Archivio Blog - dicembre 2022

Festività e cybersecurity: l’importanza del Machine Learning

In questo periodo dell’anno le aziende si trovano in una situazione di maggior rischio per quanto riguarda gli attacchi hacker. In effetti, durante le festività natalizie le aziende subiscono una riduzione del personale in servizio e quindi sono meno preparate a respingere un attacco informatico.

In questo articolo discuteremo dell'importanza del Machine Learning (apprendimento automatico) nella sicurezza informatica, e di come esso aiuti a rilevare le minacce e a prevedere comportamenti sospetti in termini di sicurezza.

Che cos’è il Machine Learning

L'apprendimento automatico (ML) è un tipo di Intelligenza Artificiale che trae conclusioni basate sui dati in modo simile a come farebbe un essere umano.

Applicare questo meccanismo ai sistemi di cybersecurity significa analizzare i dati degli incidenti di sicurezza, imparare da essi e quindi applicare la soluzione a un nuovo attacco per prevenirlo. I dati grezzi devono essere convertiti in un modello di spazio vettoriale e quindi utilizzati dall'apprendimento automatico per analizzarli e prevenire gli incidenti di sicurezza.

Molte soluzioni di prevenzione della sicurezza utilizzano l'apprendimento automatico. L'obiettivo è combattere le minacce avanzate che si verificano ogni minuto.

Casi d'uso del Machine Learning nella sicurezza informatica

Ci sono molti casi d'uso in cui l'apprendimento automatico aiuta a prevenire gli incidenti di cybersicurezza, di seguito ne riportiamo principalmente tre.

Uno dei casi d'uso è il rilevamento e la prevenzione degli attacchi DDoS. Gli algoritmi di Machine Learning possono essere addestrati per analizzare una grande quantità di traffico tra diversi endpoint e prevedere diversi attacchi DDoS (applicazioni, protocolli e attacchi volumetrici) e botnet.

Per quanto riguarda i server di posta, Hornetsecurity utilizza l’apprendimento automatico all’interno del suo filtro antispam. Questo riconosce in modo affidabile le forme più comuni di attacchi DDoS.

Il secondo caso d'uso è la lotta alle minacce informatiche. Questo include trojan, spyware, ransomware, backdoor, adware e altri. L'algoritmo di Machine Learning può essere addestrato per aiutare gli antivirus a combattere le minacce informatiche sconosciute.

Le soluzioni G DATA utilizzano la tecnologia DeepRay® che protegge gli utenti dai criminali informatici servendosi dell'Intelligenza Artificiale, Machine Learning e reti neuronali. Se la rete neuronale di DeepRay® stabilisce che un file è sospetto, viene eseguita un’analisi approfondita nella memoria del processo nonché di altri processi probabilmente compromessi affrontando rapidamente la minaccia.

CatchPulse Pro protegge gli endpoint aziendali da molteplici vettori di attacco, conosciuti o sconosciuti, con o senza file. Grazie ad un motore basato sull' Intelligenza Artificiale, CatchPulse Pro offre la giusta combinazione di rilevamento, controllo e informazione proteggendo le aziende di tutte le dimensioni senza interferire con i sistemi esistenti o i processi dei dipendenti.

Il terzo caso d'uso riguarda la protezione dagli attacchi alle applicazioni. Le applicazioni sono utilizzate dagli utenti finali e sono soggette a vari attacchi.

Il filtraggio di SafeDNS blocca completamente le applicazioni o i siti indesiderati prima che gli utenti vi accedano, che essi siano HTTP o HTTPS. SafeDNS sfrutta l’Intelligenza Artificiale per analizzare ed elaborare i dati accumulati tramite il servizio di filtraggio in cloud.

Altri prodotti consigliati da AreteK

Durante le vacanze natalizie il personale potrebbe voler controllare le e-mail o seguire l’attività d’ufficio, magari connettendosi al Wi-Fi offerto negli hotel, stazioni ferroviarie o aeroporti. Gli hacker possono approfittare della situazione per portare a termine i loro attacchi informatici.

Per la sicurezza dei vostri dipendenti e della vostra azienda AreteK consiglia per l’accesso remoto:

• Le soluzioni Splashtop basate sul cloud, sicure e facilmente gestibili soddisfano le esigenze di tutti i clienti, dalle multinazionali alle istituzioni accademiche, alle piccole imprese, agli MSP e ai singoli individui. Splashtop rispetta i più recenti standard di sicurezza e regolamenti, tra cui GDPR, HIPAA, SOC 2 e PCI. Inoltre, esperti di sicurezza altamente qualificati aiutano Splashtop a raggiungere i suoi obiettivi in materia di sicurezza e conformità.
• AnyDesk garantisce connessioni desktop remote sicure e affidabili sia per i professionisti IT sia per gli utenti in viaggio. Utilizzando la tecnologia TLS 1.2 standard del settore bancario garantisce che il computer sia protetto dall’accesso non autorizzato e la crittografia asimmetrica RSA 2048 verifica ogni connessione. Inoltre, i server AnyDesk utilizzano la tecnologia di telecomunicazione Erlang per la massima affidabilità.

Protezione degli endpoint. La guida definitiva nel 2023

Gli endpoint di un'azienda comprendono qualsiasi dispositivo connesso alla rete aziendale. Se un dipendente porta il suo telefono personale in ufficio e accede al suo account di lavoro, viene creato un nuovo endpoint potenzialmente sconosciuto al team di sicurezza, il che significa una maggiore vulnerabilità.

Gli hacker sanno bene che la proliferazione degli endpoint aziendali costituisce una risorsa importante per gli attacchi, tra cui ransomware, compromissione delle e-mail aziendali e phishing. È questo che spinge le aziende a cercare piattaforme di protezione degli endpoint, in grado di gestire una risposta efficace e tempestiva.

Piattaforme di gestione degli endpoint: la scelta migliore per le aziende

La piattaforma di protezione degli endpoint unifica la gestione, il monitoraggio e la risposta alla sicurezza degli endpoint in un'unica console.

Una piattaforma di protezione degli endpoint efficace è in grado di proteggere reti e dispositivi con una serie completa di funzionalità di sicurezza, che la rendono la scelta migliore per le aziende:

• Rilevamento degli attacchi noti: il rilevamento degli attacchi noti si basa su un elenco di minacce note per riconoscere e bloccare immediatamente i software dannosi.
• Riduzione degli exploit: impedire agli attacchi di procedere trasversalmente è una capacità fondamentale per prevenire gravi compromissioni della rete.
• Funzioni di automazione: le reti aziendali sono estese, complesse e in continua evoluzione, per cui l'automazione delle funzioni di sicurezza chiave è essenziale per evitare che le soluzioni per gli endpoint si trasformino in una perdita di risorse.
• Analisi e risoluzione dei problemi: gli strumenti di analisi aiutano a comprendere la natura degli attacchi, e le capacità di risoluzione dei problemi sono essenziali per limitare i danni.
• Analisi comportamentale basata sull'intelligenza artificiale: l'intelligenza artificiale consente un'analisi continua in tempo reale, ideale per rilevare comportamenti anomali dovuti a minacce zero-day.

CatchPulse Pro permette di rafforzare la protezione di utenti e dispositivi

CatchPulse Pro è la soluzione di protezione degli endpoint aziendali, alimentata dall'intelligenza artificiale e ottimizzata per il panorama aziendale odierno. Le prestazioni sono messe a punto con precisione per offrire la combinazione ideale di rilevamento, controllo, sicurezza e approfondimenti. Si integra perfettamente con i sistemi di sicurezza e i processi aziendali esistenti, in modo da non creare ostacoli operativi, e soprattutto è in grado di essere scalabile su richiesta.

CatchPulse Pro offre:

• Monitoraggio e protezione sempre attivi ed in tempo reale;
• Protezione completa contro le minacce malware conosciute e sconosciute;
• Una dashboard centralizzata ed intuitiva;
• Modalità di gestione on-premise o online.

Ciò che distingue CatchPulse Pro è il suo motore alimentato dall’ Intelligenza Artificiale. Questo motore gestisce continuamente un elenco automatico di autorizzazioni, consentendo così di negare in modo intelligente per impostazione predefinita senza impattare drasticamente le operazioni aziendali in modo imprevedibile. Inoltre, invia avvisi automatici che consentono al team di sicurezza IT di comprendere le potenziali minacce e di esercitare un controllo totale sugli endpoint aziendali.

CatchPulse Pro si adatta per soddisfare le esigenze dei team di sicurezza IT. Per i team di sicurezza che necessitano di un livello di automazione più elevato (o per i non esperti), CatchPulse è una guida affidabile in grado di gestire costantemente la sicurezza e fornire suggerimenti. Per i team esperti, CatchPulse Pro rappresenta un aiuto prezioso in grado di supportare i team con approfondimenti di sicurezza di alto livello che favoriscono il miglioramento continuo.

Gli hacker sono in continua evoluzione per quanto riguarda le modalità di attacco e gli endpoint rimangono un vettore persistente per le minacce ma, grazie alle piattaforme di protezione degli endpoint alimentate dall'intelligenza artificiale, le aziende hanno un nuovo strumento per difendersi.

Inizia subito la tua prova gratuita di CatchPulse Pro e scopri come questa soluzione offre alla tua azienda una protezione completa degli endpoint.

Per saperne di più a riguardo di SecureAge clicca qui e per avere maggiori informazioni sul prodotto CatchPulse clicca qui

Hornetsecurity: rassegna delle minacce e-mail (Ottobre 2022)

Il Security Lab di Hornetecurity presenta una panoramica delle minacce basate sulle e-mail osservate nel mese di ottobre 2022 e le confronta con le minacce del mese precedente.

Il report fornisce approfondimenti su:

• E-mail indesiderate per categoria
• Tipi di file utilizzati negli attacchi
• Indice delle minacce via e-mail del settore
• Tecniche di attacco
• Marchi aziendali e organizzazioni impersonati
• Campagna e-mail a rischio in evidenza

E-mail indesiderate per categoria

La seguente tabella mostra la distribuzione delle e-mail indesiderate per categoria.

Il seguente istogramma temporale mostra il volume di e-mail per categoria al giorno.

Metodologia

Le categorie di e-mail elencate corrispondono a quelle elencate nell'Email Live Tracking del pannello di controllo di Hornetsecurity che gli utenti abituali conoscono già. Per gli altri, le categorie sono:

Tipi di file usati negli attacchi

La seguente tabella mostra la distribuzione dei tipi di file utilizzati negli attacchi.

Il seguente istogramma temporale mostra il volume di e-mail per tipo di file utilizzato negli attacchi per 7 giorni.

Indice di minaccia e-mail diviso per settore

La seguente tabella mostra l’ Industry Email Threat Index, calcolato in base al numero di e-mail minacciose rispetto alle e-mail pulite ricevute separato per settore (in mediana).

Il seguente grafico a barre visualizza la minaccia basata sulle e-mail per ogni settore.

Metodologia

Organizzazioni di diverse dimensioni ricevono ovviamente un diverso numero assoluto di e-mail; quindi, viene calcolata la quota percentuale di e-mail minacciose rispetto a quelle minacciose e pulite di ogni organizzazione per confrontare le organizzazioni. Poi viene calcolata la mediana di questi valori percentuali per tutte le organizzazioni all'interno dello stesso settore per formare il punteggio finale di minaccia del settore.

Tecniche di attacco

La seguente tabella mostra le tecniche di attacco utilizzate negli attacchi.

Il seguente istogramma temporale mostra il volume di e-mail per tecnica di attacco utilizzata ogni ora.

Marchi e organizzazioni aziendali impersonati

La seguente tabella mostra quali marchi e organizzazioni aziendali i sistemi Hornetsecurity hanno rilevato maggiormente negli attacchi di impersonificazione.

Il seguente istogramma mostra il volume di e-mail per i marchi aziendali e le organizzazioni rilevate negli attacchi di impersonificazione per ora.

Nel mese di Ottobre 2022 Hornetsecurity ha rilevato diverse e-mail di phishing che impersonano MetaMask (un portafoglio software per criptovalute utilizzato per interagire con la blockchain di Ethereum). Il 31 ottobre 2022 è stata rilevata la campagna più estesa che impersona MetaMask. MetaMask entra così nella classifica dei marchi più impersonati di questo mese al 4° posto.

Campagna e-mail a rischio in evidenza

In un attacco di hijacking di conversazioni via e-mail, gli hacker rubano le e-mail delle vittime e poi rispondono a queste e-mail citando la conversazione e l'oggetto dell'e-mail originale nell'e-mail di risposta falsa. Queste e-mail sono spesso difficili da individuare nel traffico di e-mail legittime, perché utilizzano oggetti di e-mail legittimi e contenuti rubati. Tuttavia, se gli aggressori utilizzano più volte la stessa e-mail rubata per questi attacchi di risposta, un amministratore di un'azienda attaccata potrebbe trovare altre e-mail di attacco cercando lo stesso oggetto. Per evitare che ciò accada, gli hacker dietro la campagna di malware QakBot con ID bot BBxx hanno iniziato a inserire caratteri ripetuti negli oggetti delle e-mail rubate.

Negli esempi seguenti (in tedesco), vediamo le e-mail il cui oggetto originale era Erinnerung (la parola tedesca per promemoria). Gli attori hanno utilizzato questa e-mail rubata per generare e-mail dannose cambiando l'oggetto in Erinnerrunng, Erinnneerrungg e Erinnnerruung raddoppiando casualmente i caratteri nell'oggetto. La parte inferiore di ogni e-mail è citata dall'e-mail originale rubata e non è alterata come l'oggetto.

Tratto dall’articolo originale: Email Threat Review October 2022

Leggi anche l’articolo che spiega perché serve una protezione per l’ambiente Microsoft 365, lo trovi qui.

Per saperne di più su Hornetsecurity clicca qui

Per saperne di più sui prodotti Hornetsecurity clicca qui