Phishing, Spoofing e BEC nel mirino di Cisco

Security managementSicurezza

Cisco introduce nuovi servizi per la sicurezza delle email e degli endpoint. Le novità in Cisco Advanced Malware Protection per Endpoint, per la visualizzazione a colpo d’occhio delle minacce, e contro le truffe BEC

Una truffa ben congegnata e ben riuscita può costare alle aziende circa 500mila dollari, secondo il Report annuale 2018 sulla Cybersecurity di Cisco e si sa come la maggior parte delle truffe sfrutti ancora oggi la posta elettronica per riuscire con un dispendio minimo di denaro e fatica.

Il fronte è ampio e i nemici non sono solo esterni, infatti per proteggersi le aziende devono sì fare in modo che i propri domini aziendali non siano utilizzati impropriamente per l’invio di e-mail dannose, ma devono anche proteggere gli utenti interni da attacchi di phishing e spoofing via e-mail provenienti da mittenti sospetti.

Mentre però la maggior parte delle protezioni per la sicurezza della posta elettronica è in grado di bloccare il 99 percento delle minacce conosciute, è proprio l’un percento di quelle più insidiose ad essere più pericoloso.

Spoofing e Phishing, per esempio, richiedono la sensibilità della vittima per essere riconosciuti e non è sempre facile. Per questo Cisco ha annunciato nuovi servizi di sicurezza e-mail per mettere al sicuro gli utenti da queste e-mail fraudolente, oltre a nuove funzionalità per proteggere i dispositivi dei dipendenti da ransomware, cryptomining e malware fileless che sono la minaccia finale.

Cisco per la protezione degli endpoint

La proposta del vendor passa da Advanced Malware Protection (AMP) for Endpoints, che rappresenta la soluzione per endpoint gestita via cloud di Cisco, e serve per prevenire gli attacchi e rilevare proprio l’1 percento delle minacce, proprio quelle che sono in grado di paralizzare un’azienda.

Soprattutto Cisco sta integrando una serie di funzionalità nella soluzione AMP per gli endpoint. Essi includono meccanismi sofisticati per bloccare le minacce odierne, tra cui il ransomware e il cryptomining con la protezione dalle minacce anche quando l’utente è offline.

Il nuovo motore di exploit prevention  protegge contro gli attacchi portati senza sfruttare files (con un nuovo elemento di protezione che non richiede alcun tuning o configurazione per arrestare queste minacce), compresi quelli che risiedono solo nella memoria. E Cisco AMP blocca l’esecuzione di ransomware analizzando le varianti per identificare le tecniche sfruttare per crittografare e prevenire la propagazione.

Come lavora Cisco Visibility and Control

La parte di investigation e analisi è assegnata a Threat Investigation con Cisco Visibility, una nuova applicazione cloud integrat nella consolle di gestione delle soluzioni che semplifica le indagini sugli incident raccogliendo e catalogando gli eventi di sicurezza e poi fornendo una rappresentazione visiva sull’importanza della compromissione, dagli endpoint, alla rete, al cloud. Le minacce registrate da Cisco Talos vengono combinate con i dati di terze parti e gli eventi di sicurezza interni, così come quelli provenienti dall’infrastruttura. Gli utenti beneficiano della disponibilità di un’unica console anche per approfondire la conoscenza sugli eventi provenienti dalle diverse fonti.

Più sicurezza nelle minacce nascoste via email

In apertura abbiamo fatto riferimetno alle problematiche di protezione del dominio. E’ il campo di azione di Cisco Domain Protection. Serve per automatizzare il processo di utilizzo dell’autenticazione via e-mail per prevenire il phishing, proteggere le aziende dalle frodi e mantenere la governance delle e-mail analizzando, aggiornando e prendendo provvedimenti contro i mittenti che abusano del loro dominio per inviare e-mail dannose.

Il servizio si basa su Domain-Based Message Authentication, Reporting, and Conformance (DMARC), uno standard di autenticazione e-mail, e informa in tempo reale gli utenti del dominio sulle email non conformi inviate dai loro domini. Per quanto riguarda le problematiche di phishing Cisco Advanced Phishing Protection ora integra funzionalità di apprendimento automatico in Cisco Email Security per bloccare gli attacchi avanzati basati su furto di identità per le e-mail in entrata valutandone il livello di minaccia.

La soluzione sfrutta dati di telemetria locali e globali abbinati ad analisi e creazione di modelli per convalidare la reputazione e l’autenticità del mittente. in questo modo è più facile ridurre gli attacchi mirati di phishing e di business email compromise (BEC), perché solo le email legittime possono raggiungere la casella di posta di un dipendente.