Malware e ransomware: è allarme sanità

Nel 2020 il settore più bersagliato in Italia per quantità di malware e ransomware unici è stato quello della sanità. A seguire il banking e la PA

A cura di Alessandro Fontana Head of Sales Trend Micro Italia

Nel 2020 il settore più bersagliato in Italia per quantità di malware e ransomware unici è stato quello della sanità. A seguire il banking e la PA. Il dato emerge dall’ultimo report di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime. Per malware unico si intende un singolo programma maligno con caratteristiche proprie. Questa analisi prende dunque in considerazione il numero totale di programmi maligni pensati appositamente per un determinato settore e non il numero totale di volte che sono stati utilizzati per un attacco, numero che ovviamente risulterebbe maggiore.

Nel 2020 sono 20.777 i malware unici e 2.063 i ransomware unici che hanno colpito le strutture sanitarie italiane. Un settore già sotto pressione a causa della criticità e sensibilità dei dati custoditi e che ha dovuto fare i conti con una situazione resa ancora più difficile dal momento sanitario globale. L’esigenza di dover garantire al massimo le prestazioni e l’erogazione dei servizi in un periodo di pandemia ha infatti attratto ancora di più i cybercriminali e costretto le strutture sanitarie ad alzare maggiormente le proprie difese. A seguire, i settori più bersagliati sono stati il banking e il tech per quanto riguarda i malware unici e la PA e i trasporti per i ransomware unici. I numeri alti di malware e ransomware unici indicano che nel 2020 i cybercriminali hanno scelto determinati settori e costruito attacchi su misura, caratterizzati da un’alta targettizzazione e profilazione degli obiettivi.

Il settore della sanità è tra i più bersagliati al mondo per la quantità e la qualità di dati sensibili che custodisce e che ovviamente hanno un grande valore economico. Le minacce più utilizzate negli schemi di attacco sono i malware e i ransomware, veicolati anche attraverso comunicazioni e-mail studiate ad hoc. Le azioni criminali non mirano solo a bloccare i sistemi e magari chiedere un riscatto, ma anche a capitalizzare le informazioni sensibili. É prioritario per le strutture sanitarie prevedere un piano d’azione che includa sia una difesa sul piano tecnologico che un piano formativo del personale in ambito Cyber, per aggiornare costantemente le competenze.

A seguire, i dati dei malware e ransomware unici per tipologia e industry.

Attacchi malware unici in Italia per settore

2020
IndustryCount
Healthcare            20.777
Banking            13.181
Technology            11.984
Government            11.203
Manufacturing              8.865
Utilities              2.279
Transportation              2.050
Financial              1.226
Retail              1.069
Food and beverage                 917
Others 12.229
Unknown 157.363
  243.143

Attacchi ransomware unici in Italia per settore

2020
IndustryCount
Healthcare              2.063
Government                 180
Transportation                 153
Food and beverage                   78
Technology                   48
Manufacturing                   47
Retail                   38
Insurance                   20
Banking                   16
Utilities                   12
Others                   87
Unknown              1.752
               4.494

Ulteriori informazioni sulle soluzioni Trend Micro sono disponibili a questo link

Continua l’estate del cybercrime: cosa fare?

I ransomware colpiscono sempre più forte, ecco alcuni consigli su come proteggersi

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Di recente abbiamo definito questa estate come l’estate del crimine informatico. I principali attacchi ransomware continuano a colpire le aziende a livello globale e gli attacchi possono causare danni significativi, dal punto di vista finanziario, della reputazione e della produttività. Nella maggior parte dei casi, gli attacchi potrebbero essere fermati seguendo quelli che sono i processi e le azioni da intraprendere per avere una postura di sicurezza aziendale in linea con le best practice del settore. Questa è la chiave per fermare la crescente tendenza di attacchi ransomware moderni e di successo. 

Gli attacchi ransomware moderni

Il ransomware moderno sfrutta un’ampia gamma di strumenti e tattiche per navigare nell’infrastruttura aziendale e trovare i “gioielli della corona”. Spesso, il punto di ingresso iniziale è rappresentato da vulnerabilità note che non sono state corrette. Uno degli ultimi attacchi a livello globale ha infatti utilizzato vulnerabilità già conosciute del software Kaseya, oltre a vulnerabilità 0-Day. Sebbene questo sia sempre più raro, gli attacchi che utilizzano nuovi bug possono ancora essere fermati. Indipendentemente da come gli aggressori penetrano l’infrastruttura aziendale, esistono diverse metodologie con cui gli attacchi possono essere individuati e fermati, prima che arrivino al punto di crittografare i dati e chiedere un riscatto. 

Queste sono le possibili conseguenze degli attacchi ransomware di oggi:

  • Il ransomware crittografa i file e poi rilascia una richiesta di riscatto con pagamento in bitcoin
  • Doppia estorsione: ransomware + esfiltrazione di dati. In questo caso se l’utente colpito non paga il riscatto rischia di vedere i propri dati resi pubblici. Maze è stato il primo caso documentato ma altri gruppi cybercriminali hanno seguito l’esempio, come visto di recente nell’attacco a Colonial Pipeline
  • Triplice estorsione. Doppia Estorsione + minaccia di un attacco DDoS. Avaddon è  stato il primo caso documentato
  • Estorsione quadrupla. Ransomware + (Possibile Esfiltrazione di dati o DDoS) + invio diretto di e-mail alla base clienti della vittima. Cl0p è stato il primo caso documentato, come descritto da Brian Krebs

Fermare gli attacchi grazie a una corretta igiene della sicurezza

Gli attacchi multi-estorsione possono essere fermati  sfruttando le soluzioni di sicurezza, ma è importante avere una profonda conoscenza della problematica per poter individuare quelli che sono i segnali iniziali. Questa è una lotta quotidiana per molte aziende, che potrebbe essere risolta facendo in modo che un partner di sicurezza gestisca con personale specializzato l’infrastruttura di sicurezza.

In ogni caso esistono alcune azioni che dovrebbero essere attivate rapidamente come parte delle migliori pratiche di sicurezza dell’organizzazione, per mitigare il rischio portato dagli attacchi:

  • Abilitare il monitoraggio del comportamento e il machine learning con le configurazioni consigliate. Ciò impedisce ai client di aver bisogno di aggiornamenti o nuovi rilevamenti quando viene scoperto un importante evento, come l’attacco Kaseya
  • Mantenere un solido piano di gestione delle patch. Questo protegge dalle vulnerabilità note applicando gli aggiornamenti disponibili. Le patch virtuali  possono anche coprire il periodo fino a quando la patch ufficiale non è disponibile o applicata
  • Utilizzare l’autenticazione a più fattori o a 2 fattori per gli account amministrativi critici, in particolare nei sistemi pubblici. Questo rende più difficile per gli aggressori abusare di credenziali compromesse per ottenere l’accesso al sistema
  • Praticare la regola di backup 3-2-1. Se si verifica un attacco ransomware di successo, è fondamentale mantenere almeno tre copie dei dati aziendali in due formati diversi, con una copia air gap posizionata fuori sede. Ciò garantisce di poter ripristinare le funzionalità senza dover pagare il riscatto per decrittografare i file

Queste non sono ovviamente le uniche azioni di sicurezza che aiutano a proteggere le aziende, ma sono quelle che prevengono i punti di ingresso più comuni negli attacchi ransomware di oggi. Avere tutta la potenza di una soluzione di sicurezza attivata e ottimizzata per il proprio ambiente elimina le crepe e le lacune e ferma l’attacco subito. Le capacità di monitoraggio comportamentale e di machine learning di Trend Micro, per esempio, hanno identificato il componente ransomware dell’incidente Kaseya. Questo significa che i clienti Trend Micro erano protetti prima che l’attacco fosse noto. Inoltre, Trend Micro è perfettamente in grado di gestire la security di quelle aziende che non hanno le risorse per mantenere il proprio stack di sicurezza. Questo garantisce il più alto livello di protezione disponibile. 

1/4 delle vulnerabilità vendute nel mercato cybercriminale ha più di tre anni

Una nuova ricerca Trend Micro pone l’accento sull’importanza del virtual patching

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

ll 22% degli exploit venduti nei forum underground ha più di tre anni. Questo il dato che emerge da “The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground”, l’ultima ricerca Trend Micro. È quindi assolutamente prioritario, per le aziende, focalizzare la propria attenzione e gli sforzi relativi al patching su quelle vulnerabilità che mettono più a rischio l’organizzazione, anche se “vecchie” di diversi anni.

I criminali sono al corrente che le aziende lottano per stabilire le priorità e applicare tempestivamente le patch. La nostra ricerca mostra che i ritardi vengono spesso sfruttati. La validità di una vulnerabilità o di un exploit non è correlata alla disponibilità di una patch, gli exploit più vecchi sono più economici e quindi potrebbero essere più popolari tra i criminali che fanno acquisti nei forum underground. L’applicazione di patch virtuali rimane il modo migliore per mitigare i rischi di minacce note e sconosciute.

Il report rivela diverse curiosità legate alle vulnerabilità e agli exploit legacy, ad esempio:

  • L’exploit più vecchio venduto nell’underground era relativo alla vulnerabilità CVE-2012-0158, un RCE Microsoft
  • La vulnerabilità CVE-2016-5195, nota come exploit della “mucca sporca – dirty cow”, è ancora in corso dopo cinque anni
  • Nel 2020 WannaCry era ancora la famiglia di malware più rilevata e a marzo 2021 erano presenti oltre 700.000 dispositivi vulnerabili in tutto il mondo
  • Il 47% dei criminali informatici ha cercato di prendere di mira i prodotti Microsoft negli ultimi due anni

Il rapporto rivela anche un calo del mercato delle vulnerabilità zero-day e N-day negli ultimi due anni. Questo è dovuto in parte alla popolarità dei programmi di bug bounty, come la Zero Day Initiative di Trend Micro, ma anche all’incremento della modalità Access-as-a-Service come nuova forza nel mercato degli exploit. Un pacchetto Access-as-a-Service ha i vantaggi di un exploit e la maggior parte del lavoro è già stato fatto. I prezzi nell’underground partono da 1.000 USD.

Le diverse tendenze cybercriminali si stanno combinando e questo crea un rischio maggiore per le organizzazioni. Con quasi 50 nuove vulnerabilità scoperte al giorno, la pressione sui team di sicurezza, che si ingegnano per stabilire le priorità e distribuire patch tempestive, non è mai stata così grande. Oggi il tempo medio per avere una patch relativa a una nuova vulnerabilità è di circa 51 giorni. Per colmare questa lacuna nella sicurezza, è fondamentale il virtual patching, basato sulla tecnologia di prevenzione delle intrusioni, che offre un modo semplice per proteggere i sistemi vulnerabili, o a fine ciclo, da minacce note e sconosciute.

Ulteriori informazioni sono disponibili a questo link

Il report “The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground” è disponibile a questo link

Una strategia cloud-first genera un rating del 79% per il canale dedicato alla cybersecurity

Trend Micro conferma la posizione di leadership nella Canalys Global Cybersecurity Channel Matrix

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Siamo felici di annunciare di essere stati nominati “Champion” nella Canalys Global Cybersecurity Leadership Matrix per il secondo anno consecutivo. In seguito a un importante aggiornamento del nostro partner program, abbiamo visto miglioramenti straordinari nel programma di canale, che ha raggiunto una valutazione del 79%.

“Lo status di Champion di Trend Micro dimostra la forza della sua strategia channel-first e l’efficace supporto di partner con diversi modelli di business”. Ha affermato Matthew Ball, Chief Analyst di Canalys. “Trend Micro ha dimostrato di essere un leader e un partner abilitatore nelle principali aree emergenti, inclusa la protezione della migrazione cloud e la hybrid security, tramite i marketplace cloud“.

Canalys colloca Trend Micro al secondo posto nel quadrante, con le migliori metriche per quanto riguarda i partner che si contraddistinguono per “velocità dei prezzi e competitività” (82%) e “impegno nei confronti dei partner di canale” (80%).

Canalys sottolinea gli eccezionali progressi di Trend Micro in numerose aree chiave:

  • A dicembre 2020, il 53% dei partner aveva venduto prodotti SaaS, di cui oltre il 30% era passato a un modello SaaS-only
  • 28% di crescita anno su anno nell’area MSP, grazie alla campagna Hello MSP e all’offerta Vision One (SOCaaS)
  • 9% di nuovi clienti in più grazie ai partner, rispetto all’anno precedente. Crescita nel fatturato dell’8%
  • Oltre 25.000 partner attivi
  • La forza di una piattaforma cloud-first


In Trend Micro sappiamo che la nostra leadership nel cloud è più forte quando i partner fanno parte dell’ecosistema. Ecco perché ci impegniamo così tanto per aggiornare il nostro programma e per raddoppiare le attività di canale cloud-first. Siamo molto soddisfatti che un’altra analisi indipendente sulle nostre prestazioni elogi così tanto l’impegno continuo che abbiamo nei confronti dei partner.

Annunciato nell’aprile 2021, il principale aggiornamento del programma di canale Trend Micro offre più risorse di servizi cloud ai partner e premia i successi del cloud-first con sconti aggiuntivi. “Trend Micro è leader nell’assicurare la protezione dei workload cloud dei clienti tramite i partner”. Ha affermato Canalys. “Ha semplificato l’approvvigionamento e la distribuzione tramite i marketplace cloud ed è stato il primo fornitore di sicurezza indipendente a consentire il costo a consumo per i clienti su AWS Marketplace”.

Più recentemente, abbiamo annunciato una nuova piattaforma di servizi per supportare la crescita continua dei partner durante la pandemia. Questa include nuovi servizi:

  • Partner Mobile App: lanciata in ottobre e con oltre 1.300 download a Q1 2021
  • Marketing Central: Una piattaforma di contenuti per le campagne che ha generato un aumento del 55% dei download di documenti di vendita rispetto al 2019, e circa 7.000 download di contenuti di vendita e marketing nel primo trimestre del 2021
  • Demo Cloud / Product Cloud: una funzionalità basata su cloud che consente ai partner di provare le soluzioni Trend Micro e invitare i clienti a testarle, uno strumento avvincente per la generazione di lead. I partner hanno eseguito oltre 20.000 demo istantanee nel 2020, continuando la lead generation durante la pandemia
  • Un portale per i partner rinnovato: gli accessi unici dei partner sono cresciuti del 143% nel 2020, rispetto al 2019, e del 76% nel primo trimestre del 2021


Ulteriori informazioni sul partner program Trend Micro sono disponibili a questo link

Sistemi di controllo industriali: è allarme ransomware

Nuova ricerca Trend Micro, che coinvolge anche l’Italia, sugli ambienti industriali

A cura di Gastone Nencini, Country Manager Trend Micro Italia

In tutto il mondo, Italia compresa, le industrie sono a rischio di subire blocchi della produzione e furti di dati sensibili a causa di attacchi ransomware. Il dato emerge da “2020 Report on Threats Affecting ICS”, l’ultima ricerca Trend Micro.

I sistemi di controllo industriali sono molto difficili da proteggere e il rischio è di avere numerose lacune di security pronte a essere sfruttate dai cybercriminali. Alcuni governi, come quello degli Stati Uniti, equiparano oggi la gravità di un attacco ransomware e di uno terroristico, anche questo dovrebbe convincere i proprietari di aziende nei mercati industriali a mettere la security in cima alla lista delle priorità e a rifocalizzare gli sforzi di sicurezza.

I sistemi di controllo industriali (ICS) sono elementi cruciali all’interno di industrie, fabbriche e impianti e sono utilizzati per il monitoraggio dei processi industriali nelle reti IT-OT. Un ransomware che riesce a penetrare questi sistemi è in grado di bloccare le operazioni per giorni e di entrare in possesso di dati critici, come progetti, programmi, invenzioni e brevetti.

La ricerca Trend Micro svela che i ransomware più pericolosi per le industrie, e che insieme hanno raggiunto più della metà delle infezioni nel 2020, sono Ryuk (20% di attacchi), Nefilim (14,6%), Sodinokibi (13,5%) e LockBit (10,4%).

Il report inoltre rivela:

  • I cybercriminali utilizzano gli endpoint ICS per il mining di criptovalute, sfruttando sistemi operativi senza patch che sono ancora vulnerabili a EternalBlue
  • Alcune varianti di Conficker si stanno diffondendo all’interno di endpoint ICS che utilizzano nuovi sistemi operativi, attraverso attacchi di “forza bruta”  ai privilegi degli amministratori
  • Alcuni vecchi malware come Autorun, Gamarue e Palevo, sono ancora presenti nelle reti IT-OT e si diffondono attraverso i dispositivi rimovibili

Lo studio di Trend Micro pone l’accento sull’urgenza di una cooperazione più stretta tra i team IT e OT, per identificare i sistemi chiave e le dipendenze, come ad esempio la compatibilità con i sistemi operativi e i requisiti di up-time, con l’obiettivo di sviluppare strategie di security più efficaci.

Trend Micro raccomanda le seguenti misure:

  • Implementare un patching veloce è vitale. Nel caso non sia possibile, si può considerare la segmentazione della rete o il virtual patching, come quello offerto da Trend Micro
  • Affrontare i ransomware in seguito a un’intrusione mitigando le cause dell’infezione alla radice, attraverso software di application control e strumenti di rilevamento e risposta, per pulire le reti in base agli indicatori di compromissione
  • Limitare le condivisioni di rete e rinforzare l’utilizzo di combinazioni username/password forti, per prevenire gli accessi non autorizzati attraverso la forzatura di credenziali
  • Utilizzare un IDS o un IPS per sondare i comportamenti normali di rete e identificare attività sospette
  • Scansionare gli endpoint ICS in ambienti air gap, utilizzando strumenti indipendenti
  • Stabilire punti di scansione malware all’interno dei dispositivi USB, e verificare gli strumenti utilizzati per trasferire dati tra endpoint in ambienti air gap
  • Applicare il principio del privilegio minimo agli amministratori e agli operatori delle reti OT

Ulteriori informazioni sono disponibili a questo link

Il report “2020 Report on Threats Affecting ICS” è disponibile a questo link

Trend Micro: la super vista per respingere le super minacce

Come organizzare la corretta strategia di security

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Vedere meglio e bene per rispondere più velocemente e in maniera efficace. Sembrerebbe banale, ma il primo punto fondamentale per poter reagire a una minaccia è vederla arrivare, oppure essere in grado di distinguerla in mezzo a molte segnalazioni non realmente pericolose. La vista è uno dei cinque sensi che caratterizzano l’essere umano, per molti è il più importante, ed è fondamentale anche nella cybersecurity.

Saper distinguere i pericoli è essenziale, questo vale sia da un punto di vista tecnologico che esperienziale. La giusta tecnologia utilizzata con consapevolezza è infatti il binomio corretto per approcciarsi al meglio alla cybersecurity, laddove venga meno una di queste due caratteristiche si avrà un punto debole dal punto di vista tecnico, ovvero aziende che senza la corretta infrastruttura di security sono esposte ai pericoli, oppure da un punto di vista dell’organico, ovvero organizzazioni che senza le corrette capacità rimangono in balia dei cybercriminali. Le competenze devono riguardare tutti i livelli dell’azienda, non solo chi si occupa di security o IT, ma tutti i dipendenti e soprattutto il top management che oggigiorno è uno dei target principali del cybercrime, che lo bersaglia con l’obiettivo di compiere truffe amministrative. Chi si occupa di security dovrebbe chiedersi se i propri colleghi sono in grado di distinguere una mail di phishing, per esempio, considerato che secondo l’ultimo rapporto dei laboratori Trend Micro oltre il 90% delle minacce arriva via e-mail e nel 2020 sono state 16,7 milioni le e-mail ad alto rischio indirizzate a utenti di webmail e che avevano già oltrepassato i filtri nativi di sicurezza delle applicazioni. Inoltre, ad aprile 2021, l’Italia è il terzo Paese al mondo e primo in Europa più colpito da malware, con i settori sanità, manifatturiero e PA in cima alla classifica dei più attaccati.

Aggiornate le competenze all’interno dell’organizzazione dal punto di vista “umano”, lato tecnico si devono considerare due aspetti: la complessità delle infrastrutture moderne e la sofisticazione sempre maggiore delle minacce. Quest’ultime sono sempre in evoluzione, in un’eterna lotta a guardie e ladri entrambe le parti affinano le “armi” e le strategie a disposizione. Anche le infrastrutture sono destinate a evolversi in maniera molto articolata e già oggi vediamo una moltitudine di livelli e sistemi che non comunicano tra loro, resi ancora più complicati dalla recente remotizzazione del lavoro. Ma ogni settore ha le proprie esigenze specifiche, pensiamo ad esempio all’Industry 4.0 o alla sanità, che hanno infrastrutture e dispositivi che si dividono tra sistemi legacy in via di connessione e altri già connessi ma rimasti senza difesa perché non pensati per un’eventuale connessione in rete, come i tachigrafi oppure le presse.

Nei prossimi mesi e anni la digital transformation accentuerà questo processo, le infrastrutture aziendali diventeranno sempre più complesse e gli attacchi sempre più insistenti, dando vita a numerosi campanelli di allarme che non sempre però saranno i portavoce della minaccia reale. Perché se un punto fondamentale è vedere arrivare la minaccia, è anche importante saperla distinguere ed etichettare nella maniera corretta. Per compiere questa operazione è necessario possedere la giusta tecnologia, in grado di avere una visione sull’intera infrastruttura a tutti i livelli e sulle singole parti, anche quelle che non comunicano tra loro.

Trend Micro Vision OneTM, grazie alla tecnologia Trend Micro di rilevamento e risposta estesi (XDR), aiuta i team di sicurezza a vedere di più e a rispondere più velocemente. Trend Micro ha già aiutato centinaia di organizzazioni a identificare e ridurre il rischio informatico attraverso la correlazione degli avvisi nell’intera infrastruttura, grazie alla prima soluzione XDR del settore, presentata nel 2019. Con Trend Micro Vision One assistiamo a un miglioramento della tecnologia di rilevamento e risposta, a una nuova visibilità dei rischi, a ulteriori integrazioni di terze parti e alla possibilità di una risposta semplificata alle minacce nei diversi i livelli di sicurezza. Grazie a Trend Micro Vision One le organizzazioni possono vedere meglio, e massimizzare così l’efficienza, focalizzando le risorse del team IT e di sicurezza sulle reali minacce.

Trend Micro presenta la soluzione di Zero Trust più ampia del mercato

Trend Micro estende la propria vision per supportare e mettere al sicuro la forza lavoro nel post-pandemia, fornendo informazioni esclusive sui rischi cyber

A cura di Alessandro Fontana Head of Sales Trend Micro Italia

Trend Micro offre una visibilità completa sull’identità e sullo stato di sicurezza dei dispositivi, grazie alle informazioni sui rischi più complete del mercato. Questo è un punto cruciale per ogni organizzazione che vuole raggiungere una reale ed efficace sicurezza Zero Trust.

Secondo Forrester[1] “La Zero Trust Network Access (ZTNA) è la tecnologia di security della pandemia. Pur liberando modestamente gli utenti da una tecnologia VPN antiquata, ha ispirato le organizzazioni a reimmaginare come la sicurezza e il networking possano essere utilizzati sia oggi che in futuro”.

Con una forza lavoro sparsa sul territorio, che utilizza una varietà di dispositivi per accedere a risorse aziendali ospitate in diversi luoghi, dal data center aziendale alle applicazioni cloud o SaaS, le aziende non possono più presumere che i dispositivi verificati o affidabili e le identità individuali siano sicuri. Zero Trust è la strategia chiave per migliorare la sicurezza dei dati e dei sistemi critici. È il modello da seguire per proteggere l’ambiente di lavoro ibrido in continua evoluzione, in modo più agile ed efficace di quanto possano fare le architetture di sicurezza legacy.

Oggi il mercato è in continuo cambiamento. Le decisioni relative al trust e all’accesso vengono prese senza il contesto appropriato o una comprensione completa del rischio, che dovrebbe avvenire attraverso le cosiddette soluzioni Zero Trust.

Le aziende di prodotto hanno vantato per anni abilità Zero Trust, mettendone l’etichetta su qualsiasi tipo di soluzione, ma senza capire come misurare effettivamente tale capacità. Trend Micro è in grado di fornire informazioni critiche sull’identità e sullo stato dei dispositivi grazie alla tecnologia XDR, garantendo la massima visibilità e capacità di analisi del rischio su tutte le tecnologie utilizzate dagli utenti di un’azienda. Un punto fondamentale per la creazione di una strategia Zero Trust di successo.

La strategia Zero Trust di Trend Micro si basa sulle capacità di Trend Micro Vision One e mette a disposizione le informazioni grazie alla soluzione XDR più ampia ed efficace del mercato, in grado di fornire analisi di telemetria all’interno di e-mail, cloud, reti e applicazioni SaaS. Questa strategia offre continue analisi di postura della sicurezza e informazioni complete per permettere ai team di prendere decisioni tempestive e consapevoli.


Highlight della soluzione:

  • Controlli di sicurezza basati su una valutazione continua dell’utente, del dispositivo, dell’app e dei contenuti. Questo include il controllo degli accessi automatizzato e la segnalazione degli incidenti per le indagini, oltre alla creazione di dashboard per i CISO e i team SOC.
  • Una connessione sicura viene stabilita in base alle valutazioni, ogni volta che un dispositivo o un utente provano ad accedere alle risorse corporate. Questo include un’integrazione dell’API Cloud Access Security Broker (CASB) con le app SaaS, punti di rete rafforzati in base alle risorse aziendali e supporto per il blocco degli accessi a quelle specifiche applicazioni che utilizzano agenti endpoint esistenti.

La visibilità dei team SOC sull’utilizzo della posta elettronica è particolarmente importante, perché l’attività di phishing da parte di utenti interni potrebbe indicare che le identità degli utenti sono state compromesse. Un primo segnale comune di un attacco ransomware in corso.

Le aziende possono utilizzare i punteggi Trend Micro relativi alla Zero Trust per supportare soluzioni SASE di terze parti e portare così valore aggiunto. I responsabili aziendali possono, invece, utilizzare le informazioni e le dashboard per comprendere al meglio come la postura di sicurezza della propria azienda si evolve nel tempo.

Ulteriori informazioni sull’approccio Zero Trust di Trend Micro sono disponibili a questo link


[1]Forrester, New Tech: Zero Trust Network Access, Q2 2021(David Holmes, April 2021)

Perché gli analisti SecOps lottano per sopravvivere

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Le violazioni sono inevitabili, ma è il modo in cui si reagisce che fa la differenza. Questa filosofia è stata adottata da anni dalle organizzazioni più mature al mondo nel campo della sicurezza informatica. Eppure solo di recente questo approccio si è diffuso nella maggior parte delle imprese. Ciò ha portato a una nuova attenzione sul processo di rilevamento e risposta alle minacce, grazie alla creazione dei Security Operations Center (SOC). Rispetto alla teoria però, la realtà può essere molto diversa. Senza gli strumenti giusti, gli analisti SecOps, sia interni che esterni al SOC, possono trovarsi sotto una pressione estrema che influisce sulla produttività, sulla soddisfazione sul lavoro e sulla condizione mentale. La risposta a questo problema non passa solo dalla tecnologia, ma anche attraverso l’investimento in una piattaforma in grado di aiutare gli analisti a dare la giusta priorità agli avvisi in modo efficace. Quest’ultimo può essere un ottimo punto di partenza.

Oltre la difesa del perimetro della rete aziendale

Le tecniche di attacco moderne e furtive hanno reso il tradizionale approccio “castello e fossato” in gran parte insostenibile. Non è efficace concentrare tutti gli strumenti di sicurezza informatica in possesso nella difesa del perimetro della rete aziendale, quando i malintenzionati possono entrare abbastanza facilmente, tramite  phishing e credenziali trafugate. Basta dare uno sguardo superficiale ad alcuni dei più popolari marketplace del dark web per capire che ottenere tali accessi è facile, oggi più che mai. Una volta dentro, gli stessi cybercriminali usano strumenti come Cobalt Strike, PSExec e Mimikatz per rimanere sotto i radar, spostandosi al tempo stesso lateralmente, rendendo ancora più difficile il loro rilevamento.

Il vecchio modello di sicurezza perimetrale è ormai superato, perché il perimetro stesso, come già noto, è scomparso da tempo. Oggi comprende un ambiente distribuito di endpoint in remoto, app e infrastrutture cloud, dispositivi IoT e molto altro ancora. È fluido e si estende ben oltre i confini della rete aziendale tradizionale. La negligenza, o poca consapevolezza, dei dipendenti è inoltre un altro pericoloso fattore di rischio. Soprattutto oggi che il personale lavora da remoto, su dispositivi potenzialmente insicuri che condividono con altri membri della famiglia. Distrazioni e comportamenti rischiosi a casa rendono più probabile la possibilità che i dati di accesso aziendali finiscano per essere venduti sul dark web.

Sommersi dagli allarmi

Tutto ciò ha posto un’attenzione molto maggiore sui processi di rilevamento e risposta alle minacce aziendali e sul lavoro svolto da parte degli operatori di sicurezza. Ma sia che tu stia gestendo un SOC o gestendo un team di analisti all’interno di un tradizionale reparto di sicurezza IT, c’è un problema. Le organizzazioni hanno accumulato un gran numero di strumenti di sicurezza negli ultimi anni. La sfida è che tutte queste soluzioni emettono allarmi in grandi quantità e su base giornaliera. I SIEM non sempre fanno il loro lavoro per trovare l’ago in questo pagliaio, a meno che non vengano messi a punto regolarmente ed in maniera continuativa nel tempo da esperti.

Il risultato è un sovraccarico degli avvisi e una nuova ricerca  Trend Micro indica che ciò sta causando seri problemi per i Team SecOps. Abbiamo intervistato oltre 2.300 responsabili di  IT security in 21 Paesi, in organizzazioni di tutte le dimensioni e abbiamo scoperto che oltre la metà (51%) ritiene che i propri team siano sommersi dagli allarmi. La percentuale aumenta maggiormente per chi opera in settori come quello immobiliare (70%), legale (69%), hospitality (65%) e retail (61%).

Il 55% ha ammesso di non essere sicuro circa le capacità di stabilire le priorità o di rispondere a questi allarmi. Ciò significa che alcuni di questi passeranno accidentalmente senza essere adeguatamente indagati (falsi negativi). Molti altri saranno analizzati nonostante siano un falso allarme, facendo perdere tempo agli analisti. In media, più di un quarto (27%) del tempo dei team SecOps è dedicato alla gestione di questi falsi positivi.

SecOps sotto pressione

Sfortunatamente, questo sta avendo anche un grave impatto sul benessere degli analisti. Circa il 70% degli intervistati riferisce di sentirsi emotivamente influenzato dal proprio lavoro. Molti non riescono a rilassarsi a causa dello stress e dell’impossibilità di staccare la spina, diventando irritabili con amici e familiari quando finalmente riescono a ottenere un po’ di tempo libero.

Molti altri hanno affermato che la pressione li ha portati a disattivare del tutto gli avvisi, ad allontanarsi dal proprio computer sentendosi sopraffatti dal volume di alert ricevuti o addirittura a ignorare completamente gli avvisi. Inutile sottolineare che questo tipo di comportamento rende molto più probabili le possibilità di una violazione irreparabile. Con il moderno ransomware c’è il rischio sia di interruzioni del servizio paralizzanti, che di furto di dati regolamentati dal GDPR, con conseguenti maggiori controlli e potenziali multe. Anche il pagamento del riscatto non è una garanzia che il rischio sia stato affrontato. La ricerca evidenzia che i gruppi di hacker hanno sempre più probabilità di rompere la loro promessa di non diffondere i dati rubati, anche una volta che la vittima in questione li ha pagati.

Un approccio migliore

Qual è allora la soluzione al problema? I team SecOps possono avere molti strumenti di sicurezza, ma l’unica cosa che in molti dimenticano è una piattaforma in grado di stabilire le priorità e correlare gli avvisi su più livelli dell’infrastruttura IT. In questo modo su e-mail, reti, server cloud ed endpoint, possono lavorare in modo più produttivo, concentrandosi sui segnali che contano e filtrando i pericoli.

I risultati potrebbero essere determinanti e dare la possibilità di  intercettare le minacce più velocemente, prima che abbiano la possibilità di avere un impatto sull’organizzazione. Non solo, ma una volta affrontato il problema del sovraccarico degli avvisi, gli analisti SecOps possono lavorare in modo più produttivo, con livelli di stress inferiori, il personale è più felice e ha meno probabilità di cambiare azienda. Altrettanto importante è l’idea di una sicurezza proattiva come fattore abilitante. Con la speranza che le violazioni gravi possono essere individuate e risolte rapidamente, i leader aziendali potranno investire in nuove iniziative digitali per guidare l’innovazione e la crescita. Questo è esattamente ciò di cui le aziende hanno bisogno, se vogliono pianificare un percorso di ripresa post-pandemia.

Le soluzioni Saas di Trend Micro fanno registrare ottimi risultati nel Q1 2021. L’azienda si dimostra ancora un partner strategico per la gestione della security.

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Sono veramente orgoglioso di Trend Micro e di come sia sempre più riconosciuta come uno dei maggiori player nel mondo della sicurezza informatica. La sua trentennale esperienza nel settore, la sua visione, i suoi ricercatori che nel corso degli anni hanno contribuito in modo sostanziale alla scoperta di nuove metodologie di attacco e nuove vulnerabilità (nel 2020 oltre il 60% delle vulnerabilità mondiali sono state scoperte dalla nostra Zero Day Initiative), sono il valore aggiunto che Trend Micro è in grado di offrire ai propri clienti e partner.

Sono orgoglioso in particolar modo anche del team italiano, formato oggi da più di 30 persone che lavorano non solo per incrementare il fatturato, ma anche per fornire ai partner tutti gli strumenti per poter incrementare il business tramite i servizi gestiti.

In Italia purtroppo è sempre più evidente la mancanza (la definirei ormai cronica) di professionalità veramente preparate nell’ambito della cyber security. A questa mancanza si aggiunge anche il forte sviluppo e utilizzo di nuove tecnologie che hanno sperimentato una forte accelerazione a causa degli ultimi eventi, che tutti quanti abbiamo e stiamo ancora affrontando.

Altro aspetto da considerare è il percorso che molte aziende hanno già intrapreso verso l’ottimizzazione e il consolidamento dei fornitori di sicurezza. Sempre più spesso sentiamo che i clienti hanno preso coscienza che per migliorare la loro sicurezza non è più possibile avere differenti interlocutori per differenti tematiche, ma è preferibile consolidare e avere nella propria infrastruttura prodotti che siano in grado di “comunicare” per garantire maggior sicurezza e visibilità.

Ed è proprio questo l’ultimo punto che apre l’opportunità di proporci sul mercato italiano come un provider unico di servizi di sicurezza gestiti, tramite l’ampio e completo portafoglio di prodotti Trend Micro.

Per esser un partner in grado di soddisfare le richieste dei clienti, è opportuno appoggiarsi a una piattaforma di sicurezza che garantisca:

1 – SaaS e on Premise (Hybrid) per rispondere alle esigenze di tutti i clienti nei vari settori e dimensioni

2 – L’offerta di soluzioni in grado di collegarsi e comunicare con altri prodotti presenti nello stack di sicurezza del cliente

3 – La possibilità di aiutare i clienti a massimizzare gli investimenti in termini di sicurezza

4 – Elevata capacità di Threat Intelligence, visibilità e protezione

Questo è l’approccio che offriamo ai nostri clienti e partner ed è stato confermato dagli ottimi risultati che abbiamo raggiunto nei risultati di Q1/2021, caratterizzati da un forte incremento della parte SaaS e servizi.

La Zero Day Initiative di Trend Micro è la migliore al mondo nella scoperta di vulnerabilità

Uno studio indipendente di Omdia rivela che la ZDI nel 2020 ha scoperto il 60,5% dei bug

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Siamo felici di annunciare che la Zero Day Initiative (ZDI) ha scoperto il 60,5% delle vulnerabilità del 2020, secondo l’ultimo studio di Omdia, dal titolo “Quantifying the Public Vulnerability Market: 2021 Edition”, che ha coinvolto 11 aziende di security di livello mondiale. La ZDI mantiene così la posizione di programma indipendente per la scoperta di vulnerabilità più grande al mondo, per il tredicesimo anno di fila. La ZDI ha registrato il maggior numero di scoperte di vulnerabilità a tutti i livelli di gravità, con il 77% delle divulgazioni di livello critico o di alta gravità.

Come i recenti eventi relativi a Microsoft Exchange Server hanno evidenziato, le vulnerabilità sono cruciali per chi combatte il cybercrime in prima linea. Trend Micro continua a impegnarsi per incentivare i ricercatori a trovare e divulgare in modo responsabile i bug. Di questo beneficiano gli utenti di tutto il mondo e in particolare i clienti Trend Micro TippingPoint, che sono protetti in media per 81 giorni prima che l’azienda colpita da una vulnerabilità rilasci una patch.

Omdia ha valutato 1.365 vulnerabilità uniche e verificate, scoperte nel 2020 e rivendicate dalle 11 aziende esaminate. Di queste, ZDI ne ha rilevate 825, tre volte di più rispetto al vendor in seconda posizione, che ne ha rivelate 242. La ZDI ha aumentato la sua copertura del mercato dell’8,2% rispetto all’anno precedente, rafforzando ulteriormente la sua posizione di leader del settore. Lo studio ha anche riconosciuto il programma ZDI Research Rewards, simile ai programmi frequent flyer, che consente ai ricercatori di guadagnare maggiori premi e bonus continuando a lavorare con la ZDI.

“Il numero delle vulnerabilità scoperte da tutti i ricercatori indipendenti ammonta a meno della metà di quelle rivelate da Trend Micro”. Ha affermato Tanner Johnson, analista principale di Omdia. “La ZDI si concentra sulle vulnerabilità in una vasta gamma di settori, con gran parte dei propri sforzi rivolti alle vulnerabilità nei software di rete e PDF, fondamentali per la sicurezza aziendale”.

Fondata nel 2005, la ZDI di Trend Micro è stata pioniere nel mercato della divulgazione responsabile delle vulnerabilità, con un meccanismo di premi per incentivare i ricercatori. A oggi, il programma ha segnalato più di 7.500 vulnerabilità ai fornitori interessati. Oltre 10.000 ricercatori in tutto il mondo hanno ricevuto più di $25 milioni in premi.

Il report di Omdia “Quantifying the Public Vulnerability Market: 2021 Edition” è disponibile al seguente link