Cybersecurity e quinta rivoluzione industriale

/0 Commenti/in , , /da

Partecipa al nostro incontro sull’impatto dei rapidi cambiamenti che hanno interessato la società e le imprese, favorendo lo sviluppo di una sicurezza informatica migliore e più efficace.

Provate a immaginare la vostra vita senza computer e altri device digitali che ormai diamo per scontati. Quanti dispositivi sono presenti nel vostro ufficio, a casa o magari state portando con voi in questo momento? E ora pensate all’esperienza delle generazioni precedenti, al loro modo di divertirsi, di viaggiare, di comunicare e fare cose semplici come leggere un giornale o un libro.

Le rivoluzioni industriali cambiano la vita degli esseri umani e creano eccellenti opportunità di crescita per le persone e la società. Finora ne abbiamo attraversato cinque, di cui la prima è iniziata intorno al 1750 e la quinta solo alcuni anni fa. Abbiamo quindi una buona esperienza nel riconoscere le loro implicazioni e nell’assorbirne i vantaggi. Siamo anche particolarmente bravi ad evolverci dopo gli enormi sconvolgimenti che comportano.

Prima e seconda rivoluzione: l’evoluzione delle industrie

La prima rivoluzione industriale creò un’enorme ondata di innovazione. In tutte le grandi città spuntarono fabbriche e la gente iniziò a produrre merci come mai aveva fatto prima. Mentre la produttività continuava ad aumentare, i posti di lavoro iniziarono a diminuire, e il tenore di vita in certe fasce della società peggiorò sensibilmente. Più tardi, la società (e l’economia) si riempì di nuovi lavori necessari alla nascente industria pesante. Le imprese avevano bisogno di lavoratori più qualificati per costruire i macchinari che avrebbero consentito di produrre più macchine. Così gli stipendi tornarono a crescere e la società visse un periodo di ripresa.

Ma poi arrivò la seconda rivoluzione industriale, conosciuta anche come la Rivoluzione Tecnologica perché segnò una fase di rapide scoperte scientifiche e standardizzazione industriale. Dalla fine dell’Ottocento agli inizi del XX secolo, la produzione di massa trasformò le fabbriche in uno strumento di alta produttività. Di conseguenza, a una nuova fase di perdita di posti di lavoro e sconvolgimenti sociali si accompagnò un aumento di lavori meglio retribuiti e lavoratori altamente qualificati, che potevano permettersi case migliori e una maggiore mobilità.

Terza e quarta rivoluzione: l’evoluzione della società moderna

La terza rivoluzione industriale iniziò verso la fine del XX secolo, quando la necessità di una migliore automazione portò all’avvento dell’elettronica, poi dei computer e infine all’invenzione di Internet. I progressi tecnologici favorirono una rapida trasformazione economica e, con essa, una maggiore volatilità. I nuovi metodi di comunicazione portarono inoltre a una rapida urbanizzazione a livello globale e a nuovi regimi energetici, come le fonti rinnovabili.

Poi è arrivata la quarta rivoluzione industriale, che secondo alcuni si è conclusa appena prima della pandemia. Le numerose innovazioni tecnologiche del periodo precedente hanno favorito l’introduzione di personal computer, device mobili e Internet delle cose (IoT) – tutti sviluppi che ci hanno costretto a ridefinire i confini tra il mondo fisico, digitale e biologico. I progressi in vari campi come l’intelligenza artificiale (IA), la robotica, la stampa 3D, l’ingegneria genetica, l’informatica quantistica e altre tecnologie, combinati alle pressioni sociali, hanno sfumato i confini tradizionali fino ai limiti della confusione.

La quinta rivoluzione industriale: la fusione sociale

Molti pensatori globali ritengono che ci troviamo nel mezzo di una quinta rivoluzione industriale (o “5IR”), che ha introdotto nuovi parametri di produttività che vanno ben oltre la valutazione delle prestazioni delle persone e delle macchine sul posto di lavoro. In questo contesto stiamo assistendo a una fusione tra capacità umane ed efficienza delle macchine. Le sfere fisiche, digitali e biologiche sono ora intercambiabili e interconnesse. Non si tratta più solamente di connettere le persone alle macchine, ma anche di connettere i dispositivi ad altre macchine, il tutto in nome della creatività e produttività umana.

Un aspetto interessante della quinta rivoluzione industriale è che sta accadendo a una velocità senza precedenti. Per esempio, la pandemia di COVID ha accelerato la diffusione del lavoro da remoto e delle comunicazioni wireless, trasformando lo smart working in una realtà quotidiana per molti lavoratori occidentali. Il posto di lavoro e la casa sono diventati un tutt’uno. Questa fusione di mondi diversi ha riguardato anche l’istruzione e l’ambito domestico. Ci sono poi altre fusioni più difficili da distinguere, ad esempio tra informazione e disinformazione, notizie e propaganda, azione politica e terrorismo, e così via. Tutto questo ci porta alla fusione tra crimine e sicurezza informatica.

Conoscere e valutare l’impatto della 5IR e della cybersecurity

È interessante notare che una percentuale molto alta di attacchi ransomware colpisce persone che evitano o ignorano i protocolli di sicurezza informatica semplicemente per il fatto che non pensano di cadere vittima del ransomware. Lo stesso vale, purtroppo, per le organizzazioni che non hanno ancora provveduto ad aggiornare la loro tecnologia di sicurezza. Molti titolari e dirigenti d’azienda non comprendono la gravità delle minacce e pensano che il ransomware possa colpire solo le grandi organizzazioni. Gli attuali rapporti sulle minacce dimostrano che l’impulso a evitare le tecnologie di cybersecurity più avanzate è sbagliato, e questo è il tema su cui stiamo lavorando maggiormente.

La domanda da 10.500 miliardi di dollari (costo annuale stimato del cybercrime entro il 2025) è quindi: quanto dovremo ancora spendere per correggere questa tendenza? Il crimine informatico è una delle conseguenze più complesse delle nostre “rivoluzioni”. In seguito all’ondata di nuove minacce, la tecnologia e i comportamenti si stanno evolvendo rapidamente. Per mitigare i rischi attuali dovremo assumerci più responsabilità e adottare nuove tecnologie di sicurezza informatica.

Prenota un posto per partecipare all’episodio 9 di MINDHUNTER di giugno.

Cos’è il cryptojacking, e quale impatto ha sulla vostra sicurezza informatica?

/0 Commenti/in /da

La buona notizia è che le criptovalute sono ormai un modello affermato nel mondo della finanza globale. Sono altamente portabili, mantengono il proprio valore, sono utilizzabili per l’acquisto di prodotti e servizi e sempre più popolari tra i normali consumatori.

Possono anche essere uno strumento d’investimento conveniente, se siete abbastanza temerari. In un batter d’occhio è possibile accumulare e perdere enormi fortune a causa dell’alta volatilità che caratterizza molte criptovalute (ad es. Bitcoin, Ethereum, Cardano), con valori che a volte raggiungono livelli astronomici per poi cadere in picchiata nel giro di pochi giorni o settimane. Tuttavia ci sono modi meno rischiosi per fare soldi con le criptovalute, e uno di questi è proprio il “cryptomining.”

Cos’è il cryptomining

Il cryptomining è un processo che convalida le transazioni delle criptovalute in ledger pubblici distribuiti. Ogni transazione è collegata alla transazione precedente e a quella successiva, creando così una catena di record corredati di data e ora. Questo è essenzialmente il funzionamento di una “blockchain”.

Uno dei vantaggi del cryptomining è che chiunque può partecipare senza dover investire nella valuta. Se ad esempio decidete di effettuare il mining di Bitcoin, riceverete dei Bitcoin come compenso per tutti i blocchi di transazioni verificate che avete completato e aggiunto alla blockchain. Per elaborare un blocco di valuta ci vogliono circa 10 minuti.

Tutto quello che vi serve è un minimo di conoscenze su come collegarvi alla rete della criptovaluta, una buona connessione a internet, uno o due server decenti e una fonte di alimentazione costante. Più potenza riuscite a garantire per le vostre attività legittime di cryptomining, più saranno i blocchi che riuscirete ad elaborare e il denaro che guadagnerete.

Ma questo processo ha un inconveniente, e qui arrivano le cattive notizie. I “miner” guadagnano denaro solo se completano il processo di dati più velocemente degli altri, e purtroppo ci sono centinaia di miner che provano a elaborare lo stesso blocco simultaneamente. Per questo motivo, i miner sono alla ricerca costante di nuovi metodi per aumentare il loro hash rate (una metrica della potenza di calcolo per l’elaborazione dei blocchi). Il potenziale guadagno è proporzionale al numero di hash prodotti al secondo.

Alcune persone evitano completamente il processo legittimo e passano al “cryptojacking”.

Perché il cryptojacking è una minaccia crescente

È molto semplice: il cryptojacking è essenzialmente cryptomining, con l’unica differenza che il miner utilizza il computer di qualcun altro senza il suo permesso. Le vittime generalmente ignorano che i loro computer vengano sfruttati per questo scopo, spesso per mezzo di malware introdotti con tecniche di phishing or altri metodi illeciti.

Ad aprile del 2018 SonicWall ha iniziato a monitorare il fenomeno del cryptojacking, registrando quasi 60 milioni di attacchi di cryptojacking in un solo anno. Come descritto nel Rapporto SonicWall 2022 sul Cybercrime, i prezzi delle criptovalute sono saliti alle stelle nel 2021, con un conseguente aumento degli episodi di hacking fino a 97 milioni, vale a dire un aumento del 62% dal 2018.

Cryptojacking is on the rise

A differenza del ransomware, che sfrutta la visibilità dei messaggi e delle email di phishing, i cryptojacker operano in modo invisibile dietro le quinte. L’unico modo per accorgersi che la propria rete o i dispositivi sono stati colpiti consiste nel monitorare il diagramma delle prestazioni della CPU, o notare che la ventola di un dispositivo funziona più spesso del solito.

Negli ultimi due anni abbiamo notato che i gruppi ransomware tendono a passare ad altre attività come ad esempio il cryptojacking. Un motivo apparente di questo cambiamento potrebbe essere che il ritorno sull’investimento per uno schema e un ceppo di ransomware (che in genere richiede mesi di sviluppo) diminuisce non appena viene pubblicato su feed pubblici come VirusTotal.

Come tutti coloro che gestiscono un’attività redditizia, i cybercriminali tendono a essere agili e flessibili nel loro lavoro. Di conseguenza cercano costantemente nuovi modi per raggiungere i propri obiettivi finanziari. Il cryptojacking offre l’agilità necessaria grazie alla relativa semplicità con cui può essere implementato con altre attività criminali.

Il fascino del cryptomining

Con un costo così basso e un rischio praticamente nullo, il cryptomining rappresenta un modello di business molto attraente per i cybercriminali. La maggior parte delle operazioni viene infatti automatizzata tramite il software. Tuttavia, la volatilità della criptovalute e l’aumento dei costi energetici stanno mettendo sotto pressione i miner. Nel 2018 un miner di criptovalute legittimo poteva guadagnare 100 dollari al giorno, ma oggi quel profitto si è dimezzato e continuare a operare in modo “legittimo” è molto più complesso.

Di conseguenza, secondo il Rapporto sul Cybercrime di SonicWall, il cryptojacking illegale è di nuovo in crescita. Nel primo trimestre del 2021 sono stati registrati 34,2 milioni di attacchi di cryptojacking, il numero più alto per trimestre da quando SonicWall ha iniziato a monitorare questi dati. La cosa più preoccupante è che il mese peggiore per il cryptojacking nel 2021 è stato proprio dicembre, con 13,6 milioni di attacchi rilevati. Sebbene il mese di dicembre 2021 non raggiunga i 15,5 milioni di attacchi rilevati in marzo del 2020, rappresenta comunque un secondo posto che non è il punto di partenza ottimale per il 2022.

Sono stato infettato da un malware di cryptojacking?

I cryptominer sono interessati a sfruttare la potenza di calcolo delle loro vittime, e i cryptojacker devono trovare il giusto equilibrio tra anonimato e profitti. La quantità di risorse che possono sottrarre alla vostra CPU dipende dai loro obiettivi.

Se sottraggono meno potenza diventa più difficile per gli utenti ignari accorgersi di loro, se ne rubano di più aumentano i profitti. Naturalmente ci sarà un impatto sulle prestazioni in entrambi i casi, ma se la soglia è abbastanza bassa potrebbe essere difficile distinguere un miner da un software legittimo.

Gli amministratori aziendali possono monitorare i processi sconosciuti nei loro ambienti, mentre gli utenti finali che utilizzano il software di Windows dovrebbero avviare Process Explorer di Sysinternals per vedere quali processi sono in esecuzione. Allo stesso modo, gli utenti Linux e macOS dovrebbero utilizzare rispettivamente System Monitor e Monitoraggio Attività per tenere sotto controllo i loro sistemi.

Come difendersi dai cryptojacker

Il primo passo per difendersi dai cryptominer consiste nel bloccare questo tipo di malware a livello del gateway tramite firewall o soluzioni di email security (sicurezza perimetrale), che è uno dei metodi più efficaci per contrastare le minacce note basate su file.

Poiché le persone tendono a riutilizzare vecchio codice, scoprire i cryptojacker è relativamente semplice. Tuttavia SonicWall prevede un aumento di nuove varianti e tecniche di cryptojacking, dato che i cryptojacker hanno tempo per sviluppare nuovi strumenti. Inoltre, il cryptojacking potrebbe diventare uno dei metodi preferiti dai cybercriminali per il fatto che agisce di nascosto; i danni limitati e indiretti per le vittime ne diminuiscono la possibilità di essere scoperto e prolungano la sua durata utile in caso di successo.

Se il ceppo del malware è sconosciuto (nuovo o aggiornato), è in grado di superare i filtri statici del perimetro di sicurezza. Se un file è sconosciuto, viene reindirizzato a una sandbox per verificarne la sua natura.

Il servizio multi-engine Capture Advanced Threat Protection (ATP) di SonicWall con l’ispezione in tempo reale (RTDMI)™ si è dimostrato altamente efficace nel prevenire il malware evasivo in grado di ingannare un engine ma non gli altri.

Se un endpoint non è protetto da questa configurazione tipica (ad es. in caso di roaming all’aeroporto o in hotel), è necessario installare un prodotto di sicurezza degli endpoint dotato di funzionalità di rilevamento comportamentale.

I cryptominer possono agire nei browser o infiltrarsi tramite un attacco fileless, cioè senza l’uso di file, per cui le soluzioni tradizionali preinstallate sui computer non sono in grado di vederli.

Le soluzioni di cybersecurity di tipo comportamentale come Capture Client ATP sono in grado di rilevare il malware che consente il cryptomining e di interromperne il funzionamento. A quel punto un amministratore può facilmente mettere in quarantena ed eliminare il malware o, se un attacco ha danneggiato i file di sistema, può ripristinare l’ultima configurazione di sistema funzionante prima che venisse eseguito il malware.

Combinando una serie di difese perimetrali e analisi comportamentali le aziende possono contrastare le nuove forme di malware, indipendentemente dalle loro effettive tendenze o finalità.

Perché le aziende sanitarie devono fare di più (e meglio) per garantire la sicurezza dei pazienti

/0 Commenti/in /da

Negli ultimi 30 giorni, le violazioni di dati in quasi 40 aziende sanitarie in 20 stati degli Stati Uniti hanno compromesso circa 1,8 milioni di cartelle sanitarie individuali, come riferito dal Dipartimento della sanità e dei servizi sociali (HHS) degli Stati Uniti.

Purtroppo, questa è solo una semplice istantanea di quello che si sta rivelando un altro anno di fuoco: il rapporto sulle violazioni diffuso dall’HHS rivela che nel 2022 sono state finora violate oltre 9,5 milioni di cartelle cliniche (figura 1), dopo la cifra record di quasi 45 milioni di pazienti colpiti l’anno scorso.

Mentre la frequenza degli attacchi al settore sanitario continua ad aumentare in tutto il mondo – con attacchi recenti in Costa Rica, Francia e Canada, tra gli altri – il numero totale in tutto il mondo è sicuramente molto più alto.

Come avviene la violazione di un’azienda sanitaria?

Le violazioni ai server di rete e ai sistemi di posta elettronica rimangono il principale vettore di attacco e rappresentano più dell’80% del totale (figura 2).

Figura 1

Image describing Figure 1 Chart

Figura 2

Image describing Figure 2
Image describing Figure 2

Ogni cartella clinica contiene numerose informazioni demografiche e sanitarie, composte da diciotto identificatori secondo i requisiti della norma sulla privacy HIPPA. I 18 identificatori comprendono:

  1. Nome
  2. Indirizzi
  3. Tutte le date, inclusa la data di nascita, data di ammissione e di dimissione, data di morte, ecc.
  4. Numeri di telefono
  5. Numero di fax
  6. Indirizzi e-mail
  7. Numero di previdenza sociale
  8. Numero di cartella clinica
  9. Numero del beneficiario dell’assicurazione sanitaria
  10. Numero di conto
  11. Numero di certificato o di licenza
  12. Identificativi e numeri di serie del veicolo, compresi i numeri di targa
  13. Identificativi e numeri di serie dei dispositivi
  14. URL web
  15. Indirizzo IP
  16. Identificatori biometrici, come ad es. impronte digitali o vocali
  17. Fotografia del viso
  18. Qualsiasi altra caratteristica in grado di identificare in modo univoco la persona

I criminali informatici preferiscono rubare le cartelle cliniche elettroniche (EHR) o i dati sanitari personali (PHR) perché risultano più utili in numerose attività criminali come furto d’identità, frodi assicurative, estorsione e così via. Grazie alle numerose possibilità per sfruttare questi dati in modo fraudolento, i cybercriminali riescono a ottenere un prezzo più alto nel dark web. Allo stesso tempo, queste azioni illegali possono causare un enorme stress mentale e danni finanziari a lungo termine alle persone che hanno subito il furto.

Le agenzie di lotta al crimine informatico nelle varie giurisdizioni nazionali dispongono di sufficienti attrezzature e finanziamenti, ma questo non impedisce ai cybercriminali di agire impunemente e senza timore di essere catturati. Mentre le tattiche, tecniche e procedure (TTP) degli hacker si evolvono e diventano sempre migliori nell’eludere il rilevamento, le strutture sanitarie non possono più correre il rischio di farsi trovare impreparate o avere capacità difensive inadeguate.

Per molte organizzazioni colpite da questi attacchi, l’impatto per i pazienti, i fornitori di servizi sanitari e gli acquirenti è stato catastrofico. Una violazione di dati comporta enormi rischi per un’azienda sanitaria e può compromettere gravemente la sua capacità di fornire assistenza vitale ai pazienti. In un recente rapporto del Ponemon Institute, il 36% delle aziende sanitarie consultate ha riferito maggiori complicazioni per le procedure mediche e il 22% ha segnalato un aumento del tasso di mortalità dovuto agli attacchi ransomware.

Quando le vite umane dipendono dalla disponibilità del sistema sanitario, la cybersecurity sanitaria deve fare di più e meglio per garantire la sicurezza dei pazienti e un’assistenza in ogni momento e in qualsiasi luogo.

Come può aiutare SonicWall

Da oltre 30 anni, SonicWall collabora con i fornitori di servizi sanitari per aiutarli a creare un sistema sanitario più efficiente. In questo lungo arco di tempo, le nostre innovazioni ci hanno permesso di soddisfare nuove aspettative, come ad esempio migliorare la sicurezza, aumentare l’efficienza operativa e ridurre i costi IT.

Oggi, SonicWall collabora con ogni singola organizzazione per creare una strategia di difesa completa che risponda ai suoi obiettivi di business e porti al successo degli operatori sanitari. Grazie all’ampia e consolidata esperienza nelle attività e nei processi del settore sanitario, SonicWall aiuta le aziende sanitarie a evitare sorprese e dedicare maggior tempo alla loro missione principale: garantire la salute e il benessere delle comunità che assistono.

Il cambio di paradigma da “Penso di essere protetto” a “Sono sicuro di essere protetto” inizia con l’approccio Boundless Cybersecurity di SonicWall, ovvero la cybersicurezza senza confini. Questo approccio combina sicurezza, gestione centrale, analisi avanzate e gestione unificata delle minacce nell’intera gamma di soluzioni di sicurezza di SonicWall che formano la piattaforma Capture Cloud. Lo schema dell’architettura illustrato nella figura 3 mostra come le soluzioni di sicurezza SonicWall per la rete, l’edge, gli endpoint, il cloud, la connettività wireless, l’accesso zero trust, il web, la posta elettronica, i device mobili e i dispositivi IoT sono raggruppati in un’unica piattaforma di sicurezza.

Figura 3

Image describing architecture

Con la piattaforma SonicWall Capture Cloud, le aziende sanitarie possono migliorare la loro cybersicurezza creando una strategia di difesa personalizzata multilivello su misura per le proprie esigenze, oppure implementare l’intero stack di soluzioni per realizzare un sistema di sicurezza coerente in tutta l’infrastruttura critica. Combinando queste soluzioni di sicurezza, le aziende che operano nel settore sanitario ottengono la necessaria difesa multilivello e un sistema di sicurezza per controllare, gestire i rischi e conformarsi alle norme in materia di tutela dei dati a livello centrale.

Per scoprire come rafforzare la cybersicurezza sanitaria e rendere l’assistenza ai pazienti più efficiente, resiliente e sicura, scaricate il white paper Cybersecurity senza confini per una sanità più sicura di SonicWall.

SonicWall premia i partner e i distributori per le loro eccellenti prestazioni nel 2021

/0 Commenti/in /da

Il 2021 è stato un anno straordinario per SonicWall, e gran parte del nostro successo lo dobbiamo ai nostri partner e distributori dell’area EMEA. Questo gruppo di professionisti affiatati lavora instancabilmente da oltre un decennio per proteggere i clienti con le soluzioni SonicWall e un eccellente servizio di supporto, aiutandoli a difendersi dal crescente crimine informatico. A tutti loro vanno i nostri più sinceri e sentiti ringraziamenti.

In questo gruppo altamente qualificato, alcuni si sono distinti in modo particolare. Da un’ampia rosa di candidati, in ciascuna categoria è stato scelto un partner per regione che si è distinto per i risultati eccellenti nel 2021. Queste selezioni si sono basate su fattori quali il fatturato annuo, la distribuzione del portafoglio, le attività online, il tasso di successo dei progetti e il livello di certificazione, oltre al livello di impegno e di feedback del team.

“Il successo di SonicWall è sempre dipeso dalla fornitura di soluzioni di sicurezza altamente efficienti attraverso i suoi preziosi partner e distributori”, ha dichiarato Terry Greer-King, Vicepresidente EMEA di SonicWall. “Siamo entusiasti di riconoscere l’impegno di questi straordinari partner SonicWall SecureFirst, che forniscono servizi di sicurezza di altissimo livello a organizzazioni di tutte le dimensioni. Apprezziamo le relazioni leali che abbiamo creato con i nostri partner e clienti, e questi premi sono un modo per riconoscere il loro eccellente lavoro.”

Siamo lieti di annunciare i vincitori del SonicWall Award FY2022 nelle seguenti categorie:

Italy

United Kingdom

Ireland

Norway

Germany

Switzerland

Austria

Spain

France

Saudi Arabia

United Arab Emirates

South Africa

Netherlands & Belgium

 

SonicWall si congratula vivamente con i vincitori del premio e ringrazia tutti per i risultati ottenuti nel 2021. Insieme, potremo avere ancora più successo nel 2022!

Desiderate maggiori informazioni sui vantaggi del programma per i partner SonicWall SecureFirst e su come diventare un nostro partner? Cliccate qui per scoprire i dettagli.

Massima velocità e sicurezza grazie al supporto di TLS 1.3

/0 Commenti/in /da

In genere, i prodotti migliori durano a lungo. Nei primi due anni di produzione della Ford Mustang, nel 1965 e 1966, circa 1,3 milioni di automobili uscirono dagli stabilimenti di Dearborn (Michigan), Metuchen (New Jersey) e Milpitas (California). Di queste, ben 350.000 sono ancora in circolazione oggi e, con la dovuta manutenzione, sono ancora in grado di viaggiare come lo facevano ai tempi dell’amministrazione Johnson.

Ma a parte l’aspetto estetico, per quale motivo una persona dovrebbe acquistare oggi una di queste macchine per gli spostamenti quotidiani? In un crash test o in una prova di velocità, una Mustang di prima generazione non reggerebbe mai il confronto con una Mustang attuale o un qualsiasi veicolo moderno. Le funzioni di sicurezza che oggi diamo per scontate, come gli airbag, l’assistente di corsia, il rilevamento di punti ciechi e l’ABS, sono completamente assenti. Queste automobili vanno bene per un giretto occasionale di domenica, ma non per portare in giro la famiglia.

Quando un prodotto rappresenta una linea di confine tra un oggetto prezioso e un grave disastro, è bene che questo prodotto sia il più sicuro possibile. Lo stesso vale per un’altra innovazione proveniente da Milpitas, in California: i firewall SonicWall. Per sapere se la vostra soluzione attuale è ancora la scelta giusta, può essere utile verificare se le innovazioni che si sono verificate da allora sono state semplici miglioramenti incrementali o grandi passi avanti. Nel caso del supporto per la crittografia TLS 1.3, si tratta sicuramente di grandi passi avanti.

TLS 1.3 è la versione più recente del protocollo di sicurezza a livello di trasporto (Transport Layer Security), che offre una crittografia affidabile per le comunicazioni digitali su Internet. Come nel caso delle automobili Mustang, le moderne innovazioni hanno portato a grandi progressi nell’ambito della sicurezza e delle prestazioni.

TLS 1.3: la sicurezza prima di tutto

Dalla sua introduzione nel 1994, la tecnologia SSL è riuscita con ogni nuova versione a risolvere i problemi delle versioni precedenti, mantenendo al contempo la compatibilità con queste versioni. Purtroppo, mantenere la retrocompatibiltà significava conservare molti cifrari inutili o vulnerabili.

Questi cifrari obsoleti hanno reso la crittografia vulnerabile agli attacchi, offrendo ai criminali uno strumento per aggirare i nuovi progressi in materia di sicurezza grazie a una protezione debole e ormai superata. Alcuni dei cifrari utilizzati fino alla versione TLS 1.2 erano così deboli che un utente malintenzionato era in grado di decrittare il contenuto dei dati senza disporre della chiave di cifratura.

TLS 1.3 rappresenta un cambiamento sostanziale di questo approccio. A causa del forte aumento di attacchi che sfruttavano queste vulnerabilità per la trasmissione – come Lucky13, BEAST, POODLE, Logjam e FREAK –, l’Internet Engineering Task Force (IETF) ha deciso di rimuovere completamente questi cifrari. Grazie a questa modifica, il TLS 1.3 è molto più sicuro.

Inoltre garantisce una maggiore privacy. Nelle versioni precedenti, fino alla 1.2 inclusa, le firme digitali non venivano utilizzate per garantire l’integrità di un handshake ma solo per proteggere la parte dell’handshake che viene dopo la negoziazione della suite di cifratura, permettendo così ai criminali informatici di manipolare la negoziazione e accedere all’intera conversazione.

In TLS 1.3, l’intera procedura di handshake è crittografata e solo il mittente e il destinatario possono decifrare il traffico. In questo modo, per un potenziale aggressore è praticamente impossibile intercettare le comunicazioni client/server e molto più difficile lanciare attacchi man-in-the-middle, mentre le comunicazioni esistenti sono protette anche in caso di compromissione di quelle future.

TLS 1.3: sicuro e veloce

Con TLS 1.3, l’handshake non è solo più sicuro ma anche più veloce. Il processo di handshake in quattro passaggi previsto da TLS 1.2 richiedeva due scambi di andata e ritorno tra i sistemi, che creavano latenza e comportavano un maggior consumo di larghezza di banda e di potenza.

Questi rallentamenti influivano in particolare sul crescente numero di dispositivi IoT (Internet of Things), che hanno difficoltà a gestire le connessioni ad alto consumo di larghezza di banda o potenza, ma spesso richiedono la crittografia a causa dello scarso livello di sicurezza integrata.

Il protocollo TLS 1.3 utilizza molta meno larghezza di banda grazie a un unico scambio di chiavi e supporta un numero molto inferiore di cifrari. E poiché richiede un solo scambio per completare l’handshake, è molto più veloce. La funzionalità 0-RTT (Zero Round Trip Time) di TLS 1.3 è ancora più veloce: in caso di visite successive a un sito offre un tempo di latenza pari a quello di un protocollo HTTP non crittografato.

Il vostro firewall è all’altezza della sfida?

Gli esperti stimano che l’80-90% di tutto il traffico di rete attuale sia crittografato. Tuttavia, molti firewall esistenti non dispongono delle funzionalità o della potenza di elaborazione per rilevare, ispezionare e mitigare gli attacchi informatici inviati attraverso il traffico HTTP, per non parlare del TLS 1.3, e quindi permettono agli hacker di implementare ed eseguire malware con relativa facilità.

Secondo il Rapporto SonicWall 2022 sul Cybercrime, il malware diffuso tramite HTTPS è aumentato del 167% dal 2020 al 2021. A livello globale, SonicWall ha registrato 10,1 milioni di attacchi crittografati nel 2021, quasi quanto nel 2018, 2019 e 2020 messi insieme.

Considerando che in media il 7% dei clienti ha subito un attacco crittografato in un determinato mese, le probabilità che quest’anno la vostra azienda venga presa di mira da un attacco sono molto elevate. Ma se il vostro firewall non riesce a ispezionare il traffico crittografato, e tanto meno quello TLS 1.3, potrebbe essere troppo tardi quando lo scoprirete.

SonicWall supporta la crittografia TLS 1.3

I firewall SonicWall di 7ª generazione (Gen 7) offrono diversi vantaggi, tra cui una maggiore densità di porte e un throughput più elevato per la prevenzione delle minacce con l’analisi completa del malware, una semplicità senza precedenti e prestazioni leader di settore. Ma una delle caratteristiche più innovative della Gen 7 (e delle serie precedenti in grado di utilizzare SonicOS Gen 6.5) è il supporto per la crittografia TLS 1.3.

I firewall SonicWall di nuova generazione con SonicOS 6.5 o superiore offrono l’ispezione TLS completa – decriptano i dati, controllano le potenziali minacce e li criptano di nuovo per una trasmissione sicura –, garantendo al contempo prestazioni ottimali e una visibilità completa.

Dopo tutto, come nel caso delle Mustang d’epoca, un firewall di vecchia generazione non potrà mai essere in grado di gestire il traffico crittografato di oggi e, in un confronto diretto, verrà surclassato dalle soluzioni più recenti. Non lasciate che un firewall obsoleto provochi una falla di sicurezza nella vostra rete: passate oggi stesso a un firewall SonicWall Gen 7.

Comprendere il framework e le valutazioni MITRE ATT&CK – Parte 2

/0 Commenti/in /da

(Nota: nella prima parte abbiamo spiegato come funziona la matrice MITRE ATT&CK e come vengono valutate l’efficacia e l’efficienza di rilevamento dei prodotti di sicurezza. Potete leggerla qui, se non l’avete già fatto.)

Con gli attacchi informatici in aumento su tutti i fronti, oggi più che mai è importante mantenere aggiornata l’infrastruttura di sicurezza. Per un responsabile della sicurezza delle informazioni (CISO) non è semplice scegliere la soluzione di cybersecurity adatta tra le tante offerte disponibili. Come può sapere se ottiene realmente le funzionalità di cui ha bisogno? Ecco alcuni suggerimenti utili:

  • Diffidate di soluzioni con troppi errori, ritardi e modifiche alla configurazione: i fornitori con un numero elevato di ritardi ottengono il rilevamento con mezzi che in genere non rientrano nel normale flusso di lavoro dello strumento, quindi anche il vostro personale dovrà fare la stessa cosa. Se un vendor presenta numerose modifiche alla configurazione, significa che ha dovuto modificare le proprie capacità di rilevamento nel corso del test. Cercate di capire se queste modifiche sono giustificate o se il test è stato manipolato.
  • Diffidate di soluzioni con numerosi dati di telemetria ma poche tecniche utilizzate: i fornitori che pubblicizzano un numero elevato di dati di telemetria, senza però disporre di numerose tecniche, offrono uno strumento che non automatizza la correlazione degli eventi. Ciò significa che dovrete farlo manualmente o che potrebbero verificarsi notevoli ritardi e imprecisioni per ottenere dati significativi. Tali ritardi comportano tempi di risposta più lunghi e quindi un rischio maggiore.
  • Diffidate dei fornitori che inventano un proprio sistema di punteggio: diversi fornitori offuscano risultati mediocri con statistiche e cifre per aumentarne la credibilità, ma che in realtà non hanno senso. Statistiche come “Contesto per avviso” e “100% di rilevamento” (quando un’analisi più approfondita mostra chiaramente che il rilevamento non è stato perfetto) non sono veritiere. Leggete quindi i dati con attenzione!

Capture Client e il framework MITRE ATT&CK

Capture Client di SonicWall è basato sulla tecnologia SentinelOne, che offre protezione autonoma per gli endpoint con antivirus di nuova generazione, EDR (rilevamento e risposta degli endpoint) e Deep Visibility. SentinelOne partecipa alle valutazioni MITRE ATT&CK dal 2018 e ha ottenuto i risultati migliori nelle valutazioni del 2022 (emulazione dei gruppi di minacce Wizard Spider e Sandworm). Qui di seguito vi spieghiamo brevemene come SentinelOne protegge dagli attacchi meglio di qualsiasi altro fornitore.

  1. La protezione autonoma blocca e risolve gli attacchi
    I team addetti alla sicurezza hanno bisogno di una tecnologia rapida, all’altezza di quella utilizzata dai criminali informatici. MITRE Protection determina la capacità di un fornitore di analizzare rapidamente i rilevamenti ed eseguire azioni correttive automatiche per proteggere i sistemi.
    Protezione al 100%: (9 su 9 test MITRE ATT&CK)
    Fonte: www.sentinelone.com
  2. I rilevamenti più utili sono quelli analitici
    I rilevamenti analitici sono rilevamenti contestuali basati su un set di dati più ampio e sono una combinazione di rilevamenti tecnici e tattici.
    Rilevamento al 100%: (19 su 19 fasi di attacco)
    Massima copertura analitica – 99%: (108 su 109 rilevamenti)
    Fonte: www.sentinelone.com
  3. I ritardi di rilevamento compromettono l’efficacia della sicurezza informatica
    Il tempo è un fattore critico quando si tratta di rilevare o neutralizzare un attacco. Per ridurre l’esposizione alle minacce, le aziende devono adottare funzioni di rilevamento in tempo reale e di correzione automatica nel loro programma di sicurezza.
    100% in tempo reale (0 ritardi)
    Fonte: www.sentinelone.com
  4. La visibilità garantisce il rilevamento di tutte le minacce
    La visibilità è l’elemento fondamentale di una soluzione EDR e un parametro essenziale per i risultati di MITRE Engenuity. Per comprendere cosa succede all’interno dell’azienda e individuare con precisione le minacce, la tecnologia di cybersecurity deve disporre della massima visibilità. I dati devono essere accurati e fornire una visione onnicomprensiva di cosa è successo, dove è successo e della persona responsabile, indipendentemente dalla connettività o dal tipo di dispositivo.

Conclusioni

Le valutazioni ATT&CK di MITRE Engenuity continuano a dare impulso al settore della sicurezza, offrendo l’adeguata visibilità e test indipendenti per le soluzioni EDR. Sia che siate un esperto di sicurezza o un professionista alle prime armi, è importante andare oltre i semplici numeri e ottenere una visione olistica di quali vendor sono in grado di fornire una visibilità elevata e rilevamenti di alta qualità, riducendo al contempo l’impegno del vostro team addetto alla sicurezza. I CISO riconosceranno che questi principi orientati al prodotto sono pienamente compatibili con lo spirito degli obiettivi di MITRE Engenuity:

  1. Visibilità e copertura EDR sono la vera posta in gioco: la caratteristica distintiva di una soluzione EDR avanzata è la sua capacità di utilizzare e correlare i dati in modo economico e su vasta scala sfruttando la potenza del cloud. Deve essere in grado di acquisire ogni dato pertinente, con un tasso di errore minimo o nullo, per fornire un’ampia visibilità al team SecOps. I dati, in particolare quelli relativi al rilevamento di tutti gli eventi, sono il requisito essenziale di una soluzione EDR e il parametro chiave di MITRE Engenuity.
  2. Il contesto e la correlazione basati su computer sono indispensabili: la correlazione è il processo che consente di creare relazioni tra innumerevoli punti di dati. Questo processo deve essere eseguito preferibilmente da computer e a velocità di macchina, in modo che gli analisti non perdano tempo prezioso per associare manualmente i dati. Inoltre, le correlazioni devono essere accessibili nel contesto originale per lunghi periodi di tempo, qualora necessario.
  3. Il consolidamento degli avvisi nella console è fondamentale: “Più segnale, meno rumore” descrive in poche parole la sfida per il SOC e i team di risposta agli incidenti, che spesso sono esposti a un sovraccarico di informazioni. Anziché inviare un avviso per ogni singolo dato telemetrico di un incidente, gravando sul team SOC già impegnato in altri lavori, una soluzione dovrebbe raggruppare automaticamente i punti di dati in avvisi consolidati. Nel migliore dei casi, una soluzione dovrebbe correlare le attività in avvisi unificati per fornire informazioni dettagliate a livello di campagna. In questo modo si limitano gli interventi manuali, si evita un’esposizione eccessiva agli avvisi e si abbassa notevolmente il livello di competenze necessarie per rispondere agli avvisi. Tutto ciò migliora le prestazioni del SOC, riducendo i tempi di contenimento e i tempi di risposta a livello complessivo.

Per scoprire come Capture Client offre protezione e rilevamento di altissimo livello, richiedete una prova gratuita qui.