Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
Stop alle password di default: CISA chiede ai produttori OT di eliminarle
Il problema delle password di default nei dispositivi e nei sistemi è molto sentito: i cybercriminali continuano a sfruttare le credenziali preimpostate per ottenere accesso iniziale alle infrastrutture e spostarsi nelle reti aziendali; per questo CISA, l’agenzia governativa statunitense di cybersecurity, ha pubblicato un avviso rivolto a tutti i produttori OT invitandoli a eliminare le password di default nei propri prodotti.
“Anni di riscontri hanno dimostrato che affidarsi al cambio password da parte dei consumatori non è sufficiente e solo azioni collettive da parte dei produttori tecnologici riusciranno a gestire adeguatamente i gravi rischi a cui sono esposte le infrastrutture critiche delle organizzazioni” si legge nell’avviso.
L’Agenzia ha definito “inaccettabile” l’uso di password conosciute e semplici come “1234”, “default” e “password”, sottolineando che si tratta di una delle debolezze più usate per accedere ai sistemi delle aziende.
Pixabay
Eliminare le password di default per garantire prodotti “Secure by Design”
Nell’avviso CISA ha imposto ai produttori di seguire due dei tre principi già definiti per assicurare che i prodotti di tecnologia siano “Secure by Design”, ovvero costruiti in modo da essere protetti contro le principali minacce.
Il primo principio richiede ai produttori di prendersi la responsabilità delle implicazioni di sicurezza di sistemi e dispositivi e dell’utilizzo che ne fa l’utente; ciò implica che i prodotti devono essere sviluppati per essere resistenti contro le minacce prevedibili, prima fra tutte l’uso delle password di default da parte degli attaccanti.
In questo caso i produttori dovrebbero fornire password uniche per il setup del prodotto, possibilmente temporanee e che vengano disabilitate automaticamente dopo l’inizializzazione, richiedendo all’utente di seguire metodi di autenticazione più sicuri. L’obiettivo di questo principio è di creare sicurezza duratura per la gestione dei prodotti fin dalle fasi di installazione.
L’altro principio su cui si sofferma CISA riguarda la creazione di una cultura di cybersecurity nell’azienda produttrice, affinché i dipartimenti che si occupano del design, dello sviluppo e della consegna dei prodotti siano consapevoli dei problemi di sicurezza e lavorino per contenerli.
I team dovrebbero dare priorità alla comprensione dell’utilizzo dei prodotti da parte dei consumatori, cercando di identificare i possibili punti critici per mitigare i rischi di cybersecurity.
La volontà dell’Agenzia è di sollevare gli utenti dalla maggior parte della responsabilità di sicurezza e portare i produttori a integrare le buone pratiche di protezione dei dispositivi sin dalla fase di design.
Condividi l'articolo
- CISA, configurazioni errate, cultura di sicurezza, password default, secure by design, vulnerabilità
Scoperta una vulnerabilità hardware negli iPhone usata in Operation Triangulation
Cybercrime-as-a-service e IA generativa: le previsioni di sicurezza di Fortinet per il 2024
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
