Perché ogni VPN ha bisogno di un SIEM forte al suo fianco?

Le reti private virtuali sono state utilizzate da individui e organizzazioni per quasi due decenni. Una VPN crea un tunnel sicuro che consente il trasferimento di informazioni crittografate da un punto all'altro. Nel mondo degli affari, consente ai dipendenti di connettersi alla rete della propria organizzazione e inviare e ricevere informazioni in modo sicuro. Le VPN hanno assunto un ruolo più importante considerando il lavoro dall'ambiente domestico in cui ci troviamo.

Non è chiaro per quanto tempo le persone lavoreranno da casa. Alcune organizzazioni hanno già dimostrato che anche dopo che la pandemia sarà passata, una parte della loro forza lavoro lavorerà da remoto. Il fatto che più persone lavorino da casa ha attirato l'attenzione dei criminali informatici. Vedono il lavoro dall'ambiente domestico come la creazione di vulnerabilità che possono sfruttare.

Attacchi informatici diretti alle VPN

Non appena i criminali informatici sfondano la VPN e ottengono l'accesso alla rete di un'organizzazione, sono come bambini in un negozio di caramelle. Possono frugare nella rete e nei servizi. A loro piacimento, possono cercare vulnerabilità, configurazioni errate e punti deboli. Non c'è limite ai danni che i criminali possono causare una volta che hanno accesso per manipolare dati, distruggere sistemi o interrompere dati sensibili in transito.

Consigliato per te: VPN vs Proxy: quali sono le differenze? Qual è il migliore?

Sono necessarie più delle semplici misure di sicurezza di base

La maggior parte delle organizzazioni sta già utilizzando i passaggi di base consigliati per migliorare la propria sicurezza VPN. Ciò include la richiesta di password complesse, univoche e che cambiano periodicamente. Il provisioning o l'accesso al controllo basato sui ruoli significa limitare le risorse per gruppi. L'autenticazione a più fattori viene utilizzata anche per utenti privilegiati o per coloro che devono accedere a dati e software sensibili.

L'importanza di questi passaggi non dovrebbe essere minimizzata. Un'organizzazione si illuderebbe se credesse che questi passaggi di base siano tutto ciò che è necessario per proteggersi dagli attacchi alla sicurezza informatica che sono in costante crescita in termini di sofisticatezza.

Attacchi sofisticati richiedono una soluzione sofisticata, come una piattaforma di gestione delle informazioni e degli eventi di sicurezza. I SIEM sono strumenti responsabili della raccolta e della correlazione dei dati dagli strumenti di sicurezza utilizzati da un'organizzazione, inclusa la loro VPN.

I SIEM consentono di compilare insieme le informazioni raccolte da strumenti di sicurezza separati per fornire informazioni dettagliate sulle minacce alla sicurezza che potrebbero non essere facili da ottenere esaminando i dati separatamente. Queste piattaforme possono aiutare un'organizzazione a identificare quali sono gli eventi veramente ad alto rischio e separarli dal rumore.

Ad esempio, un dipendente potrebbe connettersi a una VPN da New York City. Quarantacinque minuti dopo, lo stesso dipendente si connette alla VPN dell'organizzazione da Minneapolis, MN. Una piattaforma SIEM dovrebbe essere in grado di dire che ciò è fisicamente impossibile e quindi segnalarlo come comportamento sospetto che deve essere indagato.

In che modo una piattaforma SIEM può avvantaggiare la tua organizzazione?

Le soluzioni SIEM offrono il rilevamento delle minacce in tempo reale. Aumentano l'efficienza, riducono i costi, minimizzano le potenziali minacce, migliorano il reporting e l'analisi dei registri e promuovono la conformità IT. Poiché le soluzioni SIEM possono collegare i registri degli eventi da vari dispositivi e applicazioni, il personale IT può identificare, rispondere e rivedere rapidamente potenziali violazioni della sicurezza. Quanto prima viene identificata una minaccia alla sicurezza informatica, tanto minore è l'impatto che può avere. A volte, il danno può essere prevenuto del tutto.

Le piattaforme SIEM consentono a un team IT di avere una visione d'insieme di tutte le minacce da cui lo stanno proteggendo gli strumenti di sicurezza di un'organizzazione. Un singolo avviso da un filtro malware o antivirus potrebbe non essere un grosso problema o potrebbe non dare l'allarme. Tuttavia, se viene visualizzato contemporaneamente un avviso dal firewall, dal filtro antivirus e dalla VPN, ciò potrebbe indicare che è in corso una grave violazione. SIEM raccoglierà gli avvisi da luoghi diversi e poi li visualizzerà su una console centralizzata, massimizzando i tempi di risposta.

Potrebbe piacerti: VPN vs RDS vs VDI: cosa scegliere per un accesso remoto sicuro?

In che modo SIEM aiuta a mitigare i rischi per la sicurezza in un ambiente di lavoro da casa?

La pandemia di coronavirus ha costretto le organizzazioni a passare dal personale in loco a una forza lavoro completamente remota più rapidamente di quanto non facessero molte organizzazioni. Ciò significava che dovevano trovare un equilibrio e possibilmente un compromesso tra la fornitura di un servizio coerente ai propri clienti e il mantenimento di un livello elevato di sicurezza informatica.

La configurazione manuale di regole e difese in grado di gestire correttamente questa modifica richiede molto tempo. Le organizzazioni che non utilizzavano già le piattaforme SIEM hanno giocato un gioco frustrante, pericoloso e costoso per recuperare il ritardo nelle prime settimane di ordini casalinghi.

Le organizzazioni che stavano già utilizzando SIEM potrebbero passare più facilmente. Poiché disponevano di un sistema completo che sfruttava l'analisi del comportamento e l'apprendimento automatico, potevano adattarsi automaticamente ai cambiamenti nell'ambiente di lavoro. Questo allevia molto lo stress dei loro team IT.

Uno dei principali vantaggi dell'analisi del comportamento è la capacità di esaminare un'attività normale di base per un'organizzazione e i suoi utenti e quindi rilevare e far suonare automaticamente l'allarme quando si verificano deviazioni da tale attività normale. In questo modo, i controlli di sicurezza di un'organizzazione sono flessibili e possono cambiare al variare dell'ambiente aziendale. Si adattano automaticamente come nuove cose, come il modo in cui i dipendenti che lavorano da casa sono diventati la nuova normalità.

Utilizzo di SIEM per rilevare e mitigare i danni causati dalla frode del CEO

L'ambiente di lavoro a casa ha reso la comunicazione e-mail più importante che mai. Questo perché l'interazione faccia a faccia che faceva parte del lavoro in ufficio è scomparsa. Sfortunatamente, poiché una raffica di e-mail viene inviata avanti e indietro, esiste la possibilità che vengano inviate e-mail fraudolente in nome della direzione, dei direttori o di altri soggetti responsabili.

La frode del CEO è una forma relativamente nuova di criminalità informatica. Gli attacchi di ingegneria sociale vengono utilizzati per indurre una persona all'interno dell'organizzazione a inviare denaro o informazioni riservate all'individuo o alle persone che perpetrano la frode.

La frode del CEO esisteva prima del COVID-19. Si stima che in soli tre anni potrebbe produrre più di 2,3 miliardi di dollari di perdite. Quando le persone lavoravano in un ambiente d'ufficio in cui avevano contatti personali con la direzione, molte organizzazioni pensavano erroneamente che fosse facile per loro identificare le truffe via e-mail da sole.

Tuttavia, esaminando i casi di frode del CEO, è chiaro che più e-mail sono state comunicate avanti e indietro tra i truffatori e la vittima senza che la vittima fosse più saggia. La frode del CEO è un tipo di frode sofisticato e praticamente impossibile da catturare senza gli strumenti adeguati. Se era difficile da catturare nell'ambiente dell'ufficio relativamente sicuro, immagina di prenderlo ora con i dipendenti dispersi e la quantità di contatti faccia a faccia ridotta.

La frode del CEO si presenta in due modi. Uno è dove viene violato l'account e-mail di un senior manager. L'altro è dove viene inviata un'e-mail da un dominio simile al dominio aziendale legittimo. In primo luogo, i truffatori comprometteranno gli account di posta elettronica dei dipendenti senior. Nel secondo caso, il typosquatting viene utilizzato per indurre i dipendenti a credere di aver ricevuto informazioni da individui in posizioni di supervisione.

Una soluzione SIEM può aiutare. Consente a un'organizzazione di anticipare i rischi delle credenziali compromesse. Se un CEO, un manager o un altro individuo in una posizione di responsabilità vede compromesso il proprio account di posta elettronica, le soluzioni SIEM possono aiutare a identificare e fermare la violazione prima che si verifichi. Questo perché le soluzioni SIEM stanno monitorando i dati sulla tua rete. Ciò include servizi di directory attive, O365, firewall, unità di archiviazione, Salesforce e altro ancora.

Una volta che tutte le informazioni sono state pubblicate nel SIEM, i dati verranno raccolti, correlati ed esaminati da analisi avanzate. L'obiettivo è trovare indicatori di compromissione o trovare modelli che mostrino se si sta verificando un comportamento sospetto. Queste informazioni possono essere registrate e inviate immediatamente al team di sicurezza di un'organizzazione.

Poiché ciò accade in tempo reale, molti attacchi possono essere prevenuti prima che abbiano un effetto dannoso. L'apprendimento automatico avanzato può essere addestrato per identificare gli attacchi lenti che si insinuano nella rete. È possibile rilevare modelli di attività insoliti e possono mitigare le minacce prima che si verifichino. Possono utilizzare questi stessi approcci per identificare altri tipi di minacce e-mail, come le truffe di spear-phishing. Anche in questo caso, vediamo il potere che una soluzione SIEM ha di aggiungere valore non offerto da una VPN.

Potrebbe piacerti anche: NordVPN vs SiteLock VPN: qual è il migliore per te?

Utilizzo delle informazioni raccolte da SIEM per migliorare la sicurezza informatica

Quando vengono rilevate anomalie, le organizzazioni possono mettere in atto protezioni per prevenire future compromissioni. Un passo potrebbe essere quello di istruire i dipendenti sulle minacce alla sicurezza informatica che stanno affrontando. Mostrando ai dipendenti i diversi attacchi che sono stati tentati, i dipendenti sono incoraggiati a mitigare i comportamenti rischiosi.

Alcuni suggerimenti di prevenzione che potrebbero sembrare di buon senso per un team IT potrebbero essere trascurati dai dipendenti. Ad esempio, si dovrebbe ricordare ai dipendenti di ignorare le e-mail non richieste che richiedono una risposta immediata. Dovrebbero essere incoraggiati a controllare frequentemente gli indirizzi e-mail e i domini del mittente e confrontarli con indirizzi e domini e-mail autentici. Si ricorda ai dipendenti di non aprire allegati imprevisti e di prestare ulteriore attenzione quando si ricevono e-mail da mittenti non riconosciuti.

Una cosa è certa è che i criminali informatici non smetteranno di cercare vulnerabilità. Le organizzazioni devono proteggere se stesse, i propri dati e i propri dipendenti utilizzando funzionalità di sicurezza come VPN, strumenti antivirus e protezione da malware e quindi eseguirne il backup con piattaforme SIEM.