Resilienza informatica

Da qualche tempo si sta facendo largo il concetto di “resilienza informatica”.

Le aziende hanno preso sempre più consapevolezza del valore delle proprie risorse informatiche, nonché dei dati gestiti. Il punto non è più chiedersi se si verrà attaccati, ma quando.
Oggi poter rilevare le minacce e neutralizzarle prima che raggiungano i sistemi è strategico. Lo è, però, anche la capacità di reagire tempestivamente ed avere gli strumenti in grado di recuperare informazioni e apparati colpiti.

Rilevamento, protezione e disaster recovery sono le parole chiave per il futuro.

Intelligenza artificiale e protezione dati

Nella partita per la protezione dei dati è scesa in campo anche l’Intelligenza Artificiale.
Anche i cybercriminali, però, sanno farne buon uso, nella progettazione di attacchi informatici.

Esistono, infatti, già da tempo dei malware che, grazie all’uso dell’Intelligenza Artificiale, riescono a comportarsi in modo da non essere intercettati dai sistemi di difesa. Si rendono, cioè, “invisibili” ai sistemi di protezione tradizionali e, quindi, in grado di penetrare nelle reti, diffondendosi molto velocemente.

Non a caso si parla di cyberwar, riferendosi a questa nuova era della sicurezza informatica. Grazie all’Intelligenza Artificiale, i cybercriminali hanno visto nel tempo moltiplicarsi le possibilità e la velocità di attacco, andando ad automatizzare tutti quei processi che normalmente richiedono tempo ed energie.

D’altro lato, grazie alla capacità di monitorare ed elaborare informazioni ad una velocità maggiore, l’intelligenza artificiale è impiegata a supporto degli analisti di cybersecurity, creando insieme a loro una vera e propria task force in difesa dei dati. Gli algoritmi sono in grado di analizzare le reti e scovare possibili minacce con una velocità ed un’efficienza decisamente superiori all’essere umano.

Un esempio del connubio fra esperti di sicurezza e IA è il modello ACE – Adaptive Cybersecurity Ecosystem – elaborato da Sophos, in grado di unire, appunto, esperti, processi e tecnologie per fornire un servizio di protezione completo e di altissimo livello.

In questo scenario, l’Intelligenza Artificiale gioca sia nel ruolo di attaccante che di difensore.

IA contro IA, dunque, basate sull’Autonomous Response – risposta automatica –, che applica la stessa tecnica all’attacco ed alla difesa, in una vera e propria gara alla scoperta delle tecniche più avanzate e degli algoritmi più sofisticati.

Disaster Recovery

Nelle strategie di protezione dati non può mancare il disaster recovery.

Le aziende stanno puntando sempre di più su servizi di Disaster Recovery, che consentano loro di non bloccare i processi in caso di incidenti di varia natura: guasto di apparati fisici, furto o cancellazione accidentale di dati.

Si tratta di un “piano B” strategico, che nessuna organizzazione può ignorare.

Un piano di disaster recovery efficace include, tipicamente, non solo il backup dei dati, ma anche dell’infrastruttura, per preservare la propria business continuity.

Per avere un piano efficace di disaster recovery è necessario effettuare un’analisi del rischio in caso di blocco dell’operatività.
Ogni piano dovrebbe avere:

• una mappatura dei sistemi e dei dati business critical
• la definizione dell’ RPO (Recovery Point Objective), cioè il tempo che può trascorrere tra la generazione di un dato e la sua copia di sicurezza (backup)
• la definizione dell’ RTO (Recovery Time Objective), ossia il tempo necessario per riprendere l’operatività

Definiti questi punti, l’azienda è in grado di scegliere il piano più adatto alle sue esigenze.

Un servizio di disaster recovery, quindi, ha una componente consulenziale ed una tecnologica.
Le aziende, infatti, sono sempre più orientate a scegliere soluzioni “As a Service”, che le liberino dalla complessità di gestione degli aspetti IT.

Backup

Una componente importante in una strategia di protezione dati è certamente il backup.

Dal Sophos 2023 Threat Report estrapoliamo alcuni dati salienti sulla situazione attuale delle minacce informatiche:

• Il 94% delle organizzazioni ha subito un attacco informatico l’anno scorso.
• L’esfiltrazione dei dati è il problema di sicurezza che preoccupa di più per il 2023.
• Il 93% degli intervistati reputa difficile gestire la cybersecurity.
• Il ransomware si conferma una delle principali minacce informatiche, i cui effetti impattano le organizzazioni in termini di perdita di dati sensibili e conseguente violazione privacy, oltre ai danni alla reputazione aziendale.

Implementare politiche di backup efficaci è uno dei passaggi fondamentali per la protezione dei dati e dei sistemi. Occorre, però, testare periodicamente i piani di ripristino, per essere certi che tutto funzioni in caso di attacco informatico, per garantire la continuità delle operazioni.

Ne abbiamo parlato diffusamente in questo ebook.

Il backup dei dati mantiene, quindi, un ruolo centrale nella protezione delle informazioni. Proprio per questo le minacce informatiche prendono di mira direttamente il cuore del sistema.

Siamo ormai (purtroppo) abituati ad attacchi mirati da parte dei ransomware, che sequestrano i dati e si diffondono su tutta la rete, rendendo spesso complicate e lunghe le operazioni di ripristino e costringendo le aziende a blocchi prolungati.

Ma c’è di più.

Gli ultimi attacchi informatici prendono di mira prima di tutto proprio i sistemi di backup, li neutralizzano e poi iniziano ad attaccare il resto dell’infrastruttura. Oppure infettano le copie di backup e le modificano, così da compromettere tutte le macchine che vengono ripristinate.

Per questo è indispensabile cambiare approccio: non basta copiare i dati. Serve una infrastruttura che tenga costantemente sotto controllo i backup, per bloccare tentativi di criptazione non autorizzati, ma anche i tentativi di manomissione.

Si è passati, quindi, dalla “semplice” protezione dei dati tramite backup alla “protezione della protezione”, per così dire, ossia del backup stesso.

L’importanza della formazione

La sicurezza passa anche dalla consapevolezza e formazione delle risorse, che restano l’anello debole della catena.

Chi ne ha bisogno?

Praticamente tutti… tutti quelli che, almeno una volta hanno cliccato, distrattamente, su un link o aperto un allegato e si sono ritrovati “in casa” un virus o un ransomware.

Se, poi, si pensa alle tecniche di social engineering, il quadro si amplia ancora di più. Ad esempio, gli attacchi reverse BEC (Business E-mail Compromise), sono simili al phishing, ma in realtà più evoluti, perché puntano a carpire dati. L’attaccante prende di mira una vittima, ad esempio il dipendente di un’azienda, ne studia le abitudini ed i contatti, poi invia una mail “innocua”, cioè non contenente malware. Lo scopo è quello di intraprendere uno scambio di mail e guadagnarsi la fiducia della vittima, per poi in seguito fare richieste mirate ad ottenere informazioni o documenti.

Un’altra tattica può essere quella di impossessarsi dell’account di un responsabile, per far compiere alla vittima determinate azioni. Si tratta, sostanzialmente, dell’hackeraggio di un account aziendale, che risulta appunto credibile e difficile da intercettare.

Esistono soluzioni dedicate all’addestramento delle risorse, per renderle capaci di riconoscere gli attacchi informatici, che nella maggior parte dei casi avvengono tramite campagne di phishing.

Sophos, nostro partner di riferimento per la sicurezza informatica, ha ideato Phish Threat, uno strumento per sensibilizzare le aziende sulla sicurezza delle reti, che educa gli utenti mediante l’uso di simulazioni di attacco e che, in base ai risultati, propone corsi di formazione specifici.

Il 25 e 26 ottobre saremo presenti al 21° Forum ICT Security che si terrà a Roma presso l’Auditorium della Tecnica, iscriviti all’evento per poter seguire il nostro intervento di approfondimento su “TECNOLOGIA E SERVIZI PER UNA CYBERSECURITY AS A SERVICE, SEMPRE PIU’ EFFICACE”. La partecipazione all’evento è gratuita previa registrazione online al seguente link: https://www.ictsecuritymagazine.com/eventi/register

https://www.ictsecuritymagazine.com/notizie/resilienza-informatica-come-giocare-danticipo-sulle-minacce-informatiche/

A remotely exploitable vulnerability in the Cisco Emergency Responder software could allow an unauthenticated attacker to log in to an affected device using the root account, according to a warning from the U.S. tech vendor.

The vulnerability, tracked as CVE-2023-20101, carries a CVSS severity score of 9.8/10 and a “critical” tag from Cisco’s security response team.

From the Cisco advisory:

“A vulnerability in Cisco Emergency Responder could allow an unauthenticated, remote attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted.”

“This vulnerability is due to the presence of static user credentials for the root account that are typically reserved for use during development. An attacker could exploit this vulnerability by using the account to log in to an affected system. A successful exploit could allow the attacker to log in to the affected system and execute arbitrary commands as the root user.”

Cisco said the security defect affects only Cisco Emergency Responder Release 12.5(1)SU4.

The San Jose, Calif. company is urging Cisco Emergency Responder users to immediately apply the available patches, warning that there are no workarounds that address this vulnerability.

The Cisco Emergency Responder software works in tandem with the Cisco Unified Communications Manager to send emergency calls to the appropriate Public Safety Answering Point (PSAP) for a caller’s location.

Available in the US and Canadian markets, the software is used to route emergency calls to a local public-safety answering point (PSAP), alert personnel by email or phone of an emergency call to respond to locally, keep logs of all emergency calls and provide the PSAP with accurate geolocation of the caller in need.

Related: Chinese Gov Hackers Caught Hiding in Cisco Router Firmware

Related: Cisco Warns of WebEx Player Security Vulnerabilities

Related: Live Exploits Underscore Urgency to Patch WS-FTP Server Flaw

Related: US Gov Warning: Firmware Security a ‘Single Point of Failure’

https://www.securityweek.com/cisco-plugs-gaping-hole-in-emergency-responder-software/

In termini di Information Technology, un disastro è qualsiasi tipo di evento che interrompe la rete, mette a rischio i dati o causa il rallentamento o l’interruzione delle normali operazioni. Un piano di Disaster Recovery (DRP) viene creato per affrontare i rischi, ridurre al minimo l’insorgere di questi tipi di eventi e i danni da essi causati.

Disastri comuni che vengono inclusi in un DRP

Attività dannose/attacchi informatici
Utenti malintenzionati, malware, virus e minacce interne possono facilmente causare costosi tempi di inattività e perdite di dati. Poiché i cyberattacchi diventano sempre più frequenti di mese in mese, i DRP tendono a concentrare l’attenzione su quest’area di rischio.

Interruzioni di corrente
Le operazioni devono essere in grado di andare avanti nonostante le interruzioni di servizio, soprattutto se sono prolungate e caotiche come accade in seguito a molti disastri naturali.

Guasti alle apparecchiature
Sebbene il team IT lavori duramente per mantenere tutto in funzione, è importante disporre di piani di failover nel caso in cui qualcosa andasse storto.

Stati di emergenza.
Prima del 2021, molte organizzazioni non prevedevano nella loro pianificazione dei disastri eventi quali una pandemia globale, dimostrando quanto sia importante pianificare anche gli scenari più remoti, non solo quelli più ovvi. In effetti, il piano di Disaster Recovery dovrebbe essere abbastanza completo e non limitarsi a includere gli scenari più probabili.

Che cos’è un piano Disaster Recovery?

Un piano di Disaster Recovery (DRP) per l’IT è un documento formalizzato che un’organizzazione crea per codificare le politiche e le procedure da attuare in risposta a un disastro. Si concentra su ambiti rilevanti per l’IT, come il mantenimento della rete e dei sistemi telefonici VoIP online o la protezione dei dati sensibili attraverso politiche di backup. Il DRP è un elemento del Business Continuity Plan (BCP) dell’organizzazione, e allo stesso modo deve essere testato e aggiornato regolarmente per garantire che il team IT possa avere successo negli sforzi di ripristino indipendentemente dal tipo di disastro.

I DRP sono considerati essenziali in quanto minimizzano l’esposizione al rischio, riducono le interruzioni e assicurano la stabilità economica. Un piano solido e ben realizzato può anche ridurre i premi assicurativi e le potenziali responsabilità, oltre a garantire la conformità dell’organizzazione ai requisiti normativi. I potenziali risparmi possono essere sorprendenti una volta che si determina l’entità del rischio finanziario a cui si va incontro senza un piano di Disaster Recovery.

Per determinare quanto un disastro possa costare alla tua organizzazione, basta considerare il costo dei tempi di inattività del sistema e dei dati persi. Quante vendite andrebbero perse se il sito web o il sistema telefonico non funzionassero per diversi giorni? Quante ore fatturabili andrebbero perse se una settimana di documenti venisse accidentalmente cancellata? Per qualsiasi azienda con più di poche persone, questi numeri possono crescere esponenzialmente molto rapidamente.

Quattro tipi di Disaster Recovery

La condivisione dei file è un ottimo strumento di produttività, ma ciò che ci interessa davvero è la sicurezza. Questo è l’ambito più importante del backup dei dati e del ripristino dei file.

1) Disaster Recovery dei data center
Questo tipo di Disaster Recovery considera l’intero edificio in cui è ospitato il sistema informatico, il data center. Include tutte le caratteristiche e gli strumenti all’interno dell’edificio, come la sicurezza fisica, il personale di supporto, l’alimentazione di riserva, l’HVAC, le utenze e lo spegnimento degli incendi, che devono essere affidabili e funzionanti. Può anche includere ridondanze che mantengono questi sistemi in funzione in caso di interruzioni isolate. La pianificazione di questo tipo di DR può essere molto costosa, poiché include molti costi fisici e di manutenzione del sito.

2) Disaster Recovery basato sul cloud
In questo modo, si sposta tutto l’onere dell’installazione e della manutenzione del sito al provider cloud, utilizzando il suo data center ai sensi di un accordo o un contratto di licenza. Pur riducendo in modo significativo la complessità e i costi per l’utente finale, questa soluzione è più limitata rispetto alla proprietà completa di un data center. Nella maggior parte dei casi, i risparmi sui costi del backup e ripristino da cloud superano di gran lunga le libertà sacrificate dall’assenza di un proprio data center.

3) Disaster Recovery virtualizzato
La virtualizzazione è estremamente popolare, soprattutto in un periodo in cui le macchine virtuali sono più diffuse a causa dei cambiamenti nella forza lavoro. Questo approccio elimina la necessità di ricostruire un server fisico in caso di disastro, rendendo molto più facile raggiungere gli obiettivi di tempo di ripristino (recovery time objectives o RTO) prefissati posizionando un server virtuale su capacità di riserva o nel cloud.

4) Disaster Recovery come servizio
Il Disaster Recovery as a Service (o DRaaS) è un mezzo esternalizzato per garantire il Disaster Recovery IT utilizzando una varietà di approcci diversi. Il DRaaS può essere fornito tramite cloud o come servizio site-to-site. I fornitori possono ricostruire e spedire i server presso la sede del cliente come parte di un servizio di sostituzione del server oppure possono utilizzare il cloud per il failover delle applicazioni, orchestrare il failback ai server ricostruiti e riconnettere gli utenti tramite VPN o Remote Desktop Protocol.

Elementi chiave di un piano di Disaster Recovery

Di seguito sono riportati alcuni elementi importanti da includere nella pianificazione del Disaster Recovery.

Valutazione dell’impatto sul business
Prima di creare il DRP è necessario condurre una valutazione dell’impatto aziendale (business impact assessment o BIA). Questa valutazione completa valuta i sistemi critici di un’azienda e come dare priorità al ripristino di tali sistemi.

Obiettivo del punto di recupero (Recovery point objective o RPO) e obiettivo del tempo di recupero (RTO)
Un RPO determina la quantità accettabile di dati che un’azienda può rischiare di perdere e viene utilizzato per definire le frequenze di backup. L’RTO comporta il calcolo e la definizione di obiettivi relativi al tempo necessario per ripristinare un sistema dopo un disastro.

Luogo di conservazione fuori sede
I server di backup, l’hardware e gli altri materiali necessari per il processo di Disaster Recovery devono essere conservati in un luogo lontano dalla sede principale. La distanza o il numero di luoghi diversi dipenderà dagli scenari di disastro per i quali si sta pianificando. Ad esempio, se il sito principale si trova in un’area soggetta a inondazioni, il sito esterno potrebbe dover essere a centinaia di chilometri di distanza.
Leggi la guida alle soluzioni di backup per saperne di più sull’utilizzo di soluzioni di backup e ripristino dei dati basate sul cloud per soddisfare questa esigenza.

Piano di comunicazione
Un DRP deve facilitare comunicazioni rapide e semplici tra tutti i dipendenti e i fornitori di servizi necessari al processo di recupero. Dovrebbe inoltre stabilire e definire i ruoli e le responsabilità di ciascuno durante un disastro.

Istruzioni chiare e dirette
I migliori DRP sono suddivisi in liste di controllo attuabili, in modo che gli utenti non debbano leggere centinaia di pagine per rispondere a un pericolo immediato.

Nove passi per creare un piano di Disaster Recovery

Ogni azienda ha bisogno di un piano di Disaster Recovery che sia unico come i suoi requisiti di dati. Per definire l’approccio migliore per la propria azienda, si deve valutare il valore dei dati, sistemi e applicazioni rispetto al rischio che l’organizzazione può permettersi di assumere. Quando si crea un piano di Disaster Recovery, bisogna assicurarsi di includere le seguenti fasi:

1) Ottenere l’impegno di tutta l’organizzazione
Tutti i membri dell’organizzazione devono essere consapevoli e in grado di supportare ed eseguire il piano di ripristino. Una pianificazione adeguata partirà dai vertici, in quanto la direzione/proprietà deve sostenere ed essere coinvolta nello sviluppo del processo di pianificazione del Disaster Recovery, assicurando che vengano assegnate risorse adeguate a questo compito.

2) Istituire un comitato di pianificazione
È necessario organizzare un gruppo di stakeholder per supervisionare lo sviluppo e l’implementazione del piano di Disaster Recovery. Il comitato di pianificazione dovrebbe includere rappresentanti di tutte le aree funzionali dell’organizzazione, nonché membri chiave di settori rilevanti come l’IT e la gestione delle operazioni.

3) Eseguire un’analisi dei rischi e un’analisi dell’impatto sul business.
Il comitato DRP dovrebbe preparare sia un’analisi dei rischi che un’analisi dell’impatto sul business per stabilire i parametri di riferimento per la pianificazione. Queste valutazioni dovrebbero includere una serie di disastri, tra cui minacce naturali, tecniche e umane. Ogni settore dell’organizzazione deve essere analizzato per determinare la potenziale minaccia e l’impatto di probabili scenari di disastro.
Il problema di questa funzionalità è che i comuni attacchi ransomware e di crittografia di solito rinominano e criptano i file sulle unità della vittima. È una scelta intenzionale, per aggirare la cronologia delle versioni e il cestino, in modo che non sia facile recuperare i file.

4) Dare priorità alle operazioni
Le esigenze critiche di ogni reparto devono essere valutate in aree quali il personale, i dati/documentazione, le politiche, il servizio e i sistemi di elaborazione.
È importante determinare il tempo massimo in cui un reparto può funzionare senza ogni sistema critico. Il comitato di pianificazione deve anche determinare le esigenze critiche di ciascun reparto per stabilire meglio le priorità di recupero e l’allocazione delle risorse di emergenza. Tutte le operazioni devono essere classificate come essenziali, importanti o non essenziali a seconda della loro priorità.

5) Codificare le strategie di recupero
È necessario ricercare e valutare alternative pratiche per le risorse informatiche perse o inattive in caso di disastro. È importante considerare tutti gli aspetti normali delle operazioni quando si scelgono questi failover o ridondanze.
Questa parte del piano di solito include informazioni dettagliate sull’acquisto e la manutenzione di strumenti e risorse di emergenza (ad esempio, soluzioni di backup e ripristino dei dati), nonché sulla manodopera e su altre considerazioni necessarie per mantenerle pronte all’uso.

6) Eseguire la raccolta dei dati
I dati importanti devono essere raccolti e conservati. La raccolta di dati raccomandata può includere:

Documentazione su backup e ripristino

• Numeri di telefono critici
• Inventario hardware delle comunicazioni
• Documentazione interna
• Registri di gestione delle attività
• Polizze assicurative
• Inventario hardware di rete
• Elenco dei contatti del fornitore principale
• Lista di controllo delle notifiche
• Inventario dei luoghi di stoccaggio fuori sede

7) Organizzare e documentare un piano scritto
Il piano deve includere tutte le procedure dettagliate da utilizzare prima, durante e dopo un disastro. Ciò include una politica per il mantenimento e l’aggiornamento del piano per riflettere qualsiasi cambiamento significativo all’interno dell’organizzazione, nonché un processo di revisione regolare.
Per facilitare l’implementazione, i DRP sono solitamente strutturati in gruppi e responsabilità delegate. Il team di gestione è particolarmente importante perché coordina il processo di ripristino.

Ci dovrebbero essere team responsabili delle funzioni principali, tra cui:

• Funzioni amministrative
• Strutture e Operazioni
• Catena di approvvigionamento e logistica
• Assistenza utenti/servizio clienti
• Backup di computer e IT
• Ripristino dei servizi

8) Testare il piano
Tutti i piani di emergenza devono essere testati e valutati regolarmente. Le procedure per il superamento di questi test devono essere rigidamente documentate. Senza test, è impossibile sapere se tutti gli aspetti di uno scenario di emergenza siano stati affrontati dal DRP finché non è troppo tardi.
Un test iniziale fornirà un feedback su eventuali ulteriori fasi da includere, modifiche alle procedure che non sono efficaci e altri aggiustamenti per migliorare l’efficacia. Questi test possono assumere la forma di liste di controllo, simulazioni o veri e propri blackout forzati. Naturalmente, è meglio eseguire questi test dopo l’orario di lavoro per ridurre al minimo le interruzioni dell’organizzazione.

9) Approvazione e attuazione
Una volta redatto e testato a fondo, il piano di ripristino d’emergenza deve essere approvato dalla leadership dell’organizzazione.
La direzione è responsabile di:

• Stabilire le politiche, le procedure e le responsabilità per la pianificazione d’emergenza disastri e la formazione iniziale del comitato.
• Rivedere e approvare il piano di emergenza su base annuale, nonché conservare la documentazione delle revisioni e dei test per motivi di responsabilità e conformità.
• Assicurarsi che il DRP sia compatibile con qualsiasi fornitore o provider di servizi.

Conclusione

Creare un piano di Disaster Recovery è essenziale per garantire la sopravvivenza di qualsiasi organizzazione che si affida alla tecnologia. Una pianificazione di successo implica trovare soluzioni di Disaster Recovery che si adattino ai requisiti IT specifici dell’azienda e siano pratiche da gestire e testare.

Molte PMI scelgono di collaborare con fornitori di servizi gestiti (MSP) per compensare l’onere di competenze specifiche, mentre altre si rivolgono direttamente a strumenti come NinjaOne, che consentono di sfruttare una tecnologia appositamente creata per semplificare il Disaster Recovery IT. Tali strumenti rendono estremamente semplici operazioni come l’impostazione dei backup, la verifica dei failover e l’avvio di nuovi sistemi dopo un disastro.

Sia che la tua organizzazione desideri mantenere l’amministrazione IT all’interno dell’azienda o esternalizzarla, NinjaOne offre la possibilità di garantire la continuità aziendale con un rapido failover dei carichi di lavoro critici nei nostri centri dati remoti e sicuri. In caso di disastro, puoi contare su una disponibilità immediata dei dati e su sistemi funzionanti grazie a un’infrastruttura basata sul cloud sufficientemente resistente da essere considerata affidabile da migliaia di utenti e fornitori IT di NinjaOne.

Indipendentemente dalle incertezze che si possono incontrare, NinjaOne sarà una parte preziosa della pianificazione di emergenza. Se vuoi vedere di persona i vantaggi, iscriviti oggi stesso a una prova gratuita.

https://www.ictsecuritymagazine.com/notizie/come-creare-un-piano-di-disaster-recovery-drp/

A cyberattack has disrupted hospital computer systems in several states, forcing some emergency rooms to close and ambulances to be diverted, and many primary care services remained closed on Friday as security experts worked to determine the extent of the problem and resolve it.

The “data security incident” began Thursday at facilities operated by Prospect Medical Holdings, which is based in California and has hospitals and clinics there and in Texas, Connecticut, Rhode Island and Pennsylvania.

“Upon learning of this, we took our systems offline to protect them and launched an investigation with the help of third-party cybersecurity specialists,” the company said in a statement Friday. “While our investigation continues, we are focused on addressing the pressing needs of our patients as we work diligently to return to normal operations as quickly as possible.”

In Connecticut, the emergency departments at Manchester Memorial and Rockville General hospital were closed for much of Thursday and patients were diverted to other nearby medical centers.

“We have a national Prospect team working and evaluating the impact of the attack on all of the organizations,” Jillian Menzel, chief operating officer for the Eastern Connecticut Health Network, said in a statement.

Elective surgeries, outpatient appointments, blood drives and other services were suspended, and while the emergency departments reopened late Thursday, many primary care services were closed on Friday, according to the Eastern Connecticut Health Network, which runs the facilities. Patients were being contacted individually, according to the network’s website.

Similar disruptions also were reported at other facilities system-wide.

“Waterbury Hospital is following downtime procedures, including the use of paper records, until the situation is resolved,” spokeswoman Lauresha Xhihani, said in a statement. “We are working closely with IT security experts to resolve it as quickly as possible.”

In Pennsylvania, the attack affected services at facilities including the Crozer-Chester Medical Center in Upland, Taylor Hospital in Ridley Park, Delaware County Memorial Hospital in Drexel Hill and Springfield Hospital in Springfield, according the Philadelphia Inquirer.

https://www.securityweek.com/a-cyberattack-has-disrupted-hospitals-and-health-care-in-five-states/

Venture capital outfit Forgepoint Capital has placed another bet in the cyber-insurance sector, leading a $15 million funding round for New York tech startup Converge Insurance.

The $15 million Series A investment is Forgepoint’s second push into the cyber-insurance sector following last year’s incubation of Surefire Cyber, a startup selling incident response services specifically to cyber insurers, brokers and legal firms.

Converge Insurance describes itself as a modern managing general agent (MGA) that fuses cyber insurance, security, and technology to address the small- and medium-sized business market.

The company says it is building “a proprietary data ecosystem underpinned by expert underwriting” to offer cyber risk solutions for the often-overlooked SMB market.

In tandem with the funding announcement, Converge announced the appointment of Tom Kang as CEO and new partnerships to help scale the business.

“Our mission is to empower policyholders with radically transparent cyber insurance so they can manage technology risks more intelligently,” Kang said. “This funding will enable us to expand our outreach and grow our bench of in-house experts while accelerating the availability of the Converge platform worldwide.”

The decision to invest in technologies for the cyber-insurance ecosystem comes amidst a surge in major ransomware attacks targeting businesses and new insurance mandates around stricter security controls required to renew and maintain policies.

Related: Surefire Cyber Tackles Incident Response With $10M Funding

Related: Improving Security Posture to Lower Insurance Premiums

Related: Cyber Insurance Renewals Powering Anti-Ransomware Success

Related: The Wild West of the Nascent Cyber Insurance Industry

https://www.securityweek.com/forgepoint-capital-places-15m-series-a-bet-on-converge-insurance/

Le organizzazioni che intendono sottoscrivere una copertura assicurativa informatica devono dimostrare al proprio assicuratore di avere già in essere soluzioni per la cybersecurity e il disaster recovery, oltre a fornire informazioni sul loro rischio informatico e sulle best practice adottate.

Quando i dati aziendali risiedono solo in sede (on-premises), la documentazione, la valutazione e il mantenimento di tutte le soluzioni di sicurezza possono presentare diverse sfide, ma sono abbastanza semplici da affrontare per i team IT e di sicurezza che ne sono responsabili. Potrebbero dover installare determinati tipi di serrature sulle porte dei data center, aggiungere telecamere per monitorare il traffico del personale e applicare protocolli specifici che limitino chi può accedere a quali informazioni. All’interno di settori altamente regolamentati, i requisiti delle compagnie assicurative spesso seguono da vicino ciò che è stabilito dalle regole di conformità normativa.

Tuttavia, la pandemia da COVID-19 ha rovinato i piani per l’assicurazione della sicurezza informatica e la gestione del rischio informatico per molte organizzazioni. Nel momento in cui una parte sostanziale della forza lavoro ha iniziato a operare da remoto, la struttura di controllo della sicurezza è diventata meno chiara. La sfida è stata resa ancora più difficile dall’aumento simultaneo dell’uso aziendale delle soluzioni Software as a Service (SaaS).

Oggi, forse c’è solo un compito più impegnativo della creazione di una struttura di controllo efficace, ed è proprio quello di produrre prove che la struttura protegga efficacemente le applicazioni, i dati e gli utenti aziendali.

I responsabili della sicurezza informatica aziendale devono concentrarsi sulla comprensione di come i loro controlli dovrebbero essere strutturati dopo il COVID, nonché su come possono dimostrare l’efficacia di tali controlli ai revisori interni ed esterni, nonché ai loro assicuratori.

Cosa è mutato esattamente?

La pandemia ha ispirato una migrazione della forza lavoro in tutto il mondo. I dipendenti svolgono ancora gli stessi lavori che svolgevano in ufficio, ma molti lo fanno da casa o da altri luoghi remoti.

In questo ambiente ibrido è molto più difficile che i tradizionali metodi di sicurezza perimetrale siano efficaci. Anche se il team di sicurezza fosse in grado di raggiungere la residenza di ciascun dipendente, non avrebbe senso installare telecamere di sicurezza e sistemi di sicurezza sulle porte degli “uffici” domestici. Né è fattibile che un revisore di terze parti si rechi in ogni luogo disparato per verificare che l’ambiente di sicurezza del dipendente sia all’altezza.

Sfide simili sono certamente sorte prima del COVID-19. Si pensi a chi viaggiava per lavoro o a chi doveva portarsi occasionalmente il lavoro a casa. I team di sicurezza in passato richiedevano a questi tipi di lavoratori da remoto di connettersi alla rete aziendale tramite una rete privata virtuale (VPN). I revisori potevano chiedere in che modo l’azienda stesse proteggendo quelle connessioni, ma quando l’azienda aveva bisogno di dimostrare che i suoi controlli più cruciali funzionavano, i dipendenti da remoto rappresentavano in genere l’eccezione piuttosto che la regola.

Il lavoro ibrido e la trasformazione del cloud hanno capovolto quell’equazione. L’importanza e l’efficacia dei controlli perimetrali e delle relative tecnologie di sicurezza sono emerse in tutta la loro criticità. Doversi connettere alla rete aziendale prima di utilizzare un’applicazione SaaS o navigare in Internet può essere noioso e può comportare una scarsa esperienza utente.

Durante la pandemia, alcune organizzazioni hanno preso decisioni tecnologiche rischiose per l’accesso remoto, consentendo il bypass di soluzioni di accesso remoto sovraccariche col risultato che hanno aumentato la loro superficie di attacco. Tutto ciò, combinato con l’aumento del tempo personale trascorso sui dispositivi, ha fatto sì che la superficie di attacco si estendesse anche a servizi spesso ritenuti affidabili come Office 365, Google Suite e una serie di altri strumenti che i dipendenti utilizzano sia nella loro vita professionale che personale. Questo ha creato lacune in molte strategie tecnologiche di sicurezza in cui le funzionalità tradizionali non sono in grado di determinare la differenza tra un’istanza aziendale di Office 365 e un’istanza personale utilizzata a casa. Come risultato di questo ambiente operativo aziendale in rapida evoluzione e del panorama di lavoro ibrido, i requisiti di controllo dei fornitori di assicurazioni informatiche si sono andati intensificando man mano che la frequenza degli attacchi e le conseguenti perdite derivanti da incidenti di sicurezza continuano a crescere.

Quali sono le aspettative degli assicuratori?

Nel momento in cui una organizzazione vuole sottoscrivere una polizza di sicurezza informatica, un assicuratore vorrà naturalmente informazioni sull’attività dell’azienda, sull’ambiente operativo, sul programma di sicurezza informatica e sui relativi controlli. Queste informazioni vengono in genere acquisite durante il processo di richiesta iniziale, di copertura supplementare e di valutazione generale richiesta per la sottoscrizione del rischio. Il processo, spesso cartaceo, per spiegare i controlli in essere, fornire una panoramica del programma di sicurezza informatica/gestione del rischio e la relativa documentazione a supporto è il primo punto di partenza, ma l’assicuratore sempre più spesso vuole vedere anche le prove.

La produzione di prove può spesso essere supportata da attestazioni derivate da audit esterni, valutazioni e penetration test. Tuttavia, qualsiasi risultato di audit o valutazione è un’istantanea nel tempo e riflette l’efficacia e lo stato operativo dei controlli durante un periodo di tempo statico e quindi non riflette le variazioni di come la superficie di attacco di un’organizzazione può cambiare rapidamente. Sempre di più, le compagnie assicurative si stanno muovendo verso soluzioni capaci di monitorare continuamente i cambiamenti dei loro assicurati per evidenziare rischi e vulnerabilità emergenti che potrebbero indicare, e prevedere meglio, situazioni che potrebbero portare a un sinistro.

Cosa significa questo sia per l’assicurato che per la compagnia assicurativa?

La realtà è che si apre l’opportunità per entrambe le parti di avere analisi costanti grazie ad una visibilità continua. La sfida è che con il lavoro ibrido e gli impatti della trasformazione digitale continuativa nel business, è fondamentale guardare oltre il semplice inventario di utenti, identità, dispositivi, applicazioni e dati che possono essere estratti dal tradizionale ambiente operativo del data center. Ora è fondamentale comprendere appieno quei dati insieme all’inventario dei servizi cloud in uso: quelli approvati dall’IT, quelli guidati da business unit (shadow IT) e quei servizi più personali che vengono introdotti ogni giorno dagli utenti.

L’inventario è un punto di partenza, ma è anche importante capire chi accede a quei servizi e come sono configurati, così come quanti dati vengono inviati ai servizi in questione: sono tutti elementi chiave che possono modificare rapidamente il profilo di rischio di un assicurato e spesso non vengono controllati. Infine, è necessario valutare i suddetti servizi cloud dal punto di vista del rischio e delle minacce della supply chain ed essere in grado di rispondere a domande sul livello di sicurezza dell’organizzazione nel cloud.

Il settore delle assicurazioni sta sempre più integrando la scienza attuariale, la valutazione della superficie di attacco e dei controlli in uso nelle aziende, oltre al monitoraggio delle minacce e basa i prezzi delle polizze assicurative sulle previsioni dettate dalla telemetria di quali utenti hanno maggiori probabilità di subire una violazione di dati o altri incidenti di sicurezza che potrebbero portare alla richiesta di un risarcimento. Indipendentemente da se o quando ciò potrebbe verificarsi, i team di sicurezza che stanno trasformando i propri ambienti e modernizzando le proprie architetture dispongono oggi delle capacità e dei dati necessari per comprendere i propri rischi informatici e, in ultima analisi, per fornire la prova che stanno gestendo efficacemente il rischio che desiderano trasferire alle assicurazioni.

A cura di Nate Smolenski, Head of Cyber Intelligence Strategy di Netskope

https://www.ictsecuritymagazine.com/notizie/ambienti-di-lavoro-ibridi-come-influiscono-sulla-copertura-assicurativa-per-la-sicurezza-informatica/

Security researchers tracking a known pre-authentication remote code execution vulnerability in Zoho’s ManageEngine products are warning organizations to brace for “spray and pray” attacks across the internet.

The vulnerability, patched by Zoho last November, affects multiple Zoho ManageEngine products and can be reached over the internet to launch code execution exploits if SAML single-sign-on is enabled or has ever been enabled.

According to researchers at automated penetration testing firm Horizon3.ai, the CVE-2022-47966 flaw is easy to exploit and a good candidate for so-called “spray and pray” attacks. In this case, the bug gives attackers complete control over the system or an immediate beachhead to launch additional compromises.

“Once an attacker has SYSTEM level access to the endpoint, attackers are likely to begin dumping credentials via LSASS or leverage existing public tooling to access stored application credentials to conduct lateral movement,” the company said in a note documenting its work creating IOCs to help businesses hunt for signs of infection.

Horizon3.ai red-teamer James Horseman is calling attention to exposed attack surfaces that put thousands of organizations at risk. “Shodan data shows that there are likely more than a thousand instances of ManageEngine products exposed to the internet with SAML currently enabled,” Horseman said, estimating that roughly 10% of all Zoho Management products may be sitting ducks for these attacks.

“Organizations that use SAML in the first place tend to be larger and more mature and are likely to be higher value targets for attackers,” Horseman warned.

Although Zoho issued patches late last year, Horseman notes that some organizations are still be tardy on deploying the fixes. “Given how slow enterprise patch cycles can be, we expect that there are many who have not yet patched.”

“We want to highlight that in some cases the vulnerability is exploitable even if SAML is not currently enabled, but was enabled sometime in the past. The safest course of action is to patch regardless of the SAML configuration of the product,” Horseman added.

Zoho boasts that about 280,000 organizations across 190 countries use its ManageEngine product suite to manage IT operations.  

The Indian multinational firm, which sells a wide range of productivity and collaboration apps to businesses, has struggled with zero-day attacks and major security problems that have been targeted by nation-state APT actors.

The US government’s cybersecurity agency CISA has added Zoho vulnerabilities to its federal ‘must-patch’ list because of known exploitation activity.

Related: U.S. Agencies Warn of APTs Exploiting Zoho Zero-Day 

Related: Zoho Working on Patch for Zero-Day ManageEngine Vulnerability

Related: CISA Adds Zoho Flaws to Federal ‘Must-Patch’ List 

https://www.securityweek.com/researchers-brace-zoho-manageengine-spray-and-pray-attacks

Dic 01, 2022 Dario Orlandi News, Scenario 0

---

Kaspersky ha pubblicato i risultati di un nuovo sondaggio dedicato all’analisi dello stato della sicurezza informatica nel settore finanziario. Il dato che cattura maggiormente l’attenzione è la percentuale elevatissima di aziende vittime di attacchi, pari addirittura al 93%.

Le tipologie di minaccia incontrate più spesso sono state ransomware e spyware (60%), seguiti a breve distanza dal phishing e dal malware di tipo tradizionale (58%).

Il problema è ben chiaro nella mente degli intervistati: secondo il 67% di essi, infatti, il rischio di un attacco informatico è considerato “alto”. Notevole, però, è anche la fiducia nelle contromisure adottate: una larghissima maggioranza (84% del campione) ritiene che gli strumenti implementati siano adeguati a fronteggiare il pericolo.

Fiducia nelle contromisure

È interessante anche la distribuzione di questo livello di fiducia, che è praticamente identico sia tra i dirigenti (85%), sia tra il personale tecnico (87%). La sicurezza è maggiore nelle organizzazioni più grandi (con più di 1.000 dipendenti), che sono anche più strutturate per seguire un piano di Disaster Recovery preparato in precedenza (95%).

Il 91% degli intervistati ha infatti dichiarato che l’azienda dispone di un piano testato con regolarità, ma la percentuale scende (all’83%) nelle aziende più piccole. Il problema maggiore in questo senso è la mancanza di competenze interne adeguate: lo sostiene il 26% degli intervistati, percentuale che sale al 39% tra le aziende piccole e medie.

Il timore principale nel caso di un attacco sono le perdite finanziarie per i clienti o per l’azienda (44%), seguito dalla frode o dall’uso improprio dei servizi (40%).

Significative sono anche le preoccupazioni che riguardano multe e contenziosi (30%): oltre la metà degli intervistati (57%), infatti, ritiene che i cambiamenti nel quadro normativo aumentino il rischio non conformità.

---

---

---

https://www.securityinfo.it/2022/12/01/il-93-delle-organizzazioni-finanziarie-ha-subito-almeno-un-attacco/?utm_source=rss&utm_medium=rss&utm_campaign=il-93-delle-organizzazioni-finanziarie-ha-subito-almeno-un-attacco

Microsoft says it has observed an increase in the use of HTML smuggling in malicious attacks distributing remote access Trojans (RATs), banking malware, and other malicious payloads.

HTML smuggling leverages HTML5/JavaScript for the download of files onto a victim machine, which in this case of these attacks is an encoded malicious script designed to assemble the final payload directly on the victim computer.

Phishing emails are used to either deliver specially crafted HTML attachments or to direct the intended victim to a web page malicious page designed to smuggle the script.

Microsoft said it observed the Chinese threat actor NOBELIUM leveraged the technique in a series of attacks in May, and is now seeing the same method being used to deliver AsyncRAT/NJRAT, Trickbot, and the banking Trojan Mekotio.

Because the malicious payload is built behind the firewall, the technique allows adversaries to easily bypass standard perimeter security controls that check network traffic for suspicious attachments or patterns.

“Because the malicious files are created only after the HTML file is loaded on the endpoint through the browser, what some protection solutions only see at the onset are benign HTML and JavaScript traffic, which can also be obfuscated to further hide their true purpose,” Microsoft said.

[ Related: Ongoing Campaign Uses HTML Smuggling for Malware Delivery ]

The tech giant said it observed HTML smuggling being used in attacks against banking users in Brazil, Mexico, Spain, Peru, and Portugal, where adversaries were looking to infect victim systems with either Mekotio or Ousaban.

The technique is also making its way into the arsenal of sophisticated threat actors, such as NOBELIUM.

In July and August, adversaries employed HTML smuggling to deliver remote access Trojans (RATs) such as AsyncRAT/NJRAT, while in September the method was used to deploy Trickbot, likely by DEV-0193, an emerging financially motivated cybercrime ring.

The threat actor mainly targets healthcare and education organizations, and shows close connections with ransomware operators, such as those behind Ryuk. DEV-0193 seeks to compromise organizations to sell unauthorized access to ransomware operators.

Disabling JavaScript could prevent such attacks, but that option might not be viable within enterprise environments, where business-related pages and other legitimate resources depend on JavaScript. Thus, a multi-layered defensive approach is recommended.

Related: Ongoing Campaign Uses HTML Smuggling for Malware Delivery

Related: IcedID Trojan Operators Experimenting With New Delivery Methods

https://www.securityweek.com/microsoft-says-html-smuggling-attacks-rise

Web security services provider Cloudflare says it mitigated a distributed denial-of-service (DDoS) attack that peaked at almost 2 terabytes per second (Tbps).

The multi-vector assault was launched by a botnet of approximately 15,000 machines infected with a variant of the original Mirai malware. The bots included Internet of Things (IoT) devices and GitLab instances, Cloudflare said in a new report.

GitLab instances ensnared into the botnet are affected by CVE-2021-22205, a critical (CVSS score of 10) vulnerability that was patched more than six months ago, but which continues to expose tens of thousands of systems.

The 2 Tbps DDoS attack only lasted one minute. The assault combined DNS amplification and UDP floods, company said.

[ READ: ‘BotenaGo’ Malware Targets Routers, IoT Devices with Over 30 Exploits ]

Cloudflare notes that it observed an overall increase  in the number of terabit-strong DDoS attacks over the last quarter, and that network-layer incidents were up 44% quarter-over-quarter.

The trends appear to continue into the fourth quarter of the year as well, with multiple terabit-strong attacks already hitting Cloudflare’s infrastructure.

In August, the web protection firm said it observed a Mirai-variant botnet launching multiple 1Tbps attacks, some peaking at 1.2 Tbps.

Last month, Microsoft said in August it mitigated a massive 2.4 Tbps assault originating from 70,000 sources worldwide. Last year, Amazon and Google said they mitigated 2.3 Tbps and 2.5 Tbps DDoS attacks, respectively.

Related: Operator of ‘DownThem’ DDoS Attack Service Convicted

Related: Mēris Botnet Flexes Muscles With 22 Million RPS DDoS Attack

Related: Organizations Warned: STUN Servers Increasingly Abused for DDoS Attacks

https://www.securityweek.com/cloudflare-mitigates-2-tbps-ddos-attack-launched-mirai-botnet