Perché ogni VPN ha bisogno di un forte SIEM al suo fianco?

Le reti private virtuali sono state utilizzate da individui e organizzazioni per quasi due decenni. Una VPN crea un tunnel sicuro che consente il trasferimento di informazioni crittografate da un punto all'altro. Nel mondo degli affari, consente ai dipendenti di connettersi alla rete della propria organizzazione e di inviare e ricevere informazioni in modo sicuro. Le VPN hanno assunto un ruolo più importante considerando il lavoro svolto dall'ambiente domestico in cui ci troviamo.

Non è chiaro per quanto tempo le persone lavoreranno da casa. Alcune organizzazioni hanno già dimostrato che anche dopo che la pandemia sarà passata, una parte della loro forza lavoro lavorerà da remoto. Il fatto che più persone lavorino da casa ha attirato l'attenzione dei criminali informatici. Vedono il lavoro dall'ambiente domestico come la creazione di vulnerabilità che possono sfruttare.

Attacchi informatici diretti alle VPN

Citando gli esperti, Will Ellis di Privacy Australia ha visto che uno dei modi principali in cui i criminali informatici perpetrano i loro attacchi è tentare di penetrare nelle VPN. Come ha detto, “Purtroppo, in molti casi, hanno avuto successo negli ultimi mesi. Ciò ha portato le imprese e le istituzioni governative a rafforzare le misure di sicurezza”.

Non appena i criminali informatici sfondano la VPN e ottengono l'accesso alla rete di un'organizzazione, sono come bambini in un negozio di dolciumi. Possono frugare nella rete e nei servizi. A loro piacimento, possono cercare vulnerabilità, configurazioni errate e debolezze. Non c'è limite al danno che i criminali possono causare una volta che hanno accesso per manipolare dati, distruggere sistemi o interrompere dati sensibili in transito.

Consigliato per te: VPN vs Proxy: quali sono le differenze? Qual è il migliore?

Sono necessarie più che semplici misure di sicurezza di base

La maggior parte delle organizzazioni sta già utilizzando i passaggi di base consigliati per migliorare la propria sicurezza VPN. Ciò include la richiesta di password sicure complesse, univoche e che cambiano periodicamente. Il provisioning o l'accesso al controllo basato sui ruoli significa limitare le risorse in base ai gruppi. L'autenticazione a più fattori viene utilizzata anche per gli utenti privilegiati o coloro che devono accedere a dati e software sensibili.

L'importanza di questi passaggi non deve essere minimizzata. Un'organizzazione si ingannerebbe se credesse che questi passaggi di base siano tutto ciò che è necessario per proteggersi dagli attacchi alla sicurezza informatica che sono in costante crescita in sofisticazione.

Gli attacchi sofisticati richiedono una soluzione sofisticata, come una piattaforma per la gestione delle informazioni sulla sicurezza e degli eventi. I SIEM sono strumenti responsabili della raccolta e della correlazione dei dati dagli strumenti di sicurezza utilizzati da un'organizzazione, inclusa la loro VPN.

I SIEM consentono di compilare insieme le informazioni raccolte da strumenti di sicurezza separati per fornire informazioni sulle minacce alla sicurezza che potrebbero non essere facili da raccogliere esaminando i dati separatamente. Queste piattaforme possono aiutare un'organizzazione a identificare quali sono veramente gli eventi ad alto rischio e separarli dal rumore.

Ad esempio, un dipendente potrebbe connettersi a una VPN da New York City. Quarantacinque minuti dopo, lo stesso dipendente si connette alla VPN dell'organizzazione da Minneapolis, MN. Una piattaforma SIEM dovrebbe essere in grado di dire che ciò è fisicamente impossibile e quindi contrassegnarlo come comportamento sospetto che deve essere indagato.

In che modo una piattaforma SIEM può avvantaggiare la tua organizzazione?

Le soluzioni SIEM offrono il rilevamento delle minacce in tempo reale. Aumentano l'efficienza, riducono i costi, riducono al minimo le potenziali minacce, migliorano il reporting e l'analisi dei log e promuovono la conformità IT. Poiché le soluzioni SIEM possono connettere i registri eventi di vari dispositivi e applicazioni, il personale IT può identificare, rispondere ed esaminare rapidamente potenziali violazioni della sicurezza. Più rapidamente viene identificata una minaccia alla sicurezza informatica, minore è l'impatto che può avere. A volte, il danno può essere prevenuto del tutto.

Le piattaforme SIEM consentono a un team IT di avere una visione d'insieme di tutte le minacce da cui lo proteggono gli strumenti di sicurezza di un'organizzazione. Un singolo avviso proveniente da un filtro antimalware o antivirus potrebbe non essere un grosso problema o potrebbe non far scattare l'allarme. Tuttavia, se c'è un avviso dal firewall, dal filtro antivirus e dalla VPN contemporaneamente, ciò potrebbe indicare che è in corso una grave violazione. SIEM raccoglierà avvisi da luoghi diversi e li visualizzerà su una console centralizzata, massimizzando i tempi di risposta.

Potrebbe piacerti: VPN vs RDS vs VDI: cosa scegliere per un accesso remoto sicuro?

In che modo SIEM aiuta a mitigare i rischi per la sicurezza in un ambiente di lavoro da casa?

La pandemia di coronavirus ha costretto le organizzazioni a passare dal personale in loco a una forza lavoro completamente remota più rapidamente di quanto molte organizzazioni fossero in grado di fare. Ciò significava che dovevano trovare un equilibrio e possibilmente un compromesso tra la fornitura di un servizio coerente ai propri clienti e il mantenimento di un elevato livello di sicurezza informatica.

La configurazione manuale di regole e difese in grado di gestire correttamente questa modifica richiede molto tempo. Le organizzazioni che non utilizzavano già le piattaforme SIEM hanno giocato un gioco frustrante, pericoloso e costoso per recuperare il ritardo nelle prime settimane di ordini casalinghi.

Le organizzazioni che già utilizzavano SIEM potrebbero passare più facilmente. Poiché disponevano di un sistema completo che sfruttava l'analisi del comportamento e l'apprendimento automatico, potevano adattarsi automaticamente ai cambiamenti nell'ambiente di lavoro. Questo toglie molto stress ai loro team IT.

Uno dei principali vantaggi dell'analisi del comportamento è la capacità di esaminare un'attività normale di base per un'organizzazione e i suoi utenti e quindi rilevare automaticamente e suonare l'allarme quando ci sono deviazioni da quella normale attività. In questo modo, i controlli di sicurezza di un'organizzazione sono flessibili e possono cambiare al variare dell'ambiente aziendale. Si adattano automaticamente a cose nuove, ad esempio il modo in cui i dipendenti che lavorano da casa sono diventati la nuova normalità.

Utilizzo del SIEM per rilevare e mitigare i danni causati dalla frode del CEO

L'ambiente di lavoro da casa ha reso la comunicazione via e-mail più importante che mai. Questo perché l'interazione faccia a faccia che faceva parte del lavoro in ufficio è scomparsa. Sfortunatamente, poiché viene inviata una raffica di e-mail avanti e indietro, esiste la possibilità che vengano inviate e-mail fraudolente a nome della direzione, dei direttori o di altre persone responsabili.

La frode del CEO è una forma relativamente nuova di crimine informatico. Gli attacchi di ingegneria sociale vengono utilizzati per indurre una persona nell'organizzazione a inviare denaro o informazioni riservate alla persona o alle persone che perpetrano frodi.

La frode del CEO esisteva prima del COVID-19. Si stima che in soli tre anni potrebbe produrre più di 2,3 miliardi di dollari di perdite. Quando le persone lavoravano in un ambiente d'ufficio in cui avevano un contatto individuale con la direzione, molte organizzazioni pensavano erroneamente che fosse facile per loro identificare le truffe via e-mail da sole.

Tuttavia, nell'esaminare i casi di frode del CEO, è chiaro che più e-mail sono state comunicate avanti e indietro tra i truffatori e la vittima senza che la vittima ne fosse più consapevole. La frode del CEO è un tipo di frode sofisticato e praticamente impossibile da rilevare senza gli strumenti adeguati. Se era difficile catturarlo nell'ambiente relativamente sicuro dell'ufficio, immagina di catturarlo ora con i dipendenti dispersi e la quantità di contatti faccia a faccia ridotti.

La frode del CEO si presenta in due modi. Uno è dove l'account di posta elettronica di un senior manager viene violato. L'altro è dove viene inviata un'e-mail da un dominio simile al dominio aziendale legittimo. In primo luogo, i truffatori comprometteranno gli account di posta elettronica dei dipendenti senior. Nel secondo caso, il typosquatting viene utilizzato per indurre i dipendenti a credere di aver ricevuto informazioni da persone in posizioni di supervisione.

Una soluzione SIEM può aiutare. Consente a un'organizzazione di anticipare i rischi di compromissione delle credenziali. Se un CEO, un manager o un altro individuo in una posizione di responsabilità ha il proprio account di posta elettronica compromesso, le soluzioni SIEM possono aiutare a identificare e fermare la violazione prima che si verifichi. Questo perché le soluzioni SIEM stanno monitorando i dati attraverso la tua rete. Ciò include i servizi Active Directory, O365, firewall, unità di archiviazione, Salesforce e altro ancora.

Una volta che tutte le informazioni sono state pubblicate nel SIEM, i dati verranno raccolti, correlati ed esaminati da analisi avanzate. L'obiettivo è trovare indicatori di compromissione o trovare modelli che mostrino se si sta verificando un comportamento sospetto. Queste informazioni possono essere registrate e inviate immediatamente al team di sicurezza di un'organizzazione.

Poiché ciò avviene in tempo reale, molti attacchi possono essere prevenuti prima che abbiano un effetto dannoso. L'apprendimento automatico avanzato può essere addestrato per identificare attacchi lenti che si insinuano nella rete. È possibile rilevare schemi di attività insoliti e mitigare le minacce prima che si verifichino. Possono utilizzare questi stessi approcci per identificare altri tipi di minacce e-mail, come le truffe di spear-phishing. Anche in questo caso, vediamo il potere che ha una soluzione SIEM di aggiungere valore non offerto da una VPN.

Ti potrebbe piacere anche: NordVPN vs SiteLock VPN: qual è il migliore per te?

Utilizzo delle informazioni raccolte da SIEM per migliorare la sicurezza informatica

Quando vengono rilevate anomalie, le organizzazioni possono mettere in atto protezioni per prevenire future compromissioni. Un passo potrebbe essere educare i dipendenti sulle minacce alla sicurezza informatica che stanno affrontando. Mostrando ai dipendenti i diversi attacchi che sono stati tentati, i dipendenti sono incoraggiati a mitigare i comportamenti rischiosi.

Alcuni suggerimenti di prevenzione che potrebbero sembrare di buon senso a un team IT potrebbero essere trascurati dai dipendenti. Ad esempio, ai dipendenti dovrebbe essere ricordato di ignorare le e-mail spontanee che richiedono una risposta immediata. Dovrebbero essere incoraggiati a controllare frequentemente gli indirizzi e-mail e i domini del mittente e confrontarli con indirizzi e-mail e domini autentici. È necessario ricordare ai dipendenti di non aprire allegati inaspettati e di prestare ulteriore attenzione quando si ricevono e-mail da mittenti non riconosciuti.

Una cosa certa è che i criminali informatici non smetteranno di cercare le vulnerabilità. Le organizzazioni devono proteggere se stesse, i propri dati e i propri dipendenti utilizzando funzionalità di sicurezza come VPN, strumenti antivirus e protezione da malware e quindi eseguendo il backup con piattaforme SIEM.