, gli utenti dovrebbero seguire attentamente le notizie sulla sicurezza informatica.

Zoom

Zoom, una piattaforma di videoconferenza su cloud fa notizia fin dall’inizio della pandemia da coronavirus. Il suo prezzo flessibile (con conferenze gratuite di 40 minuti fino a 100 partecipanti) e la facilità d’uso hanno attirato tantissimi utenti, ma anche i punti deboli della piattaforma hanno richiamato altrettanta attenzione. Per questo, vi suggeriamo di seguire questi consigli per la sicurezza su Zoom.

Sicurezza

Il servizio rispetta lo standard internazionale di sicurezza SOC 2, offre un piano di servizio separato conforme all’HIPAA per i fornitori di servizi sanitari e ha una configurazione flessibile. Gli organizzatori delle sessioni possono bloccare i partecipanti anche quando il link corretto e la password, può impedire la registrazione della conferenza e altro ancora. Se necessario, Zoom può essere impostato in modo tale che il traffico non esca dall’azienda.

Zoom ha affrontato attivamente i problemi di vulnerabilità segnalati, e l’azienda afferma di voler dare priorità alla sicurezza dei prodotti rispetto all’aggiunta di nuove funzionalità.

Vulnerabilità e lati negativi

Zoom sostiene di aver implementato la cifratura end-to-end, ma la dichiarazione non è del tutto esatta. Con la cifratura end-to-end, nessuno, a parte il mittente e il destinatario, può leggere i dati trasmessi, mentre Zoom decifra i dati video sui suoi server e non sempre nemmeno nel paese d’origine della vostra azienda.

Nelle applicazioni Zoom sono state scoperte vulnerabilità di varia entità. I clienti di Windows e macOS che utilizzano Zoom hanno segnalato un bug (già risolto) che permetteva ai cybecriminali di rubare i dati contenuti nel computer. Altri due bug nell’app macOS consentono potenzialmente ai cybercriminali di impossessarsi completamente del dispositivo.

Inoltre, sono emerse numerose segnalazioni di troll su Internet che entravano nelle conferenze pubbliche non protette da password, per pubblicare commenti discutibili e condividere schermate con contenuti osceni. Nel complesso, è possibile risolvere il problema riguardante la sicurezza configurando correttamente la privacy della vostra conferenza, ma Zoom ha anche aggiunto una protezione con password di default per essere sicuri.

La notizia dei problemi di sicurezza di Zoom ha portato grandi protagonisti a screditare il servizio. Ma tutti i servizi hanno delle vulnerabilità e, nel caso di Zoom, l’esplosione di popolarità ha portato a essere sotto i riflettori.

Scegliete l’app più adatta a voi

Non esiste un’app per videochiamate perfettamente sicura, o nessuna app di alcun tipo, se è per questo. Scegliete un servizio i cui aspetti negativi non siano problematici per il vostro business. E ricordate, la scelta dell’app giusta è solo il primo passo.

  • Prendetevi il tempo necessario per configurare la privacy del servizio. Le impostazioni permissive hanno reso possibile molte fughe di dati;
  • Aggiornate tempestivamente le vostre app per risolvere le vulnerabilità il prima possibile;
  • Assicuratevi che i vostri dipendenti abbiano almeno le competenze di base di cybersecurity per un comportamento sicuro su Internet. In caso contrario, organizzate un corso di formazione a distanza di cybersecurity attraverso la nostra piattaforma Kaspersky Security Automated Awareness Platform.

Autore
Sergey Golubev
Kaspersky blog

30 Aprile 2020

Formare i dipendenti per uno smart working sicuro

Avete avuto la possibilità di formare i vostri dipendenti con le nozioni base di sicurezza informatica prima di spingere loro a lavorare da casa?

dipendenti sono l’anello debole di qualsiasi sistema di sicurezza aziendale. Chiunque abbia il compito di proteggere i sistemi informatici può confermarlo: non importa quanto sia avanzata una tecnologia di sicurezza, un dipendente disattento o incauto può sempre commettere un errore e mettere a rischio l’infrastruttura. Se di recente siete passati alla modalità smart working (come quasi la metà della popolazione attuale), il margine di errore adesso è di gran lunga maggiore.  

Quando si lavora in ufficio, i sistemi di protezione e il personale IT sono lì per sobbarcarsi una parte dell’onere. Non è una garanzia di perfetta sicurezza, naturalmente, ma almeno la soluzione antivirus dell’azienda bloccherà i siti di phishing e il team di sicurezza informatica potrà individuare anomalie nel traffico di un dispositivo infetto. Il teamIT installa prontamente gli aggiornamenti per correggere le vulnerabilità più recenti. 

dipendenti che sono passati alla modalità smart working ora si devono occupardi tutti questi aspetti e anche di altri. Qui è dove la cosiddetta “security awareness” comincia a svolgere un ruolo molto più significativo.  

Essere l’amministratore IT di sé stessi 

Quali dispositivi utilizzano i vostri dipendenti per lavorare da casa? Un portatile da ufficio in conformità con le politiche aziendali? Ottimo, ma non è ancora abbastanza. Quel portatile è ora collegato a una rete domestica sconosciuta. Quali altri dispositivi sono collegati al router? Che tipo di router è? Quanto è forte la sua password, chi ha configurato il dispositivo e come? Se il dipendente utilizza un computer di casa personale invece di uno aziendale, non si sa chi altro vi ha accesso, quale soluzione di sicurezza sia installata o se qualcuno si occupi di aggiornare il sistema operativo.   

Non stiamo suggerendo che tutti debbano diventare degli amministratori di sistema professionisti da un giorno all’altro, ma se si fosse in grado di identificare le minacce e i punti deboli sarebbe un grande vantaggio per tutti. Questo impedirebbe ai dipendenti di connettersi direttamente ai database aziendali senza un filtro VPN messo a disposizione dall’azienda o eviterebbe l’installazione di falsi “aggiornamenti flash player” e di lasciare che degli “esperti” esterni giochino con le impostazioni.

Essere il responsabile dati di sé stessi

Quali dati utilizzano i vostri dipendenti per svolgere il loro telelavoro quotidiano? Sanno cosa significa effettivamente detenere delle informazioni riservate e quali dati costituiscono un segreto aziendale? In un mondo perfetto, lo avrebbero imparato il primo giorno, in ufficio. Tuttavia, per un dipendente una cosa è lavorare con un elenco di clienti dell’UE su una sottorete di un ufficio isolato, un’altra completamente diversa è accedere a tali file da casa.  

Dopotutto, quando si lavora da remoto, la possibilità di utilizzare un tool di collaborazione non monitorato e non ufficiale può essere piuttosto allettante. Tutti devono avere ben chiaro quali dati possono essere inviati attraverso canali non ufficiali e quali non devono mai lasciare la rete indicatin nessuna circostanza. 

Essere l’esperto in sicurezza informatica di sé stessi 

Sia i lavoratori a distanza, sia gli esperti informatici devono capire che l’attuale pandemia è una benedizione per i cybercriminali. Abbiamo visto ondate di phishing relazionato al COVID-19, attacchi di massa o diretti a aziende specifiche. Alcuni truffatori cercano di portare a termine attacchi BEC, sperando che i loro messaggi sfuggano al flusso di e-mail in aumento dovuto allo smart working. Le nostre tecnologie di sicurezza hanno rilevato infrastrutture aziendali sottoposte a costanti scansioni dall’esterno alla ricerca di porte RDP aperte per portare a termine attacchi mirati. Questo è un motivo sufficiente per raddoppiare la vigilanza. 

Come formare i dipendenti in questo scenario  

Innanzitutto, bisogna trasmettere ai dipendenti l’idea che oggi sono più responsabili che mai della sicurezza delle informazioni. Questo può sembrarvi ovvio, ma semplicemente molte persone non ci pensano. Inoltre, è necessario aumentate il loro livello di sensibilizzazione in materia di sicurezza. Certo, al momento non ci sono sessioni di formazione in sicurezza informatica faccia a faccia, ma i nostri programmi a distanza compensano ampiamente questo inconveniente, programmi che aggiorniamo e miglioriamo costantemente.  

Il modo più semplice per impostare la formazione sulla cybersecurity a distanza è utilizzando la nostra piattaforma Kaspersky Automated Security Awareness. Non solo mantiene i dipendenti informati sulle ultime minacce, ma insegna anche a contrastarle. Inoltre, il manager ha il controllo del processo e può impostare il programma di formazione a distanza. Le lezioni sono state create da specialisti nel campo dell’educazione e della psicologia, che hanno reso il materiale interessante e facile da memorizzare 

Proprio di recente, i nostri esperti hanno aggiunto due moduli di formazione sui temi più rilevanti che riguardano i dati riservati e iGDPR. Il primo è destinato ai dipendenti che lavorano con dati personali, segreti commerciali o documenti interni. Il secondo è per le aziende i cui clienti o dipendenti sono cittadini dell’UE. 

Inoltre, i nostri esperti di formazione, insieme ad Area9 Lyceum, hanno creato un modulo complementare gratuito che si compone di due parti principali. La prima insegna ai partecipanti a organizzare un ambiente di lavoro sicuro da casa. La seconda non riguarda la sicurezza delle informazioni in sé, ma spiega come minimizzare il rischio di contrarre il COVID-19. Il modulo è disponibile qui.  

Autore
Nikolay Pankov
Kaspersky blog

23 Aprile 2020