Aggiornamenti recenti Aprile 3rd, 2025 10:03 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Colt ha completato il trial di crittografia quantistica sulla propria rete ottica
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
Proteggere i cloud pubblici dalle vulnerabilità comuni
Molte aziende utilizzano già un ambiente cloud composto da un cloud privato on-premises e risorse cloud pubbliche, ovvero un cloud ibrido. Tuttavia, quando si tratta di sicurezza informatica, le aziende tendono a concentrarsi maggiormente sulla protezione degli ambienti fisici o virtualizzati, prestando molta meno attenzione alla parte della loro infrastruttura che risiede nei cloud pubblici. Alcuni ritengono che debbano essere i fornitori del servizio su cloud a essere responsabili della protezione, altri pensano che i cloud pubblici siano sicuri fin dalla loro progettazione e che non richiedano alcuna protezione aggiuntiva. Ma entrambe le ipotesi sono errate: i cloud pubblici sono soggetti allo sfruttamento della vulnerabilità del software e della connessione di rete e alla compromissione delle informazioni degli account e del resto della nostra infrastruttura. Ecco perché.
Vulnerabilità del RDP e del SSH
L’RDP è attivo di default sulle istanze di Amazon e non supporta l’autenticazione a due fattori. È diventato il bersaglio di molti strumenti diversi per gli attacchi di forza bruta. Alcuni di essi si concentrano sui nomi utente di default più comuni (come “Administrator”) e realizzano migliaia di tentativi per indovinare l’accesso. Altri cercano di indovinare le credenziali dell’amministratore usando i cognomi e le password più comuni. Gli algoritmi di forza bruta possono limitare e randomizzare il numero di tentativi, con una pausa tra una serie di tentativi e l’altra, per evitare la rilevazione automatica. Un altro metodo di attacco è quello di forzare la password per il login dell’SSM-User, spesso programmato nelle istanze AWS.
Tentativi simili di attacchi di forza bruta puntano sempre ai servizi SSH, e sebbene SSH offra una protezione maggiore rispetto all’RDP (ad esempio, l’autenticazione a due fattori), un servizio configurato in modo incauto può facilmente fornire l’accesso a un soggetto dannoso che persiste nell’intento. Gli attacchi di forza bruta su SSH e RDP hanno rappresentato il 12% di tutti gli attacchi all’Internet delle Cose nella prima metà del 2019.
Vulnerabilità nei software di terze parti
I cloud pubblici potrebbero esporvi a delle vulnerabilità. Ecco alcuni esempi di come una vulnerabilità in un software di terze parti offra ai cybercriminali la possibilità di eseguire il codice sull’istanza stessa.
Il 3 giugno 2019 è stata scoperta una vulnerabilità in Exim, un popolare server di posta elettronica comunemente utilizzato nei cloud pubblici. La vulnerabilità permetteva l’esecuzione di codici da remoto, se il server veniva eseguito come root, come avviene più comunemente, il codice dannoso introdotto sul server veniva eseguito con i permessi di root. Un altro esempio è l’hackeraggio nel 2016 del sito ufficiale di Linux Mint, che ha portato a modificare le distribuzioni per includere malware che includono una backdoor IRC con funzionalità DDOS. Il malware potrebbe anche essere utilizzato per scaricare payload dannosi su computer infetti. Altri casi segnalati riguardavano moduli node.js dannosi, container infetti nel Docker Hub e altro ancora.
Come ridurre i rischi
I criminali informatici possono essere molto originali quando si tratta di trovare i punti di accesso alle infrastrutture, specialmente quando ce ne sono tante, tutte molto simili e con problemi simili, e tutte ritenute altamente sicure by design. Per ridurre e gestire il rischio in modo molto più efficace e per proteggere i sistemi operativi sulle vostre istanze cloud e dispositivi virtuali, gli antivirus di base e la protezione antimalware non sono sufficienti. Le best practice del settore impongono che ogni sistema operativo in un’infrastruttura necessiti di una protezione completa e multilivello e anche i fornitori di servizi cloud pubblici lo consigliano.
Kaspersky raccomanda di attuare i seguenti passaggi che possono aiutarli a rendere la propria azienda più sicura:
– Stabilire un metodo o un mezzo che permetta segnalazioni affidabili di violazioni o vulnerabilità
– Classificare i dati nel cloud e impiegare soluzioni preventive di violazione dei dati
– Effettuare la revisione della configurazione dell’infrastruttura, specialmente dove sono contenuti i dati e applicare giuste policy di sicurezza
– Preferire gli alert automatici alle modifiche non autorizzate nelle impostazioni di configurazione base del sistema
– Rafforzare l’autenticazione a più fattori per gli account degli amministratori
– Usare threat data feeds per bloccare connessioni di rete provenienti da indirizzi di rete dannosi o da nodi di uscita TOR / VPN noti
– Utilizzare un prodotto per la sicurezza dedicato alla protezione del cloud che rilevi le attività sospette nell’ambiente cloud, come Kaspersky Hybrid Cloud Security. Le soluzioni di sicurezza dovrebbero permettere il monitoraggio dell’integrità dei file e garantire quella dei file di sistema critici, così come il blocco degli attacchi di rete e il controllo delle applicazioni, con modalità “rifiuto” predefinita per bloccare l’esecuzione di applicazioni non autorizzate”.
Condividi l'articolo
- AWS, Cluod Security, RDP, SSH
Microsoft: “basta con i sistemi di autenticazione che sfruttano il telefono”
Attacco a Campari: il riscatto chiesto da un account Facebook
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Colt ha completato il trial di crittografia quantistica... Colt Technology Services ha annunciato di aver completato... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato...
Ransomware: la serie
No posts found.
One thought on “Proteggere i cloud pubblici dalle vulnerabilità comuni”