Archivi categoria: Uncategorized

Trend Micro Zero Day Initiative è leader nella scoperta delle vulnerabilità

Studio indipendente afferma che la ZDI nel 2018 ha scoperto più del 52% delle vulnerabilità

A cura di Salvatore Marcis, Technical Director Trend Micro Italia 

Siamo felici che, secondo uno studio indipendente condotto da IHS Markit, Zero Day Initiative (ZDI) sia leader nella scoperta delle vulnerabilità [1]. ZDI nel 2018 ha infatti scoperto oltre la metà di tutte le falle software dei vendor.

Il report, Public Cybersecurity Vulnerability Marketha analizzato le 12 organizzazioni che hanno gestito la scoperta delle 1.752 vulnerabilità CVE nell’anno solare 2018. Trend Micro ZDI ha scoperto più del 52% di queste vulnerabilità, per un totale di 916, oltre quattro volte il numero di vulnerabilità scoperte dal vendor al secondo posto (236).

Come ha affermato Brian Gorenc, director of vulnerability research for Trend Micro, le vulnerabilità rimangono una tra le maggiori debolezze nelle organizzazioni moderne e permettono ai cybercriminali di rubare dati critici e installare malware, azioni che danneggiano l’azienda e soprattutto la sua reputazione. ZDI è leader nel mercato della scoperta delle vulnerabilità da 15 anni e questo report dimostra che continua a esserlo. Questa è una grande notizia specialmente per i clienti di Trend Micro TippingPoint, che sono protetti dagli exploit che sfruttano questo genere di bug a partire dai due mesi antecedenti al rilascio della patch.

ZDI ha scoperto 916 vulnerabilità, 64 erano critiche, 598 classificate come “di importanza elevata” e 225 di “importanza media”. Il 72% delle vulnerabilità rappresentava un rischio significativo per il business e oltre 500 erano correlate al software PDF.

Tanner Johnson, senior analyst, connectivity and IoT at IHS Markit e responsabile del report, ha sottolineato che Trend Micro Zero Day Initiative, l’anno scorso, ha scoperto una percentuale significativa delle vulnerabilità per cui è stata poi rilasciata una patch. Evidenzia poi come nella ricerca risulti che non solo ZDI ha rilevato molte vulnerabilità, ma che queste avrebbero avuto un impatto significativo se fossero state sfruttate.

Fondata nel 2005, Trend Micro ZDI è stata un pioniere nel creare un mercato legale per la scoperta delle vulnerabilità, utilizzando un meccanismo di ricompense per incentivare i ricercatori. Da allora, ha supportato la scoperta responsabile di oltre 6.500 vulnerabilità e pagato oltre 20 milioni di dollari in ricompense.

Il report completo è disponibile a questo link

[1] IHS Markit | Technology, now part of Informa Tech. Results are not an endorsement of Trend Micro Incorporated or its Zero Day Initiative. Any reliance on these results is at the third party’s own risk.

Rischi dell’open banking: un occhio alla direttiva PSD2

A cura di Federico Maggi, Senior Threat Researcher Trend Micro

Un numero sempre maggiore di settori si sta adattando a un mercato sempre più mobile. In particolare, negli ultimi anni il settore finanziario sta attraversando un forte cambiamento, visibile nella proliferazione di aziende e servizi FinTech sempre più avanzati. In questo ambito, la revisione della Direttiva europea sui servizi di pagamento (PSD2), approvata il 14 settembre 2019, avrà senz’altro un grande impatto globale sul settore finanziario. La direttiva abilita il concetto di open banking e rimpiazza una legge europea sui pagamenti del 2007; le banche di tutto il mondo hanno già cominciato a prendere provvedimenti per rispondere alle esigenze di tutti i clienti. 

Sotto il concetto di open banking c’è l’obiettivo di innovare e rendere le transazioni bancarie all’interno dell’Unione Europea più efficienti, meno costose, facili e più sicure. Questo si implementa con una apertura delle interfacce di programmazione (API) delle banche nei confronti delle aziende FinTech, per permettere l’estensione di servizi come i suggerimenti finanziari o l’automazione dei pagamenti. I clienti delle banche dovranno fornire il loro esplicito consenso a queste nuove aziende, per permettere loro di accedere ai dati bancari. 


Figura 1. Grazie alla PSD2 le aziende FinTech promuoveranno nuove app per aggregare i dati bancari da account multipli.

La PSD2 vuole rendere l’online banking più sicuro, per questo viene resa obbligatoria l’autenticazione a due fattori e il “Dynamic Linking”, in cui un codice di autenticazione in ogni transazione è specifico per l’importo e il destinatario. Inoltre, le banche nel Regno Unito stanno sviluppando uno standard denominato Financial grade API (FAPI), che rappresenta un ulteriore livello di sicurezza nel processo di autenticazione tra gli operatori di servizi FinTech e gli istituti di credito. Per esempio, se un attaccante ruba il token per l’accesso temporaneo all’app mobile, non dovrebbe essere in grado di utilizzare quel token per altri servizi—ad esempio per accedere ai dati finanziari della vittima. Le specifiche FAPI sono state sviluppate dall’OpenID Foundation e dalla U.K. Open Banking Implementation Entity. È stato pensato per essere utilizzato una volta che l’Open Banking avrà preso piede nel Regno Unito, ma al momento ha ancora diversi punti deboli e falle da risolvere. 

Non è detto però che tutti gli istituti che usufruiscono delle API “open banking” siano egualmente pronte e preparate a recepire l’impatto della PSD2 sull’attuale piattaforma tecnologica, e questo potrebbe generare diversi rischi. L’idea dell’open banking è infatti quella di mettere le informazioni bancarie degli utenti “nelle mani” di diverse parti, inclusi i molti player nascenti nel panorama FinTech, che potrebbero non avere la stessa esperienza che il banking tradizionale ha accumulato, nel corso del tempo—nel rispondere alle frodi, ad esempio.

Proprio in concomitanza dell’entrata in vigore della PSD2, Trend Micro Research ha pubblicato i risultati di uno studio approfondito sulle API “open banking,” individuando alcune criticità:

  • Le API bancarie e FinTech accessibili pubblicamente aumentano la superficie di attacco.
  • API e siti web legacy di banche o aziende FinTech contengono informazioni sensibili dei clienti all’interno degli URL, il che non è in linea con gli obiettivi di sicurezza della PSD2.
  • Si utilizzano ancora tecniche di condivisione dei dati bancari obsolete.
  • Alcune app per dispositivi mobili di banche e organizzazioni FinTech sono connesse a terze parti, come fornitori di servizi di performance o pubblicitari.
  • Protocolli più sicuri, come il FAPI, sono ancora in fase di sviluppo.

Status quo e rischi delle API

Mentre nel 2015 le banche europee erano considerevolmente in ritardo per quanto riguarda le API, un numero sempre maggiore di banche in tutto il mondo utilizza le API “open banking”.


Figura 2. Trend di crescita di un particolare sottoinsieme di hostname API del settore finanziario. Dati della Smart Protection Network Trend Micro.

Prima che la PSD2 entrasse in vigore, abbiamo riscontrato problemi di sicurezza nelle API di molte banche e aziende FinTech. Un numero significativo di banche, incluse due banche centrali in Europa e una banca centrale in Asia, stavano esponendo—senza saperlo—informazioni sensibili (e.g., parametri di autenticazione, dati privati e relativi alle transazioni) negli URL di API e siti legacy. 


Figura 3. API che espone le informazioni sensibili degli utenti.

Includere dati sensibili negli URL non è certo una best practice, dal momento che questi URL finiscono spesso in file di log o banalmente nella cronologia di navigazione e potrebbero essere condivisi tra i diversi dispositivi di un utente. Abbiamo visto casi di questo tipo nei sistemi di istituzioni finanziarie in Europa, Asia e Stati Uniti e anche in un’azienda FinTech che pubblicava la sua documentazione API online, inclusa l’autenticazione degli URL con all’interno l’indirizzo email del cliente, password e ID. 


Figura 4. Screenshot della documentazione disponibile online circa l’API di un’azienda FinTech che dovrebbe essere regolamentata dalla PSD2. Si possono chiaramente vedere le informazioni sensibili nel percorso dell’URL dell’API.

Rischi dell’uso di tecniche di “screen scraping”

La tecnica dello “screen scraping” è utilizzata da diverse aziende FinTech per aggregare dati bancari, per sopperire alla mancanza di API o ai limiti delle stesse. Questa tecnica consiste nell’estrarre automaticamente dati da un sito bancario, mimando la sessione di un browser web che utilizza le credenziali di login del cliente. Per funzionare, un tale servizio obbliga quindi il cliente a fornire le sue credenziali bancarie all’azienda FinTech, che chiaramente non è una pratica raccomandabile. 

La PSD2 richiede invece una autenticazione forte ed è chiaro che lo screen scraping non dovrebbe più essere consentito. A questo proposito le aziende FinTech si erano organizzate per respingere questa clausola, affermando che nessun incidente conosciuto o violazione che riguardasse questa tecnica era accaduta. Alcune settimane prima del 14 settembre, giorno dell’implementazione della PSD2, le autorità hanno annunciato un rinvio della piena applicazione delle misure di sicurezza e delle sanzioni, per concedere più tempo ai fornitori di servizi per adeguarsi.

Possibili rischi in seguito all’implementazione della PSD2

Il nuovo paradigma bancario, che richiede API aperte e con accesso ai dati bancari, crea nuove opportunità di attacco. 

Di seguito alcuni possibili scenari:

  • Attacchi diretti alle API più probabili: le API costituiranno un bersaglio più interessante, perché devono necessariamente essere pubbliche. Chiaramente qualsiasi disservizio potrebbe bloccare operazioni e transazioni bancarie, con ripercussioni sostanziali sul resto della “catena” dei servizi ad esse collegati
  • Attacchi diretti alle aziende FinTech: non tutte le aziende FinTech avranno gli stessi livelli di sicurezza ed esperienza delle banche. Start up e aziende nascenti sono di piccole dimensioni e non ha personale dedicato ad attività di sicurezza. Pertanto i server di queste aziende possono diventare un bersaglio facile e decisamente di valore, dal momento che contengono dati finanziari (e talvolta credenziali, vedi nel caso di screen scraping) dei propri clienti
  • Attacchi diretti agli utenti finali: le classiche tecniche di social engineering e phishing troveranno terreno più fertile presso gli utenti, che saranno sempre più abituati a gestire online le proprie risorse finanziarie, e quindi a ricevere comunicazioni “automatiche” da parte dei vari servizi usufruiti. Inoltre, la responsabilità dimostrativa potrebbe essere più complicata nei casi di transazioni fraudolente 

Conclusione e raccomandazioni di sicurezza

Il trend dell’open banking promette più attenzioni in materia di sicurezza e molte opportunità di business per clienti, banche e aziende FinTech, ma la situazione attuale crea diverse preoccupazioni. Il contrasto tra obiettivi delle aziende FinTech—alla ricerca di innovazione e servizi per il pubblico—opposti a quelli delle banche—che provano a proteggere la loro posizione consolidata—dovrebbero allinearsi, per evitare eccessivi ritardi nell’effettiva corretta implementazione della PSD2, con conseguenze che poi ricadrebbero sugli utenti finali.

Una raccomandazione per le aziende FinTech è quella di adottare protocolli sicuri e smettere di utilizzare tecniche rischiose e sorpassate. La mancanza di incidenti documentati non significa che metodi come lo screen scraping siano sicuri. Gli sviluppatori dovrebbero adottare una filosofia di “security by design,” creando applicazioni sicure anche quando adottate in un ambiente ostile o compromesso. 

Banche e istituzioni finanziarie dovrebbero rivedere le loro attuali API. Informazioni sensibili e dati personali dei clienti non dovrebbero mai apparire nei percorsi URL delle API, dal momento che questo indebolirebbe o renderebbe le misure di sicurezza inutili. 

Articolo pubblicato su agendadigitale.eu in data 8 novembre 2019

Trend Micro è leader nella sicurezza endpoint

Secondo Forrester, Trend Micro continua a offrire la soluzione di sicurezza endpoint più completa

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Siamo felici di essere stati riconosciuti come azienda leader all’interno del report “The Forrester Wave™: Endpoint Security Suites, Q2 2019″, raggiungendo il secondo punteggio più alto nella categoria offerta.

Forrester afferma che “l’endpoint security [di Trend Micro] copre l’intera gamma di rilevamento e prevenzione delle minacce, grazie a capacità leader del mercato in entrambe le categorie. Viene offerta anche un’estensione dei servizi, inclusi quelli di MDR per le reti, gli endpoint, la messaggistica, i carichi di lavoro cloud e i server”.

Abbiamo inoltre ottenuto il punteggio più alto possibile per quanto riguarda la “Corporate vision and focus” (criterio all’interno della categoria Strategia). Questo riconosce la nostra leadership stabile, l’innovativa tecnologia e una gestione e sviluppo del prodotto di alta qualità.

Focalizzandoci sul futuro della sicurezza endpoint, abbiamo migliorato la nostra offerta con la release di Apex One, l’evoluzione dell’offerta di endpoint security avanzata. Apex One è un mix cross-generazionale di capacità di difesa dalle minacce, abilitate attraverso un agente singolo e facile da gestire, disponibile come SaaS e on-premise.

Nonostante la sua importanza sia critica, l’endpoint è solo un pezzo del puzzle della cybersecurity. Per questo, offriamo queste capacità di security come parte di una strategia di Connected Threat Defense, che assicura che ogni livello IT condivida le informazioni per migliorare la visibilità e la protezione e la risposta alle minacce in tempo reale.

Forrester sottolinea che “L’architettura di Connected Threat Defense utilizza un’intelligence integrata sulle minacce e ha il controllo di un esteso portfolio di prodotti di sicurezza per email, endpoint, reti e cloud pensati per le aziende”.

E conclude: “Trend Micro è ben posizionato per quelle organizzazioni grandi o piccole che cercano una suite di sicurezza endpoint completa. Specialmente quelle che hanno requisiti di deployment complessi”.

Il report completo è disponibile a questo link

Lisa Dolcini è la nuova Marketing Manager Trend Micro Italia

L’obiettivo dell’azienda è avvicinare maggiormente la security alle aziende italiane, oggi più che mai messe a dura prova dallo scenario cybercriminale

Lisa ha alle spalle una carriera significativa nel settore IT, iniziata oltre 15 anni fa in Hewlett Packard e che la vede protagonista in Trend Micro a partire dal 2005, quando entra a far parte del team Marketing & Communication. Nel corso degli anni, Lisa ricopre ruoli sempre più prestigiosi e di maggiore responsabilità, diventando prima Field Marketing Manager e occupando successivamente la posizione di Channel Marketing Manager, consolidando le sue abilità e competenze nelle campagne di marketing e di comunicazione, sia corporate che di prodotto, nella gestione dei partner e delle alleanze strategiche, nella cura dei piani e dei programmi per il canale e nella gestione e organizzazione eventi.

Come Marketing Manager Trend Micro Italia, Lisa si concentrerà su tutte le attività che riguardano, oltre che il canale, anche gli utenti finali, le PMI, le enterprise, i System Integrator e gli altri vendor partner strategici. L’obiettivo di Lisa sarà quello di sviluppare campagne di comunicazione e marketing innovative e capaci di avvicinare maggiormente la security alle aziende italiane, oggi più che mai messe a dura prova dallo scenario cybercriminale, ma in difficoltà nel reagire prontamente e con i giusti strumenti alle moderne sfide. Lisa curerà anche i rapporti con il MOIGE – il Movimento Italiano Genitori, con il quale Trend Micro ha una partnersip da diversi anni per contrastare il grave fenomeno del cyberbullismo.

“L’IT oggi è ovunque e ci permette di usufruire di molte comodità nel nostro quotidiano, ma non è così per la cybersecurity, considerata molto spesso non indispensabile”. Ha dichiarato Lisa Dolcini. “Così come si utilizzano le cinture di sicurezza in auto, si dovrebbero sempre adottare degli accorgimenti per proteggere qualsiasi oggetto connesso. L’Italia è, ad esempio, tra i Paesi al mondo più colpiti dai ransomware, ma le aziende sottovalutano i rischi e il risultato è una penalizzazione del nostro sistema produttivo e imprenditoriale. Il compito di un’azienda di security è anche educare e formare i cittadini digitali di oggi e di domani e questo sarà un nostro obiettivo importante, per permettere a tutti quanti di affrontare in maniera sempre più consapevole le minacce di cybersecurity”.

Un omaggio al mio amico Raimund Genes

A cura di: Eva Chen, CEO di Trend Micro.

Un omaggio al mio amico Raimund GeinesVenerdì 24 marzo, noi di Trend Micro abbiamo appreso con dolore che il nostro Chief Technology Officer, Raimund Genes, è morto improvvisamente nella sua casa in Germania. Si tratta di una perdita incredibile per tutti noi, desiderosi che tutto ciò non fosse vero. Personalmente, sto perdendo un meraviglioso, caro amico e un membro della nostra famiglia Trend Micro. È molto difficile trovare le parole giuste per descrivere la tristezza provata in questo momento. Ho conosciuto Raimund quando era un distributore di Trend Micro in Germania con la sua attività in proprio. Nel 1996, Jenny, io e Steve, i tre co-fondatori di Trend Micro, lo abbiamo convinto a far parte della nostra società. Così ha fondato Trend Micro Deutschland GmbH, la nostra filiale in Germania. Continua a leggere

XGen™ Endpoint Security: la prima soluzione che include il machine learning in un insieme di tecniche intergenerazionali di difesa dalle minacce.

XGen™ Endpoint Security

XGen™ Endpoint Security

A cura di: Gastone Nencini, Country Manager Trend Micro Italia

Il fulcro di XGen™ endpoint security è un insieme intergenerazionale di tecniche di difesa dalle minacce che applicano in maniera intelligente la giusta tecnologia nel momento corretto. Il risultato è una protezione più efficace ed efficiente contro le minacce.

Continua a leggere