Come proteggere i dispositivi aziendali IoT

Tratto da Blog Kaspersky
Autore:  Hugh Aver – 08/07/2022

Gateway cyber immune in grado di proteggere i dispositivi IoT e IIoT dalle minacce informatiche

I dispositivi IoT sono da tempo parte integrante dei processi tecnologici e produttivi di molte aziende moderne. Sono utilizzati negli stabilimenti industriali, negli edifici intelligenti e in ufficio quotidianamente. Tuttavia, la loro sicurezza ha sempre destato preoccupazioni, soprattutto se si considera che molti dispositivi richiedono l’accesso a sistemi remoti tramite Internet per l’aggiornamento del firmware, il monitoraggio o la gestione. In effetti, l’introduzione dei dispositivi IoT nell’infrastruttura aziendale aumenta notevolmente la possibilità di essere attaccati; purtroppo, però, non è possibile dotare ogni dispositivo di tecnologie protettive.

Da cosa devono essere protetti i dispositivi IoT?

In linea generale, un dispositivo di rete non protetto può diventare la base per un attacco all’infrastruttura aziendale. Esistono alcuni motori di ricerca in grado di scansionare range di indirizzi IP in base a determinati parametri (analoghi a quelli del sistema Shodan). In teoria, si tratta di strumenti per i ricercatori, ma in realtà sono spesso utilizzati anche dai criminali informatici per cercare dispositivi IoT connessi a Internet vulnerabili o semplicemente obsoleti. Tutto dipende poi dalle intenzioni dei criminali e dalle debolezze specifiche del dispositivo IoT in questione: a volte i cybercriminali cercano di assumere il controllo del dispositivo attraverso l’interfaccia web, a volte inseriscono un falso aggiornamento del firmware o altre volte semplicemente disabilitano il dispositivo. Le botnet IoT stanno facendo qualcosa di simile: infettano molti dispositivi IoT e poi li usano per realizzare attacchi DDoS.

Un altro possibile uso dannoso dei dispositivi IoT è lo spionaggio. L’anno scorso, un gruppo di hacker ha avuto accesso a 150.000 telecamere IP di aziende, ospedali, scuole, caserme di polizia e persino carceri e ha poi diffuso alcuni dei filmati a cui aveva avuto accesso. Questo tipo di incidenti mostra bene quanto sia facile infiltrarsi all’interno delle reti di enti sensibili. Tuttavia, lo spionaggio non si limita solo alle telecamere: i criminali possono cercare di intercettare i flussi di dati provenienti da una gran varietà di dispositivi (ad esempio, sensori di diverso tipo).

I dispositivi dell’Industrial Internet of Things (IIoT) rappresentano un problema ancora più grave. La potenziale interferenza nei processi produttivi di un’infrastruttura critica potrebbe portare a conseguenze catastrofiche sia per l’azienda che per l’ambiente.

Come proteggere i dispositivi IoT

Per proteggere dalle cyberminacce tutti i dispositivi IoT o IIoT utilizzati in azienda non è affatto necessario smettere di utilizzare Internet. Al contrario, è possibile gestire le comunicazioni di questi dispositivi sui servizi cloud attraverso un gateway di sicurezza specifico. Di recente, abbiamo lanciato a livello mondiale una soluzione di questo tipo: Kaspersky IoT Secure Gateway 1000.

Il nostro gateway è in grado di proteggere i dispositivi IoT da attacchi di rete, DDoS, MitM e altre attività dannose. Kaspersky IoT Secure Gateway 1000 è progettato come parte integrante della nostra strategia di cyber immunity basata sul nostro sistema operativo sicuro, KasperskyOS, grazie al quale è possibile proteggersi in modo affidabile da interferenze esterne.

Kaspersky IoT Secure Gateway 1000

Kaspersky IoT Secure Gateway 1000

Per saperne di più sul funzionamento della cyber immunity e sull’utilizzo di KasperskyOS, potete consultare il nostro whitepaper Best Practice Cyber Immunity 2022. Qui si possono trovare anche diversi casi reali di utilizzo di Kaspersky IoT Secure Gateway 1000 nell’ambito della protezione delle infrastrutture critiche.

Kaspersky IoT Secure Gateway 1000 è gestito attraverso la console Kaspersky Security Center, che consente agli amministratori di rete di visualizzare tutti gli eventi di sicurezza e fornisce agli specialisti informazioni sui dispositivi IoT in funzione. Supporta i protocolli Syslog e MQTT e può inviare gli eventi a sistemi di monitoraggio esterni e piattaforme cloud, tra cui Microsoft Azure, Siemens MindSphere, AWS, IBM Bluemix e altri. Potete trovare informazioni dettagliate sul dispositivo stesso così come altre tecnologie cyber immuni targate Kaspersky sulla nostra pagina dedicata alla sicurezza delle infrastrutture IoT

Per ulteriori informazioni: dircom@argonavis.it

11 Luglio 2022

Kaspersky rivela le email di phishing più ingannevoli per i dipendenti

Tratto da www.lineaedp.it
Autore:  Redazione LineaEDP – 04/07/2022

Secondo quanto emerso dai dati rilevati dal simulatore di phishing di Kaspersky Security Awareness Platform, i dipendenti spesso tendono a ignorare le insidie nascoste nelle e-mail dedicate a questioni aziendali o a notifiche relative a problemi di consegna.

Kaspersky rivela le email di phishing più ingannevoli per i dipendenti

Secondo quanto emerso dai dati rilevati dal simulatore di phishing di Kaspersky Security Awareness Platform i dipendenti spesso tendono a ignorare le insidie nascoste nelle e-mail dedicate a questioni aziendali o a notifiche relative a problemi di consegna. Quasi un dipendente su cinque (dal 16 al 18%), infatti, ha cliccato su link contenuti nei modelli di e-mail che simulano attacchi di phishing. Secondo le stime, il 91% di tutti i cyberattacchi inizia con un’e-mail di phishing, le cui tecniche sono implicate nel 32% dei casi di tutte le violazioni di dati andate a buon fine.

Per fornire ulteriori informazioni su questa minaccia, Kaspersky ha analizzato i dati raccolti da un simulatore di phishing e forniti volontariamente dagli utenti. Si tratta di uno strumento integrato in Kaspersky Security Awareness Platform, che aiuta le aziende a verificare se il personale è in grado di distinguere un’e-mail di phishing da una reale, senza mettere a rischio i dati aziendali. L’amministratore sceglie dal set di modelli che imitano gli scenari di phishing più comuni, o crea un modello personalizzato, lo invia al gruppo di dipendenti senza preallertarli e tiene traccia dei risultati. Un numero elevato di utenti che cliccano sul link è una dimostrazione evidente della necessità di formazione aggiuntiva sulla cybersecurity.

La protezione anti-phishing è inclusa in alcune soluzioni di sicurezza, anche per le piccole imprese, come Kaspersky Small Office Security.

Per ulteriori informazioni: dircom@argonavis.it

7 Luglio 2022

Microsoft applica delle patch a più di 100 vulnerabilità

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 18/01/2022
 
 

Microsoft risolve più di 100 vulnerabilità su Windows 10 e 11, Windows Server 2019 e 2022, Exchange Server, Office e browser Edge

 

 

Microsoft ha iniziato l’anno con una massiccia correzione delle vulnerabilità, rilasciando non solo il suo regolare aggiornamento del primo martedì del mese, che questa volta copre un totale di 96 vulnerabilità, ma anche rilasciando un mucchio di correzioni per il browser Microsoft Edge (principalmente legate al motore Chromium). Questo fa sì che più di 120 vulnerabilità siano state risolte dall’inizio dell’anno. Questo è un chiaro motivo per aggiornare il sistema operativo e alcune applicazioni Microsoft il più presto possibile.

Le vulnerabilità più gravi

Nove delle vulnerabilità che sono state risolte questo martedì hanno una valutazione critica sulla scala CVSS 3.1. Di queste, due sono legate all’elevazione dei privilegi: CVE-2022-21833 in Virtual Machine IDE Drive e CVE-2022-21857 in Active Directory Domain Services. Lo sfruttamento degli altri sette può dare ad un criminale informatico la capacità di esecuzione di codice da remoto:

L’ultima sembrerebbe essere la vulnerabilità più spiacevole. Un bug nello stack del protocollo HTTP permette teoricamente ai criminali informatici non solo di far eseguire codice arbitrario al computer colpito, ma anche per diffondere l’attacco sulla rete locale (secondo la terminologia Microsoft, la vulnerabilità è classificata come wormable, cioè, può essere utilizzata per creare un worm). Questa vulnerabilità è rilevante per Windows 10, Windows 11, Windows Server 2022 e Windows Server 2019. Tuttavia, secondo Microsoft, è pericoloso per gli utenti di Windows Server 2019 e Windows 10 versione 1809 solo se abilitano HTTP Trailer Support utilizzando la chiave EnableTrailerSupport nel registro di sistema.

Gli esperti hanno anche espresso preoccupazione per la presenza di un’altra grave vulnerabilità in Microsoft Exchange Server, CVE-2022-21846 (che, a proposito, non è l’unico bug di Exchange sulla lista, solo il più pericoloso). La loro preoccupazione è totalmente comprensibile, nessuno vuole una ripetizione dell’ondata di vulnerabilità Exchange sfruttate l’anno scorso.

Vulnerabilità con PoC

Alcune delle vulnerabilità risolte erano già note alla comunità di sicurezza. Inoltre, qualcuno ha già pubblicato proof of concept per loro:

  • CVE-2022-21836, Vulnerabilità di spoofing del certificato di Windows;
  • CVE-2022-21839, Vulnerabilità di negazione del servizio nell’elenco di controllo degli accessi discrezionali di Windows;
  • CVE-2022-21919, Vulnerabilità di elevazione dei privilegi nel servizio del profilo utente di Windows.

Non abbiamo ancora osservato attacchi reali utilizzando queste vulnerabilità. Tuttavia, le proof of concept sono già in circolazione, quindi lo sfruttamento può iniziare in qualsiasi momento.

Come rimanere al sicuro

In primo luogo, è necessario aggiornare il sistema operativo (e altri programmi di Microsoft) il più presto possibile. In generale, di solito è saggio non ritardare l’installazione delle patch per il software critico.

In secondo luogo, qualsiasi computer o server connesso a Internet deve essere dotato di una soluzione di sicurezza affidabile in grado non solo di prevenire lo sfruttamento delle vulnerabilità note, ma anche di rilevare gli attacchi con exploit ancora sconosciuti.

Per ulteriori informazioni sulle soluzioni di sicurezza Kaspersky: dircom@argonavis.it

18 Gennaio 2022

Phishing mascherato da spam

 
Tratto da Blog Kaspersky
Autore:  Roman Dedenok – 18/11/2021
 
 
Gli hacker stanno cercando di rubare le credenziali dalla posta aziendale inviando liste di e-mail di spam in quarantena
 
 

 

Cosa fate quando un’e-mail non richiesta arriva nella vostra casella di posta del lavoro? A meno che voi non siate un analista di spam, molto probabilmente la cancellate e basta. Paradossalmente, questo è esattamente ciò che alcuni phisher vogliono e, come risultato, ultimamente le nostre trappole di posta hanno visto sempre più e-mail che sembrano essere notifiche di messaggi ovviamente indesiderati.

 

Come funziona

I criminali informatici, contando sull’inesperienza degli utenti in materia di tecnologie antispam, inviano notifiche agli impiegati aziendali sulle e-mail che presumibilmente arrivano al loro indirizzo e sono messe in quarantena. Questi messaggi assomigliano a questo:

 

False notifiche sulle e-mail in quarantena.

 

La scelta dell’argomento è generalmente poco importante, i criminali informatici copiano semplicemente lo stile di altre pubblicità per beni e servizi non richiesti e forniscono pulsanti per cancellare o mantenere ogni messaggio. Fornisce anche un’opzione per eliminare tutti i messaggi in quarantena in una volta sola o per aprire le impostazioni della casella di posta. Gli utenti ricevono anche istruzioni visive:

 

Istruzioni visive inviate dai truffatori.

 

Qual è il trucco?

Naturalmente, i pulsanti non sono quello che sembrano. Dietro ogni pulsante e collegamento ipertestuale si trova un indirizzo che porta chi clicca a una finta pagina di login, che sembra l’interfaccia web di un servizio di posta:

 

Sito di phishing.

 

Il messaggio “Sessione scaduta” ha lo scopo di convincere l’utente ad accedere. La pagina ha uno scopo, ovviamente: raccogliere le credenziali di posta aziendale.

 

Indizi

Nell’e-mail, la prima cosa che dovrebbe attirare la vostra attenzione è l’indirizzo del mittente. Se la notifica fosse reale, dovrebbe provenire dal vostro server, che ha lo stesso dominio del vostro indirizzo di posta, non, come in questo caso, da una società sconosciuta.

Prima di cliccare qualsiasi link o pulsante su un messaggio, controllate dove vi reindirizzano, passando sopra il cursore del mouse. In questo caso, lo stesso link è collegato in tutti gli elementi attivi, e porta a un sito web che non ha alcuna relazione né con il dominio del destinatario né con quello ungherese del mittente. Questo include il pulsante che presumibilmente invia una “richiesta HTTP per togliere tutti i messaggi dalla quarantena”. Lo stesso indirizzo dovrebbe servire come campanello d’allarme sulla pagina di login.

 

Come evitare lo spam e phishing

Per evitare di abboccare all’amo, gli utenti aziendali devono avere familiarità con il playbook di base del phishing.

Uno strumento online di facile gestione che sviluppa livello per livello le competenze dei dipendenti in materia di cybersecurity è la Piattaforma Kaspersky Automated Security Awareness (ASAP).

Naturalmente, è meglio prevenire gli incontri tra gli utenti finali e le e-mail pericolose e i siti web di phishing in primo luogo. Per questo, occorre usare soluzioni antiphishing sia a livello di mail server che sui computer degli utenti.

Per ulteriori informazioni sulle soluzioni antiphishing e sulla Piattaforma ASAP di Kaspersky: dircom@argonavis.it

19 Novembre 2021

I criteri di gruppo permettono la diffusione del ransomware

 
Tratto da Blog Kaspersky
Autore: Hugh Aver – 03/08/2021
 
 

Il ransomware LockBit 2.0 può diffondersi in una rete locale attraverso i criteri di gruppo creati su un controller di dominio hackerato

 

 

 

La creazione di ransomware è diventata un’industria sotterranea qualche tempo fa, con servizi di supporto tecnico, centri stampa e campagne pubblicitarie. Come per qualsiasi altra industria, creare un prodotto competitivo richiede un miglioramento continuo. LockBit, per esempio, è l’ultimo di una serie di gruppi di criminali informatici che pubblicizzano la capacità di automatizzare l’infezione dei computer locali attraverso un controller di dominio.

LockBit segue il modello Ransomware as a Service (RaaS), fornendo ai suoi clienti (i veri attaccanti) l’infrastruttura e il malware, e ricevendo una quota del riscatto. Irrompere nella rete della vittima è responsabilità del contraente, e per quanto riguarda la distribuzione del ransomware attraverso la rete, LockBit ha progettato una tecnologia abbastanza interessante.

La distribuzione di LockBit 2.0

Dopo che i cybercriminali ottengono l’accesso alla rete e raggiungono il controller di dominio, riferisce Bleeping Computer, eseguono il loro malware sullo stesso, creando nuovi criteri di gruppo utenti, che vengono poi automaticamente distribuiti ad ogni dispositivo della rete. I criteri prima disabilitano la tecnologia di sicurezza integrata nel sistema operativo, altri, invece,  creano un compito programmato su tutti i dispositivi Windows per avviare l’eseguibile del ransomware.

Bleeping Computer menziona il ricercatore Vitali Kremez secondo cui il ransomware utilizza l’API di Windows Active Directory per eseguire query LDAP (Lightweight Directory Access Protocol) per ottenere un elenco di computer. LockBit 2.0 quindi bypassa il controllo dell’account utente (UAC) e viene eseguito silenziosamente, senza innescare alcun allarme sul dispositivo cifrato.

Apparentemente, questo rappresenta la prima diffusione in assoluto di un malware di massa attraverso i criteri di gruppo utenti. Inoltre, LockBit 2.0 consegna le note di riscatto in modo piuttosto bizzarro, inserendo la nota su tutte le stampanti collegate alla rete.

Come potete proteggere la vostra azienda da minacce simili?

Tenete a mente che un controller di dominio è in realtà un server Windows, e come tale, ha bisogno di protezione. Kaspersky Security for Windows Server, che viene fornito con la maggior parte delle soluzioni Kaspersky di sicurezza endpoint per le aziende e protegge i server con Windows dalla maggior parte delle minacce moderne, dovrebbe essere parte del vostro arsenale.

Ad ogni modo, il ransomware che si diffonde attraverso i criteri di gruppo rappresenta l’ultima fase di un attacco. L’attività dannosa dovrebbe diventare evidente molto prima, per esempio quando i criminali informatici entrano per la prima volta nella rete o tentano di hackerare il controller di dominio. Le soluzioni Managed Detection and Response sono particolarmente efficaci nel rilevare i segni di questo tipo di attacco.

La cosa più importante è che i cybercriminali spesso usano tecniche di ingegneria sociale e e-mail di phishing per ottenere l’accesso iniziale. Per evitare che i vostri dipendenti cadano in questi trucchi, migliorate la loro consapevolezza della sicurezza informatica con una formazione regolare.

Per ulteriori informazioni sulle soluzioni Kaspersky: dircom@argonavis.com

4 Agosto 2021

Blog & News

Categorie