SonicWall semplifica le attività giornaliere degli MSSP

Per circa trent’anni SonicWall è stata un’azienda basata interamente sulla distribuzione. La nostra famiglia globale di partner SonicWall SecureFirst costituisce la linfa vitale per la nostra attività.

Per garantirne il successo e contribuire a proteggere più di 500.000 clienti in ogni parte del mondo, SonicWall continua ad innovare, senza mai perdere di vista la comunità dei partner. Oggi annunciamo alcune importanti modalità per mettere gli MSSP in condizione di semplificare la gestione, le attività, la sicurezza e la gestione dei clienti.

  • SonicWall unifica l’offerta di sicurezza MSSP tramite la piattaforma Capture Cloud, che consente una sicurezza integrata end-to-end.
  • SonicWall contribuisce ad eliminare la complessità delle attività quotidiane MSSP semplificando il controllo, la visibilità e la gestione degli ecosistemi di cibersicurezza.
  • SonicWall mette a disposizione degli MSSP nuovi, emergenti o in rapida espansione metodi semplici e che consentono di risparmiare tempo per la gestione dei clienti, la registrazione dei prodotti e il controllo delle licenze.
  • SonicWall mette a disposizione degli MSSP analisi in tempo reale per singoli clienti per consentire un processo decisionale migliore, più intelligente e più rapido.

La piattaforma Capture Cloud completa comprende l’intera gamma di prodotti SonicWall: firewall, sicurezza della posta elettronica, sicurezza wireless, protezione degli endpoint, sicurezza delle applicazioni cloud etc., per potenziare e unificare la sicurezza nel cloud, sul web, delle reti, delle connessioni wireless, della telefonia mobile e degli endpoint. Tutta una serie di prodotti nuovi e migliorati semplifica ulteriormente la sicurezza.

Eliminare le complessità delle attività quotidiane degli MSSP

Questo annuncio mirato agli MSSP fa riferimento all’introduzione di My Workspace, una nuova interfaccia utente intuitiva di SonicWall Capture Security Center (CSC). My Workspace rende più semplice e più efficace la gestione di una complessa attività di servizi di sicurezza gestita.

Disponibile per MSSP, partner e utenti finali, My Workspace mette a disposizione un flusso di lavoro fluido e intelligente per acquisire in modo semplice e rapido nuovi clienti, configurare e gestire più utilizzatori e consentire il controllo degli accessi basato sui ruoli per gestire e controllare ambienti cliente diversi.

Inoltre mette a disposizione un utile portale self-service per contattare, collaborare e comunicare con i clienti e agevolare, tenere sotto controllo e risolvere problemi e interventi di assistenza.

Disponibile con SonicWall Global Management System (GMS) 9.2, SonicWall Zero-Touch Deployment aiuta gli MSSP a semplificare ed accelerare i processi di provisioning dei firewall SonicWall presso le sedi distaccate e le filiali, anche quelle prive di personale informatico in loco. Inoltre gli amministratori possono effettuare da una postazione centrale le configurazioni personalizzate di tutte le infrastrutture zero-touch in più sedi in ogni parte del mondo.

SonicWall Workflow Automaton, anch’esso disponibile tramite GMS 9.2, consente di effettuare rigorosi processi di configurazione per il riesame, il confronto, la validazione e l’approvazione delle politiche dei firewall prima dell’attuazione. I gruppi di approvazione sono configurabili dall’utente per attuare politiche di sicurezza personalizzate e disposizioni normative.

Facilità di gestione dei clienti, di registrazione dei prodotti e di controllo delle licenze

SonicWall My Workspace consente anche la visualizzazione istantanea di tutti i prodotti che sono stati registrati dai clienti con più tenant, compresi quelli gestiti dai clienti attuali (ad esempio, clienti completamente gestiti) e/o condivisi da altri clienti (ad esempio, clienti co-gestiti).

L’intuitivo pannello di controllo My Workspace consente agli MSSP la visibilità e la consapevolezza immediate dei prodotti con licenza in scadenza o che richiedono aggiornamenti software o firmware. Gli MSSP possono effettuare agevolmente registrazioni complessive di prodotti, attivare licenze e assistenza e consigliare verifiche.

Con il flusso di lavoro dei tenant, gli MSSP e le grandi imprese distribuite possono rapidamente prendere in carico nuovi tenant e registrare i prodotti ai singoli tenant in modo da tenere separati dati e politiche. I flussi di lavoro dei tenant consentono anche l’accesso istantaneo ai responsabili della sicurezza delle organizzazioni, compreso il controllo di accesso granulare e basato sui ruoli per tutti i prodotti gestiti da Capture Security Center.

Decisioni migliori, più intelligenti e più rapide

Gli aggiornamenti a SonicWall Analytics (2.5) consentono agli MSSP di avere una visualizzazione lungimirante di tutto ciò che sta accadendo negli ambienti di sicurezza SonicWall dei clienti, il tutto da un unico pannello di controllo.

Grazie all’intelligenza delle minacce in tempo reale, gli MSSP possono dedicare il loro tempo e il loro impegno all’attuazione di azioni di difesa decisive e all’orchestrazione di risposte rapide nei confronti dei rischi identificati che possono danneggiare i loro clienti, grazie a visibilità, precisione e velocità maggiori, il tutto da un unico pannello di controllo.

Inoltre gli MSSP possono acquisire autorità, agilità e flessibilità complete per effettuare analisi investigative approfondite del traffico di rete, dell’attività degli utenti, degli accesso, della connettività, delle applicazioni e del loro uso, dello stato delle infrastrutture di sicurezza, degli eventi di sicurezza, dei profili delle minacce e di altri dati riguardanti il firewall.

Per una migliore comprensione dell’atteggiamento di sicurezza dei clienti, gli MSSP possono ora visualizzare i livelli di rischio specifici per ognuno di essi direttamente sul pannello di controllo di My Workspace. I SonicWall Risk Meters integrati forniscono l’indicazione in tempo reale del grado degli atteggiamenti di sicurezza dei clienti in relazione ai controlli di sicurezza attivi, compresi i servizi di terzi. È inoltre possibile classificare le azioni dei responsabili degli attacchi, evidenziare le lacune di sicurezza correnti e attivare le risposte per neutralizzare gli attacchi imminenti.

Le analisi basate sui nuovi utenti aiutano gli MSSP a conoscere a fondo gli utenti, l’andamento dei contenuti e il consumo di ampiezza di banda a tutto vantaggio dell’affidabilità e della sicurezza.

Infine, gli MSSP possono tracciare, misurare e gestire reti di clienti ed attività di sicurezza a norma ed efficaci, grazie a potenti report predefiniti e personalizzati. GMS può definire e inviare automaticamente più di 140 report predefiniti e ha inoltre la flessibilità di definire report personalizzati o personalizzabili utilizzando qualsiasi combinazione di dati verificabili per le più svariate finalità.

Come possono gli MSSP sfruttare la potenza della piattaforma Capture Cloud

Sfruttando la piattaforma Capture Cloud, gli MSSP possono alleviare le principali preoccupazioni dei clienti, tra cui attacchi ransomware, vulnerabilità delle applicazioni, minacce crittografate, intrusioni, sottrazione di account (ATO), compromissione della posta elettronica aziendale (BEC), sicurezza delle reti wireless, prevenzione della perdita di dati, sicurezza della telefonia mobile, phishing, protezione degli endpoint, gestione della sicurezza, attività informatiche nascoste e altro ancora.

Gli MSSP possono anche eliminare i silos di sicurezza con un ecosistema basato sull’intelligenza, che utilizza tutta la gamma di soluzioni di sicurezza e di gestione SonicWall interconnesse e interdipendenti nel cloud o negli ambienti interni dei clienti.

Queste innovative funzioni nuove e migliorate di SonicWall Capture Security Center e Global Management System consentono agli MSSP una comprensione migliore degli ambienti dei loro clienti per semplificare la gestione, automatizzare i processi dei clienti, velocizzare i processi decisionali, migliorare l’assistenza e colmare le lacune di sicurezza.

Ambiente di lavoro MySonicWall: Razionalizzazione nella gestione dell’infrastruttura per gli MSP

I fornitori di servizi di sicurezza gestiti (MSSP) vengono scelti in misura sempre maggiore dalle piccole e medie imprese (PMI) e dalle imprese distribuite per eliminare i costi e la complessità (ovvero, le preoccupazioni) per quanto riguarda la protezione delle infrastrutture digitali e degli utenti.

Gli MSSP avvertono costantemente l’esigenza di facilitare la gestione del ciclo di vita dei clienti e delle infrastrutture, ovvero tutti gli aspetti che riguardano la presa in carico di nuovi tenant e la gestione e la contabilità delle infrastrutture utilizzate dai clienti (dedicate o condivise, concesse in leasing o co-gestite) per consentire visibilità e controllo a dipendenti e clienti.

Per oltre 15 anni, i partner e i clienti di SonicWall hanno utilizzato MySonicWall, il portale per la gestione delle loro infrastrutture, compresi i servizi di concessione in licenza e di registrazione dei prodotti.

Per far fronte alle mutevoli dinamiche delle attività di sicurezza, SonicWall ha messo a punto My Workspace, per facilitare la gestione dei clienti e delle infrastrutture e il controllo degli accessi.

Visualizzazione istantanea di tutti i tenant e di tutte le infrastrutture

My Workspace, il nuovo punto di riferimento per gli utenti MySonicWall, funge da pannello di controllo che consente una visualizzazione istantanea di tutti i tenant e di tutte le infrastrutture registrate presso i singoli MSSP con un’intelligenza azionabile.

Le segnalazioni per interventi rapidi, comprese le licenze in scadenza o gli aggiornamenti software per prodotti software e hardware, indicano agli amministratori le situazioni a cui dare priorità giorno per giorno. My Workspace costituisce inoltre una scorciatoia per i flussi di lavoro di gestione del ciclo vitale dei clienti, tra cui la gestione dei tenant, dei prodotti e degli utenti.

Organizzazione dei clienti in base ai tenant

I tenant sono il nuovo metodo per separare le infrastrutture utilizzate dai diversi clienti, soprattutto quando si utilizzano i servizi cloud come Capture Security Center, Capture Client, Cloud App Security e WiFi Cloud Manager.

Gli MSSP possono inserire facilmente nuovi clienti lanciando la procedura guidata “Create Tenant” per attribuire un nome e consentire istantaneamente ai gruppi di utenti il controllo degli accessi basato su ruoli. Ai gruppi di utenti vengono attribuiti i ruoli per gestire e utilizzare le infrastrutture. I ruoli vengono attribuiti per utilizzare tutti i prodotti gestiti, comprese le attività MySonicWall.

Ogni tenant può avere più gruppi di utenti con accesso a MySonicWall (ad esempio, amministratori e responsabili delle linee di servizi appartenenti al personale MSSP che hanno bisogno dell’accesso amministratore completo o in sola lettura, o personale dei clienti che può avere bisogno di diversi livelli di privilegi a seconda delle esigenze di servizio).

Semplificazione della registrazione e della gestione dei prodotti

Tutti i flussi di lavoro per la registrazione e la gestione dei prodotti sono stati semplificati. Per la registrazione sono sufficienti tre operazioni:

  1. Scegliere un tenant
  2. Immettere il numero di serie e il codice di autenticazione o la chiave di attivazione
  3. Configurare le opzioni di gestione

La visualizzazione dei prodotti è più veloce e i flussi di lavoro comuni – come i trasferimenti tra i diversi tenant, l’aggiornamento delle configurazioni zero-touch per i firewall e l’attivazione di ulteriori servizi – sono accessibili tramite pulsanti ad azione rapida. Le registrazioni cumulative sono state semplificate per consentire l’inserimento contemporaneo di più infrastrutture per uno o più clienti.

Semplici processi di apprendimento per utenti finali e MSSP

Anche se l’esperienza dell’utente e l’interfaccia sono state migliorate, l’esigenza di apprendimento o di disapprendimento delle prassi esistenti è sempre attuale. Grazie alla guida contestuale disponibile per i singoli flussi di lavoro e al lancio di una guida rapida di nuova concezione, gli utenti nuovi e quelli esistenti potranno capire facilmente come sfruttare al massimo nuovi flussi di lavoro per razionalizzare le attività quotidiane.

My Workspace è disponibile per tutti gli utenti e non solo per gli MSSP. Anche i clienti finali SonicWall possono avvalersi di queste funzioni per razionalizzare la gestione delle infrastrutture. Le grandi aziende possono suddividere le attività tra più tenant in funzione dei loro modelli operativi informatici.

Volete sapere come funziona My Workspace? Clienti e partner possono accedere a www.mysonicwall.com con le loro credenziali e farsi un’idea!

Qual è il vostro piano di ripristino in caso di disastro? 5 prassi fondamentali per garantire la continuità aziendale

Anche se l’interesse oggi è rivolto principalmente a bloccare i ciberattacchi, le minacce si presentano con diverse modalità e in diverse forme. Essere preparati per l’imprevisto – o addirittura per l’impossibile – deve indurre le organizzazioni a definire, riesaminare ed attuare un valido piano di ripristino in caso di disastro e di continuità aziendale.

Apparentemente, l’idea sembra semplice: prepararsi per i disastri (es., uragani, terremoti, incendi, tempeste di neve, inondazioni etc.) prima che accadano. La maggior parte delle piccole e medie imprese (PMI) non dedica abbastanza tempo a prevedere il ripristino in caso di disastro (e lo stesso dicasi anche per alcune grandi aziende), ma l’atteggiamento “ce ne occuperemo quando accadrà” può comportare la fine delle aziende, anche di quelle di successo.

Questo livello di preparazione non è rapido né facile, il che può purtroppo indurre a rimandare le cose in modo irresponsabile. Per avviare un piano di ripristino in caso di disastri o essere certi che l’approccio attuale sia ottimizzato, tenere in considerazione cinque migliori prassi in grado di contribuire a predisporre le PMI per gli scenari peggiori.

Dotarsi di un piano sperimentato

Sembra abbastanza ovvio, ma il primo elemento per garantire la continuità aziendale in caso di disastri è il fatto di avere un piano e di effettuare una formazione in base ad esso. Dopo tutti i disastri più gravi, le persone si trovano in condizioni di stress estremo e non ragionano con lucidità.

Pertanto è fondamentale avere un piano ben congegnato che definisca le procedure e le istruzioni da seguire in caso di catastrofe. Nel mondo dell’imprenditoria, di solito ci si riferisce a questo strumento come piano di continuità aziendale.

I piani di continuità aziendale coordinano l’attività di tutti settori (es., comunicazioni, sicurezza, informatica, risorse umane, finanze, ingegneria, catena di fornitura etc.) e contribuiscono a identificare i responsabili, gestire gli asset e continuare a soddisfare le aspettative dei clienti. Sono necessarie formazione e simulazioni per attuare un piano con successo; altrimenti, resta semplicemente un pezzo di carta.

Garantire l’accessibilità dei dati

Dopo un disastro l’accesso alla rete può non essere disponibile. Tutto l’impegno può essere vanificato se il piano di ripristino in caso di disastro si trova su un disco di rete o su un computer aziendale non più raggiungibile.

Lo stesso vale per l’accesso alla posta elettronica. Se un’azienda gestisce un server di posta elettronica sicuro interno e la connessione si interrompe, le comunicazioni risultano pregiudicate. Una soluzione molto diffusa consiste nel memorizzare posta elettronica e dati nel cloud.

Un altro scenario possibile è che la connessione sia caduta solo nella sede principale, ma che resti disponibile una sede secondaria che il personale non sappia come raggiungere. Ad esempio: le apparecchiature Secure Mobile Access (SMA) di SonicWall effettuano un accesso remoto trasparente impostando automaticamente una VPN al sito online più vicino e reindirizzando l’accesso, se necessario.

Prevedere opzioni di comunicazione

La possibilità di comunicare in modo efficace con i colleghi, i dirigenti, i clienti, i fornitori e i partner ha una correlazione diretta sulla rapidità di ripristino a seguito di un disastro.

La posta elettronica è la forma di comunicazione principale per tutte le aziende, ma potrebbe non essere disponibile. Come sistema di riserva, utilizzare i social media per coordinare le attività. Applicazioni come Teams, Slack e WhatsApp sono una valida opzione per coordinarsi con i gruppi interni. Twitter e il sito web aziendale possono essere utilizzati anche per le comunicazioni pubbliche.

Mantenere la consapevolezza dei ciberattacchi

Anche se deve esserci sempre la consapevolezza dei ciberattacchi è fondamentale essere ancora più vigili in caso di disastro.

I cibercriminali sono opportunisti e lanciano attacchi mirati (es., campagne di phishing, attacchi di ransomware) contro aree, regioni, società od organizzazioni per sfruttare chi cerca di rendersi utili o sperando che il caos abbia fatto abbassare la guardia.

Purtroppo, molte organizzazioni senza fini di lucro, tra cui la Croce Rossa, la FEMA (Ente federale per la gestione delle emergenze), la FCC (Commissione federale per le comunicazioni) e altre ancora, sono costrette ad emettere ripetute allerte di scam in caso di disastri. Nel caso in cui uno di questi attacchi dovesse compromettere un dipendente o un partner, ciò potrebbe trasformarsi in una via di accesso alla rete aziendale. Se non sono già stati attivati gli opportuni firewall di sicurezza di rete e i controlli per la sicurezza della posta elettronica, basta un clic per violare una rete o infettare una macchina.

Alcune delle migliori prassi fondamentali sono in grado di proteggere gli utenti in caso di disastro e garantire che le reti e gli accessi d’emergenza siano protetti, anche tramite autenticazione a due fattori (2FA) o multifattoriale (MFA) e antivirus di prossima generazione (NGAV) o protezione degli endpoint, come SonicWall Capture Client.

Assieme, questi strumenti contribuiscono a validare l’identità dell’utente, anche nel caso in cui le sue credenziali siano state compromesse e consentono di impedire l’esecuzione e l’installazione di file dannosi sulle macchine aziendali in caso di infezione.

Prepararsi da subito

Un valido piano di ripristino in caso di disastro e di continuità aziendale non dovrebbe essere rimandato. Un evento catastrofico o un disastro naturale potrebbero provocare danni molto maggiori alle aziende, ai clienti, ai dipendenti e ai marchi rispetto a investimenti responsabili e lungimiranti in validi sistemi di cibersicurezza, reti ridondanti e controlli delle ricadute.

Prepararsi per i disastri non solo contribuisce a proteggersi in tempo di crisi, ma gli stessi controlli proteggeranno probabilmente le reti e i dati contro i ciberattacchi quotidiani ai danni delle organizzazioni (es., ransomware, attacchi per posta elettronica, minacce crittografate, minacce interne ed altre minacce dannose).

I sette principali rischi per la sicurezza legati alle applicazioni SaaS

Infrastrutture, a chi servono? Le aziende stanno abbandonando il software di tipo tradizionale installato in loco e le relative infrastrutture a tutto vantaggio delle soluzioni software-as-a-service (SaaS). Si tratta di opzioni interessanti e spesso essenziali per ridurre gli investimenti, i costi operativi e i tempi di messa in funzione. Il tutto si traduce in una maggiore flessibilità operativa.

Ma la maggiore flessibilità non è priva di rischi. Spinti dall’esigenza di portare avanti i progetti, non è infrequente che molti reparti aziendali decidano di acquistare applicazioni SaaS senza la consulenza o l’approvazione degli esperti informatici o degli addetti alla sicurezza aziendale. Spesso le organizzazioni multi-SaaS gestiscono, proteggono e riferiscono sui singoli servizi SaaS separatamente, il che aumenta ulteriormente il rischio legato alla mancanza di uniformità delle politiche di sicurezza.

Se la vostra azienda adotta in misura sempre maggiore le applicazioni SaaS, vi suggeriamo di fare attenzione ai sette principali rischi per la sicurezza, per poter essere in grado di adottare misure di sicurezza SaaS adeguate.

  1. Il phishing continua ad essere una minaccia.

    La posta elettronica resta uno dei vettori di minacce più comuni, con oltre il 90% dei ciberattacchi andati a buon fine originati da e-mail di phishing. I cibercriminali utilizzano le e-mail di phishing per ingannare le vittime, consegnando payload nocivi attraverso allegati o URL dannosi, acquisendo credenziali attraverso false pagine di accesso o commettendo frodi mediante impersonazione. Ma i moderni attacchi di phishing stanno diventando sempre più sofisticati e mirano spesso più in alto.

    Inoltre, il phishing si è evoluto in attacchi basati su cloud dal momento che le imprese stanno adottando in misura sempre maggiore la posta elettronica SaaS (ad esempio, Office 365 o G Suite) e altre applicazioni di produttività. Le applicazioni cloud costituiscono la prossima frontiera del phishing, poiché gli utenti devono autenticarsi per accedere agli account e l’autenticazione viene effettuata tramite protocolli standard industriali, come OAuth.

    Ad esempio, i cibercriminali hanno preso di mira O365 con attacchi di phishing molto sofisticati, tra cui baseStriker, ZeroFont e PhishPoint, per aggirare i controlli di sicurezza Microsoft. Neppure molti gateway di posta elettronica sicuri, come Mimecast, sono riusciti a bloccare queste e-mail di phishing.

    Anche Gmail di Google nel 2017 ha subìto un attacco massivo di phishing con un’e-mail che sembrava autentica, in cui si richiedevano il permesso e la possibilità di accesso a documenti ed account di posta elettronica. L’attacco è stato portato sfruttando il protocollo OAuth di Google.

  2. Porte aperte per la sottrazione di account.

    Gli attacchi di sottrazione di account (ATO) vengono portati compromettendo le credenziali aziendali di un dipendente, lanciando campagne di phishing delle credenziali nei confronti delle imprese o acquistando le credenziali stesse sul dark web a seguito di perdita di dati di terzi. Gli autori delle minacce possono utilizzare le credenziali sottratte per ottenere nuovi accessi o ulteriori privilegi. È possibile che la compromissione di un account non venga scoperta per molto tempo o non venga scoperta affatto.

  3. Il furto dei dati è ancora redditizio, indipendentemente dall’ubicazione dei dati.

    Il rischio di violazione dei dati è una delle preoccupazioni delle imprese che decidono di passare al cloud. L’approvazione delle applicazioni SaaS implica lo spostamento e la memorizzazione dei dati fuori dal centro di elaborazione aziendale, senza che il servizio informatico interno possa controllarli o visualizzarli, pur restando responsabile per la loro sicurezza. Tra i dati memorizzati nelle applicazioni SaaS figurano quelli dei clienti, le informazioni finanziarie, i dati personali identificabili (PII) e la proprietà intellettuale (IP). Tipicamente, per sottrarre i dati i cibercriminali avviano un attacco mirato o sfruttano prassi di sicurezza inadeguate e vulnerabilità delle applicazioni.

  4. La perdita di controllo può comportare accessi non autorizzati.

    Un altro rischio legato al passaggio al cloud è che il servizio informatico non ha più il controllo completo su quali sono gli utenti che accedono a determinati dati e sui livelli di accesso. I dipendenti possono cancellare inavvertitamente i dati, il che può comportare la perdita degli stessi o l’esposizione dei dati sensibili ad utenti non autorizzati, con conseguente perdita di dati.

  5. Le incertezze legate alle nuove minacce malware e zero-day.

    Le applicazioni SaaS, soprattutto i servizi di memorizzazione e di condivisione dei file (es., Dropbox, Box, OneDrive etc.), sono diventate un vettore di minacce strategico per propagare ransomware e malware zero-day. Secondo Bitglass, il 44% delle organizzazioni controllate ha subìto qualche tipo di malware in almeno una delle applicazioni cloud. Gli attacchi in ambienti SaaS sono difficili da identificare e da bloccare, dal momento che possono essere portati senza che gli utenti se ne accorgano.

    Uno dei vantaggi derivanti dall’uso delle applicazioni SaaS consiste nel fatto che i file e i dati si sincronizzano automaticamente sui dispositivi, il che può anche essere utilizzato come canale per propagare malware. Gli autori degli attacchi non devono far altro che caricare un file PDF o Office dannoso nelle applicazioni SaaS di condivisione o memorizzazione dei file, e le funzioni di sincronizzazione fanno il resto.

  6. Conformità e verifiche.

    Le direttive ufficiali, come il GDPR, e i regolamenti industriali, ad esempio quelli relativi alla sanità (HIPAA), alla grande distribuzione (PCI DSS) e alla finanza (SOX), impongono l’utilizzo di strumenti di verifica e di reporting per dimostrare la conformità del cloud, oltre ai requisiti di protezione dei dati. Le imprese devono garantire la sicurezza dei dati sensibili, installare funzioni di registrazione delle attività degli utenti e consentire le verifiche di tutte le applicazioni approvate.

  7. Le minacce dall’interno.

    Quando si tratta di sicurezza, i dipendenti costituiscono spesso l’anello debole della catena. Non sempre le minacce interne hanno una finalità dolosa. La negligenza degli utenti può comportare attacchi interni casuali, che restano uno dei rischi principali per qualsiasi tipo di azienda. Si tratta di rischi che non sono limitati alle password deboli, alle credenziali condivise o ai portatili persi o rubati, ma riguardano anche i dati memorizzati nel cloud, dove possono essere condivisi con fonti esterne ed è spesso possibile accedervi da qualsiasi dispositivo o sede.
    Il lato oscuro delle minacce interne comprende anche le finalità dolose. Il personale interno e gli amministratori delle aziende e dei fornitori di servizi cloud (CSP), che utilizzano impropriamente gli accessi autorizzati alle reti, ai sistemi e ai dati delle aziende o dei CSP, possono provocare danni intenzionali o sottrarre informazioni.

Come rendere sicure le applicazioni SaaS

La rapida diffusione della posta elettronica e delle applicazioni SaaS, di pari passo con i continui progressi tecnologici, ha reso disponibili diverse soluzioni di sicurezza delle e-mail e dei dati SaaS.

Avendo come riferimento le grandi aziende, i fornitori di soluzioni di sicurezza hanno introdotto i Cloud Access Security Brokers (CASB), una soluzione che consente visibilità, controllo degli accessi e protezione dei dati per i servizi informatici nel cloud tramite un gateway, un proxy o delle API.

Se i CASB di tipo tradizionale presentano notevoli capacità per le grandi aziende, il loro impiego non è sempre fattibile per tutte le aziende. Oltre ad essere costosi – e richiedere spesso complesse procedure di installazione – sono pochi i CASB in grado di garantire la sicurezza delle e-mail per le applicazioni di posta elettronica di tipo SaaS come Office 365 Mail e Gmail, perché sono le aziende a dover attuare e gestire controlli di sicurezza separati.

La costante diffusione della posta elettronica e delle applicazioni SaaS a livello aziendale ha fatto nascere l’esigenza di una soluzione di sicurezza SaaS affidabile e di facile uso. Per fortuna, esistono alcuni approcci in grado di contribuire a ridurre o eliminare i nuovi rischi legati alle applicazioni SaaS.

Sicurezza dell’intera suite Office su cloud, tra cui Office 365 e G Suite

Ad esempio, Cloud App Security (CAS) di SonicWall abbina la protezione avanzata delle e-mail e dei dati per la posta elettronica e le applicazioni SaaS. Si tratta di un approccio che garantisce una protezione avanzata contro gli attacchi di phishing mirati, la compromissione delle e-mail aziendali, le minacce zero-day, la perdita di dati e la sottrazione di account.

Inoltre, Cloud App Security si integra senza soluzione di continuità con le applicazioni SaaS approvate che utilizzano API native. Questo approccio prevede la sicurezza della posta elettronica e funzionalità CASB essenziali per proteggere l’ambiente SaaS e garantire politiche coerenti per tutte le applicazioni cloud in uso.

Utilizzata in abbinamento a Capture Security Center Analytics e integrata con i firewall SonicWall di prossima generazione, Cloud App Security consente la visibilità e il controllo delle attività informatiche nascoste grazie all’individuazione automatizzata nel cloud.

VxWorks di Wind River e URGENT/11: applicate la patch oggi stesso

Comunicazione: I firewall fisici SonicWall con determinate versioni di SonicOS utilizzano per la gestione remota codice TCP/IP di terzi che contiene le vulnerabilità note come URGENT/11. Al momento non vi sono indicazioni che le vulnerabilità vengono sfruttate in maniera fraudolenta, tuttavia:

SonicWall consiglia VIVAMENTE di applicare immediatamente la patch SonicOS. Sono disponibili patch per tutte le versioni di SonicOS più recenti. Le istruzioni dettagliate sono riportate nel Security Advisory.

SonicWall mette a disposizione gratuitamente le versioni con patch preinstallate di SonicOS, anche per i clienti che attualmente non hanno stipulato alcun contratto di assistenza. SonicWall consiglia inoltre di aggiornare il software all’ultima versione di SonicOS (6.5.4.4), che continua funzionalità di firewall per contribuire a proteggere altri dispositivi vulnerabili a URGENT/11.


VxWorks di Wind River e vulnerabilità URGENT/11

I ricercatori della sicurezza di Armis hanno scoperto e divulgato responsabilmente 11 vulnerabilità nello stack TCP/IP del sistema operativo in tempo reale VxWorks di Wind River, utilizzato da milioni di dispositivi in ogni parte del mondo, e anche nello spazio, su Marte e in alcune versioni di SonicOS. Lo stack TCP/IP VxWorks di Wind River, denominato IPNET, contiene vulnerabilità che sono state chiamate “URGENT/11.” All’unico tipo di vulnerabilità sostanziale che ha riguardato SonicOS viene posto rimedio con il rilascio delle patch.

Ingestibile e non rimediabile tramite patch: il selvaggio West dell’Internet delle cose

VxWorks di Wind River è un sistema operativo in tempo reale che viene ampiamente utilizzato nell’Internet delle cose e integrato in applicazioni, come reti, telecomunicazioni, auto, dispositivi medicali, industriali, elettronica di largo consumo, aerospaziali ed altre ancora.

Il compito dei firewall è quello di proteggere i limiti perimetrali, ma la loro gestione attiva e il loro controllo sono effettuati da appositi dispositivi di solito concentrati in una postazione centralizzata. Per ogni firewall c’è una persona che si sveglia tutte le mattina con questa domanda, “Il firewall funziona? È aggiornato?” Entro pochi giorni da quando viene reso disponibile un aggiornamento, queste persone programmano un intervento di manutenzione per eliminare la lacuna di sicurezza.

Tuttavia, per la stragrande maggioranza degli altri dispositivi, collegati o esposti a Internet, non c’è nessuno che controlla e il numero di questi dispositivi per l’Internet delle cose è maggiore rispetto ai firewall di diversi ordini di grandezza. Ed è proprio il gran numero di dispositivi collegati che non sono gestiti attivamente né vengono aggiornati che costituisce un rischio immane per Internet. Vengono scoperte vulnerabilità anche per il software migliore e la sicurezza di Internet e degli ecosistemi online si basa sulla capacità di mettere a punto e installare gli aggiornamenti.

Nell’aggiornamento semestrale al Rapporto SonicWall 2019 sulle ciberminacce, i ricercatori delle minacce di SonicWall Capture Labs hanno già registrato 13,5 milioni di attacchi all’Internet delle cose, un dato superiore del 54,6% a quello dei primi due trimestri del 2018.

Di questa situazione stanno prendendo atto non solo chi si occupa della sicurezza, ma anche gli enti normativi, dal momento che centinaia di milioni di dispositivi dell’Internet delle cose risultano vulnerabili e non vengono aggiornati.

Si tratta di uno dei lati vulnerabili più a rischio di Internet, provocato dall’enorme diffusione dei dispositivi per l’Internet delle cose, compresi quelli elettronici di largo consumo che vengono frequentemente collegati a Internet e trascurati per un decennio. L’ampia portata di Internet delle cose dovrebbe ripercuotersi su diversi settori industriali come un campanello d’allarme.

“Non trascurare mai gli aggiornamenti”

L’utilizzo come arma delle vulnerabilità note contro il software obsoleto dev’essere un monito per gli utenti a non rimandare gli aggiornamenti che sono una delle misure più importanti da adottare per rendere sicure le infrastrutture contro l’attuale situazione delle minacce in rapida evoluzione.

Non ignorate e non rimandate gli aggiornamenti. Applicate oggi stesso la patch. E fatelo sempre.

Porte non standard sotto attacco

Nei film di supereroi a un certo punto si vedono dei personaggi che parlano di proteggere la loro identità con l’anonimato. Ad eccezione di Iron Man, nascondere la propria identità conferisce ai supereroi una sorta di protezione. La sicurezza delle reti è qualcosa di simile.

“La sicurezza nell’oscurità” è un’affermazione che viene apprezzata ma anche criticata. Se si guida un’auto su strade secondarie anziché in autostrada per evitare incidenti, ci si può sentire sicuri? Si arriva a destinazione in tempo? È possibile, ma ciò non significa poter sempre evitare i problemi.

Differenza tra porte standard e non

Le porte dei firewall vengono assegnate dalla Internet Assigned Numbers Authority (IANA) per fini o servizi specifici.

A fronte delle oltre 40.000 porte registrate, solo poche vengono comunemente utilizzate. Si tratta delle cosiddette porte “standard”. Ad esempio, HTTP (pagine) utilizza 80 porte, HTTPS (siti web che utilizzano codifiche) utilizza la porta 443 ed SMTP (email) la porta 25.

I firewall configurati per dialogare con queste porte sono disponibili per la ricezione del traffico. I cibercriminali lo sanno, per cui molti attacchi prendono di mira le porte comunemente utilizzate. Ovviamente, le aziende normalmente rafforzano queste porte contro le minacce.

In risposta alla moltitudine di attacchi che prendono come bersaglio le porte standard alcune organizzazioni hanno deciso di utilizzare porte “non standard” per i loro servizi. Le porte non standard vengono utilizzate per scopi diversi da quelli prestabiliti. Un esempio è l’uso della porta 8080 al posto della porta 80 per il traffico web.

Si tratta della cosiddetta strategia di “sicurezza nell’oscurità”. Anche se per qualche tempo i cibercriminali restano disorientati, non si tratta di una soluzione a lungo termine. Inoltre essa può rendere più difficile per gli utenti collegarsi ai server web dal momento che i browser sono preconfigurati per utilizzare la porta 80.

Attacchi contro porte non standard

I dati del Rapporto SonicWall 2019 sulle ciberminacce indicano che il numero di attacchi rivolto contro le porte non standard è aumentato. Nel 2017 SonicWall ha riscontrato che più del 17,7% degli attacchi malware è passato attraverso porte non standard.

A fronte del dato del 2018, 19,2%, si è avuto un aumento dell’8,7%. Nel solo mese di dicembre del 2018 la percentuale è salita addirittura al 23%.

Che cosa fare per proteggere le porte non standard?

La miglior difesa contro i ciberattacchi sferrati contro i servizi attraverso porte standard e non, consiste nell’adottare una strategia di difesa multilivello.

La ”sicurezza nell’oscurità” è solo uno di essi. Fare eccessivo affidamento su di essa non garantisce comunque il necessario livello di sicurezza. Può essere d’aiuto contro la scansione delle porte, ma non ferma i ciberattacchi più mirati.

Per questo occorre adottare azioni più incisive, come il cambio frequente delle password, l’uso dell’autenticazione a due fattori e l’installazione di patch e aggiornamenti. E si può anche decidere di utilizzare un firewall in grado di analizzare determinati aspetti anziché tutto il traffico (ad esempio un approccio basato su proxy).

 

Approfondimenti sulle moderne campagne di phishing del 2019

Il mondo della cibersicurezza è dominato dalle notizie relative a malware, ransomware, violazioni di dati, vulnerabilità delle applicazioni, minacce portate sull’Internet delle cose e attacchi botnet. Ma il phishing è stato una seria minaccia sin dai primi anni 2000 ed è ampiamente considerato il vettore di attacco più utilizzato dai cibercriminali.

Attualmente, non si tratta di una questione di volumi, ma questo tipo di minacce di posta elettronica si è specializzato con successo nell’indurre fraudolentemente dei bersagli di elevato valore a compiere determinate azioni: fare clic su un collegamento dannoso, aprire un file contenente del malware, fornire una password o autorizzare transazioni finanziarie.

Nell’attuale corsa ai ciberarmamenti gli autori delle minacce stanno cercando costantemente di aggirare i sistemi di sicurezza. Per quanto riguarda la posta elettronica come vettore delle minacce, il phishing si è evoluto in attacchi di tipo spear-phishing, impersonazione e compromissione delle email aziendali (BEC). Si tratta di messaggi con obiettivi altamente specifici e notevole impegno sul versante dell’ingegneria sociale per scegliere e studiare accuratamente le vittime.

Volume globale di phishing in calo, con attacchi più mirati

I nostri ricercatori di Capture Labs che si occupano delle minacce hanno registrato 26 milioni di attacchi di phishing su scala mondiale, con un calo del 4,1% rispetto al 2017, secondo i dati pubblicati nel Rapporto SonicWall 2019 sulle ciberminacce. Durante tale periodo, il cliente medio SonicWall si è trovato a dover affrontare 5.488 attacchi di phishing.

Volume globale di attacchi di phishing nel 2018

Dato che le imprese stanno diventando sempre più capaci di bloccare gli attacchi via email, mettendo i dipendenti in grado di individuare e cancellare i messaggi sospetti, i cibercriminali stanno cambiando tattica. I nuovi dati indicano che stanno riducendo il volume complessivo di attacchi e lanciando attacchi di phishing molto più mirati (es., attacchi Black Friday e Cyber Monday).

Vediamo quali sono le cinque tattiche più comuni utilizzate dai phisher per sottrarre credenziali, installare malware, infiltrare le reti e danneggiare i marchi.

  1. URL dannosi e siti web falsi o spoofing dei siti web
    Per via dei miglioramenti delle soluzioni di sicurezza della posta elettronica che riducono il phishing, i cibercriminali stanno cercando metodi innovativi per eseguire attacchi mirati, come utilizzare URL come arma nei messaggi di posta elettronica per installare contenuti dannosi o creare siti web di phishing con false pagine di login per acquisire credenziali di accesso degli utenti. Alla fine del 2017 è stato riferito che ogni mese sono stati creati 1,5 milioni di siti di phishing. Rilevare i siti di phishing è diventato sempre più difficile poiché i phisher dissimulano gli URL di phishing con tutta una serie di reindirizzamenti e di URL abbreviati.Inoltre circa la metà dei siti di phishing utilizza certificati HTTPS e SSL, che facilitano ai cibercriminali il compito d’ingannare le loro vittime.
    Fonte: “PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users,” Avanan, August 2018.

    Secondo il rapporto di Security Intelligence di Microsoft “per gli attacchi vengono usati con sempre maggiore frequenza i siti di condivisione dei documenti e di collaborazione più noti per distribuire contenuti dannosi e falsi moduli d’accesso allo scopo di sottrarre le credenziali degli utenti”.

  2. Gli attacchi di phishing prendono di mira applicazioni ed utenti di Office 365
    Saas e servizi webmail stanno diventando il bersaglio sempre più ambìto delle campagne di phishing. Stando a quanto riferisce l’Anti-Phishing Working Group (APWG), gli attacchi di phishing ai danni di SaaS e servizi webmail sono raddoppiati nel quarto trimestre del 2018. Non sorprende che di pari passo con la crescente diffusione di Office 365 come piattaforma di posta elettronica per cloud  presso le aziende di ogni dimensione e quelle verticali Microsoft sia il marchio più impersonato.“Man mano che aumenta la quota di Microsoft nel mercato dei gateway di posta elettronica sicura (SEG), gli autori degli attacchi intelligenti prendono di mira in modo specifico le difese Microsoft” sostiene Gartner.La cosa non è assurda perché chiunque possieda una carta di credito può sottoscrivere un abbonamento ad Office 365, il che ne rende le caratteristiche di sicurezza decisamente accessibili ai cibercriminali, e, in linea teorica, consente ai gruppi criminali di mettere a punto campagne di phishing in grado di aggirare le difese Microsoft native. In effetti, in un altro studio i ricercatori hanno riscontrato che il 25% delle email di phishing aggirano la sicurezza di Office 365.
  3. Compromissione delle credenzialiA gennaio del 2019 i ricercatori di Troy Hunt hanno scoperto “Collection 1”, un lotto di 773 milioni di indirizzi di posta elettronica e 21 milioni di password in vendita su Hacker Forum. Queste combinazioni di ID e password compromesse vengono utilizzate per condurre attacchi dall’interno. Un attacco tipico comprende la sottrazione di account, che consiste nella compromissione delle credenziali aziendali di un dipendente da parte degli autori dell’attacco lanciando una campagna di phishing delle credenziali contro un’azienda o acquistando le credenziali stesse sul Darkweb a seguito di sottrazioni di dati ad opera di terzi. Gli autori dell’attacco possono utilizzare le credenziali sottratte per ottenere nuovi accessi o ulteriori privilegi. Le credenziali compromesse possono non venire scoperte per mesi e persino anni.
  4. Impersonazione, frodi a carico dei CEO e compromissione della posta elettronica aziendale (BEC)
    Secondo l’FBI la compromissione della posta elettronica aziendale (BEC) è uno scam ai danni di aziende che utilizzano fornitori esteri e/o effettuano regolarmente bonifici internazionali. Questi scam sofisticati vengono perpetrati dai criminali compromettendo gli account di posta elettronica con tecniche d’ingegneria sociale o d’intrusione informatica per effettuare bonifici non autorizzati. Si tratta di attacchi difficili da bloccare perché non contengono collegamenti o allegati dannosi ma un messaggio alla vittima che sembra provenire da un mittente affidabile che chiede di effettuare un bonifico.L’FBI Internet Complaint Center (IC3) ha reso noto l’estate scorsa che da ottobre 2013 a maggio 2018 il totale mondiale delle perdite dovute a scam BEC di cui si è venuti a conoscenza ha raggiunto i 12,5 miliardi di dollari.
  5. Allegati dannosi costituiti da file PDF e documenti Office
    Gli allegati ai messaggi di posta elettronica sono un sistema molto diffuso per l’installazione di contenuti dannosi come ransomware e malware fino a quel momento sconosciuti. I ricercatori di SonicWall Capture Labs hanno recentemente osservato un aumento sostanziale dei file PDF dannosi o fraudolenti. Questa campagna fraudolenta sfrutta la fiducia dei destinatari nei confronti dei file PDF, considerati documenti in formato sicuro ampiamente utilizzati e ritenuti affidabili nelle operazioni commerciali. Consiglio di leggere “New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics”, scritto da Dmitriy Ayrapetov, Executive Director of Product Management, per conoscere ulteriori aspetti di questi tipi di campagne di phishing ed imparare a bloccarli.

L’apocalisse del cryptojacking: La disfatta dei Quattro Cavalieri del cryptomining

Nonostante le fluttuazioni dei prezzi del bitcoin e delle altre criptovalute, il cryptojacking continua ad essere una grave minaccia – spesso sottovalutata – per le grandi aziende, le PMI ed il consumatore in genere.

Il tipo più subdolo di queste minacce è costituito dal cryptomining tramite browser, nel quale le forme più diffuse di malware cercano di trasformare i dispositivi in mining bot di criptovalute a tempo pieno denominato cryptojacker.

Per cercare di farvi capire in che cosa consiste questa minaccia, vi presento una sintesi dei miei classici insegnamenti sull’argomento, prendendomi la libertà di enfatizzare la situazione. Se ritenete che l’avanzata del cryptojacking sia stata un’apocalisse come credono alcuni di coloro che ne sono rimasti vittima, i Quattro Cavalieri costituiscono altrettante minacce per i vostri endpoint e le vostre aziende:

  • Cavallo bianco: L’energia consumata e sprecata
  • Cavallo rosso: La perdita di produttività dovuta alle risorse limitate
  • Cavallo nero: I danni che possono provocare al sistema
  • Cavallo verdastro: Implicazioni di sicurezza dovute alle vulnerabilità introdotte

Diversamente dal ransomware, che è pensato per essere visibile (per richiedere il pagamento), il lavoro del cryptojacker si svolge in modo invisibile dietro le quinte (anche se il diagramma delle prestazioni della CPU o la ventola del dispositivo possono indicare un’attività anomala).

Negli ultimi due anni gli autori di ransomware hanno cambiato marcia, nel senso di un maggiore ricorso al cryptojacking, poiché l’efficacia turbativa del ransomware e il ritorno sull’investimento diminuiscono man mano che lo stesso finisce sui canali di scansione pubblici come VirusTotal.

Come tutti coloro che gestiscono un’attività decisamente redditizia, i cibercriminali devono trovare sempre nuovi metodi per realizzare i loro obiettivi finanziari. Il cryptojacking viene utilizzato esattamente per tale scopo.

Ad aprile del 2018 SonicWall ha iniziato a tenere sotto controllo le tendenze del cryptojacking, soprattutto l’uso di Coinhive nel malware. Nel corso dell’anno abbiamo visto che il cryptojacking ha avuto alti e bassi. Durante tale periodo SonicWall ha registrato circa 60 milioni di attacchi di cryptojacking, di cui 13,1 milioni nel solo mese di settembre 2018. Come è stato pubblicato nel Rapporto SonicWall 2019 sulle ciberminacce, il volume degli attacchi è calato nell’ultimo trimestre del 2018.

Attacchi di cryptojacking a livello globale da aprile a settembre del 2018

L’attrattiva del cryptomining

Le operazioni di cryptomining sono diventate sempre più diffuse, tanto da rappresentare circa la metà dei consumi mondiali di energia elettrica. Nonostante le notevoli oscillazioni di prezzo, circa il 60% del costo delle attività legittime di mining dei bitcoin è costituito dalla bolletta energetica. In effetti, al momento della redazione di queste, il prezzo di un bitcoin è inferiore al costo delle sue legittime attività di mining.

Con simili costi e rischi zero rispetto a dover acquistare e mantenere le apparecchiature, i cibercriminali sono fortemente incentivati a generare criptovalute utilizzando risorse altrui. Infettare 10 macchine con un cryptominer può produrre guadagni netti fino a 100 dollari al giorno, per cui la sfida per i cryptojacker è triplice:

  1. Individuare gli obiettivi, vale a dire organizzazioni che dispongono di numerosi dispositivi sulla stessa rete, soprattutto scuole e università.
  2. Infettare il maggior numero di macchine possibile.
  3. Restare nascosti più a lungo possibile (diversamente dal ransomware, con modalità più simili al malware tradizionale).

I cryptojacker utilizzano tecniche simili a quelle del malware per intrufolarsi negli endpoint: download drive-by, campagne di phishing, sfruttamento delle vulnerabilità dei browser e plugin dei browser, per citarne solo qualcuno. E, ovviamente, fanno affidamento sull’anello debole della catena, le persone, sfruttando tecniche di social engineering.

Come si fa a sapere se si è vittime dei cryptominer?

I cryptominer sono interessati a sfruttare la potenza di elaborazione delle loro vittime ed i cryptojacker devono trovare il giusto equilibrio tra anonimato e profitti. Di quante risorse della vostra CPU si impossesseranno dipende dai loro obiettivi.

Se sottraggono meno potenza diventa più difficile per gli utenti ignari accorgersi di loro. Rubarne di più fa crescere i prodotti. In entrambi i casi le prestazioni ne risentono, ma se la soglia è abbastanza bassa potrebbe essere difficile distinguere tra un miner e un software legittimo.

Gli amministratori aziendali possono tenere conto dei processi sconosciuti nei loro ambienti, mentre gli utenti finali in Windows dovrebbero far girare un Sysinternals Process Explorer per vedere che cosa c’è in esecuzione. Per la stessa ragione gli utenti Linux e macOS dovrebbero tenere sotto controllo rispettivamente l’uso del System Monitor e dell’Activity Monitor.

Come difendersi dai cryptominer

Il primo passo per difendersi dai cryptominer consiste nel bloccare questo tipo di malware sul gateway, tramite firewall o email security (sicurezza perimetrale), che è uno dei metodi più efficaci per sventare le minacce note basate su file.

Poiché si tende a riutilizzare vecchio codice, un altro primo semplice passo consisteva anche nello stanare cryptojacker come Coinhive. Ma a febbraio del 2019, Coinhive ha reso noto pubblicamente che avrebbe cessato l’attività l’8 marzo. I responsabili hanno dichiarato che “non era più conveniente economicamente” continuare il servizio e che l’attività aveva fortemente risentito del crollo delle criptovalute.

Nonostante ciò, SonicWall prevede che vi saranno sempre nuove varianti e nuove tecniche di cryptojacking per colmare il vuoto. Il cryptojacking potrebbe ancora diventare uno dei metodi preferiti per i cibercriminali per il fatto di essere nascosto; i danni limitati e indiretti per le vittime ne diminuiscono la possibilità di essere scoperto e prolungano il tempo durante il quale gli attacchi andati a buon fine producono benefìci.

Se il ceppo del malware è sconosciuto (nuovo o aggiornato), è in grado di superare i filtri statici del perimetro di sicurezza. Se un file è sconosciuto, viene reindirizzato ad una sandbox per la verifica della sua natura.

L’ambiente sandbox Capture Advanced Threat Protection (ATP) multi-engine di SonicWall è stato progettato espressamente per identificare e bloccare malware evasivo in grado di ingannare un engine ma non gli altri.

Se un endpoint non si trova dietro a questa configurazione tipica (ad esempio, se sta effettuando il roaming all’aeroporto o in albergo), si deve installare un prodotto di sicurezza endpoint che comprende la funzione di rilevamento comportamentale.

I cryptominer possono agire nei browser o essere consegnati tramite attacchi senza file, per cui le soluzioni tradizionali preinstallate sui computer non sono in gradi di vederli.

Gli antivirus di tipo comportamentale come SonicWall Capture Client sono in grado di rilevare se il sistema intende effettuare il mining delle valute e quindi interrompere il funzionamento. Gli amministratori possono facilmente mettere in quarantena e cancellare il malware o, se si tratta di qualcosa in grado di danneggiare i file di sistema, riportare quest’ultimo all’ultima configurazione funzionante prima che venisse eseguito il malware.

Abbinando tutta una serie di difese perimetrali all’analisi comportamentale le organizzazioni possono contrastare le nuove forme di malware, indipendentemente da quelle che sono le loro tendenze o finalità.

Gestire le attività informatiche nascoste, garantendo l’adozione sicura delle applicazioni SaaS

Le PMI stanno trasferendo al cloud in misura sempre maggiore le applicazioni gestionali e l’infrastruttura informatica. Secondo dati IDC questa tendenza ha conosciuto un aumento dal 20 al 70% per le piccole imprese fino a 100 dipendenti e del 90% per quelle medie fino a 999 dipendenti.

Non è un segreto che le imprese possono fare ricorso alle applicazioni SaaS per migliorare la loro flessibilità ed aumentare la loro produttività per poter tener testa alla concorrenza. Lo stesso vale però anche per il personale aziendale, che può installare e caricare applicazioni SaaS (come Jira, Dropbox, Slack) con pochi clic. Ai dirigenti dei rami d’azienda e anche ai responsabili dei progetti è sufficiente inviare i dati delle carte di credito e voilà, il gioco è fatto, il personale ha accesso ad un’istanza di un nuovo strumento di collaborazione.

Una buona notizia per quanto riguarda la produttività. Ma per quanto riguarda la sicurezza?

Normalmente quando il personale attiva un’istanza di un’applicazione SaaS, ciò avviene senza che il reparto informatico ne abbia il controllo o ne sia a conoscenza. I responsabili informatici non possono sapere quali utenti stanno usando le applicazioni e quali sono i dati che vengono utilizzati. Inoltre i dipendenti, per collaborare, utilizzano account gratuiti o su servizi cloud pubblici come Dropbox e Gmail. Si tratta di attività informatiche nascoste, la cosiddetta “shadow IT”.

Secondo Gartner, entro il 2020 un terzo delle violazioni di sicurezza sarà dovuto ad attività informatiche nascoste. In questa nuova realtà, i responsabili della sicurezza e quelli informatici sono alle prese con queste nuove problematiche:

  • Perdere il controllo dei dati aziendali sensibili che passano attraverso centri elaborazione dati e cloud pubblici o ibridi, con tutti i rischi che ne conseguono, come accesso non autorizzato, diffusione del malware, perdita di dati e mancanza di conformità.
  • Trovare il giusto equilibrio tra budget per la sicurezza, prassi per contrastare le attività informatiche nascoste e produttività dei dipendenti.

I responsabili informatici hanno bisogno di uno strumento in grado di garantire la visibilità per quanto riguarda i rischi per poter capire qual è l’atteggiamento complessivo dell’azienda nei confronti del rischio e di uno strumento per poter valutare tutte le applicazioni informatiche nascoste utilizzate in rete.

Per le PMI ciò implica un’offerta fattibile sotto il profilo del rapporto costi-benefìci che metta a disposizione funzioni come una soluzione CASB (Cloud Access Security Broker) che consente l’individuazione, la visibilità ed il controllo dell’uso di tutte le applicazioni cloud e dei dati aziendali cui viene effettuato l’accesso.

Cloud App Security di SonicWall

Cloud App Security di SonicWall è un servizio di sicurezza basato sul cloud, che consente alle imprese di mettere in sicurezza l’uso delle applicazioni SaaS riducendo i rischi legati alle attività informatiche nascoste.

Ottenibile tramite SonicWall Capture Security Center (CSC), Cloud App Security è disponibile nell’ambito del pacchetto in abbonamento Capture Security Center Analytics di SonicWall. La soluzione si integra senza soluzione di continuità nell’infrastruttura SonicWall esistente e sfrutta i registri dei firewall di prossima generazione (NGFW) per offrire funzioni di tipo CASB per l’individuazione, la visibilità e il controllo dell’uso delle applicazioni cloud.

Cloud App Security analizza i file registro dei firewall SonicWall di prossima generazione confrontandoli con un registro interno di applicazioni SaaS 9000-plus, evidenziando:

  • Le applicazioni in uso e gli utenti che le stanno utilizzando
  • I volumi di dati caricati e scaricati nel cloud
  • Il rischio e la categoria dei singoli servizi cloud.

Di fatto, Cloud App Security di SonicWall consente all’infrastruttura esistente di interagire perfettamente con i servizi cloud.

Individuazione automatica delle applicazioni cloud con i firewall SonicWall di prossima generazione

Pannello di controllo in tempo reale

Il pannello di controllo in tempo reale di Cloud App Security di SonicWall consente ai responsabili informatici di valutare in tempi rapidi l’atteggiamento complessivo nei confronti del rischio.

Il pannello visualizza in tempo reale la valutazione del rischio e i dati tendenziali relativi a:

  • Numero e tipo delle applicazioni cloud in uso
  • Numero di utenti che hanno accesso alle applicazioni cloud
  • Quantitativi di dati utilizzati dalle applicazioni cloud

Inoltre i responsabili informatici possono tenere sotto controllo quali sono gli utenti più attivi e le applicazioni più utilizzate in base all’uso e alla posizione dalla quale vengono utilizzate.

Individuazione e controllo

Nella vista Discovery (individuazione) i responsabili informatici possono classificare le applicazioni in base al punteggio di rischio e ad altri parametri aziendali come Sanzionato o Non sanzionato. Tramite Capture Security Center di SonicWall la soluzione consente ai responsabili informatici di definire politiche di blocco e sblocco e di controllare le applicazioni informatiche Sanzionate e Non sanzionate in rete.

Con i dipendenti che utilizzano in misura sempre crescente le applicazioni cloud per lavoro, Cloud App Security consente ai responsabili informatici di rilevare eventuali lacune nell’approccio alla sicurezza, di classificare le applicazioni cloud in applicazioni informatiche sanzionate e non e di adottare politiche di accesso per bloccare le applicazioni a rischio. La soluzione garantisce l’adozione sicura delle applicazioni cloud, senza penalizzare la produttività dei dipendenti con un minimo costo di investimento.

SonicWall Cloud App Security è disponibile in pacchetto con SonicWall Capture Security Center Analytics.

SonicWall Firewall As A Service Offers New GMS Infrastructure

Today, customers are looking for more security and insight into the traffic on their network, without the burden of managing it on their own. Increasingly managed service providers (MSPs) are being asked to deliver network perimeter protection. Meeting this demand, SonicWall Firewall as a Service (FWaaS) now offers new SonicWall Global Management Systems (GMS) as a Cloud managed services. Immediately available from SonicWall are three unique options of the Global Management System Infrastructure solution: Monitoring, Monitoring and Reporting and Fully Managed. The undeniable benefits of all of these choices is that each lower upfront costs through the monthly subscription pricing. Customers also gain enterprise-level network security to defend against the relentless global threats and malware attacks without having to worry about maintenance or support. These solutions simplify customer management and deployment of SonicWall products. These new offerings will be provided by Solutions Granted Inc. and Western NRG, Inc., our selected infrastructure providers.

SonicWall Security’s Firewall-As-as-Service bundle includes a  SonicWall next-generation firewall appliance, Total Secure/Comprehensive Gateway Security Software (CGSS) and SonicWall Global Management System (GMS). What is new is that we are giving you more options on where and how to run the SonicWall GMS, allowing you to rapidly deploy and centrally manage the SonicWall next-gen firewall. This highly effective system provides real-time monitoring and alerts, along with comprehensive policy and compliance reporting in a solution that can easily be deployed as a hosted solution.

Option number one provides GMS infrastructure with monitoring. Option number two delivers more comprehensive security with both monitoring and reporting. With these 2 options the Managed Service Provider (MSP) will run GMS and is responsible for the workload, but uses the SonicWall GMS infrastructure. The value is to eliminate the cost of the GMS infrastructure, with a monthly price instead of an upfront cost, scaling over time to accommodate growth.

The third and most comprehensive option consists of a fully managed GMS instance and execution of the managed firewall service for the VAR/MSP. The value of this service is a VAR can now participate without being an MSP. With this option you sell the service, but the delivery of that service is handled by the new SonicWall GMS managed services offerings. This expands your business as a VAR. These options all complement and extend SonicWall security products and services provider, while optimizing your business security, managing growth and easing the administrative burdens.

We invite you to tune in for a live webcast on how the new offerings in the FWaaS partner program will help you increase your sales on, Thursday Nov. 5, 2015 at 11 a.m. Pacific/2 pm Eastern.

Meet us in-person at the upcoming IT Nation 2015 conference, Nov. 11 – 13, 2015 at the Hyatt Regency in Orlando, where SonicWall Security Solutions experts will demonstrate our SonicWall Firewall-as-a-Service (FWaaS) and SonicWall Global Systems Management next week.