Name: Sophos presenta il Threat Report 2025
Uploaded: 2025-06-25T09:31:06.179Z
Duration: 1 h 3 min 16 s
Description: Sophos presenta il Threat Report 2025

Transcript for "Sophos presenta il Threat Report 2025": Buongiorno buongiorno a tutti e bentrovati. Sono Giovanni Giovannelli e oggi faremo un nuovo webinar quindi come chi è magari già ormai conosce già I nostri webinar sa benissimo com'è la formula e oggi è il l'argomento che riguarda il nostro 3 report che rilasciamo annualmente e che rispetto agli altri anni riguarda un po come vedete un argomento ben preciso cioè cioè il gli aspetti l'aspetto delle minacce e degli attacchi legati al mondo della SMB quindi della PMI come magari diciamo noi in Italia E quindi ecco è un po mirato su questo tipo di aziende e gli argomenti quindi sono in realtà sono un po per tutti. Quindi sono argomenti che riguardano un po tutte le aziende sicuramente ma in particolar modo vedremo che le aziende piccole o medie non sono assolutamente immuni da attacchi anzi. Vedremo che comunque gli attaccanti hanno hanno veramente interesse per vari motivi a prendere di mira aziende comunque piccole e medie e vedremo che comunque ci sono delle peculiarità su questo tipo di attacco perché normalmente le aziende piccole e medie un po' perché c'è questo falso mito che magari c'è meno interesse ad essere attaccate ma anche perché appunto magari c'è una struttura meno organizzata per quanto riguarda le difese Ecco faccio un esempio su tutti magari un'organizzazione di un SoC interno per la visualizzazione degli eventi e la risposta agli attacchi e quindi sicuramente per gli attaccanti diventa un target, un punto cruciale per portare avanti le proprie mire di guadagno su questo tipo di azienda. Quali sono I dati che andremo a prendere sono dati raccolti dai prodotti installati sicuramente e dati telemetrici. Quindi come tutte le soluzioni di sicurezza Sophos raccoglie dati dalle proprie soluzioni installate dati ripeto telemetrici quindi servono semplicemente per individuare o capire quali sono le minacce quindi le varie I vari rilevamenti che servono anche dall'altro per creare nuove nuove intelligence quindi nuove detection nuove firme assolutamente e poi sono dati che riguardano I nostri SOC quindi parliamo direttamente dal MDR dei servizi di manager di action response e dei servizi di incidente response. Quindi sono tutte quelle analisi che vengono condotte da persone esperte che quindi sono dati che riguardano proprio quel tipo di analisi effettuate dai nostri specialisti. Questa è un po l'agenda, quindi gli argomenti che andremo a trattare in maniera di principio poi li andremo a vedere in maniera un po più puntuale quindi adesso la faccio vedere così al volo comunque in 2 parole parleremo di ransomware, parleremo degli entry point dei vari attacchi, parleremo del furto di credenziali o comunque del furto di dati sulle utenze e vedremo per quale motivo quindi l'SMB è comunque un target appetibile per gli attaccanti e vedremo anche quali sono le possibilità per le aziende piccole e medie di potersi difendere. Quindi non parliamo di Wall Street questo è un po il tema della del trend Report di quest'anno ma parliamo di Mainstreet quindi parliamo proprio della dei dati della strada. Andiamo proprio a vedere I dati sul campo quelli reali con quelli delle aziende le aziende delle mega aziende che magari sono possono essere attaccate ma come abbiamo detto possono avere delle difese molto più specifiche e molto più organizzate. Primo punto I ransomware lo sappiamo tutti che cos'è un ransomware di principio credo quindi non lo andrò a spiegare ma voglio soltanto dire innanzitutto che è ancora la minaccia dominante. C'è stato un calo magari nel piccolo calo nell'anno passato rispetto a quelli precedenti però è aumentata la gravità degli attacchi anche la richiesta di denaro da parte degli attaccanti. Comunque tenete presente che il 70 per 100 dei casi ecco dove è stata fatta una risposta quindi agli incidenti quindi dei casi di incidente response legati alle alle PMI alle piccole e medie imprese coinvolgono comunque un attacco ransomware. La cosa interessante è che il 30 por 100 dei casi di ransomware include anche un tentativo di furto di dati e molto spesso ormai l'obiettivo non è più la crittografia dei dati di un attacco ransomware ma diventa proprio quello di prendere dati recuperare quindi fare una un'effltrazione dei dati per un po aumentare anche la pressione sulle vittime a pagare. Quindi non è tanto il fatto quindi di specifrarli quanto di dire o io ho I dati o I tuoi dati li posso pubblicare quando voglio e quindi mi devi pagare. E anche con tempi più o meno aggressivi quindi più o meno rapidi. E poi l'ottantatré per 100 questo è il dato centrale l'ottantatré per 100 degli attacchi ransomware quindi dei vari file di ransomware, binari ransomware sono stati comunque depositati e fuori dall'orario di lavoro. Quindi sappiamo bene questa è una conferma è un po' una cosa che già sapevamo dagli anni passati che gli attacchi vengono condotti durante l'orario notturno magari o comunque il fine settimana quindi in orari non propriamente lavorativi o perlomeno non quelli direttamente lavorativi che possiamo considerare quindi il classico orario di lavoro. Un punto su cui mettere l'attenzione è quello che riguarda lo vedete nel secondo qua nell'elenco che sta qui in basso è il fatto che la parte di cifratura dei file sta come numero quindi sugli attacchi ransomware è in incremento la cifratura dei file che partono da sistemi non gestiti. Questo è un punto cruciale che andremo poi approfondire nel corso della presentazione. Intanto prendetelo così come come l'ho appena enunciato. Allora sappiamo che gli attaccanti ormai conoscono I propri target li studiano ok? Quindi loro sanno le revenue di un'azienda conoscono benissimo le revenue di un'azienda sanno quant'è il loro potenziale di pagamento ecco chiamiamolo così quindi vuol dire che ok che il abbiamo detto che c'è stato anche un lieve calo degli attacchi ransomware su larga scala ma I costi associati aumentano anno dopo anno. Ok quindi vuol dire che I criminali sono diventati molto bravi a determinare la capacità di pagamento delle vittime e perché esaminano I dati finanziari e quindi sanno anche quanto possono spingersi nella richiesta di riscatto. Questo ormai è un dato appurato e soprattutto sanno se è presente per esempio un'assicurazione informatica perché in questo caso le richieste possono diventare anche più aggressive. Questa è quindi un aspetto interessante proprio legato alla parte di PMI. Andiamo a vedere quali sono I punti principali o perlomeno I punti deboli della catena di attacco. Abbiamo visto che per esempio c'è stato un incremento del 25 por 100 e sulla sul diciamo così l'inizio di una minaccia di un attacco quindi legato a il perimetro aziendale che significa significa che il più delle volte tendono magari a lanciare degli attacchi su delle vulnerabilità dei device perimetrali. Firewall come vedete. Appliance VPN quindi sistema VPN quindi anche qua appunto interessante le VPN è una sicuramente una tecnologia utile e semplice da implementare di largo respiro perché è presente praticamente ovunque. Ogni firewall ogni sistema perimetrale la sua tecnologia VPN a cui si può utilizzare. Però molto spesso viene sfruttata le vulnerabilità sui protocolli VPN o come vengono implementati I sistemi VPN dei vari firewall o comunque device perimetrali e vengono attaccati quindi da Exploit e anche altro punto l'accesso remoto a delle piattaforme pubbliche. Quindi per esempio I sistemi SUS per esempio quindi quello è un altro punto cruciale. Quali sono I rischi di fattori di rischio sono I dispositivi che non vengono corretti adeguatamente da patch O magari la patch non è ancora presente ma il più delle volte non è tanto questo l'aspetto cruciale quanto quello che del ritardo nell'applicare patch correttive. Quindi dispositivi non che hanno delle vulnerabilità e quello può capitare. Però queste queste patch non vengono applicate correttamente. Ora ci sono diversi metodi per cui una patch può essere applicata e uno su tutti è quello di farlo automaticamente cioè di avere un sistema che automaticamente una volta applicata la patch una volta esistente la patch poi deve essere applicata. Quindi non tutti hanno questo approccio. Io parlo soprattutto dell'approccio per esempio Sophos per quanto riguarda I firewall quindi con il concetto comunque della sicurezza del dispositivo intrinseca proprio e quindi anche delle pratiche ad esempio di aggiornamento che vengono fatte in maniera automatica in presenza di patch critiche quindi che vanno a correggere magari vulnerabilità che possono essere sfruttate. Quindi questo è un po il concetto del Secure by Design. Ok quindi bisogna stare attenti a quello quindi magari se avete dispositivi perimetrali immagino li abbiate controllate che ci siano magari aggiornamenti automatici in presenza di per esempio patch correzioni quindi critiche per quanto riguarda la sicurezza e vulnerabilità critiche. Poi ci sono il concetto dei servizi esposti. E qua vengono uscite alcune come per esempio RDP, Remot desktop Protocol, SQL o l'active directory. E quindi il nostro e alla fine I nostri consigli sono quelli di fare un audit esterno periodico. Poi andremo anche a vedere un po come si può fare quindi alla fine daremo anche dei consigli chiaramente e quindi di esterni e di fare il patch quindi in maniera precisa e soprattutto possibilmente automatica. Questo come termini guarda allora come dato tenete presente che che oltre quindi un terzo degli accessi iniziali quindi il 33 por 100 è avvenuto proprio tramite compromissioni di dispositivi perimetrali quindi più di un terzo. Poi tenete presente che c'è anche per esempio le piattaforme abbiamo detto le piattaforme sas che vengono sfruttate soprattutto per quanto riguarda il furto di credenziali perché perché c'è molto spesso il riutilizzo di credenziali su più piattaforme e quindi se io attaccante so che c'è stato un bridge o comunque una esposizione di credenziali su una piattaforma posso recuperare quel tipo di credenziali e utilizzarle eventualmente su altre per capire se sono valide anche su altre piattaforme. Come questo è successo insomma anche su piattaforme popolari mi viene in mente come a Classian per esempio che magari avuto questo tipo di problema. Sul discorso RDP cito proprio questo l'ho fatto in anche in webinar passati comunque lo riporto anche qua cito sempre che il RDP come vedete è il cosiddetto Leading of the land preferito. Da ormai anni dal 2022 ad oggi RDP è il servizio esposto che viene sfruttato maggiormente dagli attaccanti. I living of the land sono quei sistemi, sono quei tool che sono presenti normalmente nei vari sistemi, quindi in questo caso l'attaccante non deve nemmeno far la fatica di installare un un pool o comunque un binario, un eseguibile per poter lanciare l'attacco ma sfrutta già degli eseguibili presenti sulle macchine. RDP quindi è il primo come vedete è in contrastato ormai da anni mentre PowerShell comunque è il suo il suo perché, CMD eccetera. Quindi come vedete sono vari vari sistemi già presenti sulle sulle macchine. Abbiamo parlato di ransomware abbiamo detto quindi che il linea di principio il ransomware è ancora la minaccia la minaccia dominante e però dobbiamo porre l'attenzione su un aspetto dei ransomware che sono quelli remoti e qua andremo a fare un attimo un approfondimento. E c'è il ransomware adesso la di attacchi ransomware hanno successo perché non vengono condotti direttamente sulle macchine ma la parte diciamo così di cifratura viene fatta da remoto. Quindi vuol dire che non c'è un processo sulla macchina coinvolta che sta girando in quel momento e che sta cifrando dei file. Quindi vuol dire che qua parliamo di un processo quindi in realtà che non esiste e soprattutto una procedura silente per la macchina su cui magari è installato anche un prodotto di antivirus un prodotto di sicurezza. Il remot transuver secondo I nostri dati avuto un incremento di più del 50 por 100 tra un anno e l'altro quindi dal 2023 al 2024 mentre dal 2022 come vedete l'incremento è stato da ben del 141 por 100. Vuol dire che è una procedura ormai consolidata che molto successo e che ancora terreno fertile perché le soluzioni di sicurezza non sono dotate di strumenti che possono essere in grado di bloccare questo tipo di cifratura. Ovviamente le soluzioni di sicurezza tranne forse ma questo è un altro discorso che andremo a vedere fra un pochino. Quindi gli incidenti ecco un altro dato che vi faccio vedere dal 2022 al 2024 vedete anche come questo programma quali sono gli incidenti legati a remoth Transfer e poi spiegherò anche un pochino più in dettaglio come funziona il processo di remot transwer e questo è un po l'incremento che subito nel corso di questi 3 anni circa. Non soltanto non diamo solamente dati nostri ma anche vogliamo comunque far vedere che ci sono anche altre altre aziende che danno il loro parere su questo tipo di attacco. Vi faccio vedere anche I 2 report Microsoft cioè il Microsoft Digital Defence Report del 2023 e del 2024 e qua quindi come vedete parliamo che in media il 60 per 100 questo è il 2023 degli attacchi ransomware legati a un'attività umana hanno utilizzato remote encription nell'anno 2023 o meglio dall'anno 2023 quindi precedente 2022 in realtà sono dati perché comunque sono sono dati dell'anno precedente. Nel 2024 è passato quindi a un concetto quindi che il 70 por 100 avuto attacchi di successo tramite remoth encription mentre il 92 è partito quindi l'encription remota è partita da oggetti non gestiti nel 92 por 100 dei casi quindi questo che vuol dire vuol dire che l'attacco ransomware è condotto quindi cercando oggetti non gestiti nella rete da cui far partire la procedura di en cription remota verso oggetti gestiti o meglio oggetti che hanno dei dati dentro quindi client o server che siano. Quello del discorso dei device non gestiti è un altro punto interessantissimo che andremo a vedere. Ora l'approccio di Sophos in questo intanto giustamente anche questo ne parlo è quello di avere una soluzione di Point protection innanzitutto che è una protezione in senso stretto quindi non andiamo solamente a indicare eventi sospetti o comunque a indicare attività che l'attaccante può condurre sapete in base tutto al framework per esempio Miter siamo nella catena di attacco nel accesso iniziale nella parte di command control e bla bla bla. Quello lo facciamo chiaramente con la soluzione per esempio XDR. Però andiamo un pochino andiamo un po alla radice del problema cioè una soluzione che deve proteggere e una soluzione per gli attacchi RansOR è proprio quella di protezione automatica per bloccare l'attività di cifratura. L'attività di cifratura può essere condotta in 2 modi essenziali ad oggi quindi che è quella legata direttamente ai dati che sono presenti sul client e quindi c'è un processo sul pc sul client sul server che esegue cifratura dei file oppure abbiamo detto può essere fatta remotamente Andiamo a vedere come nel nostro caso l'approccio ormai da anni è quello della protezione ransomware di tipo 0 trust 0 trust perché perché significa che tutto ciò che sta in esecuzione sul client ma anche l'attività dei vari file sul client viene valutata continuamente a prescindere dal processo che sta eseguendo quell'attività. Veniamo il caso di un utente che sta per esempio scrivendo un file Word sta scrivendo quindi sta facendo un'attività su un file con delle operazioni di scrittura lettura eccetera e quello linea di principio è un'attività legittima che quindi non crea problemi però il prodotto controlla quel tipo di attività cioè significa che tutte le operazioni di scrittura e lettura dei file vengono controllate per vedere se sono attività riconducibili a una tipologia di attacco. Se l'attività di cifratura viene effettuata quindi da parte di un attacco ransomware quel tipo di attività viene bloccata sul file quindi vuol dire che il file viene reso inaccessibile ed è possibile anche per esempio effettuare un ripristino del file qualora quell'attività sia stata bloccata prima del sia stata comunque si bloccata successivamente scusate successivamente al riconoscimento di un ransomware. Quindi viene ci fatto un file ok un altro file ok o mi accorgo che c'è stata un'attività di cifratura il processo viene bloccato viene ripristinato il file I file cifrati in quel momento perché proprio perché il concetto 0 drust fa in modo che I file vengano copiati temporaneamente in un'area locale della macchina perché devono essere deve essere controllato quel processo per vedere se effettivamente è buono oppure no. Questo approccio 0 trust funziona anche se l'attività di cifratura parte da fuori. Quindi vuol dire che non c'è un processo interno. Questo vuol dire quindi che l'attività viene bloccata e nel senso che l'attività non del processo in quel caso ma l'attività sui file viene bloccata e c'è anche lì la possibilità di fare un ripristino dei file ripeto sempre in virtù del fatto che c'è un approccio 0 trust quindi per noi processi o attività sui file sono per principio non malevoli però sospetti nel senso non è detto che siano buoni lo verifichiamo successivamente se l'approccio è buono ok se invece l'attività è malevola allora venne bloccata. Però attivare tutto questo giro che io per forza di cose insomma è anche più complesso di così poi di base ovviamente c'è tutto un aspetto di riconoscimento del file prima dopo quindi veramente volendo se ne può parlare tanto per farvi capire però quanto è l'approccio di sofoss quanto è semplice tutto questo si va ad attivare semplicemente con un flag che è quello che vedete lì nella policy di antivirus troverete di thread protection come si chiama troverete runtime protection proteggi documenti da file di ransomware e proteggi I documenti anche da ransomware remoti come vedete lì quindi è semplicissimo è attivato di default e quindi non dovete andare a controllare a meno che non avete disattivato per qualche motivo però in genere si è disattivato questo tipo di funzionalità viene comunque segnalato perché è una delle posizioni principali. Quindi ecco andiamo a vedere un po meglio il concetto del ransomware remoto quindi questa è la percezione comune cioè vi faccio vedere un po' qual è la percezione di un ransomware come è appunto normalmente. Io ad esempio l'attaccante tramite VPN o tramite firewall attacca la rete, compromette un client non gestito questo è un cliente non gestito come vedete non c'è un antivirus a bordo un cliente non gestito può essere qualsiasi client di tipo o meglio qualsiasi device esempio un client appunto non interno non gestito oppure può essere anche un dispositivo su cui non c'è una protezione perché non è prevista può essere anche una telecamera può essere un oggetto IoT. Ok? A quel punto la compromissione di quel client porta al deployment di un ransomware all'interno della rete e quindi per esempio questo ransomware viene installato su una macchina protetta in questo caso oppure su I server però questo è l'approccio detto la percezione comune o quello che succedeva fino a un po di anni fa perché in questo caso c'è l'antivirus a bordo delle macchine che nel 99 per 100 dei casi ormai tutti gli antivirus hanno una protezione ransomware lavora localmente o anche con 3 di intelligence magari remota in cloud che però in qualche modo va a bloccare file presenti all'interno della macchina. Quindi se io vado a fare il deployment di un ransomware qui dentro nel 99 por 100 dei casi qualsiasi soluzione di antivirus ho viene bloccata viene terminata. Che succede in presenza di encription remota? Siamo di nuovo qui sulla nostra struttura quindi il cliente compromesso non va a installare il remot transumer qua sulla macchina ma va a prendere semplicemente I file da qui li è filtra li porta dentro la macchina compromessa li cifra e li mette direttamente sulla macchina target. Quindi fa questo giro quindi qua dentro dentro a questa macchina non è installato non viene stato nessun processo e tantomeno non viene depositato nessun file legato a un ransomware. Quindi una macchina compromessa ne basta una può veramente fare cifratura di tutti I client della rete. Va sul server prende un file da qui lo porta in rete lo trasferisce in rete, lo cifra e lo deposita qui dentro. Così fa con la secondo server, così fa col terzo server. E qua non parliamo, ovviamente il processo è lento, in realtà questo viene fatto rapidamente, viene fatto, quindi ci sono migliaia di file che possono essere cifrati in questa modalità al minuto. Questa è la tipologia di ransomware Readerm mot encription e qui se non c'è un controllo direttamente sui file c'è un confronto del file prima e dopo quindi quando è stato letto e riscritto poi direttamente qua dentro questa cosa non la blocchi non la blu si blocca perché non c'è nessun processo qui che gira tanto meno file. Quindi se non è protetto diventa di fatti diventa una di fatto diventa una rampa di lancio quindi diventa proprio uno strumento per lanciare attacco un attacco su tutta la rete e basta uno è un dispositivo non gestito che viene attaccato e che consente di poter cifra in linea teorica tutta la rete. Sulla parte runware più o meno abbiamo detto veramente un po tutto. Altro aspetto. Continuiamo a parlare un attimo del trend report e un altro aspetto abbiamo detto il furto di credenziali e il fatto di poter bypassare la multifactor autentication. Ci sono strumenti e attacchi volendo che possono essere utilizzati tramite per esempio I cosiddetti Adversal in the meddle, attack che vanno a recuperare sia le credenziali utilizzate per esempio per un accesso a un portale a un servizio più eventualmente cookie di autenticazione quindi vanno proprio a recuperare questo per utilizzarli poi successivamente per autenticarsi e questo se viene se non è fatta in maniera precisa la comunque l'approccio il concetto del cookie di autenticazione se non viene comunque gestito in maniera sicura. Questa questa slide è solamente per dirvi che in realtà per esempio ad oggi c'è una c'è un uso della intelligenza artificiale generativa anche per quanto riguarda gli attacchi. In linea di principio abbiamo notato che ancora non è così diffusa per creare degli attacchi veri e propri l'energia l'intelligenza artificiale generativa. E ma viene più che altro creata un po per creare ecco dei profili falsi per creare delle immagini dei siti quello sì quindi ecco se voglio comunque crearmi un sito accattivante un sito per utilizzare per lanciare dei servizi di attacco remoto quello che vedete qui con per esempio suite pro è una è uno stile è una cioè vuol dire è una tipologia è una piattaforma di attacco ok e di tipo RAS proprio se non sbaglio quindi di tipo ransomwares a service che serve un po per anche per recuperare credenziali lanciare attacchi quindi con credenziali rubate eccetera. Quindi questi Margo Resa Service vengono vengono venduti sui forum sul dark web a circa 200 dollari al mese e possono essere utilizzati un po' da chiunque. Quindi ecco per dire che comunque l'intelligenza artificiale viene utilizzata a mano in maniera così così estesa per ora tranne per fare per creare campagne per esempio credibili phishing o comunque insomma ante siti piattaforme per fare attacchi service. Quindi abbiamo detto MFA che è utile assolutamente ma non così sicura come si può pensare perlomeno perché I token MFA I cookie di autenticazione sono comunque volendo sfruttabili da un attaccante e ci sono dei kit di phishing che simulano piattaforme legittime e il fatto della credenziali che vengono riutilizzate diverse piattaforme SAS l'abbiamo accennato prima quindi più che la la multifattol autentication cioè il concetto di avere utente password e codice token autenticazione magari utilizzare quando è possibile le pastki oppure utilizzare magari dei per esempio degli autenticatori hardware ok questo è più interessato ma il concetto del Pasqui viene utilizzato un po da 26 piattaforme quindi magari autenticarsi tramite impronta digitale oppure tramite quindi un parametro biometrico tramite il facciale che sono comunque degli strumenti che vengono direttamente memorizzati sulla piattaforma quindi sul dispositivo cioè io con il telefono magari faccio l'impronta digitale quello è un parametro che viene direttamente memorizzato sul telefono ma non va a finire sulla piattaforma che sto utilizzando. Quindi queste sono un po' è un po' di debolezza maggiore che dà rispetto alla semplice multifactor authentication. E poi ma questo poi andremo a vedere successivamente monitorare degli eventi importanti. Ok poi andremo a vedere. Questo è un esempio che è carino comunque vi faccio vedere anche noi in Sophos siamo bersagliati dagli attacchi sicuramente e questo è un esempio proprio dove I nostri laboratori I nostri le nostre persone dei cosiddetti exox cioè I laboratori di SOFFOS hanno scoperto una campagna proprio di QHING quindi legata ai QR code rivolta a noi, ai dipendenti SOFFOS. Devo dire nessuno per fortuna è caduto in trappola Ecco questa email con questi codici il QR e dovevano fornire comunque simulavano un accesso sicuro a un documento che era incorporato in un allegato PDF. Chiaramente il QR code puntava un sito fraudolento di condivisione di documenti e quindi era un po in realtà un attacco di tipo Adversal in the visual come abbiamo detto prima. Quindi ecco vuol dire anche questo è successo quindi a noi è arrivata questo tipo di mail con questa simulazione vedete l'email o comunque un documento molto simile colloquio con la scritta Sox Sops molto molto simile. Quindi ecco abbiamo detto che l'S&B oltre che essere un target direi è anche e soprattutto un'opportunità per gli attaccanti. Il falso mito è che I cyber criminali e soprattutto gli attacchi quelli Nation State non vanno solamente sulle grandi imprese con le aziende ma che vanno a prendere insomma vanno a cercare di colpire soprattutto le aziende vulnerabili e che su cui possono lanciare degli exploit degli attacchi a tutti gli effetti quindi per loro non interessa tanto la grandezza quanto il fatto di quanto possa essere vulnerabile una infrastruttura e poi teniamo presente una cosa importante le aziende anche quelle piccole sono comunque collegate ad altre aziende fatta a dei vendor a dei partner comunque fanno parte della supply chain per esempio quindi un'azienda piccola potrebbe essere veicolante per un attacco per altre diciamo strutture più grandi anche volendo quindi magari non è il target primario e potrebbe essere un target comunque poi legato ad altro quindi l'attacco lì poi di una azienda piccola potrebbe poi servire oltre a anche avete delle revenue da lì ma anche per fare da trampolino verso attacchi più grandi. Andiamo a vedere attacchi più grandi. Andiamo a vedere quali sono I segnali che non si possono ignorare che qualsiasi azienda piccola o media ma ovviamente grande non deve sottovalutare Per esempio I tentativi di login falliti. Per cui andiamo a fare un po' una lista. Vedere quali sono I login che hanno avuto successo ma chi in orari particolari. Poi andare a vedere gli eventi cosiddetti Impossible Travel events che sarebbero gli eventi quelli legati e un po' anche qui orari o luoghi particolari quindi il cosiddetto magari evento che si è verificato adesso in una zona quindi in un posto d'italia per esempio e dopo pochi secondi in un'altra parte del mondo anche qua un classico evento di login ok il riuso di token o comunque il fatto di utilizzare l'MFA o perlomeno utilizzarla in maniera estensiva sicuramente ma anche qua con la possibilità di sostituirla dove possibile con sistemi di Pasque e poi vedere l'accesso a risorse non usuali quindi se ci sono magari l'accesso a macchine o strumenti che normalmente non vengono fatti soprattutto domani da persone, quindi fare la cosiddetta associazione utente risorsa che normalmente non è applicata quindi non è quella consueta anche lì è un punto che bisogna attenzionare. E per quale motivo le aziende comunque non sottovalutano o comunque non considerano questo tipo di segnali? Perché c'è un motivo non è non sempre perché non ho voglia di controllarli è un po questo il concetto molto spesso perché mancano gli strumenti per andare a controllare in maniera semplice questo tipo di segnali perché magari non ci sono gli strumenti non ci sono le telemetrie corrette dagli strumenti oppure per esempio il fatto che ci andiamo a un po' affidare degli strumenti quelli cosiddetti di detection o di monitoraggio quindi andiamo sia a monitorare magari diverse cose però poi siamo bombardati da segnali e da quindi un volume enorme di eventi molto spesso farsi positivi che però creano un rumore di fondo che poi generano un'insicurezza quindi vuol dire che dobbiamo affidarci non solamente agli strumenti di monitoraggio ma soprattutto agli strumenti di blocco e di protezione quello che dicevo prima quindi io devo andare proprio a intanto a crearmi un substrato sicuro di sicurezza legato allo strumento che mi blocca automaticamente tutta una serie di eventi direi il 99.9 per 100 degli eventi e poi affidarmi agli strumenti di monitoraggio o di risposta anche magari affidato a specialisti lo andremo a vedere che mi vanno a coprire il delta quindi quella piccola percentuale che però sapete se viene utilizzata quella piccola percentuale, quindi viene sfruttata. Quindi rientriamo in quella piccola percentuale normalmente sono attacchi distruttivi, quindi che creano grossi problemi e che vengono e hanno anche una cassa di risonanza. Quindi concentriamoci innanzitutto sull'aspetto di protezione, quindi protezione della del mio dei miei asset e poi successivamente andare a vedere tutta la parte di monitoraggio. Come Soap si può aiutare andiamo a vedere quindi andiamo anche a dare qualche soluzione per dare effettivamente degli strumenti o comunque delle conoscenze un po' a tutte le aziende piccole medie grandi per far fronte a questo tipo di minacce. Non l'ho detto prima, adesso mi metto un anno in mente, se avete domande come sempre fatele nel box delle domande poi lo andrò le andrò a leggere alla fine del webinar ok anche adesso se vuoi descrivere qualche domanda qualche curiosità lo potete fare. Quindi allora la prima cosa è la parte di MDR quindi di manager detecon response perché perché è un servizio di monitoraggio e risposta agli attacchi condotto da persone 2407 e quindi uno strumento veramente al top della servizio al top proprio della conoscenza che comunque mette sul campo tutte le conoscenze quelle principali che può dare uno specialista in termini di rilevamento degli attacchi e risposta soprattutto degli attacchi in un concetto proprio 24 7. Questo lo diciamo sempre. So forse ormai da tanti anni un servizio di monitoraggio risposta che stiamo sempre incrementando sempre maggiormente anche questo in virtù per esempio del fatto che sono che So forse acquisito Sidroworks nel corso dei mesi scorsi che è un'azienda che è nata come un'azienda, una piattaforma, è un'azienda di innanzitutto XDRMDR, quindi adesso nei prossimi mesi andremo a unire le forze legate proprio al servizio di MDR per cercare di migliorarlo sempre di più per dare sempre più comunque un servizio sempre di valore ai nostri clienti però come vedete già ad oggi con più di 30000 aziende che hanno un servizio mdr e vi assicuro che su questi 30000 non ci sono solamente grandi aziende anzi questo è un servizio che si sposa benissimo con la PMI anche in termini di costi e perché costi fissi e soprattutto non ci sono altri costi nascosti cioè una volta che il servizio è stato acquistato è quello rimane quello fino alla fine del contratto quindi non ho altre spese non ho dei limiti in termini di ora di ore impiegate dal team per effettuare le risposte agli attacchi né tantomeno al numero di attività che il team condurrà per far fronte agli attacchi che va a rilevare. Assolutamente quindi servizio totalmente flat. Quindi questo è il massimo quindi l'MDR è il servizio trasversale su tutte le varie soluzioni che SOFFOS può andare a offrire. Ma soprattutto è un servizio che va a recuperare informazioni telemetriche anche da altre soluzioni che sono presenti all'interno dell'infrastruttura e che non sono propriamente SOFFOS quindi come vedete soluzioni di empoint soluzioni di firewall e questo qua è un elenco questo è l'elenco del 19 giugno quindi vuol dire che ogni 23 mesi aggiungiamo soluzioni all'interno dell'elenco che ci consentono di prendere dati quindi da soluzioni di terze parti e integrarle nella nostra nella nostra piattaforma per migliorare la visibilità dell'infrastruttura quindi capire magari prima se c'è un attacco e quindi intervenire anche prima. Le soluzioni come vedete anche di sonde di rete, email, la parte di backup fondamentale, importantissima. Questo è quello è uno dei forse delle integrazioni migliori perché vedere attività sospette all'interno di soluzioni di backup vuol dire che c'è qualcuno un attaccante che si sta preparando per lanciare un attacco poi sull'infrastruttura quasi sicuramente. L'integrazione quella che è una di integrazione che più valore e soprattutto è gratuita è presente già nelle licenze sia XDR che MDR per esempio la ma è quella di Microsoft e come vedete noi prendiamo intel'integrazione quindi I dati di Microsoft un po' soprattutto queste qua che è la parte quella principale il management activity API quindi questa integrazione la prendiamo su soluzioni legate a Microsoft di qualsiasi tipologia di licenza dalla 365 Business Basic fino alle 5 Altre altri dati per esempio Defender for office 365 in questo caso c'è bisogno della business premium o della i3 o della i5 questo chiaramente a seconda della licenza però guardate la parte di Management attivi di API è legata veramente a tutte le tipologie di licenza. In più abbiamo parlato dei dispositivi non gestiti. Ora questo è un punto cruciale. Come faccio a capire se ci sono dispositivi non gestiti e soprattutto e se sono a rischio o meglio sono stati attaccati e quindi possono comunque portare un attacco in rete quindi andare magari come abbiamo visto prima da un unico dispositivo non gestito lanciare un attacco di remote encription su tutta l'infrastruttura una delle soluzioni è proprio questa la network detection response cioè l'NDR questa soluzione add-on per chi XDR o MDR e che consente tramite un sistema di sonde interne di rete quindi o virtuali o volendo hardware di poter intercettare quindi verificare il traffico all'interno della rete e verificare se ci sono innanzitutto avere anche un quadro della della mia infrastruttura di quindi di capire quali sono I device che sono nella rete innanzitutto e poi di capire se stanno generando del traffico anomalo o comunque anche malevolo chiaramente in base a una serie di analisi che vengono condotte direttamente sulla sonda quindi vuol dire la sonda recupera il traffico che avviene su un apparato di rete esempio questo switch o quest'altro questo switch quindi manda il traffico di rete qui dentro I flussi di traffico l'NDR li analizza e verifica se ci sono attività sospette o malevole di traffico su questa apparato di rete se ci sono manda le informazioni all'XDR barra all'MDR che può quindi a questo punto reagire di conseguenza Questo è un sistema di sonde che può essere implementato in un numero a livello virtuale quindi come sonde virtuale il numero infinito quindi vuol dire che voi potete installare quante sonde volere all'interno dell'infrastruttura sia in questo caso dove una sede ce ne sono 2 qua dentro c'è un po di tutto come vedete c'è anche tutta la parte OT per esempio oppure se avete più sedi a maggior ragione installare più sonde anche a livello di sede e metterne anche più di una a livello di sede. Quindi è proprio un approccio di licenza su cui poi io posso andare a installare N macchine virtualihardware all'interno della mia infrastruttura. Quindi a cosa è utile l'NDR come vedete a verificare il traffico di dispositivi non protetti che sono dispositivi o che sono non protetti perché sono vecchi quindi dispositivi legacy o perché non hanno una protezione interna e dispositivi non autorizzati rilevare dispositivi non autorizzati in rete che stanno generando del traffico dispositivi IoT o OT quindi anche minacce legate a questi mondi qua attacchi 0 a day minacce che vengono dall'interno l'insider treat poi altro strumento utile abbiamo detto che il riepilogo l'attacco iniziale quindi l'accesso iniziale viene condotto molto spesso sfruttando vulnerabilità di device perimetrali o in generale di device mi sento di dire quindi le vulnerabilità. Le vulnerabilità quindi è una gestione di vulnerabilità è un approccio ad oggi essenziale ma lo vediamo anche per esempio per quanto riguarda le varie compliance rule a cui siamo soggetti più o meno soggetti quindi anche la NIS 2 per esempio quindi l'approccio delle vulnerabilità è cruciale e il servizio questo servizio che vedete qui che si chiama manager risk che è effettuato tramite strumenti teneble quindi è anche leader di mercato è un servizio che viene condotto direttamente dal personale dell'MDR, quindi per questo può essere previsto come un add-on del MDR e che consente di andare ad analizzare periodicamente una volta a settimana le vulnerabilità presenti nella mia infrastruttura sia esterne che interne. Quindi cosa va a fare il manager isk? Mi permette di verificare se ci sono quindi vulnerabilità e mitigare il rischio di queste vulnerabilità e creare una lista di vulnerabilità con una priorità quindi io vado a dire ok queste vulnerabilità sono pericolose quest'altre meno anche in base ai dati che l'MDR fornisce perché l'MDR sa se c'è un attacco anche non so l'altra parte del mondo che sfruttato quel tipo di vulnerabilità quindi sappiamo anche questa cosa quindi per noi magari una vulnerabilità di livello medio potrebbe diventare critica perché esiste già un exploit che la sfrutta monitoraggio continuo e questo anche ci permette di fornire quindi è il team direttamente mdr che fornisce le informazioni per dare la criticità come abbiamo detto ma anche per correggere quel tipo di vulnerabilità. Questi sono quindi un po' vi faccio vedere quali sono un po' I report che vengono generati. La configurazione è molto semplice, bisogna fornire una serie di parametri, per la parte esterna fornire un po' di parametri pubblici, IP pubblici, domini e quant'altro per la parte interna installare delle macchine di scansione interne, delle Virtual Appliance che servono per lanciare poi le scansioni di vulnerabilità all'interno della rete. Questo in 2 parole un po' come funziona l'architettura della soluzione. Abbiamo detto che collabora con l'MDR assolutamente E che c'è una reportistica integrata e molto completa che poi ci permette di andare anche a capire come correggere le varie vulnerabilità anche in base alla loro criticità. L'ultimo punto velocemente è abbiamo parlato dell'approccio 0 trust per quanto riguarda la protezione da Eithansomware lo vediamo anche nell'approccio dell'accesso alle risorse da fuori da remoto. Abbiamo detto che la VPN non è ad oggi la soluzione migliore in termini di sicurezza perché viene spesso attaccata perché magari la l'implementazione dei protocolli VPN a livello di device perimetrali non è proprio perfetta o comunque magari delle dei bug o comunque delle vulnerabilità e soprattutto perché magari I client VPN non vengono adeguatamente corretti quando in presenza di vulnerabilità soprattutto quello quindi significa che io ho il mio cliente VPN quello rimane magari per per anni e non viene spesso corretto questo gli attaccanti lo sanno qual è un approccio migliore è quello dello 0 trust network access quindi avere un concetto di accesso alle risorse tramite uno strumento che continuamente controlla la postura di sicurezza ad esempio del client in concomitanza anche con la parte di antivirus per esempio e continuamente va a controllare l'autenticazione dell'utente quindi vuol dire che l'utente quando si collega in approccio ztna 0 trust network access e viene controllato anche in termini di autenticazione se questi parametri cambiano, quindi la postura di sicurezza della parte di sicurezza del client, ma anche la autenticazione cambia, questo porta a una disconnessione della risorsa per un concetto di sicurezza. Quindi vuol dire che un attacco legato al client VPN questo caso in questo caso 0 trust network diventa impossibile. Com'è l'architettura della nostra soluzione ZTNA? Questo vi faccio vedere è una e ho I miei client 0 trust eccoli qua. Il client si collega normalmente a una sorta di servizio comunque in cloud che si chiama 0 trust Network Access as a service e poi all'interno della mia infrastruttura ho una Virtual Appliance, una o più Virtual Appliance che hanno il collegamento diretto con le mie risorse che fa fondamentalmente da Proxy, da Gateway. In questo caso quindi il client si collega e lo ZTna gateway si collega al cloud e triangola con la connessione volendo per chi il firewall Sophos può lo ZTna gateway lo può fare anche il firewall direttamente quindi non devono installare una macchina virtuale interna. Questo è un po quali sono le varie e le varie configurazioni quindi vedete che ci sono vari protocolli che io posso tra virgolette accedere e quindi soluzioni con questi protocolli che posso accedere in modalità ZTNA per esempio web application in modalità oppure ssh posso accedere ad sistemi tramite quindi una scelta remota tramite rdp quindi anche un modo per proteggere l'RDP e la la file share oppure anche altri generali con delle porte magari non standard Detto ciò vi lascio con questa ultima slide che riporta il link al proprio al report completo ho messo alcuni ovviamente alcuni aspetti perché il report è molto lungo se volete approfondire vedete direttamente questo link e poi chiaramente se volete avere approfondimenti su la LMDR ma in generale sulle altre soluzioni di cui ho parlato chiaramente potete contattarci. Detto ciò allora lascio questa slide e vado a vedere se ci sono domande Se voi scrivete. Allora c'è sì ok e sto vedendo che viene chiesto appunto che volete un contatto commerciale per fare alcune domande certo assolutamente poi prendo il contatto e rispondiamo direttamente ok un altro po vediamo se c'è qualche altra domanda qualche secondo in più tutto chiaro vedo chiarissimo quindi perfetto a questo punto direi che con un paio di minuti di anticipo possiamo chiudere il webinar io vi ringrazio per come sempre per l'attenzione attenzione sta arrivando una domanda quindi un attimo e allora mi chiedono se il modulo ndr quindi il network detection response un costo a parte o è compreso nel pacchetto Sophos è un add-on quindi è un costo a parte una licenza che viene acquistata come add-on dell'XDR, quindi se ho licenza XDR o MDR e si acquista tramite quindi si fa il conto della somma dei client e dei server. Quindi per esempio io XDR per 100 client 100 utenti anzi e 20 server ad esempio l'NDR lo acquisto per 120. È una semplicemente una licenza come ho detto prima poi posso installare quante macchine virtuali voglio. Quindi si prende questo add-on si licenzia in questa maniera e posso installare quante macchine virtuali. Mi chiedono poi se l'NDR mi mette al riparo anche se dovesse avere una macchina Windows 2008 in rete allora l'NDR lavora a livello di traffico quindi assolutamente quindi per macchine legasi chiamiamole così quindi se un macchine magari con se siamo operativi vecchi perché ce ne sono perché prende motivi sappiamo bene e sì è utile anche a quello quindi verificare se c'è traffico anomalo DAW verso server client legacy vecchi chiamiamo così quindi si è uno degli strumenti più utili in questo senso. E poi vediamo un attimo consigli sull'implementazione di Pasqui e UBKIS e su quali servizi è più importante. Ma allora io direi Paskey soprattutto ma anche strumenti Ubi Keys va benissimo su tutti I servizi che danno la possibilità di farlo. Abbiamo visto ormai piattaforme che danno la possibilità di utilizzare le Paskie, quindi anche le autenticazioni appunto biometriche, quindi dove è possibile farlo assolutamente sfruttatela questo tipo di possibilità perché ormai è più sicura rispetto anche alla classica multifactor authentication dove abbiamo utente password e token l'autenticazione che poi lì dobbiamo capire un attimo come viene gestita l'autenticazione del token in base appunto se c'è un cookie per esempio l'autenticazione che viene memorizzato sulla macchina barra sul servizio e quindi anche capire come viene gestita ok quindi dove è possibile Questo è un po la tendenza trend di sicurezza. Altra altra domanda ZTAZN richiede installazione sui client. Allora volendo le risorse possono essere accessibili anche in modalità agentless. E però c'è la limitazione di poter accedere solamente risorse web web application. Mentre tutto il resto della dell'accesso e anche eventualmente se voglio il controllo ad esempio con l'agent antivirus quindi con l'internet giusto per dare qualche nome se io ho anche l'intersetx posso mettere insieme le 2 soluzioni e lui mi va a controllare lo stato della macchina a livello di sicurezza tramite il controllo direttamente su un interset in quel caso ho bisogno del modulo ztna da installare sulle macchine insieme volendo si può fare anche tutto insieme l'installazione dell'antivirus con lo ZTna si può aggiungere da console se voi vedete in console se avete la soluzione point noterete che c'è una colonna che indica la possibilità di installare lo ZTNA client chiaramente in presenza di una licenza ZTNA quindi voglio dire in quel caso diventa semplicemente un click da fare sulla console però se è possibile installare un client sì perché o miglioro la possibilità della soluzione le funzionalità della soluzione però sappiate che volendo c'è l'accesso anche a Gentress tramite web application le web application le posso accedere anche in modalità Agentress. La TNA è licenziato per user sì per user esattamente Quindi in base agli utenti che devo devo far accedere in quella modalità. Licenziose da TMA. Quindi ecco anche qua esempio classico o 100 utenti 100 antivirus anche volendo so forse o anche 100 in generale utenti devono accedere da remoto solamente 20 acquisto 20 ZTna. Ok aspetto un secondo mi sembra che non ci sono altre domande dove risposto a tutte le domande quindi di nuovo allora vi ringrazio di nuovo termino qui e vi rimando ai prossimi webinar che faremo nei prossimi settimane mesi e grazie ancora e a presto buon proseguimento di giornata