SonicWall NSM 2.3.5 offre funzionalità di avviso avanzate

/0 Commenti/in , /da

Gli avvisi e le notifiche sono aspetti critici dei sistemi di monitoraggio e gestione dei firewall. Gli amministratori dei SOC si affidano a questi avvisi per rilevare e correggere i problemi nel loro ambiente per la gestione della sicurezza di rete. Ma una sovrabbondanza di avvisi può aumentare i livelli di stress e contribuire al cosiddetto “affaticamento da avvisi”, ovvero la tendenza dei lavoratori esposti ad un gran numero di avvisi e allarmi ad ignorarli, riducendo la possibilità di agire rapidamente nel caso di una vera e propria emergenza.

Network Security Manager (NSM) di SonicWall consente agli amministratori di abilitare e disabilitare gli avvisi per tutti i firewall di un tenant da una postazione centrale. Gli amministratori possono scegliere gli eventi per i quali desiderano ricevere avvisi, abilitando gli avvisi che sono per loro importanti e disattivando il resto.

Gli avvisi di NSM sono completamente personalizzabili: gli amministratori possono selezionare la priorità, i destinatari e i canali per ogni avviso e specificare dove inviare le notifiche. Gli avvisi possono essere inviati per e-mail, oppure via SMS tramite l’integrazione con Twilio.

Alert Center e la dashboard di notifica di NSM consentono di visualizzare gli avvisi relativi a tutti i firewall di un tenant in un unico luogo, riducendo così i tempi di risposta a questi avvisi. I log degli eventi che hanno generato un avviso possono anche essere inoltrati a un server Syslog esterno, che a sua volta può essere integrato con un sistema di gestione dei ticket esterno come ConnectWise.

Learn about Customizable Alert Settings in SonicWall NSM 2.3.5.

NSM 2.3.5 offre un elenco completo di avvisi critici nelle seguenti categorie:

  1. Avvisi sulla gestione dei dispositivi: NSM monitora costantemente lo stato del firewall e invia un avviso in caso di eventi cruciali che mettono a rischio lo stato e la connettività del firewall. Gli amministratori possono abilitare avvisi relativi alla connettività dei dispositivi, ad esempio un’interfaccia, per essere informati quando la connessione con un dispositivo si interrompe o viene modificata localmente o non è sincronizzata con NSM. NSM offre anche avvisi relativi al firmware. Questi avvisi segnalano agli amministratori quando è disponibile un nuovo firmware, in modo che possano aggiornare i firewall alla versione più recente e avere la certezza che i firewall sono aggiornati con i miglioramenti e le patch più recenti. Un’altra novità di NSM 2.3.5 sono gli avvisi di failover per alta disponibilità (HA) e WAN. Gli amministratori possono utilizzare gli avvisi di failover HA per scoprire e analizzare rapidamente un guasto del dispositivo principale, il tutto mantenendo la continuità dei servizi IT attraverso un dispositivo secondario, configurato in modo identico a quello principale. Allo stesso modo, gli avvisi di failover WAN segnalano agli amministratori un guasto alla connessione WAN e il reindirizzamento del traffico verso una connessione di backup WAN attiva.
  2. Avvisi di configurazione del firewall: NSM è uno strumento fondamentale per applicare policy di sicurezza coerenti a tutti i firewall di rete. Se si verifica un errore durante l’invio della configurazione ai firewall di rete, NSM può generare un avviso per i commit non riusciti, in modo che gli amministratori possano intervenire e correggere gli errori prima di inviare nuovamente le configurazioni.
  3. Avvisi di autenticazione degli utenti: negli ambienti MSSP o aziendali con diversi utenti e amministratori, sono necessari rigorosi controlli di accesso degli utenti per impedire l’accesso non autorizzato al sistema. NSM è in grado di rilevare quando un utente accede o esce dal sistema e può emettere un avviso corrispondente.

SonicWall NSM offre due opzioni di licenza: NSM Essential e NSM Advanced. NSM Essential offre report per gli ultimi 7 giorni e avvisi limitati, mentre la licenza NSM Advanced offre 365 giorni di report e 30 giorni di analisi con ampie funzioni di notifica, tra cui avvisi VPN Site-to-Site, avvisi sull’utilizzo della rete, ecc.

Gli avvisi in caso d’interruzione della VPN sono importanti per gli ambienti di rete distribuiti in cui le sedi remote sono collegate alle filiali attraverso tunnel VPN. Gli amministratori possono utilizzare questi avvisi per analizzare e correggere i collegamenti VPN in caso di malfunzionamento e per mantenere una connettività di rete stabile e sicura.

Per maggiori informazioni, consultare le funzionalità di gestione centralizzata di SonicWall NSM o la Guida per amministratori di NSM.

10 motivi per eseguire l’upgrade al nuovo firewall SonicWall TZ Gen 7

/0 Commenti/in /da

Spesso le persone faticano a separarsi dalle loro cose. Si affezionano e si sentono a loro agio con gli oggetti che usano regolarmente. Io ad esempio ho un vecchio divano che uso raramente, ma da cui non riesco a separarmi. Questa comfort zone può essere pericolosa, perché a volte ci porta ad attaccarci a cose di cui non abbiamo più bisogno.

Allo stesso modo tendiamo ad abituarci ai nostri vecchi dispositivi di rete. Ma a differenza di un vecchio divano, il mancato aggiornamento delle apparecchiature di sicurezza rischia di compromettere l’intera rete. Questo è il momento migliore per valutare le vostre esigenze reali e passare all’azione. Eliminate quello che non serve, in modo da semplificare la rete, e aggiornate i dispositivi che sono fondamentali per l’operatività.

Un buon firewall è un elemento fondamentale di una rete sicura. Può bloccare i cyber attacchi avanzati e tenere il passo con la velocità, le prestazioni e la produttività richieste dai luoghi di lavoro odierni. Ecco i 10 motivi per cui dovreste considerare l’opportunità di aggiornare il vostro firewall esistente con uno dei nuovi firewall SonicWall di 7ª generazione (Gen 7) della serie TZ (TZ270, TZ370, TZ470, TZ570 e TZ670):

1. Supporto multi-gigabit in formato desktop con elevata densità di porte
Le aziende necessitano di maggiore throughput per supportare le applicazioni ad alto consumo di larghezza di banda, e per fare questo hanno bisogno di porte multi-gigabit. Inoltre, un numero maggiore di porte consente alle aziende di connettere più dispositivi direttamente al firewall.

Perché eseguire l’upgrade: i firewall Gen 7 di ultima generazione della serie TZ sono i primi in formato desktop dotati di interfacce multi-gigabit (2.5/5/10G) o in fibra (SFP+, SFP), mentre i firewall della precedente Gen 6 supportano solo interfacce Gigabit. La serie TZ Gen 7 supporta anche un minimo di 8 porte, mentre la serie TZ Gen 6 ne supporta solo 5.

2. Aggiornamenti hardware con memoria espandibile e alimentazione ridondante
I dispositivi Gen 7 della serie TZ dispongono di una memoria espandibile che consente diverse funzioni come registrazione di log, creazione di report, memorizzazione in cache, backup del firmware e molto altro. È inoltre disponibile un alimentatore secondario che offre ridondanza e garantisce la continuità dei servizi in caso di guasto.

Perché eseguire l’upgrade: i modelli della serie TZ Gen 7 dispongono di uno slot di espansione della memoria nella parte inferiore del dispositivo che consente di ampliare lo spazio di archiviazione fino a 256 GB, mentre i modelli Gen 6 ne sono sprovvisti. Il modello TZ670 ha una capacità di archiviazione di 32 GB espandibile, i firewall delle serie TZ570/670 supportano due alimentatori CA per la ridondanza. L’alimentatore ridondante opzionale è disponibile per l’acquisto con la serie TZ570/670, mentre tutti gli altri firewall Gen 6 e Gen 7 supportano un unico alimentatore.

3. Ispezione firewall e prestazioni DPI e VPN IPSec
I requisiti di larghezza di banda della rete richiesti da applicazioni, streaming video HD, social media e altro ancora continuano ad aumentare. Per tenere il passo occorre un’ispezione firewall più veloce e maggiori prestazioni per DPI e VPN IPSec, in modo da garantire la sicurezza della rete senza rallentare le prestazioni. Un firewall con prestazioni più veloci permette alle aziende dotate di una maggiore capacità di utilizzare velocità internet più elevate e supportare più utenti simultanei e remoti.

Perché eseguire l’upgrade: la serie TZ Gen 7 offre prestazioni firewall, DPI e VPN IPSec fino a 4 volte superiori rispetto ai firewall Gen 6.

4. Maggiore scalabilità e più connessioni (al secondo, SPI, DPI, DPI-SSL)
La possibilità di gestire un maggior numero di connessioni simultanee offre maggiore scalabilità e consente al firewall di mantenere attive e monitorare più sessioni utente simultaneamente.

Perché eseguire l’upgrade: la serie TZ Gen 7 offre un numero di connessioni massime 15 volte superiore rispetto ai firewall Gen 6.

5. Più utenti Single Sign-On (SSO)
La funzionalità Single Sign-On aumenta la produttività dei dipendenti e riduce i costi di supporto per l’IT, consentendo agli utenti di ottenere l’accesso ai sistemi connessi con un singolo ID e una sola password.

Perché eseguire l’upgrade: i firewall Gen 7 consentono a un numero fino a cinque volte superiore di utenti SSO di beneficiare del Single Sign-On rispetto alla Gen 6.

6. Maggiore connettività VPN
Per le organizzazioni con filiali e sedi remote, come le aziende con punti vendita al dettaglio, la possibilità di creare un maggior numero di tunnel VPN site-to-site è essenziale, perché consente di connettere fra loro reti distribuite e di condividere in dati in sicurezza.

Perché eseguire l’upgrade: la Gen 7 offre un numero di tunnel VPN site-to-site fino a otto volte superiore rispetto ai firewall della Gen 6.

7. Più interfacce VLAN
Le VLAN supportano il raggruppamento logico dei dispositivi di rete, riducono il traffico broadcast e consentono un maggiore controllo per l’implementazione delle policy di sicurezza. In questo modo si ottiene una separazione logica dei dispositivi sulla stessa rete. Più interfacce VLAN consentono una migliore segmentazione e maggiori prestazioni per le aziende.

Perché eseguire l’upgrade: la serie TZ Gen 7 offre un numero di interfacce VLAN fino a cinque volte superiore rispetto alla serie TZ Gen 6.

8. Tecnologia 802.11ac Wave 2 con un numero massimo superiore di access point
La tecnologia 802.11ac Wave 2 migliora l’esperienza d’uso del Wi-Fi grazie al supporto della tecnologia MU-MIMO. Un’opzione Wi-Fi integrata consente alle aziende di ampliare la portata della propria rete wireless senza dover acquistare hardware aggiuntivo. In alternativa, l’elevato numero di access point supportati dal firewall garantisce una migliore scalabilità della rete Wi-Fi.

Perché eseguire l’upgrade: il supporto del sistema SonicOS 7.0 è disponibile per le serie Gen 7 e non per le serie Gen 6. I firewall della serie Gen 6 richiedono l’acquisto di una licenza di espansione aggiuntiva per abilitare il supporto BGP, mentre la serie Gen 7 include il supporto BGP di serie in ogni firewall acquistato. Il supporto dell’alta disponibilità stateful è disponibile per la serie TZ Gen 7, ma non per la serie TZ Gen 6.

9. Supporto del nuovo SonicOS 7.0
Il sistema operativo SonicOS 7.0 offre numerose funzionalità tra cui una moderna interfaccia utente, vista topologica, policy migliorate, funzionalità avanzate di gestione, sicurezza e connettività, TLS 1.3 e supporto predefinito per il routing BGP senza bisogno di licenze aggiuntive.

Perché eseguire l’upgrade: SonicOS 7.0 support is available on Gen 7 Series, but not available on Gen 6 Series. Gen 7 includes BGP support as default with every firewall purchase, as well as Stateful HA support.

10. Supporto modem USB 5G
La porta USB 3.0 nei firewall TZ Gen 7 può essere utilizzata per collegare un dongle 5G per la connettività 5G. Mediante i dongle corrispondenti, i firewall sono retrocompatibili con le tecnologie 4G/LTE/3G.

Perché eseguire l’upgrade: il supporto della tecnologia 5G è disponibile per la serie TZ Gen 7, ma non per la TZ Gen 6.

 

Firewall SonicWall TZ di nuova generazione

La serie SonicWall TZ offre una soluzione di sicurezza flessibile e integrata con prevenzione delle minacce ad alta velocità. Progettati per reti di piccole dimensioni e aziende distribuite con sedi remote e filiali, i firewall SonicWall TZ di nuova generazione offrono vari modelli adattabili alle vostre esigenze specifiche.

Siete pronti per l’upgrade al nuovo firewall SonicWall TZ? Con il programma SonicWall Secure Upgrade Plus potete risparmiare se sostituite il vostro firewall SonicWall esistente o altri dispositivi di sicurezza idonei.

Aggiorna il firewall

Cos’è il cryptojacking, e quale impatto ha sulla vostra sicurezza informatica?

/0 Commenti/in /da

La buona notizia è che le criptovalute sono ormai un modello affermato nel mondo della finanza globale. Sono altamente portabili, mantengono il proprio valore, sono utilizzabili per l’acquisto di prodotti e servizi e sempre più popolari tra i normali consumatori.

Possono anche essere uno strumento d’investimento conveniente, se siete abbastanza temerari. In un batter d’occhio è possibile accumulare e perdere enormi fortune a causa dell’alta volatilità che caratterizza molte criptovalute (ad es. Bitcoin, Ethereum, Cardano), con valori che a volte raggiungono livelli astronomici per poi cadere in picchiata nel giro di pochi giorni o settimane. Tuttavia ci sono modi meno rischiosi per fare soldi con le criptovalute, e uno di questi è proprio il “cryptomining.”

Cos’è il cryptomining

Il cryptomining è un processo che convalida le transazioni delle criptovalute in ledger pubblici distribuiti. Ogni transazione è collegata alla transazione precedente e a quella successiva, creando così una catena di record corredati di data e ora. Questo è essenzialmente il funzionamento di una “blockchain”.

Uno dei vantaggi del cryptomining è che chiunque può partecipare senza dover investire nella valuta. Se ad esempio decidete di effettuare il mining di Bitcoin, riceverete dei Bitcoin come compenso per tutti i blocchi di transazioni verificate che avete completato e aggiunto alla blockchain. Per elaborare un blocco di valuta ci vogliono circa 10 minuti.

Tutto quello che vi serve è un minimo di conoscenze su come collegarvi alla rete della criptovaluta, una buona connessione a internet, uno o due server decenti e una fonte di alimentazione costante. Più potenza riuscite a garantire per le vostre attività legittime di cryptomining, più saranno i blocchi che riuscirete ad elaborare e il denaro che guadagnerete.

Ma questo processo ha un inconveniente, e qui arrivano le cattive notizie. I “miner” guadagnano denaro solo se completano il processo di dati più velocemente degli altri, e purtroppo ci sono centinaia di miner che provano a elaborare lo stesso blocco simultaneamente. Per questo motivo, i miner sono alla ricerca costante di nuovi metodi per aumentare il loro hash rate (una metrica della potenza di calcolo per l’elaborazione dei blocchi). Il potenziale guadagno è proporzionale al numero di hash prodotti al secondo.

Alcune persone evitano completamente il processo legittimo e passano al “cryptojacking”.

Perché il cryptojacking è una minaccia crescente

È molto semplice: il cryptojacking è essenzialmente cryptomining, con l’unica differenza che il miner utilizza il computer di qualcun altro senza il suo permesso. Le vittime generalmente ignorano che i loro computer vengano sfruttati per questo scopo, spesso per mezzo di malware introdotti con tecniche di phishing or altri metodi illeciti.

Ad aprile del 2018 SonicWall ha iniziato a monitorare il fenomeno del cryptojacking, registrando quasi 60 milioni di attacchi di cryptojacking in un solo anno. Come descritto nel Rapporto SonicWall 2022 sul Cybercrime, i prezzi delle criptovalute sono saliti alle stelle nel 2021, con un conseguente aumento degli episodi di hacking fino a 97 milioni, vale a dire un aumento del 62% dal 2018.

Cryptojacking is on the rise

A differenza del ransomware, che sfrutta la visibilità dei messaggi e delle email di phishing, i cryptojacker operano in modo invisibile dietro le quinte. L’unico modo per accorgersi che la propria rete o i dispositivi sono stati colpiti consiste nel monitorare il diagramma delle prestazioni della CPU, o notare che la ventola di un dispositivo funziona più spesso del solito.

Negli ultimi due anni abbiamo notato che i gruppi ransomware tendono a passare ad altre attività come ad esempio il cryptojacking. Un motivo apparente di questo cambiamento potrebbe essere che il ritorno sull’investimento per uno schema e un ceppo di ransomware (che in genere richiede mesi di sviluppo) diminuisce non appena viene pubblicato su feed pubblici come VirusTotal.

Come tutti coloro che gestiscono un’attività redditizia, i cybercriminali tendono a essere agili e flessibili nel loro lavoro. Di conseguenza cercano costantemente nuovi modi per raggiungere i propri obiettivi finanziari. Il cryptojacking offre l’agilità necessaria grazie alla relativa semplicità con cui può essere implementato con altre attività criminali.

Il fascino del cryptomining

Con un costo così basso e un rischio praticamente nullo, il cryptomining rappresenta un modello di business molto attraente per i cybercriminali. La maggior parte delle operazioni viene infatti automatizzata tramite il software. Tuttavia, la volatilità della criptovalute e l’aumento dei costi energetici stanno mettendo sotto pressione i miner. Nel 2018 un miner di criptovalute legittimo poteva guadagnare 100 dollari al giorno, ma oggi quel profitto si è dimezzato e continuare a operare in modo “legittimo” è molto più complesso.

Di conseguenza, secondo il Rapporto sul Cybercrime di SonicWall, il cryptojacking illegale è di nuovo in crescita. Nel primo trimestre del 2021 sono stati registrati 34,2 milioni di attacchi di cryptojacking, il numero più alto per trimestre da quando SonicWall ha iniziato a monitorare questi dati. La cosa più preoccupante è che il mese peggiore per il cryptojacking nel 2021 è stato proprio dicembre, con 13,6 milioni di attacchi rilevati. Sebbene il mese di dicembre 2021 non raggiunga i 15,5 milioni di attacchi rilevati in marzo del 2020, rappresenta comunque un secondo posto che non è il punto di partenza ottimale per il 2022.

Sono stato infettato da un malware di cryptojacking?

I cryptominer sono interessati a sfruttare la potenza di calcolo delle loro vittime, e i cryptojacker devono trovare il giusto equilibrio tra anonimato e profitti. La quantità di risorse che possono sottrarre alla vostra CPU dipende dai loro obiettivi.

Se sottraggono meno potenza diventa più difficile per gli utenti ignari accorgersi di loro, se ne rubano di più aumentano i profitti. Naturalmente ci sarà un impatto sulle prestazioni in entrambi i casi, ma se la soglia è abbastanza bassa potrebbe essere difficile distinguere un miner da un software legittimo.

Gli amministratori aziendali possono monitorare i processi sconosciuti nei loro ambienti, mentre gli utenti finali che utilizzano il software di Windows dovrebbero avviare Process Explorer di Sysinternals per vedere quali processi sono in esecuzione. Allo stesso modo, gli utenti Linux e macOS dovrebbero utilizzare rispettivamente System Monitor e Monitoraggio Attività per tenere sotto controllo i loro sistemi.

Come difendersi dai cryptojacker

Il primo passo per difendersi dai cryptominer consiste nel bloccare questo tipo di malware a livello del gateway tramite firewall o soluzioni di email security (sicurezza perimetrale), che è uno dei metodi più efficaci per contrastare le minacce note basate su file.

Poiché le persone tendono a riutilizzare vecchio codice, scoprire i cryptojacker è relativamente semplice. Tuttavia SonicWall prevede un aumento di nuove varianti e tecniche di cryptojacking, dato che i cryptojacker hanno tempo per sviluppare nuovi strumenti. Inoltre, il cryptojacking potrebbe diventare uno dei metodi preferiti dai cybercriminali per il fatto che agisce di nascosto; i danni limitati e indiretti per le vittime ne diminuiscono la possibilità di essere scoperto e prolungano la sua durata utile in caso di successo.

Se il ceppo del malware è sconosciuto (nuovo o aggiornato), è in grado di superare i filtri statici del perimetro di sicurezza. Se un file è sconosciuto, viene reindirizzato a una sandbox per verificarne la sua natura.

Il servizio multi-engine Capture Advanced Threat Protection (ATP) di SonicWall con l’ispezione in tempo reale (RTDMI)™ si è dimostrato altamente efficace nel prevenire il malware evasivo in grado di ingannare un engine ma non gli altri.

Se un endpoint non è protetto da questa configurazione tipica (ad es. in caso di roaming all’aeroporto o in hotel), è necessario installare un prodotto di sicurezza degli endpoint dotato di funzionalità di rilevamento comportamentale.

I cryptominer possono agire nei browser o infiltrarsi tramite un attacco fileless, cioè senza l’uso di file, per cui le soluzioni tradizionali preinstallate sui computer non sono in grado di vederli.

Le soluzioni di cybersecurity di tipo comportamentale come Capture Client ATP sono in grado di rilevare il malware che consente il cryptomining e di interromperne il funzionamento. A quel punto un amministratore può facilmente mettere in quarantena ed eliminare il malware o, se un attacco ha danneggiato i file di sistema, può ripristinare l’ultima configurazione di sistema funzionante prima che venisse eseguito il malware.

Combinando una serie di difese perimetrali e analisi comportamentali le aziende possono contrastare le nuove forme di malware, indipendentemente dalle loro effettive tendenze o finalità.

Infiltrare, adattarsi, replicarsi: uno sguardo al panorama del malware futuro

/0 Commenti/in /da

Cosa pensereste se vi dicessi che gli attacchi malware diminuiscono, ma le varianti di malware sono in aumento? Secondo il Rapporto SonicWall 2021 sul Cybercrime, gli attacchi malware sono diminuiti rispetto al picco di tre anni fa, mostrando un calo complessivo del 43% nel 2020. Sebbene questa possa sembrare una buona notizia, in realtà SonicWall ha rilevato un aumento del 73% di ceppi malware nuovi e aggiornati che non sarebbero stati scoperti dai tradizionali strumenti di difesa basati su definizioni statiche.

Per come stanno le cose, ci aspettiamo che questo trend proseguirà nel prossimo futuro. Ma perché sta succedendo tutto ciò e cosa significa? Penso che il panorama delle minacce sia attualmente così attivo a causa di molti nuovi attori e di un’accelerazione dei tempi di sviluppo.

Nuovi attori

Durante le ricerche per il mio intervento alla prossima RSA Conference su come le generazioni più giovani stiano imparando le tecniche di hacking, ho scoperto che la serie televisiva Mr. Robot ha ispirato molte persone a cimentarsi in questo campo. Questi giovani si avvicinano all’argomento in giovane età e dispongono di maggiori risorse rispetto alle generazioni precedenti. Ci sono molti luoghi sicuri in cui possono mettere alla prova le loro abilità, come ad esempio la piattaforma “Hack the Box”, ma con il passare del tempo desiderano verificare nuove competenze su aziende reali. Quelli più responsabili si limitano a eseguire test di penetrazione, mentre altri passano allo sviluppo di malware e di attacchi.

Quasi tutti i nuovi aspiranti hacker cercano di costruire qualcosa e vedere cosa riescono a ottenere superando le nostre difese. Quasi tutti coloro che ho intervistato nell’ultimo anno si dedicano al ransomware, il che potrebbe spiegare l’aumento del 62% in questo tipo di malware rilevato da SonicWall nel 2020. I ceppi di malware che stanno creando questi giovani sono molto avanzati, e questo mi preoccupa. Da semplici appassionati di una serie TV, stanno diventando veri e propri criminali informatici. Nel caso di Hildacrypt, sono passati dall’elaborazione di una propria versione di Petya alla creazione di un ceppo, seguendo le tattiche del gruppo che ha sviluppato il ransomware SamSam.

Sviluppo più rapido

Altre bande di persone si uniscono ad altri autori di attacchi per creare ransomware e altre forme di malware con moduli diversi (ad es. bootloader dannosi, runner, decripter, ecc.) e metterli alla prova su siti reali. Dopo una serie di attacchi, controllano su VirusTotal se qualcuno ha identificato il loro ceppo. Una volta scoperta la minaccia, modificano il codice per assicurarsi che tutti i file utilizzati abbiano un hash differente (l’hashing di un file è il modo in cui un computer identifica un file). Oltre a ciò, migliorano le prestazioni di un ceppo per renderlo più efficace.

A questo punto viene lanciato il nuovo attacco, e il ciclo si ripete. Ad esempio, WannaCry è stato diffuso in numerose versioni nelle prime settimane degli attacchi iniziali. Sebbene VirusTotal non sia la soluzione migliore in assoluto per il rilevamento del malware, è sicuramente la più importante, per cui gli aggressori verificano spesso se i loro ceppi sono stati registrati, il che avviene di norma dopo un paio di giorni. Con queste informazioni possono integrare nuove tattiche di evasione in base all’ordine con cui sono state scoperte le minacce, creando nuove versioni 2, 3, 4, ecc.

Nel corso del tempo, questi sviluppatori di malware passano da un progetto all’altro, sfruttando le proprie competenze e l’esperienza acquisita per sviluppare nuove varietà di malware con un nuovo gruppo. E quando sono in difficoltà a creare un modulo in proprio o a risolvere un problema, possono rivolgersi a un mercato attivo ed economico, con tanto di assistenza tecnica per aiutarli a risolvere eventuali problemi. Oggi, grazie alle criptovalute, è più semplice ottenere il pagamento di un riscatto da ransomware e poi pagare per l’assistenza ricevuta nello sviluppo del codice. Per questi motivi è prevedibile che nel futuro prossimo sempre più persone si dedicheranno allo sviluppo di malware, con molte nuove varianti all’orizzonte.

Bloccare il malware del futuro

Le minacce persistenti avanzate esistevano già molto prima del ransomware. Un altro problema scottante, ora come in passato, è quello dell’esfiltrazione di dati da fonti aziendali. Ho sempre affermato che il modo migliore per valutare il budget per la sicurezza IT è chiedersi: “Qual è il valore dei miei dati per un eventuale aggressore?”. Molti di noi proteggono eccessivamente dati che sono di scarsa utilità per un aggressore, lasciando però alcuni dati essenziali meno protetti perché secondo noi sono meno importanti. I dati e la proprietà intellettuale dei nostri clienti sono due delle cose che in genere proteggiamo per prime.

Quando elaboriamo un piano per aggiornare la protezione di rete dei clienti, di solito iniziamo dalla rete, poi esaminiamo le connessioni, quindi l’endpoint stesso e infine il suo percorso verso il cloud.

Senza entrare nei dettagli più tecnici, di solito iniziamo con l’ispezione del traffico che entra nella rete. Considerando che oggi il 70% delle sessioni sono crittografate, esaminiamo accuratamente anche questo tipo di traffico. Dopodiché ispezioniamo il traffico alla ricerca di malware sconosciuti, non ancora rilevabili da un firewall tradizionale di nuova generazione. Le soluzioni di sandboxing sono disponibili dal 2011 e si sono molto evolute, permettendo di cercare il malware su più motori tra cui la memoria del sistema, in quanto è proprio qui che molti attacchi (ad es. fileless) tentano di far perdere le proprie tracce, rimanendo ignoti e inosservati dal software di sicurezza.

Ci credereste al fatto che i clienti che utilizzano Capture ATP con Real-Time Deep Memory Inspection (RTDMI) rilevano da 1.400 a 1.600 nuove forme di malware ogni giorno lavorativo, molte delle quali con numerose tattiche di evasione?

SonicWall si occupa di sicurezza IT da ormai 30 anni, e in questi anni abbiamo visto di tutto. Ci siamo evoluti da semplice azienda di firewall a impresa con una vera e propria piattaforma di sicurezza. Come saprete, abbiamo bloccato WannaCry sulle reti dei nostri clienti tre settimane prima che venisse notato il primo attacco più grave. Abbiamo scoperto e dato un nome a diversi nuovi ceppi nel corso della nostra ricerca, e continuiamo a sviluppare nuove e migliori tecnologie per aiutarvi a scoprire e bloccare attacchi sconosciuti, zero-day e nuove varianti nella vostra rete.

 

I firewall SonicWall certificati tramite test di laboratorio NetSecOPEN ottengono una valutazione di sicurezza perfetta per quanto riguarda gli attacchi CVE privati

/0 Commenti/in /da

I clienti che hanno a cuore la sicurezza si trovano a dover affrontare scelte complesse quando si tratta di valutare i fornitori di sicurezza e le offerte dei firewall di prossima generazione.

Per semplificare questo processo e migliorare la trasparenza del mercato della cibersicurezza, NetSecOPEN annuncia che SonicWall è uno dei quattro fornitori di sicurezza ad essere certificato nel suo Rapporto di prova NetSecOPEN 2020.

Verificato con 465 vulnerabilità combinate CVE (Common Vulnerability and Exposure) pubbliche e private presso l’InterOperability Laboratory della University of New Hampshire, il firewall SonicWall NSa 4650 ha ottenuto una valutazione di efficacia di sicurezza del 100% per quanto riguarda tutte le CVE private utilizzate nel test, sconosciute ai fornitori di firewall di prossima generazione. Complessivamente, SonicWall ha ottenuto un punteggio del 99% se si tiene conto dei risultati del test delle CVE pubbliche.

“Questo confronto diretto mette a disposizione di chi acquista soluzioni di sicurezza la validazione delle prestazioni reali e dell’efficacia della sicurezza dei firewall di prossima generazione quando vengono configurati completamente per condizioni realistiche,” ha dichiarato nell’annuncio ufficiale Atul Dhablania, Vicepresidente Senior e COO di SonicWall.

Test dei firewall in condizioni reali

Lo standard aperto NetSecOPEN è stato messo a punto per simulare diverse permutazioni di condizioni di test reali, espressamente per risolvere le sfide che si trovano a dover affrontate i responsabili della sicurezza quando si tratta di misurare e stabilire se i firewall controllati funzionino con le modalità promesse dai fornitori. Il valore di questo servizio risulta massimo quando i risultati dei test contribuiscono ad assumere decisioni chiare e definitive basate su prove incontrovertibili.

SonicWall è tra le prime aziende a risultare superiore in uno dei test comparativi più rigorosi e completi messi a punto per i firewall di prossima generazione a livello industriale. In sintesi, il Test Report NetSecOPEN mette in evidenza che i firewall di prossima generazione SonicWall NSa 4650:

  • Hanno ottenuto uno dei punteggi di efficacia di sicurezza più elevati in assoluto
  • Hanno bloccato il 100% degli attacchi per quanto riguarda tutte le vulnerabilità private utilizzate nel test
  • Hanno bloccato il 99% di tutti gli attacchi complessivi, privati e pubblici
  • Hanno evidenziato le prestazioni più elevate misurate da NetSecOPEN a 3,5 Gbps per la protezione dalle minacce e fino a un throughput di 1,95 Gbps di decrittazione e l’ispezione SSL
  • Hanno confermato che la loro piattaforma di sicurezza aziendale modulare e di prestazioni estremamente elevate è in grado di soddisfare la domanda di sicurezza di volumi di dati e di capacità dei principali data center

Parametri di valutazione delle metodologie dei firewall

I principali indicatori di performance (KPI), come throughput, latenza e altri parametri (vedere sotto), sono importanti per stabilire l’accettabilità dei prodotti. Questi KPI sono stati registrati durante i test NetSecOPEN con l’impiego di configurazioni standard consigliate per il firewall e le funzioni di sicurezza tipicamente utilizzate in condizioni d’uso reali.

KPI SIGNIFICATO INTERPRETAZIONE
CPS Connessioni TCP al secondo Misura la media delle connessioni TCP stabilite al secondo nel periodo di sostenimento. Per le condizioni di test comparativo “Connessione al secondo TCP/HTTP(S)”, il KPI corrisponde alla media misurata delle connessioni TCP stabilite e terminate al secondo contemporaneamente.
TPUT Throughput Misura il throughput medio del Livello 2 durante il periodo di sostenimento, come pure i pacchetti medi al secondo durante lo stesso periodo. Il valore di throughput è espresso in Kbit/s.
TPS Transazioni delle applicazioni al secondo Misura la media delle transazioni delle applicazioni al secondo andate a buon fine nel periodo di sostenimento.
TTFB Tempo fino al primo byte Misura il tempo minimo, massimo e medio fino al primo byte. Il TTFB è il tempo trascorso tra l’invio del pacchetto SYN dal client e la ricezione del primo byte della data dell’applicazione dal DUT/SUT. Il TTFB DEVE essere espresso in millisecondi.
TTLB Tempo fino all’ultimo byte Misura il tempo minimo, massimo e medio di risposta per URL nel periodo di sostenimento. La latenza viene misurata su Client e in questo caso corrisponderebbe al tempo trascorso tra l’invio di una richiesta GET dal Client e la ricezione della risposta completa dal server.
CC Connessioni TCP contemporanee CC Connessioni TCP contemporanee Misura la media delle connessioni TCP aperte contemporaneamente nel periodo di sostenimento.

Prima di assumere un’importante decisione d’acquisto fondamentale per l’azienda ed essenziale per quanto riguarda la sua ciberdifesa, i decisori di solito impiegano moltissimo tempo per l’effettuazione delle necessarie verifiche, che possono comprendere approfondite ricerche dei fornitori, acquisizione di opinioni e consigli degli analisti, consultazione di diversi forum e community online, richiesta di consigli da parte di colleghi e, quel che più importa, individuare una recensione affidabile di terzi che possa guidare nelle decisioni d’acquisto.

Purtroppo, trovare simili recensioni può essere complicato perché la maggior parte dei soggetti che verificano i fornitori e le loro metodologie non è ben definita né segue standard aperti e criteri consolidati per il test e le verifiche comparative delle prestazioni dei firewall di prossima generazione.

Prendendo atto che i clienti spesso si basano su decisioni di terzi per confermare quanto dichiarato dai fornitori, a dicembre del 2018 SonicWall ha aderito, come uno dei primi membri fondatori, a NetSecOPEN, la prima organizzazione industriale dedita alla messa a punto di standard aperti e trasparenti per i test delle prestazioni di sicurezza delle reti adottati dall’Internet Engineering Task Force (IETF).

SonicWall riconosce NetSecOPEN come organizzazione di test e di validazione dei prodotti indipendente e non convenzionata. Aderiamo alla sua iniziativa IETF per standard aperti e metodologia di benchmarking, per le prestazioni dei dispositivi di sicurezza di rete.

Come membro contribuente, SonicWall collabora attivamente con NetSecOPEN e altri membri per contribuire a definire, mettere a punto e stabilire procedure, parametri, configurazioni, misurazioni e KPI di test ripetibili e coerenti per ottenere quello che a detta di NetSecOPEN è un confronto equo e ragionevole tra tutte le funzioni di sicurezza di rete. Ciò dovrebbe dare alle organizzazioni la trasparenza totale per quanto riguarda i fornitori di cibersicurezza informatica e le prestazioni dei loro prodotti.