Sicurezza informatica e lavoro da remoto: come mantenere sicuri i dati aziendali

sicurezza informatica e lavoro da remoto

  La sicurezza informatica è sempre stata una priorità per le aziende. Tuttavia, con l’esplosione del lavoro da remoto, mantenere sicuri i dati aziendali è diventato un compito ancora più impegnativo. In questo articolo, esploreremo alcune delle principali sfide legate alla sicurezza informatica nel lavoro da remoto e come le aziende possono affrontarle efficacemente. Il Nuovo Scenario del Lavoro da Remoto La pandemia di Covid-19 ha cambiato radicalmente il modo in cui lavoriamo. Molte aziende sono state costrette a implementare il lavoro da remoto a tempo pieno o parziale per garantire la continuità delle operazioni. Sebbene questa modalità di lavoro abbia numerosi vantaggi, come la flessibilità e la riduzione dei costi operativi, ha anche portato con sé nuove sfide in termini di sicurezza informatica. Infatti, il lavoro da casa ha aumentato l’esposizione dei dati aziendali a potenziali minacce. Minacce alla Sicurezza Informatica nel Lavoro da Remoto Quando i dipendenti lavorano fuori dall’ufficio, l’azienda ha meno controllo sulle reti e sui dispositivi che utilizzano. Alcuni dei principali rischi per la sicurezza informatica nel lavoro da remoto includono il phishing, l’accesso non autorizzato ai dati, la condivisione non sicura dei dati e l’uso di reti Wi-Fi non sicure. Allo stesso tempo, le vulnerabilità dei dispositivi personali o aziendali possono essere sfruttate dagli hacker per infiltrarsi nelle reti aziendali. Strumenti per la Sicurezza Informatica nel Lavoro da Remoto Per affrontare queste sfide, le aziende devono implementare una serie di strumenti di sicurezza. Questi possono includere Virtual Private Networks (VPN) per garantire connessioni sicure, soluzioni di gestione dei dispositivi mobili (MDM) per monitorare e gestire i dispositivi aziendali, e sistemi di protezione da malware e phishing. Inoltre, l’uso di servizi cloud con forti protocolli di sicurezza può contribuire a proteggere i dati aziendali. Formazione dei Dipendenti sulla Sicurezza Informatica: Un Aspetto Cruciale Una delle strategie più efficaci per proteggere i dati aziendali quando si lavora da remoto è garantire che i dipendenti siano adeguatamente formati sulle migliori pratiche di sicurezza informatica. Quando si tratta di difendere un’azienda dalle minacce informatiche, l’elemento umano è spesso il più imprevedibile, ma anche il più controllabile. I dipendenti che lavorano da casa possono facilmente diventare obiettivi per i cybercriminali attraverso tecniche di phishing, malware o attacchi di ingegneria sociale. Pertanto, la formazione sulla sicurezza informatica diventa fondamentale per sensibilizzare il personale sui rischi associati al lavoro da remoto e per insegnare loro come identificare e prevenire potenziali minacce. Gli argomenti di formazione dovrebbero includere: l’importanza di mantenere i software e i dispositivi aggiornati, l’uso di password forti e uniche, l’importanza di fare regolari backup dei dati, la protezione delle reti domestiche e conoscenza delle diverse tattiche di phishing. La formazione dovrebbe essere un processo continuo, con aggiornamenti regolari che riflettono le nuove minacce e tecniche di attacco. Investire nella formazione dei dipendenti sulla sicurezza informatica non solo protegge i dati aziendali, ma può anche far risparmiare denaro a lungo termine, prevenendo costose violazioni dei dati. Inoltre, i dipendenti che sono consapevoli della loro responsabilità nella protezione dei dati dell’azienda saranno più attenti e proattivi nel mantenere sicuri i loro ambienti di lavoro da remoto. L’insidiosa trappola del Phishing: Come avviene un attacco informatico nel contesto del lavoro da remoto Uno degli attacchi informatici più comuni a cui possono essere esposti i lavoratori da remoto è il phishing. Questo tipo di attacco è insidioso perché mira a ingannare gli utenti per ottenere accesso a informazioni sensibili come username, password o dettagli della carta di credito. Gli attacchi di phishing si verificano spesso tramite email. Gli hacker inviano messaggi che sembrano provenire da una fonte legittima, come il provider di servizi Internet, la banca o il dipartimento IT dell’azienda. Queste email includono di solito un link a un sito web che sembra autentico, ma che in realtà è controllato dagli hacker. Quando l’utente clicca sul link, viene indirizzato al sito falso e invitato a inserire le proprie credenziali o informazioni personali. In questo modo, gli hacker possono rubare queste informazioni e utilizzarle per accedere alle reti o agli account dell’utente. In un contesto di lavoro da remoto, questo tipo di attacco può avere conseguenze gravi. Ad esempio, se un dipendente viene ingannato da un’email di phishing e inserisce le sue credenziali di accesso aziendale nel sito falso, gli hacker potrebbero ottenere l’accesso alla rete aziendale e ai dati sensibili contenuti in essa. Pertanto, è fondamentale che i dipendenti siano adeguatamente formati per riconoscere e prevenire gli attacchi di phishing. Ciò include l’apprendimento di come riconoscere le email di phishing, non cliccare su link sospetti, verificare sempre l’URL di un sito web prima di inserire le proprie informazioni e utilizzare l’autenticazione a due fattori quando possibile. Sicurezza Informatica e Lavoro da Remoto, un Equilibrio Necessario L’importanza della sicurezza informatica nel lavoro da remoto non può essere sottovalutata. Mentre le organizzazioni adottano modelli di lavoro più flessibili, le sfide in termini di sicurezza dei dati continuano a evolversi. Il mantenimento della sicurezza dei dati aziendali non è solo una questione di implementazione delle tecnologie avanzate, ma richiede un approccio olistico che include una robusta formazione dei dipendenti, politiche di sicurezza ben definite, procedure di risposta agli incidenti e una mentalità di sicurezza incorporata nella cultura aziendale. Lavorare da remoto ha molti vantaggi, ma è essenziale che le aziende considerino attentamente i rischi associati e implementino misure proattive per proteggere i propri dati. Adottare un approccio preventivo alla sicurezza può sembrare un compito oneroso, ma i costi e le conseguenze di una violazione dei dati sono significativamente maggiori. Quindi, come abbiamo discusso, dalla scelta delle giuste tecnologie all’educazione e alla formazione dei dipendenti, ci sono molteplici passaggi che le aziende possono e devono prendere per garantire la sicurezza dei loro dati in un ambiente di lavoro remoto. Ricordiamo che la sicurezza informatica non è un obiettivo da raggiungere, ma un viaggio da intraprendere, con una costante attenzione e aggiornamento, a favore della protezione e dell’integrità dei dati aziendali. Un viaggio che, con la giusta consapevolezza e le adeguate strategie, può contribuire non

Le 4 tecnologie fondamentali per la sicurezza informatica

sicurezza informatica

  La sicurezza informatica è diventata una componente essenziale nel panorama digitale attuale. Mentre le organizzazioni navigano attraverso la rapida evoluzione del mondo digitale, il ruolo della sicurezza informatica è diventato centrale. La crescente dipendenza da soluzioni digitali ha aperto la porta a una serie di minacce informatiche, rendendo indispensabili tecnologie di sicurezza robuste ed efficaci. In questo articolo esploreremo quattro tecnologie chiave che stanno guidando la sicurezza informatica: l’Intelligenza Artificiale (AI), la crittografia, l’autenticazione multi-fattore (MFA) e la Blockchain. Queste tecnologie rappresentano la frontiera avanzata della sicurezza informatica e sono strumenti fondamentali per contrastare le minacce emergenti. Sicurezza informatica con Intelligenza Artificiale e Machine Learning L’intelligenza artificiale (IA) e il machine learning (ML) sono tecnologie rivoluzionarie che stanno avendo un impatto significativo in molteplici settori, compresa la sicurezza informatica. Le tecniche di AI e ML permettono ai sistemi di sicurezza di apprendere ed evolvere dinamicamente, riconoscendo schemi di comportamento anomali e reagendo alle minacce in tempo reale. Intelligenza Artificiale L’Intelligenza Artificiale (IA) è un ramo dell’informatica che mira a creare sistemi in grado di eseguire compiti che normalmente richiedono l’intelligenza umana. Questi compiti includono l’apprendimento, il ragionamento, la percezione, il riconoscimento di linguaggio naturale e la risoluzione di problemi. Un sistema di IA è programmato per prendere decisioni, spesso basandosi su un insieme di regole o algoritmi definito da un programmatore. Nel contesto della sicurezza informatica, l’IA può essere utilizzata per identificare anomalie o schemi comportamentali che suggeriscono un tentativo di intrusione. L’IA può analizzare grandi quantità di dati molto più velocemente di quanto potrebbe fare un umano, permettendo la rilevazione di attacchi in tempo reale. Inoltre, l’IA può apprendere da ogni tentativo di intrusione, diventando sempre più efficace nel rilevare e prevenire attacchi futuri. Machine Learning Il Machine Learning (ML) è una sottocategoria dell’IA che si concentra sull’addestramento dei computer a imparare dai dati. Il ML utilizza algoritmi per costruire modelli basati su dati di input, quindi usa questi modelli per fare previsioni o prendere decisioni senza essere esplicitamente programmato per svolgere il compito. Ci sono vari tipi di apprendimento nel machine learning, tra cui l’apprendimento supervisionato, l’apprendimento non supervisionato e l’apprendimento per rinforzo. Nell‘apprendimento supervisionato, l’algoritmo di ML apprende da un set di dati di addestramento etichettato. Ogni esempio nel set di dati comprende un input e l’output corrispondente, che viene usato per addestrare il modello. Una volta addestrato, il modello può essere utilizzato per prevedere l’output per nuovi input. Nell’apprendimento non supervisionato, l’algoritmo di ML apprende da un set di dati non etichettato. L’obiettivo è trovare strutture nascoste nei dati, come gruppi o anomalie. Nell’apprendimento per rinforzo, un agente impara come comportarsi in un ambiente eseguendo azioni e ricevendo ricompense o punizioni. Nel campo della sicurezza informatica, il ML può essere utilizzato per rilevare schemi di comportamento anomali che potrebbero indicare un attacco. Ad esempio, un algoritmo di ML potrebbe essere addestrato a riconoscere schemi di traffico di rete normale; se il traffico di rete devia significativamente da questi schemi, l’algoritmo potrebbe rilevarlo come un possibile attacco e segnalarlo per ulteriori indagini. Scopri come i dispositivi Lecs possono aiutarti a proteggere i tuoi dati Sicurezza informatica e Crittografia La crittografia è una tecnica di sicurezza informatica che si basa sulla matematica per proteggere le informazioni. Attraverso la crittografia, le informazioni vengono trasformate in un formato incomprensibile, che può essere decodificato solo da coloro che detengono una specifica chiave. La crittografia è utilizzata per garantire la riservatezza, l’integrità e l’autenticità dei dati. Tipi di crittografia Esistono due tipi principali di crittografia: la crittografia simmetrica e la crittografia asimmetrica. Crittografia simmetrica: In questo tipo di crittografia, la stessa chiave viene utilizzata per cifrare e decifrare i dati. Il mittente utilizza la chiave per cifrare i dati, e il destinatario utilizza la stessa chiave per decifrarli. Esempi di algoritmi di crittografia simmetrica includono AES (Advanced Encryption Standard) e DES (Data Encryption Standard). Il vantaggio principale della crittografia simmetrica è che è veloce e efficiente. Tuttavia, la distribuzione sicura della chiave è un problema, poiché chiunque abbia la chiave può decifrare i dati. Crittografia asimmetrica: Anche nota come crittografia a chiave pubblica, la crittografia asimmetrica utilizza due chiavi: una chiave pubblica, che può essere distribuita liberamente, e una chiave privata, che deve essere mantenuta segreta. La chiave pubblica viene utilizzata per cifrare i dati, mentre la chiave privata viene utilizzata per decifrarli. Esempi di algoritmi di crittografia asimmetrica includono RSA e ECC (Elliptic Curve Cryptography). Il vantaggio principale della crittografia asimmetrica è che risolve il problema della distribuzione della chiave. Tuttavia, è più lenta e computazionalmente intensiva rispetto alla crittografia simmetrica. Hashing Oltre alla crittografia, un altro componente importante della sicurezza informatica è l’hashing. L’hashing è un processo unidirezionale che prende un input (o ‘messaggio’) e restituisce un valore fisso di lunghezza, chiamato hash. Il valore dell’hash è unico per l’input specifico, quindi anche una piccola modifica all’input produrrà un hash molto diverso. L’hashing viene spesso utilizzato per verificare l’integrità dei dati. Protocolli crittografici Infine, esistono protocolli crittografici, come SSL/TLS e HTTPS, che utilizzano la crittografia per fornire comunicazioni sicure su una rete. Questi protocolli utilizzano sia la crittografia simmetrica che quella asimmetrica, oltre all’hashing, per garantire la riservatezza, l’integrità e l’autenticità dei dati. Sicurezza informatica e autenticazione multi-fattore L’autenticazione multi-fattore (MFA) è una tecnica di sicurezza informatica che richiede agli utenti di fornire più di un tipo di credenziali per confermare la loro identità quando accedono a un sistema. Questo approccio è progettato per rendere più difficile per un attaccante ottenere accesso non autorizzato a un sistema, dato che la compromissione di un singolo fattore di autenticazione non sarà sufficiente. I fattori di autenticazione possono essere raggruppati in tre categorie principali: Qualcosa che l’utente conosce: Questo potrebbe essere una password, un PIN o le risposte a domande di sicurezza. Questo è il tipo di autenticazione più comune. Qualcosa che l’utente ha: Questo potrebbe essere un dispositivo fisico come una smart card, un token hardware di sicurezza o un dispositivo mobile che riceve un SMS o utilizza un’app di

Sicurezza informatica e attacchi ransomware: cosa sono, tipologie e come difendersi

sicurezza informatica e attacchi ransomware

  Nel settore della sicurezza informatica, gli attacchi ransomware sono di casa, e per questo è importante sapere di cosa si tratta e come tutelarsi. La parola ransomware tradotta letteralmente dell’inglese vuol dire ‘virus del riscatto’, e di fatto è proprio questo che avviene: dei virus e malware aggrediscono i nostri dispositivi e ne impediscono l’utilizzo. Tutto può tornare alla normalità pagando un riscatto. Nel mirino di questi attacchi informatici finiscono molte aziende, e l’epilogo generalmente è un riscatto o la diffusione on line di una parte dei dati, spesso pubblicati sul sito della cyber gang responsabile dell’attacco. Ma adesso vediamo bene insieme cosa sono gli attacchi ransomware, le tipologie e come difendersi.   Cosa sono gli attacchi Ransomware Il virus ransomware è un tipo di malware, e viene utilizzato per ‘infettare’ un dispositivo (pc, tablet, smartphone, etc) e rendere i file in esso contenuti inaccessibili, e per questo si parla infatti di attacchi ransomware. La finalità è quella di estorcere denaro se la vittima vuole tornare padrone dei suoi contenuti che, grazie alla cifratura, sono diventati inutilizzabili. E come avviene la richiesta di riscatto? Invece del nostro sfondo, sul dispositivo appare un avviso il cui mittente sembra un’organizzazione di sicurezza (come la polizia) e viene chiesto del denaro per ottenere una password che rilascerà l’accesso ai contenuti, e sempre più spesso il pagamento avviene nel Dark Web. L’importo del riscatto molto spesso è elevato: in certi casi ha raggiunto milioni di dollari e viene richiesto in criptovalute; nel 2021 ad esempio ad Acer, di cui tutto conosciamo l’importanza nel settore informatico, sono stati chiesti 50 milioni di dollari. Come funzionano gli attacchi Ransomware Un ransomware si diffonde mediante attacchi di: PHISHING: Forma di adescamento nella quale grazie a una truffa telematica vengono rubati informazioni e dati. Per la sicurezza informatica è una delle minacce più note CLICKJACKING Pagine trasparenti che vengono collocate sopra alla pagina reale; l’utente, senza saperlo, compie attività come download di file o invio di informazioni, mentre vengono intercettati i tasti permuti per ottenere informazioni come credenziali bancarie o documenti. Tipologie di Ransomware                I tipi di ransomware sono principalmente tre: CRYPTOR: Si attiva quando l’utente apre un file come un allegato e-mail che però ha al suo interno un virus. In questo modo ogni file sul pc viene criptato con estensioni ‘strane’ come .wcry o caratteri randomici. BLOCKER: Il virus simula il blocco di un computer o un dispositivo mobile. L’utente vedrà un messagiio con una richiesta di pagamento. WIPER: il cui fine è distruggere i dati in modo irreversibile Le 10 righe dell’oggetto più frequentemente utilizzate negli attacchi sono: Richiesta, Seguito, Urgente/Importante, Sei disponibile?/ Sei alla tua scrivania?, Stato del pagamento, Ciao ,Acquistare, Fattura in scadenza, Deposito diretto, Spese, Libro paga. I marchi invece principalmente utilizzati sono WhatsApp, Google, LinkedIn, Amazon, FedEx, Roblox, PayPal e Apple. Facebook e Instagram. Come difendersi dagli attacchi Ransomware Per tutelarsi da questi attacchi, occorre: fare molta attenzione prima di scaricare e installare file nel pc; valutare chi è il mittente e in che tipo di sito stiamo navigando scegliere un antivirus con un modulo anti-ransomware dedicato scegliamo un client di posta elettronica che abbia moduli di sicurezza aggiornare sempre all’ultima versione il nostro sistema operativo utilizziamo un browser sicuro e aggiornato (Google Chrome)   Ricordiamoci sempre che la sicurezza informatica non deve essere solo pensata per proteggere le grandi aziende: i dispositivi Lecs nascono proprio affinché anche i dati delle piccole imprese e dei professionisti siano debitamente protetti. Alessio

Sicurezza informatica: la vera sfida dell’era digitale

Sicurezza informatica e attacchi hacker

Con il termine di sicurezza informatica -molte volte sostituito con quello di cybersecurity- si intendono tutti quei mezzi il cui scopo è proteggere i sistemi, le reti e i dati dal danno digitale. E in un mondo in cui qualsiasi informazione su persone e aziende viene custodita su supporti tecnologici, la sfera digitale diventa automaticamente il terreno di guerra fra chi deve garantire riservatezza, integrità e disponibilità dei dati, e chi invece vuole appropriarsene per vari motivi, di solito politici o economici. Alcuni dati sulla sicurezza informatica Ad esempio il 2022 si è concluso con un numero di attacchi rilevati pari a 12.947: numero che in sé potrebbe dirci poco, ma corrisponde a più del doppio dei 5.334 dell’anno prima. Le persone indagate ammontano a 334 rispetto alle 187 del 2021. Gli alert diramati l’anno scorso sono stati 113.226: più di 300 al giorno. La figura dell’hacker, tanto raccontata nei film, dipinto con felpe nere overs size e col cappuccio a coprire il volto e immerso in una giungla di codici incomprensibili, è diventata realtà, e quello che fa non è più al limite del fantastico, ma verità nuda e cruda. E non pensiamo nemmeno che il bersaglio degli attacchi hacker siano solo le grandi aziende; stringendo la questione, chi detiene i dati sensibili è come un cassetto che custodisce le nostre vite e identità: se la serratura del cassetto salta, ad essere rapiti siamo proprio noi. Di fatto i dispositivi che possono essere violati sono computer, server, dispositivi mobili, reti e sistemi elettronici: tutti questi elementi devono quindi essere oggetto di sicurezza informatica ai massimi livelli, e occorrono impegno, costanza e ricerca affinchè le aziende (sia di grandi dimensioni, che PMI, che siano nel settore pubblico o privato) possano garantire la sicurezza informatica dei dati che hanno. E da parte delle imprese l’attenzione nei confronti delle problematiche derivanti da attacchi hacker sta aumentando sempre di più, mentre anche il settore legislativo sta compiendo il proprio percorso volto alla tutela dei cittadini. Come ha dichiarato Alessandro Piva, Direttore dell’Osservatorio Cybersicurity & Data Protection: “Il primo passo è stato compiuto: le organizzazioni hanno posto le basi per rendere la cybersecurity un elemento chiave per il loro business, intraprendendo un percorso strutturato verso una nuova fase. Le organizzazioni non devono abbassare la guardia, ma muoversi elaborando una strategia a lungo termine per la sicurezza informatica”. I tre principi della sicurezza informatica- CIA Gestire, proteggere e mettere in sicurezza in modo corretto i dati informatici, vuol dire agire secondo tre principi fondamentali della sicurezza informatica: Confidenzialità Integrità Disponibilità Vediamole nel dettaglio.   Sicurezza Informatica: Confidenzialità dei dati Per confidenzialità dei dati si intende la garanzia che i dati rilasciati da persone o aziende saranno protetti dal potenziale accesso e utilizzo da parte di chi non ne è autorizzato. Questo deve essere garantito sempre, non solo in una fase di cessione e acquisizione del dato, ma anche nelle fasi successive (utilizzo e scambio in una rete di connessione). Possiamo affermare che la confidenzialità è indispensabile per garantire quella privacy a cui ognuno di noi tiene tanto; se la confidenzialità non viene mantenuta, il danno non è solo per la società che doveva proteggere il dato, ma anche per la privacy, appunto, dell’individuo. Al fine di garantire la confidenzialità dei dati, i metodi più usati sono: CRITTOGRAFIA, usata per l’autenticazione, costituita da nome utente e password CODICI PIN BIOMETRIA, come l’impronta digitale In termini più ampi e al di là del singolo individuo, quando pensiamo a tutti i dati da proteggere non possiamo dimenticare quelli finanziari, di sicurezza a livello nazionale, economici, sanitari e di molti altri contesti che fanno parte integrante della società.   Sicurezza Informatica: Integrità dei dati informatici Per integrità dei dati intendiamo la garanzia che i dati non vengano in alcun modo modificati o cancellati da chi non sia autorizzato a farlo. Questo comprende ovviamente anche variazioni di carattere accidentale. Per la sicurezza informatica e il mantenimento dell’integrità dei dati è necessario attuare delle policy di autenticazione ben delineate: di questo fanno parte le password, che tutti noi adoperiamo per accedere a dispositivi tecnologici e servizi on line, ma che vengono utilizzate anche a livello aziendale. La scelta della password deve essere ragionata, e anche il suo utilizzo deve essere altrettanto attenzionato. Fra le cause principali di attacchi informatici rientra proprio il cattivo utilizzo delle password da parte degli utenti.   Sicurezza Informatica: Disponibilità dei dati Il terzo e ultimo principio della sicurezza informatica riguarda la disponibilità dei dati: con questo si intende la possibilità di poter accedere ai dati da parte di chi ne è autorizzato. A questo scopo è necessario che non vi sia un’interruzione nel periodo di tempo in cui il dato viene utilizzato, né a seguito di un attacco informatico e nemmeno a causa di altri eventi, comprese le calamità naturali. Fra le misure più efficaci per avere disponibilità dei dati, ricordiamo: Ridondanza, failover e Raid Strutture di controllo di rete e server Piano di ripristino dei dati e di continuità aziendale in caso di privazione dei dati   Scopri i dispostivi Lecs per la tua sicurezza informatica Tipi di minacce per la sicurezza informatica Come abbiamo già detto quindi, la sicurezza informatica è ciò che occorre per fronteggiare gli attacchi hacker e qualsiasi tipo di minaccia informatica. Partiamo dal presupposto che lo scopo di un attacco Hacker sia quello di sottrarre i dati per poi chiedere un riscatto; i dati che vengono rubati possono essere divulgati nel dark web ed essere utilizzati per scopi illegali. Pensiamo ad esempio alla sottrazione del numero della carta di credito; anche se non siamo esperti di sicurezza informatica e crediamo che non ci sia nulla di troppo interessante nelle nostre vite, per gli ‘esperti degli attacchi’ non è proprio così. Vediamo insieme alcuni tipi di minacce informatiche. Malware E’ un software che si muove nella rete, violandola e sfruttandone la vulnerabilità. E’ ovviamente dannoso e può essere usato per sottrarre dati di varia natura, comprese e-mail e password. Se

NEW UPDATE: Aggiornamento alla UI Reseller

Per tutti i clienti Reseller che hanno la Dashboard abilitata, dal 05/04/2022 è disponibile una nuova funzionalità di visualizzazione:  Tiresia Intelligent Engine oltre ad altre ottimizzazioni UI. Changelog: Tiresia è il motore a valle di ottimizzazione intelligente della detection di LECS, con il preciso scopo di migliorare e sensibilizzare il rilevamento delle minacce eseguendo specifici matching tra la rete locale d’installazione e feed proprietari e globali di Intelligence. Proprio per questo è possibile avere immediatamente nella Dashboard, appena sotto i grafici, il report di quanto l’algoritmo sta monitorando, evidenziandolo tra tutti i LOG. Nuova Categoria “Minacce Gravi”: Nel menù laterale della Dashboard, si trova una modifica alla visualizzazione e classificazione dei pattern di LECS. Qui, sono riportati i LOG critici che hanno innescato la contromisura di LECS. Nel caso di LECS+, si attua la contromisura energetica, mentre nel caso del LECS normale, la contromisura procedurale. E’ contestuale anche l’invio di una mail di notifica immediata in questi casi. Nuova Categoria “Anomalie” (da Bassi): In questa categoria si trovano tutte le anomalie rilevate, utili per network debug o monitoraggi di protocolli e movimenti specifici all’interno della rete. Q&A Nei casi riportati nella tabella di Tiresia, LECS è intervenuto? Lo scopo di Tiresia Intelligent Engine è quello di fornire un’evidenza specifica di criticità che richiedono di essere analizzate a fondo rispetto ad altre. Dove trovo i LOG di quanto LECS è intervenuto con la contromisura? Nella voce di menù laterale “Minacce Gravi” sono riportate le minacce dove LECS è intervenuto con la contromisura elettrica (LECS+) o procedurale (LECS).     #StaySafe   Alessio

Relevant Threat Update of Week: Cisco, Gamaredon e Exchange

Gamaredon APT Le tensioni nell’ est Europa si fanno sentire anche su un piano cibernetico. Difatti molti ricercatori hanno trovato IOC specifici e riconducibili al noto gruppo. ID  G0047 CVSS  9 Exploitation vector Network  “Gamaredon Group is a threat group that has been active since at least 2013 and has targeted individuals likely involved in the Ukrainian government. The name Gamaredon Group comes from a misspelling of the word “Armageddon”, which was detected in the adversary’s early campaigns.“ – Attack MITRE  – Group Abbiamo inserito diversi IOC negli aggiornamenti di LECS per riconoscere le firme di questo gruppo APT. Cisco SD-WAN vManage Classificazione: CVE-ID CVE-2020-26073 CVSS Reserved (NIST) Exploitation vector Network  Cisco SD-WAN vManage Software potrebbe consentire a un utente malintenzionato remoto di attraversare le directory del sistema, a causa di una convalida impropria della richiesta dell’utente alle interfacce programmatiche delle applicazioni (API). Un utente malintenzionato potrebbe inviare una richiesta URL appositamente elaborata contenente sequenze di “dot dot” (/../) per ottenere l’accesso a informazioni sensibili. In questi casi specifici il device LECS riconosce i tentativi di sfruttamento di questa pericolosa minaccia impedendo e bloccando che l’exploit vada a segno. Microsoft Exchange Server OWA GetWacUrl “Microsoft Exchange Server è un software di rete per consentire la collaborazione in linea tra vari utenti di un’organizzazione (impresa, ente, ecc.). È stato introdotto sul mercato da Microsoft nel 1996 come diretto concorrente di programmi quali Lotus Notes/Domino server di IBM e FirstClass Suite di OpenText. Il suo uso è molto diffuso nelle realtà aziendali in cui sono implementate infrastrutture informatiche basate su prodotti e tecnologie Microsoft (reti Microsoft).”  – Wikipedia CVE-ID CVE-2020-17143 CVSS 8.8 Exploitation vector Network Attualmente non sono presenti dal portale Microsoft exploit specifici. In ogni caso il device LECS risponde a questa CVE, riconoscendola ed intervenendo di conseguenza per proteggere la rete, in quanto è sintomo di una possibile compromissione in corso.   LECS SOC Team Alessio

LECS VS Malware type: Ransomware

LECS VS Ransomware La definizione: Il ransom malware, o ransomware, è un tipo di malware che blocca l’accesso ai sistemi o ai file personali degli utenti e chiede il pagamento di un riscatto per renderli nuovamente accessibili. Le prime varianti di ransomware risalgono alla fine degli anni ’80, e i pagamenti dovevano essere effettuati tramite posta. Oggi, il pagamento del riscatto viene richiesto mediante criptovaluta o carta di credito. Impatto ed evoluzione L’ impatto che tale minaccia può avere sui sistemi (e sui dati) può essere devastante, e purtroppo lo è nella stragrande maggioranza dei casi, statistiche alla mano. Cifrare i dati comporta blocchi operativi devastanti ed esosi in termini economici per un azienda. Cosa giustifica tale “successo” di questa minaccia, è l’ unione del fattore capillarizzazione dell’IT, smart work e 4.0. Tale estensione ha permesso un ingrandimento della superficie d’attacco ed un correlato numero sempre maggiore di possibili vittime di attacchi social engineering. Difatti, il principale vettore di attacco preferito attualmente è il phishing in ogni sua forma (vishing, whaling, spear…) ma ovviamente non si escludono molti altri vettori, come P2P illegale, webpage compromesse, ed in certi casi anche periferiche fisiche come le chiavette USB e memorie di massa, fino ad arrivare agli approcci gestionali aziendali “BYOD”. Analisi tecnica da un punto di vista del network security L’impatto di un ransomware su un singolo client è indubbiamente pericoloso, ma considerando l’ipotesi (realistica) di un’infezione di rete e quindi infezione massiva di n device significa un blocco completo operativo di intere infrastrutture, compiuto nel giro di pochi minuti. I ransomware sono malware evoluti, difatti portano con loro una serie di algoritmi che eseguono strategiche operazioni in relazione alla kill-chain. Lo scopo infatti è infettare quanti più host possibili per diminiure la possibilità di recupero ed aumentare le probabilità che il riscatto venga pagato. Pertanto non si limitano a compromettere solo i file del primo host, ossia il “paziente zero” ma anche tutti i backup in LAN, shared fodler di altri host, database, fino a raggiungere criticità di Directory AD e sistemi Cloud in alcuni casi. La Kill Chain La catena di attacco di un ransomware è ben definita e segue specifiche operazioni per arrivare al “Pay Day”. -Thanks: CyberVPN              LECS VS Advanced Ransomware Ovviamente il primo step, è quello dell’infezione. Come anticipato nel paragrafo precedente i vettori principali sono mail di Phishing e tutto ciò che riguarda l’interazione diretta con l’utente esposto a social engineering. Quindi email, link malevoli e molto altro sono i preferiti dai cyber criminali, questo perché l’utente medio purtroppo cade molto spesso nella trappola nel phishing dando inizio allo step 1. Generalmente sono file PDF o documenti di varia natura, inclusi compressi (zip, 7z…), che una volta aperti danno inizio all’infezione. Gli attacchi via phishing, non solo fanno si che la minaccia abbia successo ma agevola tutte le manovre di bypassing/evasion da parte della minaccia. Questo perché è chiaramente più articolato mettere in piedi un attacco ad-hoc contro i PPS – servizi e protocolli- o addirittura attacchi alla supply-chain con un malware sviluppato a misura. Con una mail si bypassano le misure di sicurezza molto più facilmente. La mail infatti bypassa e sfugge completamente alle comuni misure di sicurezza perimetrali, arrivando direttamente all’ host target per dare il via alla sua esecuzione e quindi, all’inizio dell’infezione. A questo punto, dovremmo affidarci a sistemi di protezione endpoint locali, come gli antivirus. Come mai allora spesso non riescono a fermare queste minacce? I ransomware odierni sfruttano tecniche avanzate di obfuscation ed evading per compromettere il sistema senza fare trigger di sistemi di protezione, pertanto è molto complesso fare la detection di un codice cifrato che lavora in background, e proprio per questo siamo già entrati nella terza fase della kill-chain. Analizzando a fondo un malware del genere, ci si rende conto della complessità ed articolazione delle operazioni che possono eseguire. Al contrario di quanto si può pensare, questa minaccia su un piano tecnico non si limita a cifrare, difatti integra molti altri svariati algoritmi, ognuno con un target operazionale ben preciso e di diversa natura. Procedure e script di C2C (command & control), scanning, privilege escalation e molto altro permetto alla stessa cyber threat di progredire nei sistemi sia locali che di rete per arrivare al goal finale di compromissione totale. Una volta preso il possesso della macchina infatti, la minaccia eseguirà movimenti laterali sul network al fine di trovare ulteriori bersagli per importanza più delicati e sensibili, come file server AD o LAN storage di backup (come i NAS), mettendo completamente sotto scacco un’ intera azienda una volta infettati. Questi ransomware possono portare con sé anche strumenti di exploit specifici per certi PPS per continuare l’ infezione, come è accaduto per il famosissimo Emotet ed in molti altri casi. Proprio qui inizia ad interviene il sistema LECS, l’ultimo baluardo di cyber defence. Durante questi movimenti laterali, la minaccia esce “allo scoperto”, perdendo parzialmente la sua natura stealth in localhost per muoversi sull’ infrastruttura di rete. Infatti già nelle prime fasi di movimento laterale, il malware genera un traffico interno, in relazione alle scansioni e tentativi di connessione ad host interni, invisibili ai firewall perimetrali, e pertanto può agire indisturbato sull’intera subnet finchè non trova nuovi elementi, e possiamo parlare anche di interi giorni. Grazie alla cooperazione degli algoritmi proprietari brevettati Specto e Tiresia, la detection effettuata in realtime permette di spezzare la catena di attacco immediatamente, salvaguardando completamente ciò che deve essere protetto ad ogni costo, analizzando la morfologia del traffico. La tecnologia Raises di intervento arrivando fino al livello 1 dello stack, e lavorando quindi in un piano parallelo di azione rispetto alle comuni contromisure fa tendere il fattore efficacia al 100%. Infatti un sistema Airgapped fisicamente, blocca ogni tentativo di evasione da parte del ransomware e bloccando definitivamente l’accesso al segmento di rete. La forza del timing Già la semplice ricognizione di scansione eseguita da un ransomware del genere viene fermata, applicando la contromisura Raises, bloccando quindi la diffusione in TUTTA

Relevant Threat Update of Week: Apache & Lazarus APT and SonicWall SMA 100

Come LECS supporta sistemi firewall SonicWall SMA 100 Vulns CVE-ID CVE-2021-20039 CVSS  9 Exploitation vector Network  Alcuni firewall SonicWall della serie 100 con firwmare < 10.2.1.2-24sv , firmware < 10.2.0.8-37sv  e firmware < 9.0.0.11-31sv sono soggetti a vulnerabilità di tipo “iniezione di codice” che comporterebbe una grave violazione del perimetro. Questo può potenzialmente portare l’attaccante autenticato in remoto a prendere il controllo dell’ appliance SMA 100. Dettagli approfonditi: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20038 Il sistema LECS, controllando il traffico di rete in real-time attua tutte le contromisure necessarie ad impedire che un cracker possa prendere il controllo del firewall qualora il firmware risultasse non ancora aggiornato alle versioni nuove. Apache Spark Exploit (Apache Log4j component) “Apache Spark è un framework open source per il calcolo distribuito sviluppato dall’AMPlab della Università della California e successivamente donato alla Apache Software Foundation.” – Wikipedia Classificazione: CVE-ID CVE-2021-20039 CVSS 9 Exploitation vector Network Log4shell porta con se un numero elevato exploit “correlati”. Nello specifico questo exploit, di tipo RCEn (remote code execution) purtoppo ad oggi non ha ancora una patch specifica, pertanto è necessario monitorare costantemente il servizio. Il framework LECS riconosce i tentativi di sfruttamento di questa pericolosa variante di minaccia impedendo e bloccando la minaccia. New Lazarus APT IOC LECS riconosce svariati IOC basati su IP di connessioni remote verso server C2. “Lazarus Group (also known by other monikers such as Guardians of Peace or Whois Team[1][2][3]) is a cybercrime group made up of an unknown number of individuals run by the North Korean state.” – Wikipedia   Il sistema reputazionele di LECS basato su IOC sicuri, permette di evitare data-breach o avere la rete sotto scacco dell’attaccante, bloccando le connessioni verso server di C2.   LECS SOC Team Alessio

LECS VS RCE: Eternal Blue

EternalBlue Vulns. CVE-2017-0144, meglio nota come “EternalBlue” è una vulnerabilità con score CVSSv2: 9.3 ossia, il praticamente quasi il massimo in termini di impatto.  E’ critica non solo per l’impatto che può avere sul sistema, ma ovviamente sulla larga diffusione. Considerando che attacca il protocollo SMB, possiamo semplificare indicando che è pertanto vulnerabile tutto ciò che è condiviso in rete mediante questo protocollo. Evoluzione della minaccia: La prima disclosure avviene nella fine del 2017, ma non si limita qui. Infatti troviamo recenti revisioni.  I sistemi affetti sono Microsoft Windows 2000, XP, 7, 8, 10 (fino alla build 16) Microsoft Server 2000, 2003, 2008, 2008 R2, 2012. Breve analisi della minaccia EternalBlue, nelle sue varianti, affligge pertanto i sistemie che utilizzando condivisioni basate su protocollo SMBv1. La sua pericolosità è dettata anche dal fatto che non richiede un intervento utente come ad esempio avviene negli altri vettori di attacco come il phishing via mail. Questo vulnerabilità pertanto viene sfruttata in RCE (Remote Code Execution), attaccando direttamente il servizio vulnerabile. Come anticipato, la diffusione è molto ampia, nonostante gli ultimi sistemi abbiano subito il patching, rimangono ad oggi molti sistemi che non sono aggiornati. Pertanto nonostante i moderni sistemi come Windows 11 abbiamo già la patch di sicurezza necessaria, rimangono ad oggi molti sistemi che per retrocompatibilità o semplice mancanza di aggiornamenti non eseguiti utilizzano ancora il protocollo SMBv1 o versioni di sistemi operativi datate. Cosa provoca Questa falla permette quindi di prendere il controllo iniettando una shellcode in esecuzione. Non solo attaccanti “fisici” ma anche molte minacce APT (Advanced Persistent Threat) hanno sfruttato e sfruttano questa vulnerabilità per prendere il controllo del sistema bersaglio. E’ possibile quindi prendere il controllo, avviare comandi, fare pivoting e movimenti laterali in modo indisturbato all’interno della rete. Ricordiamo inoltre che sfruttare questa falla porta molto spesso ad accessi di tipo privilegiati in termini di controllo del sistema remoto, con tutti i vantaggi da un punti di vista della persistenza e semplicità di infezione dei vari servizi. Cosa fare Microsoft ha rilascato diversi bulletin in relazione a questa vulnerabilità, che trovate qui sotto: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010 Qui infatti troviamo le diverse versioni dei sistemi vulnerabili e le relative patch o hotfix. Ovviamente tra i principali consigli, c’è quello di aggiornare il sistema operativo alla più recenti versioni, non solo per EternalBlue ma anche per molte altre vulnerabilità ancora presenti in sistemi datati. LECS VS EternalBlue L’algoritmo intelligente Specto, conosce già bene la minaccia, identificandola e classificandola immediatamente. Il posizionamento strategico del device o Virtual Appliance LECS, permette di identificare questa minaccia che si muove nella rete. Ma già nelle prime fasi della Kill-Chain può identificare la minaccia. Durante la ricognizione di una minaccia che vuole trovare host vulnerabili si genera un particolare traffico di rete che LECS già in questa primo step identifica immediatamente. Questo fa sì che si aumenti la soglia di trigger per minacce in quel contesto, mettendo il device in “allerta” ed inviando la notifica relativa all’amministratore. Diciamo che non è detto che tale servizio aperto permetta di sfruttare la falla, dipende da molti altri fattori. Pertanto l’attaccante può andare in “ricognizione avanzata” verso il target, testando la vulnerabilità di un numero elevato di host, per trarre maggior vantaggio in breve tempo. Anche in questa fase, non direttamente collegata quindi rispetto alla prima, LECS identifica il tentativo di ricerca SMB per EternalBlue. Qualora avvenga questo tentativo espressamente chiaro e finalizzato, LECS interviene immediatamente con la contromisura in base al tipo di appliance fisico o virtuale. Non solo, ovviamente anche nel caso statisticamente sfavorevole, ma praticamente devastante dove l’attaccante vada a “colpo sicuro” sul target, evitando scansioni, LECS blocca immediatamente il traffico, evitando quindi non solo che la minaccia completi il suo ciclo. Questo fa si che non solo si quindi che si vada a spezzare la kill-chain, ma evita che la minaccia si muova lateralmente, Impendendo quindi proliferazione ed infezioni ulteriori. Ricordiamo infatti che queste RCE possono essere pericolosissimi vettori di ulteriori malware come ransomware, in quanto permettono di aprire un canale diretta con la rete bersaglio e muoversi liberamente. Con EternalBlue infatti si potrebbe benissimo fare del pivot, ovvero sfruttare l’ host già compromesso per entrare ancora più all’interno della rete, muovendosi contro bersagli molto meno protetti come gli IoT e creando una pericolosissima persistenza difficilmente (se non impossibile) identificabile se non con una misura come LECS, che agisce indistintamente anche contro le altre forme nella quale la minaccia cibernetica può trasformarsi nei casi più gravi e di difficile detection. In blu le fasi dove LECS interviene automaticamente in caso di EternalBlue. La mancanza di misure di controllo all’interno di un’area, avrebbe quindi causato un danno devastante in quanto nessun sistema avrebbe identificato la minaccia, permettendogli quindi di agire in modo indisturbato in milioni di reti aziendali e private. Salvaguardare una rete aziendale da gravi danni semplicemente collegando un device alla rete, è esattamente la nostra mission. Threat Hunting Team Roberto CamerinesiRicercatore appassionato di sicurezza informatica. Certificato eCCPT, eNDP, Sophos. Sviluppatore ed hacker etico, con la missione di estendere la CyberSecurity ovunque. Ideatore del progetto LECS.

LOG4J2 VULNERABILITY “LOG4SHELL” VS LECS

Apache Vulns. CVE-2021-44228, meglio nota come “log4shell” è una vulnerabilità con score CVSSv3: 10 ossia, il massimo livello Critical.E’ critica non solo per l’impatto che può avere sul sistema, ma ovviamente sulla sua estrema diffusione.Tanto per fornire un idea, parliamo di circa 1,2 miliardi di applicativi vulnerabili di ogni genere. Attenzione all’evoluzione Difatti CVE-2021-45046, secondo il NIST: “È stato rilevato che la correzione per l’indirizzo CVE-2021-44228 in Apache Log4j 2.15.0 era incompleta in alcune configurazioni non predefinite.” Breve analisi della min Log4shell affligge un componente specifico basato su Java, nello specifico di Log4j, nelle sue versioni 2.0 fino alla 2.14.1, che utilizza l’interfaccia JNDI (Java Naming and Directory Interface) per la gestione dei LOG. Nello specifico, durante la fase di generazione dei LOG, sono utilizzati tag ben specifici, e proprio grazie a  questo vettore che è possibile innescare l’esecuzione di codice arbitrario sfruttando queste stringhe non gestite.Siamo quindi nel pieno della classificazione di minacce RCE, ovvero “remote code execution”.Infatti log4shell non necessita di autenticazioni o interventi dall’interno del sistema bersaglio e siamo ben lontani dal phishing ed dagli attacchi mirati all’utente: qui infatti l’attaccante mira direttamente all’infrastruttura, sparando quasi a colpo sicuro.Eseguire exploit di questa vulnerabilità apre scenari di attacco incredibilmente efficaci.Difatti potrebbe essere sfruttati di Actor Threat impotranti per mettere a segno colpi nel giro di poco tempo, compromettendo il sistema prima che vengano patchati, con una facilità quasi disarmante.Ad esempio, nulla vieta ad un malware ben progettato di sfruttare questa vulnerabilità in autonomia e procedere a generare reverse shell su altri server ed effettuare una proliferazione massiva di infezione ed accessi a livelli interni della rete, prima maggiormente raggiungibili. Cosa fare Direttamente si può provare su sistemi linux: sudo egrep -I -i -r ‘$({|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^n]+’ /var/log oppure qualora fosse offuscato: sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i ‘\$\{jndi:(ldap[s]?|rmi)://[^\n]+’ Su sistemi Windows invece, riportiamo una guida: https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/ LECS, grazie agli aggiornamenti rapidi e modulati pensati da Tiresia, permette di supportare attivamente ed efficacemente la mitigazione la minaccia sia in termini di detection e contro futuri prossimi pattern di attacco che possano sfruttare che in termini di proliferazione. Andiamo nel dettaglio.Di base la CVE infatti è relativa alla vulnerabilità, poi come viene sfruttata rimandiamo chiaramente èall’abilità dell’attaccante ed al modo di muoversi all’interno di una rete compromessa.Durante la kill-chain di un attacco, le minacce evolvono e lasciano tracce “laterali”.Pertanto il sistema LECS, è efficace in due sensi contemporaneamente, sia nella detection diretta che in quella indiretta.Difatti in ambienti LAN, durante la ricognizione, scansioni contro porte web e web ssl sono già un primo monito di ricognizione.Questo perché ovviamente per innescare lg4s, è necessario avere servizio http ed https attivi.Questo già innesca immediatamente allarmi. Ora, l ‘attaccante trovando un server Apache tenterà l’invio della richiesta malformata. Tale richiesta è generalmente identificabile tramite la regex (rif. GitHub – log4shell): \${(\${(.?:|.?:.?:-)(‘|”|)*(?1)}*|[jndi:lapsrm](&#39;|&quot;|)}*){9,11} al quale LECS rilevando tale pattern specifico, attiva immediatamente la contromisura. Questo fa si che non solo si va a spezzare la kill-chain, ma evita che la minaccia si muova lateralmente, impendendo quindi proliferazione ed infezioni ulteriori.Ricordiamo infatti che queste RCE possono essere pericolosissimi vettori di ulteriori malware come ransomware, in quanto permettono di aprire un canale diretta con la rete bersaglio e muoversi liberamente.Con log4shell si potrebbe benissimo fare del pivot, ovvero sfruttare l’ host già compromesso per entrare ancora più all’interno della rete, muovendosi contro bersagli molto meno protetti come gli IoT e creando una pericolosissima persistenza difficilmente (se non impossibile) identificabile se non con una misuracome LECS, che agisce indistintamente anche contro le altre forme nella quale la minaccia cibernetica può trasformarsi nei casi più gravi e di difficile detection. In blu le fasi dove LECS interviene automaticamente in caso di log4shell. Roberto CamerinesiRicercatore appassionato di sicurezza informatica. Certificato eCCPT, eNDP, Sophos. Sviluppatore ed hacker etico, con la missione di estendere la CyberSecurity ovunque. Ideatore del progetto LECS.