Kaspersky Automated Security Awareness Platform (ASAP) – Semplice gestione del programma e micro apprendimento continuo

 
 
Autore: Redazione Argonavis
 

Il fattore umano è la causa principale degli incidenti informatici. I dipendenti rappresentano il principale punto d’ingresso nell’organizzazione per un attaccante.

Le preoccupazioni circa l’uso improprio delle risorse IT da parte di dipendenti variano notevolmente a seconda delle dimensioni dell’organizzazione, con aziende molto piccole che si sentono più a rischio rispetto alle aziende con più di mille dipendenti.

Personale ben formato e informato che segue best practice efficaci e che è consapevole del mondo informatico potrebbe diventare la prima linea di difesa.

Automated Security Awareness Platform

Qui di seguito illustriamo brevemente le caratteristiche e le funzionalità del programma Kaspersky Automated Security Awareness Platform (ASAP) che rappresenta un nuovo approccio rispetto ai programmi formativi online che sono in grado di creare vere e proprie competenze di cybersecurity per i dipendenti.

L’approccio di Kaspersky Lab si basa su moderne tecniche di apprendimento e combina sessioni ludiche, in cui si generano anche interessanti dinamiche di gruppo, apprendimento attraverso attività pratiche e rafforzamento dei concetti.

Argomenti del corso Security Awareness

  • E-mail
  • Navigazione in Internet
  • Password
  • Social network e servizi di messaggistica
  • Sicurezza del PC
  • Dispositivi mobili
  • Dati riservati
  • Dati personali/GDPR
  • Social engineering
  • Sicurezza a casa e in viaggio.

Ciascun argomento comprende diversi livelli, in cui vengono spiegate nel dettaglio le competenze di sicurezza specifiche.

Semplice gestione del programma: semplicità attraverso la completa automazione.

Avvio del programma in 10 minuti: basta impostare l’obiettivo e caricare l’elenco degli utenti.

Sono utilizzate regole automatizzate per assegnare il livello di formazione finale desiderato ai singoli dipendenti. Il livello finale è strettamente correlato al rischio rappresentato dallo specifico utente per l’azienda. Maggiore è il rischio, più elevato dovrebbe essere il livello di formazione finale. Ad esempio, utenti del reparto IT o contabilità tipicamente rappresentano un rischio più elevato rispetto a quello della maggior parte dei dipendenti di un ufficio.

Efficienza della formazione: micro apprendimento continuo.

I contenuti sono strutturati appositamente per la micro formazione (da 2 a 10 minuti), per evitare lezioni lunghe e poco stimolanti.

Ogni gruppo di utenti viene formato esclusivamente sul materiale pertinente al proprio ruolo, senza sprecare tempo di lavoro in altri training.

Le competenze aumentano livello dopo livello, dal più facile al più avanzato. La piattaforma riassegna automaticamente più moduli di formazione a coloro che non sono riusciti a completare il livello precedente. In questo modo si garantisce il mantenimento delle competenze e si evita che vengano dimenticate.

I dipendenti sono coinvolti nella formazione con un approccio ludico e la formazione è pertinente alla vita quotidiana delle persone.

Vengono fornite tutte le informazioni necessarie alla valutazione dei progressi (suggerimenti su cosa fare per migliorare i risultati e confronto dei risultati con benchmark mondiali/di settore).

Set di strumenti completo su ogni argomento di sicurezza

  1. Moduli online (lezioni),
  2. Rinforzi motivazionali via e-mail,
  3. Indagini e test (valutazione delle conoscenze),
  4. Attacchi di phishing simulati.

Risposta a diverse esigenze aziendali: supporto multi-tenant per la gestione di più clienti da una singola console, possibilità di pagare soltanto per gli utenti attivi e supporto multilingue: lo stile e i testi non sono solo tradotti nelle diverse lingue, ma vengono adattati perché riflettano le culture locali.

Per ulteriori informazioni o per richiedere una prova gratuita della Piattaforma: dircom@argonavis.it

1 Marzo 2021

Hanno cifrato i vostri dati: e adesso?

 

 
 
Tratto da: Blog Kaspersky
Autore: Chris Connell – 18/02/2021
 
 
Ecco come ridurre al minimo le conseguenze di un attacco ransomware aziendale
 
 

 

A volte, nonostante tutte le precauzioni, un’infezione riesce a insinuarsi nella vostra rete. In questo caso, bisogna avere sangue freddo per portare a termine operazioni rapide e decisive. La vostra risposta contribuirà a determinare se l’incidente diventerà un enorme grattacapo per l’azienda o sarà il suo fiore all’occhiello grazie a un’eccellente gestione della crisi.

Durante il processo di ripristino della situazione normale, non dimenticate di conservare testimonianze di tutte le vostre azioni, che assicurino la trasparenza agli occhi dei dipendenti e del mondo intero. E cercate di preservare ogni traccia possibile del ransomware per i successivi sforzi di localizzare qualsiasi altro strumento dannoso che prende di mira il vostro sistema. Questo significa salvare i log e altre tracce del malware che possono tornare utili durante le indagini successive.

Step 1: individuare e isolare

Il primo passo è quello di determinare la portata dell’intrusione. Il malware si è diffuso in tutta la rete? In più di un ufficio?

Cominciate a cercare i computer e i segmenti di rete infetti nell’infrastruttura aziendale e isolateli immediatamente dal resto della rete, per contenere la contaminazione.

Se l’azienda non ha molti computer, iniziate con un antivirus, una soluzione EDR e dei file log firewall. In alternativa, per implementazioni molto limitate, passate fisicamente da un dispositivo all’altro e controllate.

Se stiamo parlando di molti computer, vorrete analizzare gli eventi e i log nel sistema SIEM. Questo non eliminerà tutto il lavoro successivo di passaggio da un dispositivo all’altro, ma è un buon inizio per delineare il quadro generale.

Dopo aver isolato i dispositivi infetti dalla rete, create delle immagini disco e, se possibile, non toccate questi dispositivi fino alla fine dell’indagine (se l’azienda non può permettersi il tempo di inattività dei computer, create comunque le immagini, e salvate il dump della memoria per l’indagine).

Step 2: analizzare e agire

Avendo controllato il perimetro, ora disponete di una lista dei dispositivi i cui dischi sono pieni di file cifrati, più le immagini di quei dischi. Tutti i sistemi sono stati scollegati dalla rete e non rappresentano più una minaccia. Si potrebbe iniziare subito il processo di recupero, ma prima occupatevi della messa in sicurezza del resto della rete.

Ora è il momento di analizzare il ransomware, capire come è entrato e quali categorie lo usano di solito; va iniziato, quindi, il processo di caccia alle minacce. Il ransomware non compare dal nulla: un dropper, un RAT, un Trojan loader o qualcosa di simile lo ha installato. È necessario sradicare quel qualcosa.

Per farlo, conducete un’indagine interna. Scavate nei log per determinare quale computer è stato colpito per primo e perché quel computer non è riuscito a fermare l’assalto.

Sulla base dei risultati dell’indagine, liberate la rete dal malware avanzato e, se possibile, riavviate le operazioni aziendali. Successivamente, cercate di capite cosa avrebbe potuto fermarlo: cosa mancava in termini di software di sicurezza? Colmate le lacune riscontrate.

Step 3: fare pulizia e ripristinare

A questo punto, avrete già gestito la minaccia alla rete, così come la relativa falla da cui è passata. Ora, rivolgete la vostra attenzione ai computer che sono fuori servizio. Se non sono più necessari per l’indagine, formattate le unità e poi ripristinate i dati con il backup pulito più recente.

Se non disponete di una copia di backup adeguata, allora dovrete cercare di decifrare ciò che si trova sulle unità. Iniziate dal sito No Ransom di Kaspersky, dove potrebbe già esistere un decryptor per il ransomware in cui vi siete imbattuti e, se non esiste, contattate il vostro fornitore di servizi di sicurezza informatica per verificare l’esistenza di un aiuto. In ogni caso, non eliminate i file cifrati: di tanto in tanto appaiono nuovi decryptor, e domani potrebbe essercene uno che fa al caso vostro (non sarebbe la prima volta).

Indipendentemente dai particolari, non pagate il riscatto. Sponsorizzereste un’attività criminale, e comunque, le possibilità di ottenere indietro i vostri dati non sono alte. Oltre a bloccare i vostri dati, gli autori del ransomware potrebbero averli rubati proprio a scopo di ricatto. Infine, pagare gli avidi criminali informatici li incoraggia a chiedere più soldi. In alcuni casi, solo pochi mesi dopo essere stati pagati, gli intrusi sono tornati per chiedere un’ulteriore somma di denaro, minacciando di pubblicare tutto se non l’avessero ottenuta.

In generale, considerate qualsiasi dato rubato di dominio pubblico e siate pronti ad affrontare una fuga di informazioni. Prima o poi dovrete parlare dell’incidente: con i dipendenti, gli azionisti, le agenzie governative e, molto probabilmente, anche con i giornalisti. Apertura e onestà sono importanti e saranno sempre qualità apprezzate.

Step 4: prendere misure preventive

Un grande incidente informatico equivale sempre a grossi problemi; perciò, la prevenzione è la miglior cura. Preparatevi in anticipo a ciò che potrebbe andare storto:

  • Installate una protezione affidabile su tutti gli endpoint della rete (compresi gli smartphone);
  • Segmentate la rete e dotatela di firewall ben configurati; meglio ancora, utilizzate un firewall di nuova generazione (NGFW) o un prodotto simile che riceva automaticamente i dati sulle nuove minacce;
  • Guardate oltre l’antivirus e fate uso di potenti strumenti di caccia alle minacce;
  • Impiegate un sistema SIEM (per le grandi aziende) per ricevere notifiche immediate;
  • Informate i dipendenti sull’importanza della cybersecurity mediante sessioni regolari e interattive di formazione.

22 Febbraio 2021

Il phishing che colpisce i provider di hosting

 

 
 
Tratto da: Blog Kaspersky
Autore: Roman Dedenok – 17/02/2021
 
 
Ecco perché i cybercriminali attaccano gli account sui siti dei provider di hosting e come
 
 

 

In questo articolo si parla di un episodio di hijacking (o dirottamento) abbastanza recente che ha coinvolto un account personale su un sito di provider di hosting. Un account di questo tipo è molto allettante per i criminali informatici: ecco come è avvenuto l’attacco e fino a dove può spingersi.

La tattica del phishing

L’attacco inizia con del classico phishing. In questo caso, i cybercriminali tentano di spaventare il destinatario spacciandosi per il provider di hosting per spingerlo a un’azione rapida invocando un fantomatico attacco informatico. I truffatori affermano di aver temporaneamente bloccato l’account in risposta a un tentativo di acquisto di un dominio sospetto. Per riprendere il controllo dell’account, il destinatario deve seguire il link indicato e accedere al suo account personale.

 

 

Email di phishing inviata da criminali informatici che si spacciano per un provider di hosting.

 

Il corpo del messaggio è pieno di campanelli d’allarme. Non contiene né il nome del provider né il suo logo, suggerendo l’uso di un template comune per i clienti di diversi hoster. Il nome appare solo una volta, nella casella del mittente; inoltre, questo nome non corrisponde al dominio di posta, un segno evidente di frode.

Il link porta a una pagina di login poco convincente. Anche la combinazione di colori non va bene. La speranza qui è che probabilmente l’utente agisca in preda al panico e non lo noti.

 

 

Pagine web false

 

Come in caso di un qualsiasi tipo di phishing, inserire le credenziali su questa pagina equivale a dare ai criminali informatici il pieno controllo dell’account. In questo caso, tuttavia, si parla di consegnare le chiavi del sito web aziendale. Stranamente, chiedono anche alcuni dettagli finanziari, il cui scopo non è chiaro.

Perché un provider di hosting?

Dando un’occhiata alla pagina di login, tutto va bene con i certificati del sito di phishing. La sua reputazione sembra a posto, tutto quanto ha senso; i criminali informatici non hanno creato il dominio, se ne sono impossessati, probabilmente usando un attacco simile.

Ciò che i criminali informatici possono fare con il controllo di un account personale sul sito web di un host dipende dal provider. Per fare qualche esempio, possono reindirizzare ad altri contenuti, aggiornare il contenuto del sito attraverso un’interfaccia web e cambiare la password FTP per la gestione dei contenuti. In altre parole, i criminali informatici hanno diversi assi nella loro manica.

Le possibilità sono troppo ampie? Bene, ecco alcune idee più specifiche. Se i criminali informatici prendono il controllo del sito, potrebbero aggiungere una pagina di phishing, usare il sito per ospitare un link che scarica un malware, o addirittura usarlo per attaccare i clienti. In breve, possono sfruttare il nome dell’azienda e la reputazione del sito per scopi dannosi.

Come difendersi dagli attacchi di phishing

Le e-mail di phishing possono essere molto persuasive. Per evitare di essere ingannati, prima di tutto, i dipendenti devono essere sempre all’erta. Si raccomanda quanto segue:

  • Mantenere sempre in vigore la politica di non cliccare mai su link diretti che reindirizzano ad account personali. Chiunque riceva un messaggio preoccupante dal proprio provider di hosting dovrebbe accedere al sito legittimo, digitando a mano l’indirizzo nella barra degli indirizzi del browser;
  • Attivare l’autenticazione a due fattori sul sito del provider. Se il provider non offre questa opzione, cercare di informarsi su quando ha intenzione di aggiungere questa funzionalità;
  • Cercare di indentificare i segnali evidenti di phishing (come una mancata corrispondenza tra il nome del mittente e il dominio di posta elettronica, o nomi di dominio errati sui siti web). L’ideale sarebbe insegnare ai dipendenti a identificare i tentativi di phishing (un’opzione è quella di utilizzare una piattaforma di formazione online come Kaspersky ASAP);
  • Installare soluzioni aziendali per la sicurezza della posta su tutti i server e dispositivi che i dipendenti usano per l’accesso a Internet.

18 Febbraio 2021

Kaspersky Automated Security Awareness Platform (ASAP): la formazione efficace dei dipendenti sulla sicurezza informatica

 

 
 
Autore: Redazione Argonavis
 
 

La formazione del personale è fondamentale per accrescere la Security Awareness tra i dipendenti, motivarli a prestare attenzione alla minacce informatiche e alle relative contromisure, anche se ciò non viene percepito come parte specifica delle loro responsabilità sul lavoro.

Molte aziende scelgono tra una formazione una tantum (come ad esempio “tutto sulla cybersecurity in 1 ora”) e programmi di formazione professionale ben strutturati di cui, però, utilizzano solo alcune funzioni e strumenti di base.

In genere si tratta di una serie di attacchi di phishing simulati, oltre ad alcune lezioni più generiche, perché gli altri elementi del programma sono troppo difficili da implementare e gestire.

Ad ogni modo, i dipendenti non acquisiscono le competenze necessarie a rafforzare efficientemente la strategia di sicurezza dell’organizzazione.

Tale formazione è, naturalmente e di conseguenza, considerata uno spreco di tempo e tutti i partecipanti continuano ad agire come prima.

Kaspersky Automated Security Awareness Platform (ASAP) è una soluzione di security awareness a 360°, per aziende di ogni dimensione, e rappresenta un nuovo approccio rispetto ai programmi formativi online che sono in grado di creare vere e proprie competenze di cybersecurity.

 

Automated Security Awareness Platform

 

L’approccio di Kaspersky Lab si basa su moderne tecniche di apprendimento e combina sessioni ludiche, in cui si generano anche interessanti dinamiche di gruppo, apprendimento attraverso attività pratiche e rafforzamento dei concetti.

Tra questi, l’approccio ludico rappresenta la chiave per formare l’atteggiamento delle persone e per costruire nuovi modelli comportamentali tramite il confronto e le discussioni durante le attività di gruppo in grado di stimolare l’apprendimento.

Questo approccio ha già registrato risultati:

  • Fino al 90% di riduzione del numero totale di incidenti
  • Non meno del 50% di riduzione dell’impatto finanziario degli incidenti
  • Un sorprendente 86%: la percentuale dei partecipanti disposta a consigliare l’esperienza.

Kaspersky ASAP offre all’organizzazione una guida integrata per tutti gli step del percorso verso una strategia aziendale di cybersecurity:

Step 1: Definizione degli obiettivi di formazione e del programma

Step 2: Garanzia che la formazione sia ottimale per tutti i dipendenti

Step 3: Controllo dei progressi con analisi e report pratici

Step 4: Apprezzamento della formazione: garanzia ed efficienza.

L’implementazione e la gestione della Piattaforma non richiedono risorse e configurazioni specifiche.

Per ulteriori informazioni o per richiedere una prova gratuita della Piattaforma: dircom@argonavis.it

16 Febbraio 2021

A tutti gli utenti: aggiornate immediatamente Google Chrome

 

Tratto da Blog Kaspersky
Autore: Kaspersky Team – 08/02/2021
 
 
I cybercriminali stanno sfruttando attivamente una pericolosa vulnerabilità presente in Google Chrome. È stata risolta con la versione 88.0.4324.150.
 
 

 

I ricercatori hanno individuato in Google Chrome una vulnerabilità critica, rinominata CVE-2021-21148. Consigliamo di prendere provvedimenti il prima possibile perché i criminali informatici la stanno già sfruttando. Le versioni del browser per i principali sistemi operativi desktop (Windows, MacOS e Linux) sono tutte vulnerabili. Ecco cosa sta succedendo e come aggiornare il vostro browser.

Perché la vulnerabilità CVE-2021-21148 è pericolosa

Questa vulnerabilità permette ai criminali informatici di eseguire un attacco heap overflow, una manipolazione che può portare all’esecuzione di un codice remoto sul dispositivo della vittima. Sfruttare la vulnerabilità può essere semplice, basta realizzare una pagina web dannosa e attirare delle vittime su di essa e, come risultato potenzialmente devastante, i cybercriminali possono ottenere il controllo totale del sistema colpito.

La componente vulnerabile in questo caso è il motore JavaScript V8 integrato nel browser. Google ha ricevuto informazioni sulla vulnerabilità il 24 gennaio scorso dal ricercatore per la sicurezza Mattias Buelens, e la società ha pubblicato una patch con la correzione il 4 febbraio. Google ha riconosciuto che alcuni hacker non ben definiti avrebbero sfruttato attivamente la vulnerabilità CVE-2021-21148 in the wild.

Secondo un articolo di ZDnet, la vulnerabilità può essere collegata ai recenti attacchi da parte di criminali informatici dalla Corea del Nord alla comunità di esperti in cybersecurity. Il modello di attacco per lo meno sembra avere delle notevoli somiglianze con lo sfruttamento della vulnerabilità CVE-2021-21148. Inoltre, la data della scoperta della vulnerabilità è molto vicina alla data in cui sono stati divulgati gli attacchi agli esperti. Tuttavia, non abbiamo ancora una conferma diretta di questa teoria.

Come al solito, Google sta aspettando che la maggior parte degli utenti attivi di Chrome abbiano aggiornato i loro browser per divulgare maggiori dettagli tecnici. Una decisione comprensibile: la divulgazione irresponsabile della vulnerabilità può portare a un rapido aumento degli attacchi.

Come mantenersi al sicuro

  • Aggiornate immediatamente Google Chrome sul vostro PC. Per farlo, cliccate sul pulsante con i tre puntini nell’angolo in alto a destra della finestra del browser e scegliete Impostazioni → Informazioni su Chrome. Una volta aperta questa pagina il vostro browser inizierà ad aggiornarsi automaticamente;
  • Riavviate il browser se richiesto affinché vengano applicate le modifiche. Procedete immediatamente e non preoccupatevi di perdere le schede aperte: le versioni moderne di Chrome ripristinano automaticamente le schede al riavvio o, in caso di arresto imprevisto, viene offerta la possibilità di ripristinarle;
  • Se la pagina Informazioni su Chrome indica che state già usando la versione 88.0.4324.150, allora il vostro browser è aggiornato e non dovrete più preoccuparvi della vulnerabilità CVE-2021-21148.

 

10 Febbraio 2021

Blog & News

Categorie