I router sono l’anello debole dello smart working in sicurezza

 
Tratto da Blog Kaspersky
Autore: Nikolay Pankov – 02/06/2021
 
 
I router domestici e SOHO spesso sono poco sicuri; tuttavia, le aziende possono difendersi dagli attacchi ai router dei dipendenti in smart working.
 
 

 

Se parliamo di sicurezza informatica, l’aspetto peggiore del passaggio in massa allo smart working è stata la perdita di controllo sulle reti locali a cui si collegano le postazioni di lavoro. Particolarmente pericolosi a questo proposito sono i router domestici dei dipendenti, che hanno essenzialmente sostituito l’infrastruttura di rete gestita normalmente dagli specialisti IT. Alla RSA Conference 2021, nel loro intervento dal titolo All your LAN are belong to us. Managing the real threats to remote workers. (“Tutte le vostre LAN ci appartengono. Gestire le vere minacce per i lavoratori da remoto”), i ricercatori Charl van der Walt e Wicus Ross hanno spiegato in che modo i criminali informatici possono attaccare i computer aziendali servendosi dei router.

Perché i router domestici dei dipendenti possono essere un bel problema?

Anche se le politiche di sicurezza aziendali si occupano dell’aggiornamento del sistema operativo di ogni computer dell’azienda e di tutte le altre impostazioni rilevanti, i router domestici non rientrerebbero comunque nel raggio di controllo degli amministratori di sistema aziendali. Per quanto riguarda gli ambienti di lavoro a distanza, chi si occupa di sicurezza IT in azienda non può sapere quali altri dispositivi sono collegati a una rete, se il firmware del router è aggiornato e se la password che lo protegge è forte (e se l’utente continua a utilizzare la password di fabbrica).

Questa mancanza di controllo è solo una parte del problema. Un numero enorme di router domestici e SOHO hanno vulnerabilità note che i criminali informatici possono sfruttare per ottenere il controllo completo del dispositivo, portando a enormi botnet IoT come Mirai, che raggruppano decine e talvolta anche centinaia di migliaia di router hackerati da utilizzare per una varietà di scopi.

A questo proposito, vale la pena di ricordare che ogni router è essenzialmente un piccolo computer con una qualche distribuzione di Linux. I criminali informatici possono fare molto con un router hackerato. Descriveremo ora solo un paio di esempi presi dal report dei due ricercatori.

Hackerare una connessione VPN

Lo strumento principale che le aziende usano per compensare gli ambienti di rete inaffidabili dei lavoratori in smart working è servirsi di una VPN (rete privata virtuale). Le VPN offrono un canale cifrato attraverso il quale i dati viaggiano tra il computer e l’infrastruttura aziendale.

Molte aziende usano le VPN in modalità split tunneling: il traffico che va verso i server dell’azienda (come la connessione RDP, Remote Desktop Protocol), passa attraverso la VPN e tutto il resto del traffico passa attraverso la rete pubblica non cifrata, il che normalmente è una buona opzione. Tuttavia, un criminale informatico che ha preso il controllo del router può creare un percorso DHCP (Dynamic Host Configuration Protocol) e reindirizzare il traffico RDP al proprio server. Anche se questo non li avvicina alla decifrazione della VPN, possono creare una finta schermata di login per intercettare le credenziali di connessione RDP. I truffatori di ransomware amano usare i protocolli RDP.

Caricare un sistema operativo esterno

Un altro abile scenario di attacco ai router hackerati coinvolge lo sfruttamento della funzionalità PXE (Preboot Execution Environment). Le moderne schede di rete usano il PXE per caricare un sistema operativo sui computer in rete. In genere, la funzione è disabilitata ma alcune aziende la usano, ad esempio, per ripristinare da remoto il sistema operativo di un dipendente in caso di guasto.

Un criminale informatico con il controllo del server DHCP su un router può fornire alla scheda di rete di una workstation l’indirizzo di un sistema modificato per il controllo da remoto. È improbabile che i dipendenti se ne accorgano e che sappiano cosa stia realmente accadendo (soprattutto se sono distratti dalle notifiche di installazione degli aggiornamenti). Nel frattempo, i criminali informatici hanno pieno accesso al file system.

Come rimanere al sicuro

Per proteggere i computer dei dipendenti da quanto abbiamo descritto e da tecniche di attacco simili, vi consigliamo di seguire questi suggerimenti:

  • Optate per il tunneling forzato invece di quello split. Molte soluzioni VPN aziendali permettono il tunneling forzato con delle eccezioni (facendo passare di default tutto il traffico attraverso un canale cifrato, con risorse specifiche che possono bypassare la VPN);
  • Disabilitate il Preboot Execution Environment nelle impostazioni BIOS;
  • Cifrate completamente il disco rigido del computer (con BitLocker su Windows, per esempio).

Analizzare la sicurezza dei router dei dipendenti è vitale per aumentare il livello di sicurezza di qualsiasi infrastruttura aziendale che consente il lavoro a distanza o in modalità ibrida. In alcune aziende, il personale di supporto tecnico dà alcuni suggerimenti ai dipendenti in merito alle impostazioni ottimali per il router di casa. Altre aziende distribuiscono router preconfigurati ai lavoratori in smart working e permettono ai dipendenti di connettersi alle risorse aziendali solo attraverso quei router. Inoltre, la formazione dei dipendenti per contrastare le minacce moderne è fondamentale per la sicurezza della rete.

Per ulteriori informazioni sulla Piattaforma Kaspersky ASAP: dircom@argonavis.it

3 Giugno 2021

Kaspersky e i trend di sicurezza aziendale per il 2021

Tratto da LineaEDP
Autore: Redazione LineaEDP – 27/01/2021
 
 
Per Kaspersky le competenze in materia di security e gestione del cloud diventeranno fondamentali per gestire la sicurezza aziendale
 

Secondo quanto emerso da un nuovo report di Kaspersky, il lavoro da remoto accelererà il passaggio dal concetto di sicurezza aziendale perimetrale alla necessità di certificazioni di sicurezza per i micro uffici decentralizzati.

A sua volta, l’outsourcing delle funzioni IT e di cybersecurity sarà fondamentale per risolvere le carenze di competenze e risparmiare sulle spese.

Inoltre, per coordinare le attività dei managed service provider e il numero più alto di servizi cloud utilizzati, le competenze in materia di sicurezza e gestione del cloud diventeranno fondamentali.

Da quali rischi e minacce difendersi per la sicurezza aziendale

Sempre per Kaspersky, però, queste non saranno le uniche sfide nell’ambito della sicurezza informatica che le aziende dovranno affrontare nel corso del 2021.

Le difficoltà finanziarie causate dalla recessione economica e la crescita delle minacce informatiche dovute alla pandemia globale influenzeranno notevolmente il ruolo dei professionisti della sicurezza IT nel 2021.

Comprendere le sfide, così come saper riconoscere le opportunità nella gestione della cybersecurity e dell’IT sono elementi fondamentali per le aziende per difendersi da rischi e minacce. Il recente report di Kaspersky, “Plugging the gaps: 2021 corporate IT security predictions”, propone validi suggerimenti per tutti i professionisti che ricoprono un ruolo nel settore della sicurezza informatica, inclusi CEO e proprietari di aziende, CISO, responsabili del team SOC e manager IT.

I principali trend da monitorare nel 2021

  • La protezione del perimetro non sarà più sufficiente, diventeranno fondamentali anche la valutazione e la certificazione di sicurezza dell’ufficio domestico. Dovranno essere impiegati strumenti adatti ad analizzare il livello di sicurezza del luogo di lavoro – dalla presenza di vulnerabilità software alla connessione a un hotspot Wi-Fi inaffidabile o non protetto. Questo processo richiederà una più ampia adozione di VPN, la gestione degli accessi privilegiati, sistemi di autentificazione a più fattori, l’implementazione di un monitoraggio più rigoroso e l’aggiornamento dei piani di emergenza esistenti.
  • La transizione verso un modello di servizio consentirà di ottenere i livelli di sicurezza informatica richiesti con investimenti più bassi. Secondo il sondaggio di Kaspersky, in Italia sei aziende su dieci (59%) hanno dichiarato di avere già in programma di utilizzare un Managed Service Provider (MSP) o un Managed Security Service Provider (MSSP) nei prossimi 12 mesi . Questo è un dato positivo, in quanto questa scelta consentirà di ridurre al minimo gli investimenti di capitale e di promuove la transizione delle spese aziendali da CapEx a OpEx.
  • La formazione degli esperti di cybersecurity dovrebbe includere anche competenze manageriali. I ruoli professionali nell’ambito della sicurezza informatica sono molto specializzati, di conseguenza assumere personale per ogni specifico compito può diventare troppo costoso. In questo caso, può tornare utile una strategia di outsourcing. Tuttavia, le aziende che esternalizzano le principali funzioni di cybersecurity hanno anche bisogno di concentrarsi sullo sviluppo di competenze manageriali per il loro team interni in modo che imparino a gestire queste funzioni in outsourcing.
  • Crescerà ulteriormente l’utilizzo di servizi cloud, rendendo necessaria l’introduzione di apposite misure di gestione e protezione. L’indagine di Kaspersky ha mostrato come nel 2020 il 90% delle aziende italiane ha utilizzato servizi cloud e software non aziendali, inclusi social network, app di messaggistica o planning. Difficilmente questa tendenza cambierà quando i dipendenti torneranno in ufficio. Per garantire che tutti i dati aziendali siano al sicuro, sarà necessario avere maggiore visibilità e controllo sugli accessi al cloud. I responsabili della sicurezza IT dovranno rispettare questo paradigma e sviluppare competenze per la gestione e la protezione del cloud.

Oltre all’utilizzo di nuove pratiche di sicurezza informatica, sarà fondamentale anche la qualità degli strumenti utilizzati. Un livello di protezione alto e una gestione senza interruzioni sono aspetti fondamentali nella scelta delle soluzioni di cybersecurity.

Come sottolineato in una nota ufficiale da Alexander Moiseev, Chief Business Officer presso Kaspersky: «Abbiamo avuto modo di osservare due nuove tendenze rispetto a ciò che i clienti si aspettano dalle offerte di cybersecurity aziendale. In primo luogo, la qualità della protezione non è più in discussione: ora è assolutamente imprescindibile. In secondo luogo, gioca un ruolo fondamentale la completa integrazione tra i vari componenti della sicurezza informatica aziendale, ancora meglio se forniti da un unico provider. In passato, nel settore si era diffusa la convinzione che la combinazione di varie soluzioni specializzate ottenute da diversi fornitori potesse offrire la migliore soluzione di sicurezza. Ora, le organizzazioni stanno cercando un approccio più unitario con la massima integrazione tra le diverse tecnologie di security».

1 Febbraio 2021

Attacchi RDP (Remote Desktop Protocol) in crescita del 280%

 

Tratto da BitMAT
Autore: Redazione BitMAT – 11/12/2020
 
Gli attaccanti si stanno impegnando per prendere di mira gli utenti che lavorano da casa
 
Attacchi RDP (Remote Desktop Protocol) in crescita del 280%
 

Le nuove abitudini dettate dalle norme anti-Covid hanno imposto alle aziende di adeguare le proprie infrastrutture e consentire ai dipendenti di lavorare da remoto. Questo ha favorito l’emergere di nuove minacce e l’intensificarsi di quelle esistenti. Secondo quanto emerso dal report di Kaspersky Story of the year: remote work, rispetto allo scorso anno, in Italia, è stata registrata una crescita del 280% degli attacchi di forza bruta sui protocolli RDP (Remote Desktop Protocol) per un totale di 174 miliardi di file dannosi mascherati da applicazioni di comunicazione aziendale. Entrambi questi risultati riflettono il modo in cui gli attaccanti si stanno impegnando per prendere di mira gli utenti che lavorano da casa.

Il numero elevato di dipendenti in smart working ha favorito la nascita di nuove vulnerabilità che i criminali informatici hanno prontamente sfruttato. Il volume del traffico aziendale è cresciuto e gli utenti, per svolgere il proprio lavoro e scambiare dati con i colleghi, si sono spesso affidati a servizi di terze parti o a reti Wi-Fi potenzialmente non sicure.

Un’altra sfida per i team di sicurezza informatica è stata, indubbiamente, il numero elevato di persone costrette ad utilizzare strumenti per l’accesso da remoto. Uno dei protocolli più popolari a livello applicativo per l’accesso alle workstation o ai server Windows è il protocollo proprietario di Microsoft, RDP. Durante il primo lockdown, il numero dei computer configurati in modo non corretto e messi a disposizione dei dipendenti per lavorare da remoto è cresciuto in modo esponenziale e di conseguenza sono aumentati anche gli attacchi informatici a loro rivolti. La tipologia di attacchi riscontrati nella maggior parte dei casi era di tipo forza bruta. Si tratta di attacchi che cercano di individuare le credenziali di accesso ad un account provando quante più combinazioni di caratteri possibile fino a trovare quella corretta. Questi attacchi mirano a ricavare lo username e la password per accedere ai protocolli RDP e quindi ad ottenere l’accesso da remoto al computer violato.

A partire dall’inizio di marzo di quest’anno, in Italia il numero di rilevamenti Bruteforce.Generic.RDP individuati è salito vertiginosamente, infatti nei primi undici mesi del 2020 è stato registrato un aumento di 3,8 volte rispetto allo stesso periodo del 2019. Complessivamente, tra gennaio e novembre 2020 sono stati rilevati quasi 174 miliardi di attacchi ai server Remote Desktop Protocol. Guardando allo stesso periodo del 2019, in Italia, Kaspersky aveva rilevato 45,7 milioni di attacchi di questo tipo.

Oltre agli attacchi ai server RDP, i criminali informatici hanno preso di mira anche gli strumenti di comunicazione online sfruttati ampiamente dai dipendenti durante lo smart working. Kaspersky ha rilevato 1,66 milioni di file dannosi in tutto il mondo che sono stati diffusi attraverso false applicazioni di messaggistica e videoconferenze molto popolari e tipicamente utilizzate per il lavoro. Una volta installati, questi file caricavano principalmente adware, ovvero programmi che inondano i dispositivi delle vittime con pubblicità indesiderata con l’obiettivo di raccogliere i loro dati personali. È stato rilevato anche un altro gruppo di file camuffati da applicazioni aziendali, i Downloaders, ovvero applicazioni che non possono essere dannose, ma che sono in grado di consentire il download di altre applicazioni, dai Trojan agli strumenti di accesso remoto.

Morten Lehn, General Manager Italy di Kaspersky ha dichiarato: “Il 2020 ci ha insegnato molto. Venivamo da quello che abbiamo sempre reputato un mondo già digitalizzato eppure, nonostante ciò, la migrazione verso le piattaforme digitali non è stata per niente semplice. Quando l’attenzione si è spostata verso il lavoro da remoto anche i criminali informatici ne hanno approfittato reindirizzando i propri sforzi verso questo nuovo trend. Sono felice di constatare che il processo di adozione del lavoro da remoto sia stato veloce perché questo ha permesso al mondo di andare avanti e all’economia di non fermarsi. Oggi siamo sicuramente più consapevoli che c’è ancora molto da imparare sull’uso responsabile della tecnologia, soprattutto per quanto riguarda la condivisione dei dati”.

“Una delle maggiori sfide del 2020 è stata proprio la scarsa consapevolezza rispetto ai potenziali pericoli della rete. Il vero problema in questo caso è stata la crescita improvvisa della domanda di servizi online – siano essi legati al lavoro o ai servizi per il cibo d’asporto. Molte persone che prima di questo periodo si tenevano ben lontane dal mondo digitale hanno dovuto iniziare a utilizzare servizi online a loro sconosciuti cosi come lo erano i pericoli che avrebbero potuto incontrare in rete. Queste persone si sono rivelate, di conseguenza, le più vulnerabili durante la pandemia. Il processo di digitalizzazione ha rappresentato una grande sfida per tutto il mondo ma spero che abbia contribuito ad aumentare il livello di consapevolezza sulla sicurezza informatica tra gli utenti”, ha aggiunto Morten Lehn.

Tenuto conto che lo smart working è destinato a durare ancora a lungo, Kaspersky raccomanda alle aziende di:

  • Abilitare l’accesso alla rete attraverso una VPN aziendale e, se possibile, abilitare l’autenticazione multi-fattore per rimanere protetti dagli attacchi rivolti ai server RDP.
  • Utilizzare una soluzione di sicurezza aziendale dotata di una protezione dalle minacce rivolte alla rete, come Kaspersky Integrated Endpoint Security. La soluzione include anche la funzione di ispezione del registro per configurare le regole di monitoraggio e di alert per gli attacchi di forza bruta e i tentativi di accesso non riusciti.
  • Assicurarsi che i propri dipendenti abbiano tutto ciò di cui hanno bisogno per lavorare in sicurezza da casa e sappiano chi contattare in caso di problemi informatici o di cybersecurity.
  • Programmare una formazione di base in materia di sicurezza informatica per i propri dipendenti. Il training può essere svolto online e riguarda pratiche essenziali come la gestione di account e delle password, la sicurezza degli endpoint e la navigazione sul web. Kaspersky e Area9 Lyceum1 hanno preparato un corso gratuito per aiutare i dipendenti a lavorare in sicurezza anche da casa.
  • Assicurarsi che dispositivi, software, applicazioni e servizi vengano aggiornati regolarmente.
  • Assicurarsi di avere accesso alle più recenti informazioni sulla threat intelligence in grado di rafforzare soluzione di protezione aziendale. Ad esempio, Kaspersky offre gratuitamente un threat data feed relativo al COVID-19.
  • Oltre agli endpoint fisici, è importante proteggere i workload nel cloud e l’infrastruttura desktop virtuale. A questo proposito, Kaspersky Hybrid Cloud Security protegge l’infrastruttura ibrida di endpoint fisici e virtuali, nonché i workload sul cloud, sia che vengano eseguiti in sede, in un data center o in un cloud pubblico. Supporta l’integrazione con le principali piattaforme cloud come VMware, Citrix o Microsoft e facilita la migrazione dai desktop fisici a quelli virtuali.

È importante che anche i dipendenti osservino alcune regole durante il lavoro da remoto per rimanere protetti:

  • Assicurarsi che il proprio router supporti la trasmissione Wi-Fi a più dispositivi contemporaneamente, anche nel momento in cui più persone sono online e il traffico è intenso (come avviene quando si utilizzano strumenti di videoconferenza).
  • Impostare password complesse per il router e la rete Wi-Fi che includano una combinazione di lettere minuscole e maiuscole, numeri e punteggiatura.
  • Se possibile, lavorare solo su dispositivi forniti dall’azienda. L’inserimento di informazioni aziendali su dispositivi personali potrebbe portare a potenziali problemi di sicurezza e privacy.
  • Non condividere i dettagli del proprio account aziendale con nessun altro, anche se in qualche occasione potrebbe sembrare una buona idea per velocizzare il lavoro.
  • Per proteggere i dispositivi personali, utilizzare una soluzione di sicurezza affidabile come Kaspersky Security Cloud in grado di proteggere la privacy, i dati e le risorse finanziarie con una serie completa di strumenti e funzionalità, tra cui la VPN, la protezione dei pagamenti, il PC cleaning, il blocco di accessi non autorizzati alle webcam, il criptaggio dei file, l’archiviazione delle password, il parental control e molte altre.

È possibile leggere il report completo a questo link.

Tutte le storie del Kaspersky Security Bulletin con i dati del 2020 e le previsioni per il 2021 sono disponibili qui.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

17 Dicembre 2020

Endian Winter Promo – StaySafe

Una nuova normalità fatta di Smartworking in tutta sicurezza, non solo per le persone ma anche per reti e connessioni.

La tecnologia UTM Endian per la network security Small-Medium Business è un valido alleato per la gestione di un’infrastruttura agile e di risorse interconnesse.

Per le nuove attivazioni, dal 16 Novembre 2020 al 15 Gennaio 2021, le linee di prodotto Small-Medium Business da 10 a 100 utenti sono offerte alle seguenti condizioni promozionali:

    • Sconto 20% su componente Hardware e sconto 25% su componente Maintenance. Mini10 (Base e Wifi); Mini25 (Base e Wifi); Mercury50 (Base e Wifi); Mercury100
    • Sconto 33% su Licenze Virtual and Software (Taglio: 10, 25, 50,100 utenti).
Note:
  • Prodotti oggetto della promozione: Mini10 (Base e Wifi); Mini25 (Base e Wifi); Mercury50 (Base e Wifi); Mercury100. Software e Virtual 10, 25, 50,100 utenti

  • Validità: dal 16 Novembre 2020 al 15 Gennaio 2021

  • Non applicabile a listino EDUGOV

  • Non cumulabile con altre promozioni in corso, bundle, programmi commerciali o prezzi speciali (ad es. Alta affidabilità, Trade IN/UP o progetti)

Per ulteriori informazioni: dircom@argonavis.it

20 Novembre 2020