|
|
|
|
Strumenti |
21-01-2021, 13:41 | #1 |
www.hwupgrade.it
Iscritto dal: Jul 2001
Messaggi: 75175
|
Link alla notizia: https://edge9.hwupgrade.it/news/secu...nti_94934.html
Chris Goettl, Director of Product Management for Security Products di Ivanti, analizza gli step necessari per sferrare un attacco di tipo ransomware, sottolineando le contromisure da prendere in ogni fase, incluso il recovery da backup Click sul link per visualizzare la notizia. |
21-01-2021, 15:24 | #2 |
Senior Member
Iscritto dal: Jul 2015
Messaggi: 4703
|
Manca una cosa fondamentale:
passate la fase 1 e la 2 il ransonware contatta un server esterno alla rete per ottenere il codice di crifratura. Se il firewall consente connessioni solo verso alcuni siti autorizzati dall'admin il criptaggio dei dati non inizierà affatto ( il virus non riceve la chiave di criptazione) e nel frattempo le firme AV avranno la nuova minaccia nel database potendolo individuare e rimuovere. Insomma nella fase 3 si è sieropositi, ma ancora in ottima salute, solo dopo arriva il baluardo 4 ( nell'articolo identificato come 3). Fermo restando che tutti i punti dovrebbero essere rispettati, perchè altrimenti una piccola falla o disattenzione aprirebbe una breccia nel sistema da fare molti danni. |
21-01-2021, 18:01 | #3 |
Junior Member
Iscritto dal: Jan 2021
Messaggi: 14
|
Quindi ogni qualvolta un utente interno deve andare su un nuovo sito deve chiede all’amministratore del firewall di essere abilitato? Non mi sembra molto realistica come soluzione
|
21-01-2021, 18:43 | #4 | |
Senior Member
Iscritto dal: Jul 2015
Messaggi: 4703
|
Quote:
Se poi vuoi fare le cose molte sul serio ti affidi ad un fw con abbonamento che ti gestisce i siti sicuri e le connessioni ( con relativi protocolli e porte) accettate. Se poi vai a guardare nelle aziende i siti che vengono interrogati sono pochissimi, facebook e siti non inerenti la produzione dovrebbero essere fruibili su dmz, mentre le varie sedi in vpn punto punto. |
|
21-01-2021, 18:58 | #5 |
Junior Member
Iscritto dal: Jan 2021
Messaggi: 14
|
Appunto ci sono soluzioni come web gateway, next generation firewall, cloud security che si occupano di categorizzare i siti e consentire/vietare l’accesso in modo dinamico senza che tu, amministratore, debba impazzire a metterti a fare regole sul firewall per ogni nuovo sito legittimo che un dipendente deve raggiungere. Quella è preistoria. Tanto vale che gli impedisci di usare il computer e gli dai carta e penna.
Comunque inibire i social network a priori è altrettanto obsoleto come metodo di prevenzione. Ci sono molte aziende di inbound marketing che vivono di questi siti. |
22-01-2021, 00:27 | #6 | |
Senior Member
Iscritto dal: Jul 2015
Messaggi: 4703
|
Quote:
Il settore commerciale non avrà affatto bisogno di accedere alle stesse risorse del pr, la produzione non deve poter accedere affatto all'esterno, mentre la progettazione avrà bisogno di accedere a ben pochi siti esterni. Per i social: se permetti sono ad oggi il mezzo più sfruttato per gli attacchi e se non necessari vanno eliminato da ogni sezione. Il sezionamento della rete interna effettuato correttamente in caso di attacco ( e non solo da ransoware) permette di arginare agevolmente i danni affinché non diventi una catastrofe. Poi è normale che se tu fatturi con i social o col porno avrai accesso alle risorse esterne, ma certamente non avrai accesso alle risorse di trading. |
|
22-01-2021, 08:25 | #7 |
Junior Member
Iscritto dal: Jul 2015
Messaggi: 9
|
Questi criminali ne inventano sempre una nuova, talvolta installano un key logger per carpire le password degli admin. La cifratura non sempre viene fatta velocemente, ma può anche procedere in maniera lenta e subdola e l’utente non se ne accorge perché i criminali installano un filter driver simile al bit locker che decifra il file in lettura. Vi sono situazioni in cui lavorano file per file, magari cifrando solo un KB ogni 100. Poi attaccano la piattaforma di backup. Talvolta cancellano anche gli snapshots dagli storage arrays. Li ho visti addirittura sfruttare le interfaccia ILO e fare il boot da ISO Linux per poi danneggiare sistemi dove neppure gli Admin avevano la possibilità di cancellare dati. Non sono più dei nerd cantinari con voglia di sfregiare un server perché di indole “strana”, ma sono delle profittevoli aziende per cattive azioni con bravi R&D, e sarà sempre peggio. Almeno, come un medico, ci guadagno sui mali altrui 😇
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 01:36.