Archivi autore: Trend Micro Italia

Tiberio Molino

Trend Micro Zero Trust Risk Insight (e tutto il fascino della Grignetta)

Dell’approccio Zero Trust – o della “filosofia” come qualcuno dice – c’è ampia documentazione nel web, nonostante sia un tema relativamente recente almeno a livello pratico.

Nella sua accezione più tradizionale lo Zero Trust è stato applicato principalmente – ma non solo – alla segmentazione delle reti per creare aree ben identificate da regole definite in precedenza, un’attività impegnativa e non scevra da possibili errori di configurazione data la complessità di alcuni ambienti.

Questo modello funziona se la rete è locale, va meno bene o è difficilmente applicabile con reti estese o nel Cloud.

Ora, grazie alla raccolta dei dati da varie fonti e alla loro analisi nel Cloud, l’approccio moderno Zero Trust supera questo limite fisico – senza escluderlo – perché si basa su indicatori di stato presi nel loro dettaglio e elaborati per arrivare alla descrizione di indici di rischio complessivi, o riferiti a un oggetto particolare.

Ma cosa sono questi oggetti e quali sono le caratteristiche utili per definire un criterio Zero Trust?

Partiamo dall’assunto che se volessimo definire lo Zero Trust moderno con uno slogan, una buona scelta potrebbe essere “non fidarti mai e verifica in continuazione”, per questo gli indicatori di stato devono essere verificabili sempre e ogni volta sia necessario, perché le condizioni iniziali favorevoli potrebbero cambiare nel tempo in senso positivo ma sfortunatamente anche in senso negativo e – di conseguenza – alzare il rischio.

Per spiegare meglio con un esempio, immaginiamoci – con tutta l’approssimazione del caso – un alpinista che si prepara ad affrontare una scalata di alcune ore (la Direttissima della Grignetta, una cima classica delle montagne lecchesi)  piuttosto impegnativa per raggiungere una vetta che conosce.

Le condizioni per una buona risuscita ci sono tutte: tempo bello, preparazione ottima, orario giusto, e così via.

Abbiamo quindi: a) un alpinista pronto, b) le condizioni per salire, c) una via da seguire stabilita in anticipo.

Alla partenza ognuna di queste variabili ha in sé un grado di rischio, per esempio se l’alpinista è riposato e con buona attrezzatura a seguito non si percepiscono problemi.  Durante tutta l’ascesa – quindi per un lasso ti tempo esteso – il rischio complessivo varia perché le condizioni possono cambiare in modo più o meno previsto, ma se il grado di rischio accettato rimane inferiore al limite previsto la scalata ha successo.

Se applichiamo gli stessi criteri all’uso quotidiano dell’informazione digitale, possiamo paragonare l’alpinistaall’account della persona che usa un dispositivo (la via tracciata) per raggiungere una applicazione privata/nel Cloud che è la vetta da raggiungere.

Trend Micro Vision One è la piattaforma in Cloud che consente di applicare alle organizzazioni la filosofia Zero Trust grazie alla app Zero Trust Risk Insight,  per dare una risposta ad una domanda molto semplice ma a cui non è facile dare una parere certo: “Come siamo messi?

In altre parole, se parliamo di rischio informatico, siamo in grado di avere sempre il polso della situazione basandoci su dati certi, correlati tra di loro anche se continuamente mutevoli per loro natura e utilizzo?

Sì, questo è possibile, e vediamo come.

Trend Micro Vision One riceve le informazioni sullo stato dei client/server  e molto altro da sensori di telemetria che segnalano – tra le altre cose ma non solo – le vulnerabilità presenti su ogni macchina e altri dati sull’ affidabilità del sistema, queste informazioni sono raccolte e comunicate a intervalli regolari per aggiornare lo stato.

App Top 10 Risky Devices

I dati degli account sono verificati verso i sistemi di autenticazione (ad es Active Directory / Okta) sia al primo accesso sia durante tutta la sessione, per esempio per evitare collegamenti di account duplicati o compromessi da località non previste.

App At-Risk Users / Devices

Grazie alla Smart Protection Network, le app pubbliche sono classificate con un valore di rischio sulla base della conformità a regolamenti internazionali, certificazioni di procedure, tecnologie di sicurezza e così via.

App Cloud App Usage Summary

Ogni oggetto (account / device / App ) porta che sé un certo grado di rischio misurato sui parametri spiegati sopra e su altri – questo valore di rischio calcolato può aumentare o diminuire sulla base dei nuovi dati raccolti nel datalake di Trend Micro Vision One – ed è sempre possibile indagare sulle cause delle variazioni per definire azioni di mitigazione o di correzione, per esempio se un account compromesso sta facendo spam internamente.

Se il grado di rischio degli account e dei device è indiscutibile, quello delle App nel Cloud è calcolato da Trend Micro su parametri oggettivi, ma ogni organizzazione è libera di correggere in positivo o in negativo il grado proposto in base alla propria valutazione ed esperienza.

Inoltre, Zero Trust Risk Insight prende in considerazione anche altri dati come rilevazioni anomale (da SIEM o log di Firewall p.e.), gli attacchi complessi scoperti con XDR e le minacce trovate nell’organizzazione dalla posta elettronica o in rete.

Ora, la domanda iniziale Come siamo messi? è un po’ come quando si chiede Che tempo fa?: per dare un’informazione attendibile si legge il barometro che fornisce pressione e tendenza.

Ecco, il risultato finale della elaborazione di tutti i singoli gradi di rischio diventa l’ Indice di Rischio Complessivo che è il barometro dell’organizzazione per capire se le scelte fatte, quelle in corso, i comportamenti e le attività di ordinaria amministrazione vanno nella direzione di – se non azzerare –almeno portare e mantenere nel tempo al livello più basso possibile l’Indice di Rischio Complessivo.

App Zero Trust Risk Insight

Avere un’informazione in tempo reale, aggiornata automaticamente aiuta ad avere la consapevolezza nel prendere le decisioni più giuste, agire con proattività sui segnali critici e stabilire le aree di miglioramento su cui spendere – a questo punto – motivate risorse.

Questo cruscotto è utile sullo schermo centrale di un SOC ma starebbe benissimo anche sullo schermo 50 pollici nell’ufficio del CISO, perché il dato di RISK INDEX  è quello che con cui si deve confrontare tutti i giorni e sul quale sono misurate le sue scelte.

Trend Micro Zero Trust Risk Insight è stato ampiamente collaudato in questi mesi e da fine settembre 2021 è una app ufficiale di Trend Micro Vision One.

Ma non è finita qui: l’intelligenza di Trend Micro Zero Trust Risk Insight diventerà esecuzione con Trend Micro Zero Trust Secure Access nel corso del 2022.

Lo sviluppo di Trend Micro Zero Trust non si ferma qui, per ora godiamoci la possibilità di affrontare con consapevolezza la trasformazione digitale e le opportunità del Cloud, con la stessa serenità che ci permette di godere una vista meravigliosa dalla cima della Grignetta.        

Arriva Trend Micro Service One, l’offerta di servizi che riduce al minimo i rischi cyber e supporta i team di security sovraccarichi

I nuovi pacchetti di servizi aiutano le aziende a prevenire, rilevare e rispondere alle minacce cyber, permettendo loro di concentrarsi su attività a maggior valore

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Con Trend Micro Service One, l’azienda consolida la propria offerta di servizi gestiti, con l’obiettivo di ottimizzare la gestione delle minacce nelle aziende. I nuovi pacchetti di servizi possono includere il supporto premium, il servizio early warning, la tecnologia XDR e aiutano le aziende a prevenire, rilevare e rispondere alle minacce cyber in maniera veloce, potenziando le risorse interne.

L’efficacia delle minacce e un panorama cybercriminale dinamico mettono in continuo allarme le aziende e richiedono un’elevata presenza di esperti di sicurezza, per poter valutare e indagare sugli incidenti.

Secondo Aaron Sherrill, Senior Research Analyst at 451 Research, parte di S&P Global Market Intelligence[1] “I team di sicurezza stanno lottando per comprendere l’approccio o la strategia giusta da adottare per rilevare e rispondere alle minacce avanzate. Sebbene la maggior parte delle organizzazioni disponga di una miriade di strumenti di sicurezza, si creano quotidianamente enormi quantità di dati che devono essere esplorati e ispezionati. Sta diventando sempre più difficile distinguere tra il rumore di fondo e gli indicatori di minacce gravi, in particolare le minacce complesse e distribuite che operano con un profilo basso per evitare il rilevamento”.

Secondo un recente studio di Trend Micro, oltre la metà dei team Security Operations Center (SOC) si sente sopraffatto dagli alert e non fa affidamento sulle proprie capacità di mettere in ordine di priorità o rispondere agli alert.

L’analisi esperta e il monitoraggio delle minacce di Trend Micro, tramite i suoi diversi servizi, aiuta a rafforzare i piani aziendali di gestione del rischio. Il rilevamento e la risposta gestiti su una piattaforma di sicurezza completa eliminano l’onere del triage dei dati sulle minacce da parte dei team di sicurezza estesi, consentendo alle risorse interne di concentrarsi sul business.

“I team di sicurezza sono stressati al massimo mentre il rischio aziendale circa la sicurezza informatica continua ad aumentare. Vogliamo aiutare a semplificare la vita dei nostri clienti riducendo al minimo il rischio di attacchi. E lo facciamo fornendo informazioni migliori sull’intera piattaforma di sicurezza, dall’abilitazione del prodotto al monitoraggio e alla mitigazione dei rischi, passando per il rilevamento e la risposta agli attacchi. I nostri servizi proattivi che attraversano il ciclo di vita delle minacce consentono visibilità e protezione più avanzate, e aiutano le aziende a gestire le minacce nel modo più efficace”.

La sicurezza aziendale richiede operazioni semplici con una prospettiva più ampia, incluso un contesto migliore per individuare, rilevare e contenere le minacce e gestire al meglio il rischio. La potente piattaforma di sicurezza informatica di Trend Micro rileva le attività dannose, grazie alle informazioni sulle minacce provenienti da diverse fonti, aiutando a rilevare le minacce più rapidamente e migliorando le indagini, l’analisi e i tempi di risposta. In questo modo si elimina la pressione sul team SOC, che si può concentrare su attività di maggior valore.

I servizi Trend Micro aggiungono valore, combinando un supporto clienti premium con altre opzioni come:

  • Early Warning Service: scansiona i primi indicatori di compromissione e avvisa circa le potenziali minacce, prima che causino danni al sistema
  • Incident Response: fornisce risorse esperte in caso di attacco critico e attivo
  • Managed Detection and Response monitora gli avvisi e i registri in tutto l’ambiente, identificando e investigando gli eventi e fornendo competenze continue sulle minacce

[1] 451 Research, part of S&P Global Market Intelligence – The Continuing Evolution of Managed Detection and Response Services, June 2020.



L’84% delle aziende ha subito un attacco di phishing o ransomware nell’ultimo anno

Nuovo studio di Trend Micro, che rivela anche come mitigare queste tipologie di minacce

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

L’84% delle aziende ha subito un attacco di phishing o ransomware nell’ultimo anno e la metà non riesce a contrastare efficacemente queste minacce. Il dato emerge da “How to Reduce the Risk of Phishing and Ransomware”, l’ultima ricerca Trend Micro.

Phishing e ransomware rappresentavano dei rischi critici per la sicurezza aziendale anche prima che la pandemia colpisse e, come dimostra questo rapporto, la crescita del lavoro da remoto ha aumentato la loro pressione. Le organizzazioni hanno bisogno di una difesa su più livelli per mitigare i rischi. Le possibili soluzioni spaziano dalle simulazioni di phishing al rilevamento avanzato delle minacce e alle piattaforme di risposta come Trend Micro Vision One, che avvisa i team di sicurezza prima che gli aggressori possano avere successo.

Lo studio ha valutato le best practise e l’efficacia delle aziende in 17 aree chiave relative agli attacchi ransomware e di phishing, per scoprire le capacità di proteggere gli endpoint, di applicare patch tempestive e altro.

Alcuni dati del report:

  • Il 50% del campione ritiene di essere impreparato nell’affrontare le minacce di phishing e i ransomware
  • Il 72% si considera inefficace nell’impedire che le infrastrutture domestiche diventino un canale per gli attacchi alle reti aziendali
  • Solo il 37% ritiene di essere altamente preparato nel seguire le best practise

Il rapporto ha ulteriormente suddiviso il panorama delle minacce in 17 tipi di incidenti e ha rilevato che l’84% degli intervistati ne ha sperimentato almeno uno, evidenziando la prevalenza di phishing e ransomware.

I più comuni ad aver avuto successo sono stati:

  • Attacchi Business Email Compromise – 53%
  • Messaggi di phishing che hanno generato un’infezione malware – 49%
  • Compromissione degli account – 47%

Il phishing rimane tra i principali vettori utilizzati dai cybercriminali. Sebbene possa essere la prima fase di un attacco ransomware, viene utilizzato anche nelle truffe BEC o per infettare le vittime con malware inclusi info-stealer, trojan bancari, spyware, crypto-miner e altro ancora.

Il ransomware è un’epidemia moderna che colpisce governi, ospedali, scuole, imprese e qualsiasi altro obiettivo ritenuto vulnerabile e appetibile. Il più delle volte provoca sia la perdita di dati che gravi interruzioni del servizio IT.

Il campione ha anche segnalato i problemi di security che ritiene più preoccupanti:

  • I tentativi di phishing che arrivano nelle caselle di posta degli utenti (65%)
  • I click degli utenti su link di phishing o allegati (65%)
  • Il furto di dati tramite ransomware (61%)

Lo studio presenta anche una serie di informazioni utili per le organizzazioni, incluse le tattiche, le tecniche e le procedure tipiche di un attacco, le tipologie di mitigazione efficaci e i diversi tipi di soluzioni di sicurezza informatica in commercio.

Gli alti tassi di successo delle campagne di phishing e di quelle ransomware, indicano che il trend è destinato a crescere nei prossimi anni. Lo studio raccomanda alle organizzazioni di adottare le seguenti pratiche, per mitigare il rischio informatico:

  • Concentrarsi sulle cause alla radice della compromissione, utilizzando un approccio basato sul rischio, per affrontare le minacce più dannose
  • Migliorare l’autenticazione tramite l’uso di programmi per la gestione di password, tweaking delle policy, monitoraggio delle violazioni delle credenziali e persino utilizzando l’autenticazione senza password
  • Adottare un approccio basato su persone, processi e tecnologia che includa la formazione degli utenti, processi di risposta agli incidenti e tecnologie come Vision One, per rilevare e rispondere alle minacce in anticipo
  • Non aspettare una violazione prima di sviluppare un piano di risposta agli incidenti. Meglio contattare subito le forze dell’ordine, i provider di servizi gestiti, i fornitori di sicurezza e le altre parti interessate

Ulteriori informazioni sono disponibili a questo link

Metodologia e campione della ricerca

I risultati provengono da uno studio di Osterman Research commissionato da Trend Micro, che riguarda un campione di 130 professionisti della sicurezza informatica che lavora in organizzazioni di medie e grandi dimensioni in Nord America.

Dieci consigli per la sicurezza sui social media per la fine delle vacanze estive

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

La pandemia di COVID-19 ci ha spinto a trascorrere molto più tempo sui social media. Le vacanze estive offrono di solito a bambini e ragazzi – ma non solo – più tempo libero per usare i device digitali. Anche se quest’estate potrebbe essere stata diversa, offrendoci maggiori opportunità per uscire, andare in vacanza e liberarci dai nostri schermi, i social media rimangono uno dei principali strumenti per rimanere in contatto con le persone, raccontare le esperienze vissute in vacanza, i luoghi visitati e come trascorrere le settimane rimaste prima che ricomincino la scuola e i vari impegni.

Tornare ai soliti ritmi e orari non è mai facile. Praticare abitudini in grado di mantenere i social media un luogo sicuro e divertente è però sempre fondamentale, in modo da conoscerne i potenziali rischi e sapere come evitarli.

Rischi comuni: quali sono e come evitarli

Violazione dell’account: a volte è molto facile che il nostro account venga violato perché qualcuno è riuscito a entrare in possesso della nostra password. Potrebbe essere successo tramite una violazione dei dati dell’app dei social media o perché la nostra password è facilmente intuibile. Gli hacker utilizzano gli account dei social media per perpetrare tutti i vari tipi di crimini, fra cui anche utilizzare un account per richiedere denaro agli amici della vittima.

Condivisione eccessiva: se tu o tuo figlio pubblicate troppe informazioni personali in un feed pubblico, potrebbero verificarsi problemi in futuro. I dati che potrebbero sembrare apparentemente innocenti, potrebbero al contrario fornire ai truffatori di identità alcune informazioni vitali per dirottare i tuoi account, aprirne di nuovi online a tuo nome o inviarti e-mail di phishing convincenti chiedendoti i tuoi dati bancari. Allo stesso modo, le informazioni condivise pubblicamente sui social media potrebbero essere visualizzate da potenziali datori di lavoro, forze dell’ordine, agenzie di credito e persino istituzioni. Se si è in vacanza, pubblicare il fatto di essere lontani da casa può anche esporre la tua famiglia a diversi rischi. È importante che i tuoi figli capiscano che chiunque su Internet può vedere ciò che pubblichi e che ciò potrebbe causare danni.

App di terze parti: i tuoi figli potrebbero iscriversi ad app di terze parti per collegare i loro profili sui social media per un gioco o un quiz sulla personalità. Ciò potrebbe comportare la condivisione di dati sensibili del profilo con estranei e inserzionisti. Per questo motivo assicurati di leggere le recensioni e i termini e condizioni per ogni app che tuo figlio vorrebbe scaricare. Ulteriori informazioni su questo argomento sono disponibili in questo approfondimento a cura di Trend Micro.

Spam dannosi e truffe: come utenti dei social media, tendiamo a fidarci dei messaggi o dei post che provengono dai nostri amici. I criminali informatici lo sanno e sono abili nel dirottare gli account dei nostri contatti per inviarci link dannosi, truffe di phishing e altro ancora. Assicurati perciò che i tuoi figli comprendano l’importanza di prestare attenzione prima di cliccare su qualsiasi collegamento o rispondere a qualsiasi messaggio sui social media. Ulteriori informazioni sulle truffe di hacking su Instagram sono disponibili qui.

Fakenews, informazioni o persone inaffidabili: sta diventando sempre più difficile dire di chi e cosa possiamo fidarci online, quindi assicurati di insegnare ai tuoi figli a essere consapevoli mentre scorrono i feed dei diversi social e condividono frettolosamente cose che non sono state controllate almeno due volte. I bambini dovrebbero sempre prendersi del tempo per verificare ciò che consultano e condividono online.

Buone abitudini per un uso sicuro dei social media

Abbiamo fin qui elencato alcuni dei maggiori rischi che si possono correre sui social media. Ecco anche 10 consigli per evitarli e mantenere questi ambienti un luogo divertente e sicuro per tutti.

Crea password sicure: usa una password sicura e cambiala spesso. Incoraggia i tuoi figli a trovare una password sicura grazie a una frase facile da ricordare, ma usando solo la prima lettera di ogni parola nella frase. Aggiungi almeno un numero e uno o due caratteri speciali, per rendere ancora più difficile l’accesso a un hacker. Cambia spesso le password e prendi in considerazione l’utilizzo di un gestore di password. Se diventa troppo difficile ricordarne troppe, ecco un link utile.

Usa l’autenticazione a 2 fattori (2FA): la maggior parte delle app di social media fornisce questa opzione nelle impostazioni di sicurezza. Quando attivi 2FA, riceverai un codice speciale – tramite messaggio di testo o tramite una e-mail – che dovrai inserire dopo aver inserito la password. Se qualcuno viene in possesso della tua password, non sarà in grado di accedere al tuo account se hai attivato 2FA poiché avrebbe anche bisogno del tuo telefono (per ricevere il codice tramite SMS) o dell’accesso al tuo account e-mail (per ricevere il codice via e-mail). Usa sempre questa impostazione e incoraggia anche i tuoi figli ad attivarla.

Usa e modifica le impostazioni sulla privacy: questo ti aiuterà a limitare la quantità di informazioni personali che condividi pubblicamente. Ricorda ai tuoi figli di controllare le loro impostazioni sulla privacy sui loro account social e di limitare ciò che stanno condividendo o con chi sono connessi. Controlla queste impostazioni regolarmente poiché cambiano spesso.

Segnala o blocca gli utenti: segnala, blocca, smetti di seguire o silenzia gli utenti sui social media che pubblicano contenuti inappropriati, diffondono odio o trattano te o i tuoi figli in modo dannoso e inappropriato. Le società di social media ricevono molti di questi rapporti, ma tendono a dare la priorità a quelli che ottengono il maggior numero di segnalazioni, quindi è importante incoraggiare i bambini e i loro amici ad agire quando qualcuno si comporta male.

Aggiorna le app: come per tutti i software, è importante mantenere aggiornate le app dei social media per garantire la protezione da eventuali nuove minacce o vulnerabilità. Assicurati di configurare le impostazioni del telefono dei tuoi figli per installare automaticamente gli aggiornamenti.

Fai un controllo periodico: controlla se la tua e-mail, password o numero di telefono è stata trafugata da un hacker. Strumenti gratuiti come il plug-in del browser Trend Micro Check o l’app ID Security di Trend Micro ti consentono di verificare se sono trapelati su Internet. In tal caso, assicurati di modificare la password di qualsiasi sito che ha divulgato le tue informazioni personali o di cancellare il tuo account su quel sito se non lo usi da un po’ di tempo.

Installa software di sicurezza: tutti i dispositivi devono essere protetti con un anti-malware avanzato. Il software di sicurezza può bloccare i collegamenti dannosi e altre minacce dei social media prima ancora che i tuoi figli li vedano.

Insegnare e mettere in pratica le competenze digitali: può essere difficile in questi giorni discernere di chi e di cosa possiamo fidarci online. Insegnare ai nostri figli le principali competenze digitali – la capacità di accedere, analizzare, valutare, creare e agire utilizzando tutte le forme di comunicazione – può aiutarli a determinare come dovrebbero trattare le informazioni che vedono online. Praticare buone capacità in questo senso significa fare una pausa prima di reagire o rispondere e porre domande. Una guida per i genitori sviluppata in collaborazione con la National Association for Media Literacy Education è un buon modo per praticare questa fondamentale abilità di vita con i tuoi figli.

Considera il controllo genitori (parental control): gli strumenti di controllo genitori ti consentono di filtrare i contenuti e i programmi a cui i tuoi figli possono accedere sul loro dispositivo mobile e a casa, oltre a impostare limiti di tempo per l’accesso a Internet. Ad esempio, i prodotti Trend Micro Security offrono una funzione di controllo parentale. Mentre i tuoi figli si preparano per tornare a scuola, aiutarli a gestire il tempo davanti allo schermo sarà più importante che mai.

Comunicare: infine, mentre tutte queste tecnologie sono modi efficaci per aiutare noi e i nostri figli a rimanere al sicuro online, niente è efficace quanto avere una comunicazione aperta. Assicurati di guidare i tuoi figli a fare buone scelte su come collegarsi online e quali azioni compiere con i social media, ma soprattutto sii un buon modello anche per loro. I bambini spesso imparano molto in base a ciò che vedono sui social media. Parla con loro di ciò che stanno vedendo e imparando, il che può essere un ottimo barometro di come sono le loro esperienze nel complesso ecosistema dei social media. Se qualcosa va storto dovrebbero sapere che sei qualcuno a cui possono rivolgersi per chiedere aiuto. A tal proposito guarda “Conta fino a 3!”, la campagna Trend Micro che svela ai più piccoli le corrette pratiche di navigazione e utilizzo social media.

Mentre l’estate volge al termine e iniziamo a prepararci per l’inizio di un nuovo anno accademico, sfrutta questo tempo per preparare i tuoi figli a un uso corretto dei social media. Li aiuterà a vivere l’anno scolastico in modo più divertente e produttivo.

Per ulteriori suggerimenti sulla sicurezza dei social media sul posto di lavoro, visitare il blog di Trend Micro qui.

Malware e ransomware: è allarme sanità

Nel 2020 il settore più bersagliato in Italia per quantità di malware e ransomware unici è stato quello della sanità. A seguire il banking e la PA

A cura di Alessandro Fontana Head of Sales Trend Micro Italia

Nel 2020 il settore più bersagliato in Italia per quantità di malware e ransomware unici è stato quello della sanità. A seguire il banking e la PA. Il dato emerge dall’ultimo report di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime. Per malware unico si intende un singolo programma maligno con caratteristiche proprie. Questa analisi prende dunque in considerazione il numero totale di programmi maligni pensati appositamente per un determinato settore e non il numero totale di volte che sono stati utilizzati per un attacco, numero che ovviamente risulterebbe maggiore.

Nel 2020 sono 20.777 i malware unici e 2.063 i ransomware unici che hanno colpito le strutture sanitarie italiane. Un settore già sotto pressione a causa della criticità e sensibilità dei dati custoditi e che ha dovuto fare i conti con una situazione resa ancora più difficile dal momento sanitario globale. L’esigenza di dover garantire al massimo le prestazioni e l’erogazione dei servizi in un periodo di pandemia ha infatti attratto ancora di più i cybercriminali e costretto le strutture sanitarie ad alzare maggiormente le proprie difese. A seguire, i settori più bersagliati sono stati il banking e il tech per quanto riguarda i malware unici e la PA e i trasporti per i ransomware unici. I numeri alti di malware e ransomware unici indicano che nel 2020 i cybercriminali hanno scelto determinati settori e costruito attacchi su misura, caratterizzati da un’alta targettizzazione e profilazione degli obiettivi.

Il settore della sanità è tra i più bersagliati al mondo per la quantità e la qualità di dati sensibili che custodisce e che ovviamente hanno un grande valore economico. Le minacce più utilizzate negli schemi di attacco sono i malware e i ransomware, veicolati anche attraverso comunicazioni e-mail studiate ad hoc. Le azioni criminali non mirano solo a bloccare i sistemi e magari chiedere un riscatto, ma anche a capitalizzare le informazioni sensibili. É prioritario per le strutture sanitarie prevedere un piano d’azione che includa sia una difesa sul piano tecnologico che un piano formativo del personale in ambito Cyber, per aggiornare costantemente le competenze.

A seguire, i dati dei malware e ransomware unici per tipologia e industry.

Attacchi malware unici in Italia per settore

2020
IndustryCount
Healthcare            20.777
Banking            13.181
Technology            11.984
Government            11.203
Manufacturing              8.865
Utilities              2.279
Transportation              2.050
Financial              1.226
Retail              1.069
Food and beverage                 917
Others 12.229
Unknown 157.363
  243.143

Attacchi ransomware unici in Italia per settore

2020
IndustryCount
Healthcare              2.063
Government                 180
Transportation                 153
Food and beverage                   78
Technology                   48
Manufacturing                   47
Retail                   38
Insurance                   20
Banking                   16
Utilities                   12
Others                   87
Unknown              1.752
               4.494

Ulteriori informazioni sulle soluzioni Trend Micro sono disponibili a questo link

Continua l’estate del cybercrime: cosa fare?

I ransomware colpiscono sempre più forte, ecco alcuni consigli su come proteggersi

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Di recente abbiamo definito questa estate come l’estate del crimine informatico. I principali attacchi ransomware continuano a colpire le aziende a livello globale e gli attacchi possono causare danni significativi, dal punto di vista finanziario, della reputazione e della produttività. Nella maggior parte dei casi, gli attacchi potrebbero essere fermati seguendo quelli che sono i processi e le azioni da intraprendere per avere una postura di sicurezza aziendale in linea con le best practice del settore. Questa è la chiave per fermare la crescente tendenza di attacchi ransomware moderni e di successo. 

Gli attacchi ransomware moderni

Il ransomware moderno sfrutta un’ampia gamma di strumenti e tattiche per navigare nell’infrastruttura aziendale e trovare i “gioielli della corona”. Spesso, il punto di ingresso iniziale è rappresentato da vulnerabilità note che non sono state corrette. Uno degli ultimi attacchi a livello globale ha infatti utilizzato vulnerabilità già conosciute del software Kaseya, oltre a vulnerabilità 0-Day. Sebbene questo sia sempre più raro, gli attacchi che utilizzano nuovi bug possono ancora essere fermati. Indipendentemente da come gli aggressori penetrano l’infrastruttura aziendale, esistono diverse metodologie con cui gli attacchi possono essere individuati e fermati, prima che arrivino al punto di crittografare i dati e chiedere un riscatto. 

Queste sono le possibili conseguenze degli attacchi ransomware di oggi:

  • Il ransomware crittografa i file e poi rilascia una richiesta di riscatto con pagamento in bitcoin
  • Doppia estorsione: ransomware + esfiltrazione di dati. In questo caso se l’utente colpito non paga il riscatto rischia di vedere i propri dati resi pubblici. Maze è stato il primo caso documentato ma altri gruppi cybercriminali hanno seguito l’esempio, come visto di recente nell’attacco a Colonial Pipeline
  • Triplice estorsione. Doppia Estorsione + minaccia di un attacco DDoS. Avaddon è  stato il primo caso documentato
  • Estorsione quadrupla. Ransomware + (Possibile Esfiltrazione di dati o DDoS) + invio diretto di e-mail alla base clienti della vittima. Cl0p è stato il primo caso documentato, come descritto da Brian Krebs

Fermare gli attacchi grazie a una corretta igiene della sicurezza

Gli attacchi multi-estorsione possono essere fermati  sfruttando le soluzioni di sicurezza, ma è importante avere una profonda conoscenza della problematica per poter individuare quelli che sono i segnali iniziali. Questa è una lotta quotidiana per molte aziende, che potrebbe essere risolta facendo in modo che un partner di sicurezza gestisca con personale specializzato l’infrastruttura di sicurezza.

In ogni caso esistono alcune azioni che dovrebbero essere attivate rapidamente come parte delle migliori pratiche di sicurezza dell’organizzazione, per mitigare il rischio portato dagli attacchi:

  • Abilitare il monitoraggio del comportamento e il machine learning con le configurazioni consigliate. Ciò impedisce ai client di aver bisogno di aggiornamenti o nuovi rilevamenti quando viene scoperto un importante evento, come l’attacco Kaseya
  • Mantenere un solido piano di gestione delle patch. Questo protegge dalle vulnerabilità note applicando gli aggiornamenti disponibili. Le patch virtuali  possono anche coprire il periodo fino a quando la patch ufficiale non è disponibile o applicata
  • Utilizzare l’autenticazione a più fattori o a 2 fattori per gli account amministrativi critici, in particolare nei sistemi pubblici. Questo rende più difficile per gli aggressori abusare di credenziali compromesse per ottenere l’accesso al sistema
  • Praticare la regola di backup 3-2-1. Se si verifica un attacco ransomware di successo, è fondamentale mantenere almeno tre copie dei dati aziendali in due formati diversi, con una copia air gap posizionata fuori sede. Ciò garantisce di poter ripristinare le funzionalità senza dover pagare il riscatto per decrittografare i file

Queste non sono ovviamente le uniche azioni di sicurezza che aiutano a proteggere le aziende, ma sono quelle che prevengono i punti di ingresso più comuni negli attacchi ransomware di oggi. Avere tutta la potenza di una soluzione di sicurezza attivata e ottimizzata per il proprio ambiente elimina le crepe e le lacune e ferma l’attacco subito. Le capacità di monitoraggio comportamentale e di machine learning di Trend Micro, per esempio, hanno identificato il componente ransomware dell’incidente Kaseya. Questo significa che i clienti Trend Micro erano protetti prima che l’attacco fosse noto. Inoltre, Trend Micro è perfettamente in grado di gestire la security di quelle aziende che non hanno le risorse per mantenere il proprio stack di sicurezza. Questo garantisce il più alto livello di protezione disponibile. 

1/4 delle vulnerabilità vendute nel mercato cybercriminale ha più di tre anni

Una nuova ricerca Trend Micro pone l’accento sull’importanza del virtual patching

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

ll 22% degli exploit venduti nei forum underground ha più di tre anni. Questo il dato che emerge da “The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground”, l’ultima ricerca Trend Micro. È quindi assolutamente prioritario, per le aziende, focalizzare la propria attenzione e gli sforzi relativi al patching su quelle vulnerabilità che mettono più a rischio l’organizzazione, anche se “vecchie” di diversi anni.

I criminali sono al corrente che le aziende lottano per stabilire le priorità e applicare tempestivamente le patch. La nostra ricerca mostra che i ritardi vengono spesso sfruttati. La validità di una vulnerabilità o di un exploit non è correlata alla disponibilità di una patch, gli exploit più vecchi sono più economici e quindi potrebbero essere più popolari tra i criminali che fanno acquisti nei forum underground. L’applicazione di patch virtuali rimane il modo migliore per mitigare i rischi di minacce note e sconosciute.

Il report rivela diverse curiosità legate alle vulnerabilità e agli exploit legacy, ad esempio:

  • L’exploit più vecchio venduto nell’underground era relativo alla vulnerabilità CVE-2012-0158, un RCE Microsoft
  • La vulnerabilità CVE-2016-5195, nota come exploit della “mucca sporca – dirty cow”, è ancora in corso dopo cinque anni
  • Nel 2020 WannaCry era ancora la famiglia di malware più rilevata e a marzo 2021 erano presenti oltre 700.000 dispositivi vulnerabili in tutto il mondo
  • Il 47% dei criminali informatici ha cercato di prendere di mira i prodotti Microsoft negli ultimi due anni

Il rapporto rivela anche un calo del mercato delle vulnerabilità zero-day e N-day negli ultimi due anni. Questo è dovuto in parte alla popolarità dei programmi di bug bounty, come la Zero Day Initiative di Trend Micro, ma anche all’incremento della modalità Access-as-a-Service come nuova forza nel mercato degli exploit. Un pacchetto Access-as-a-Service ha i vantaggi di un exploit e la maggior parte del lavoro è già stato fatto. I prezzi nell’underground partono da 1.000 USD.

Le diverse tendenze cybercriminali si stanno combinando e questo crea un rischio maggiore per le organizzazioni. Con quasi 50 nuove vulnerabilità scoperte al giorno, la pressione sui team di sicurezza, che si ingegnano per stabilire le priorità e distribuire patch tempestive, non è mai stata così grande. Oggi il tempo medio per avere una patch relativa a una nuova vulnerabilità è di circa 51 giorni. Per colmare questa lacuna nella sicurezza, è fondamentale il virtual patching, basato sulla tecnologia di prevenzione delle intrusioni, che offre un modo semplice per proteggere i sistemi vulnerabili, o a fine ciclo, da minacce note e sconosciute.

Ulteriori informazioni sono disponibili a questo link

Il report “The Rise and Fall of the N-day Exploit Market in Cybercriminal Underground” è disponibile a questo link

Una strategia cloud-first genera un rating del 79% per il canale dedicato alla cybersecurity

Trend Micro conferma la posizione di leadership nella Canalys Global Cybersecurity Channel Matrix

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Siamo felici di annunciare di essere stati nominati “Champion” nella Canalys Global Cybersecurity Leadership Matrix per il secondo anno consecutivo. In seguito a un importante aggiornamento del nostro partner program, abbiamo visto miglioramenti straordinari nel programma di canale, che ha raggiunto una valutazione del 79%.

“Lo status di Champion di Trend Micro dimostra la forza della sua strategia channel-first e l’efficace supporto di partner con diversi modelli di business”. Ha affermato Matthew Ball, Chief Analyst di Canalys. “Trend Micro ha dimostrato di essere un leader e un partner abilitatore nelle principali aree emergenti, inclusa la protezione della migrazione cloud e la hybrid security, tramite i marketplace cloud“.

Canalys colloca Trend Micro al secondo posto nel quadrante, con le migliori metriche per quanto riguarda i partner che si contraddistinguono per “velocità dei prezzi e competitività” (82%) e “impegno nei confronti dei partner di canale” (80%).

Canalys sottolinea gli eccezionali progressi di Trend Micro in numerose aree chiave:

  • A dicembre 2020, il 53% dei partner aveva venduto prodotti SaaS, di cui oltre il 30% era passato a un modello SaaS-only
  • 28% di crescita anno su anno nell’area MSP, grazie alla campagna Hello MSP e all’offerta Vision One (SOCaaS)
  • 9% di nuovi clienti in più grazie ai partner, rispetto all’anno precedente. Crescita nel fatturato dell’8%
  • Oltre 25.000 partner attivi
  • La forza di una piattaforma cloud-first


In Trend Micro sappiamo che la nostra leadership nel cloud è più forte quando i partner fanno parte dell’ecosistema. Ecco perché ci impegniamo così tanto per aggiornare il nostro programma e per raddoppiare le attività di canale cloud-first. Siamo molto soddisfatti che un’altra analisi indipendente sulle nostre prestazioni elogi così tanto l’impegno continuo che abbiamo nei confronti dei partner.

Annunciato nell’aprile 2021, il principale aggiornamento del programma di canale Trend Micro offre più risorse di servizi cloud ai partner e premia i successi del cloud-first con sconti aggiuntivi. “Trend Micro è leader nell’assicurare la protezione dei workload cloud dei clienti tramite i partner”. Ha affermato Canalys. “Ha semplificato l’approvvigionamento e la distribuzione tramite i marketplace cloud ed è stato il primo fornitore di sicurezza indipendente a consentire il costo a consumo per i clienti su AWS Marketplace”.

Più recentemente, abbiamo annunciato una nuova piattaforma di servizi per supportare la crescita continua dei partner durante la pandemia. Questa include nuovi servizi:

  • Partner Mobile App: lanciata in ottobre e con oltre 1.300 download a Q1 2021
  • Marketing Central: Una piattaforma di contenuti per le campagne che ha generato un aumento del 55% dei download di documenti di vendita rispetto al 2019, e circa 7.000 download di contenuti di vendita e marketing nel primo trimestre del 2021
  • Demo Cloud / Product Cloud: una funzionalità basata su cloud che consente ai partner di provare le soluzioni Trend Micro e invitare i clienti a testarle, uno strumento avvincente per la generazione di lead. I partner hanno eseguito oltre 20.000 demo istantanee nel 2020, continuando la lead generation durante la pandemia
  • Un portale per i partner rinnovato: gli accessi unici dei partner sono cresciuti del 143% nel 2020, rispetto al 2019, e del 76% nel primo trimestre del 2021


Ulteriori informazioni sul partner program Trend Micro sono disponibili a questo link

Sistemi di controllo industriali: è allarme ransomware

Nuova ricerca Trend Micro, che coinvolge anche l’Italia, sugli ambienti industriali

A cura di Gastone Nencini, Country Manager Trend Micro Italia

In tutto il mondo, Italia compresa, le industrie sono a rischio di subire blocchi della produzione e furti di dati sensibili a causa di attacchi ransomware. Il dato emerge da “2020 Report on Threats Affecting ICS”, l’ultima ricerca Trend Micro.

I sistemi di controllo industriali sono molto difficili da proteggere e il rischio è di avere numerose lacune di security pronte a essere sfruttate dai cybercriminali. Alcuni governi, come quello degli Stati Uniti, equiparano oggi la gravità di un attacco ransomware e di uno terroristico, anche questo dovrebbe convincere i proprietari di aziende nei mercati industriali a mettere la security in cima alla lista delle priorità e a rifocalizzare gli sforzi di sicurezza.

I sistemi di controllo industriali (ICS) sono elementi cruciali all’interno di industrie, fabbriche e impianti e sono utilizzati per il monitoraggio dei processi industriali nelle reti IT-OT. Un ransomware che riesce a penetrare questi sistemi è in grado di bloccare le operazioni per giorni e di entrare in possesso di dati critici, come progetti, programmi, invenzioni e brevetti.

La ricerca Trend Micro svela che i ransomware più pericolosi per le industrie, e che insieme hanno raggiunto più della metà delle infezioni nel 2020, sono Ryuk (20% di attacchi), Nefilim (14,6%), Sodinokibi (13,5%) e LockBit (10,4%).

Il report inoltre rivela:

  • I cybercriminali utilizzano gli endpoint ICS per il mining di criptovalute, sfruttando sistemi operativi senza patch che sono ancora vulnerabili a EternalBlue
  • Alcune varianti di Conficker si stanno diffondendo all’interno di endpoint ICS che utilizzano nuovi sistemi operativi, attraverso attacchi di “forza bruta”  ai privilegi degli amministratori
  • Alcuni vecchi malware come Autorun, Gamarue e Palevo, sono ancora presenti nelle reti IT-OT e si diffondono attraverso i dispositivi rimovibili

Lo studio di Trend Micro pone l’accento sull’urgenza di una cooperazione più stretta tra i team IT e OT, per identificare i sistemi chiave e le dipendenze, come ad esempio la compatibilità con i sistemi operativi e i requisiti di up-time, con l’obiettivo di sviluppare strategie di security più efficaci.

Trend Micro raccomanda le seguenti misure:

  • Implementare un patching veloce è vitale. Nel caso non sia possibile, si può considerare la segmentazione della rete o il virtual patching, come quello offerto da Trend Micro
  • Affrontare i ransomware in seguito a un’intrusione mitigando le cause dell’infezione alla radice, attraverso software di application control e strumenti di rilevamento e risposta, per pulire le reti in base agli indicatori di compromissione
  • Limitare le condivisioni di rete e rinforzare l’utilizzo di combinazioni username/password forti, per prevenire gli accessi non autorizzati attraverso la forzatura di credenziali
  • Utilizzare un IDS o un IPS per sondare i comportamenti normali di rete e identificare attività sospette
  • Scansionare gli endpoint ICS in ambienti air gap, utilizzando strumenti indipendenti
  • Stabilire punti di scansione malware all’interno dei dispositivi USB, e verificare gli strumenti utilizzati per trasferire dati tra endpoint in ambienti air gap
  • Applicare il principio del privilegio minimo agli amministratori e agli operatori delle reti OT

Ulteriori informazioni sono disponibili a questo link

Il report “2020 Report on Threats Affecting ICS” è disponibile a questo link

Trend Micro: la super vista per respingere le super minacce

Come organizzare la corretta strategia di security

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Vedere meglio e bene per rispondere più velocemente e in maniera efficace. Sembrerebbe banale, ma il primo punto fondamentale per poter reagire a una minaccia è vederla arrivare, oppure essere in grado di distinguerla in mezzo a molte segnalazioni non realmente pericolose. La vista è uno dei cinque sensi che caratterizzano l’essere umano, per molti è il più importante, ed è fondamentale anche nella cybersecurity.

Saper distinguere i pericoli è essenziale, questo vale sia da un punto di vista tecnologico che esperienziale. La giusta tecnologia utilizzata con consapevolezza è infatti il binomio corretto per approcciarsi al meglio alla cybersecurity, laddove venga meno una di queste due caratteristiche si avrà un punto debole dal punto di vista tecnico, ovvero aziende che senza la corretta infrastruttura di security sono esposte ai pericoli, oppure da un punto di vista dell’organico, ovvero organizzazioni che senza le corrette capacità rimangono in balia dei cybercriminali. Le competenze devono riguardare tutti i livelli dell’azienda, non solo chi si occupa di security o IT, ma tutti i dipendenti e soprattutto il top management che oggigiorno è uno dei target principali del cybercrime, che lo bersaglia con l’obiettivo di compiere truffe amministrative. Chi si occupa di security dovrebbe chiedersi se i propri colleghi sono in grado di distinguere una mail di phishing, per esempio, considerato che secondo l’ultimo rapporto dei laboratori Trend Micro oltre il 90% delle minacce arriva via e-mail e nel 2020 sono state 16,7 milioni le e-mail ad alto rischio indirizzate a utenti di webmail e che avevano già oltrepassato i filtri nativi di sicurezza delle applicazioni. Inoltre, ad aprile 2021, l’Italia è il terzo Paese al mondo e primo in Europa più colpito da malware, con i settori sanità, manifatturiero e PA in cima alla classifica dei più attaccati.

Aggiornate le competenze all’interno dell’organizzazione dal punto di vista “umano”, lato tecnico si devono considerare due aspetti: la complessità delle infrastrutture moderne e la sofisticazione sempre maggiore delle minacce. Quest’ultime sono sempre in evoluzione, in un’eterna lotta a guardie e ladri entrambe le parti affinano le “armi” e le strategie a disposizione. Anche le infrastrutture sono destinate a evolversi in maniera molto articolata e già oggi vediamo una moltitudine di livelli e sistemi che non comunicano tra loro, resi ancora più complicati dalla recente remotizzazione del lavoro. Ma ogni settore ha le proprie esigenze specifiche, pensiamo ad esempio all’Industry 4.0 o alla sanità, che hanno infrastrutture e dispositivi che si dividono tra sistemi legacy in via di connessione e altri già connessi ma rimasti senza difesa perché non pensati per un’eventuale connessione in rete, come i tachigrafi oppure le presse.

Nei prossimi mesi e anni la digital transformation accentuerà questo processo, le infrastrutture aziendali diventeranno sempre più complesse e gli attacchi sempre più insistenti, dando vita a numerosi campanelli di allarme che non sempre però saranno i portavoce della minaccia reale. Perché se un punto fondamentale è vedere arrivare la minaccia, è anche importante saperla distinguere ed etichettare nella maniera corretta. Per compiere questa operazione è necessario possedere la giusta tecnologia, in grado di avere una visione sull’intera infrastruttura a tutti i livelli e sulle singole parti, anche quelle che non comunicano tra loro.

Trend Micro Vision OneTM, grazie alla tecnologia Trend Micro di rilevamento e risposta estesi (XDR), aiuta i team di sicurezza a vedere di più e a rispondere più velocemente. Trend Micro ha già aiutato centinaia di organizzazioni a identificare e ridurre il rischio informatico attraverso la correlazione degli avvisi nell’intera infrastruttura, grazie alla prima soluzione XDR del settore, presentata nel 2019. Con Trend Micro Vision One assistiamo a un miglioramento della tecnologia di rilevamento e risposta, a una nuova visibilità dei rischi, a ulteriori integrazioni di terze parti e alla possibilità di una risposta semplificata alle minacce nei diversi i livelli di sicurezza. Grazie a Trend Micro Vision One le organizzazioni possono vedere meglio, e massimizzare così l’efficienza, focalizzando le risorse del team IT e di sicurezza sulle reali minacce.