Blog sulla sicurezza informatica e l’informazione dei sistemi

Andrea Biraghi, Cyber Security manager e direttore della divisione Security and information Systems, lavora da anni per il mantenimento della sicurezza dei sistemi informativi. In una società sempre più digitalizzata ed interconnessa è divenuto ormai indispensabile prendere atto delle minacce esistenti nella rete Internet: solo un costante impegno ed aggiornamento rendono possibile affrontare e combattere i Cyber criminali e riprendersi in fretta dalla loro violazioni. La posta in gioco è alta e la sicurezza dei servizi web è fortemente legata al nostro sviluppo economico: basti pensare al rapido aumento delle connessioni, degli utenti, l’aumento del valore di numerose transazioni effettuate attraverso le reti, la crescita delle imprese legate al commercio elettronico.

Month: March 2021

guerra-informatica-andrea-biraghi-cyber-security

Guerra Informatica: obiettivi dell’hybrid warfare le infrastrutture critiche

Mentre la guerra informatica continua ad essere combattuta tra gli stati, continua anche la corsa della sicurezza informatica che ad oggi deve essere ritenuta responsabilità del paese nel suo complesso e non solo relativa ad un individuo o ad un’organizzazione.

Nel corso degli anni, abbiamo assistito a un’escalation nella serie di hacking sui servizi sanitari, le reti elettriche, le centrali nucleari e la nostra privacy. Le minacce non vengono solo da Cina, Russia, Corea del Nord o qualsiasi attore statale o non statale con l’intento di destabilizzare un paese. Le minacce informatiche, in continua evoluzione, mettono così anche a rischio le infrastrutture critiche che sono in definitiva veri e propri sistemi strategici, essenziali per una nazione.

…le vere vittime sono imprese, organizzazioni e cittadini, che ne subiscono gli effetti. Allo stesso tempo, si assottiglia la linea di separazione tra azioni statali e “semplice” criminalità informatica.

AgendaDigitale.eu – Cyberwar, i nuovi fronti da Microsoft Exchange alla disinformazione sui vaccini

Ma la maggior parte dei cyber attacchi sono diretti alle infrastrutture critiche e il cyber spazio ha assunto un ruolo primario nei nuovi scenari geopolitici internazionali. Quali sono i nuiovi scenari? Nemici da remoto che utilizzano armi come virus informatici, malware e programmi che alterano l’operabilità di un sistema o avviano uno spegnimento completo del sistema. Gli attacchi informatici saranno il nuovo campo di battaglia – invisibile, invisibile e imprevedibile – dove hacker di varie nazioni competeranno per distruggere economie e vite.

Guerra informatica: i nemici invisibili

Negli ultimi anni e con maggior frequenza negli ultimi mesi, si sta assistendo, oltre che allo cyber spionaggio, all’interruzione dei servizi essenziali specialmente in nazioni e aree dove vi sono oggi le maggiori tensioni e frizioni geopolitiche. E i cyber sabotaggi spesso sembrano avere nemici invisibili: nonostante infatti le accuse alla Russia da parte del Governo USA, rimane incerta l’attribuzione dell’attacco alla società SolarWinds

Gli eventi attuali dimostrano che le strategie e le tattiche di guerra informatica aggressiva sono già un luogo comune in tutto il mondo e per ciò e di conseguenza la Sicurezza nazionale deve migliorare in modo drastico la comprensione della tecnologia, delle leggi e dell’etica collegate agli attacchi e alle difese informatiche, pianificando un vero e propri piano in tutte le sue fasi. Il cyber spazio, diventato terreno quotidiano per moltissime operazioni, infatti è diventato terreno di scontro decisivo.

Andrea Biraghi – Cyber Warfare e Geopolitica del CyberSpazio

AgendaDigitale.eu parla dell’ultimo libro della giornalista americana Nicole Perlroth: This Is How They Tell Me The World Ends – pubblicato nel Febbraio 2021. Nicole Perlroth getta uno sguardo inquietante sulle strategie di cyber war in atto affermando che siamo vicinissimi, ad un “9/11 cyber Pearl Habor”: un Pearl Harbor cyber dell’11 settembre. La giornalista descrive così in dettaglio il mercato poco compreso per gli exploit zero-day, che i governi hanno segretamente pagato agli hacker milioni di dollari sperando di usarli prima che qualcuno risolva – o approfitti – dello stesso errore. Invece oggi…sono in mano a tutti.

Leggi anche: Cyber Attacchi alle infrastrutture critiche: gli obiettivi dell’hybrid warfare

NimzaLoader-malware-andrea-biraghi

NimzaLoader: le analisi del malware scritto in linguaggio Nim

NimzaLoader è un malware utilizzato per le campagne phishing scritto utilizzando il linguaggio di programmazione Nim creato dal programmatore tedesco Andreas Rumpf. Rumpf ne parla come di un linguaggio efficiente, espressivo, elegante e parla delle sue caratteristiche in un pagina dedicata: https://nim-lang.org/

Nim è stato creato per essere un linguaggio veloce come il C, espressivo come Python ed estensibile come Lisp

Wiki – Nim linguaggio di programmazione

La difficoltà di NimzaLoader – siccome sctìritto appunto in un linguaggio inusuale per un malaware – sta appunto nel suo rilevamento e nelle analisi. E appunto per eludere il suo rilevamento è stato utilizzato il linguaggio Nim.

La campagna di phishing è stata intanto attribuita all’attore minaccia TA800, che in precedenza propagato il malware BazaLoader. Ma ci sono delle differenze: Il linguaggio di programmazione tra i due malware è completamente diverso. Non coincidono nemmeno l’offuscatore di codice, lo stile di decrittografia delle stringhe e gli algoritmi di generazione del dominio. Pertanto, NimzaLoader non è considerato una variante di BazaLoader.

Le minacce informatiche si stanno evelovemdo utilizzando armi sempre più diverse per sfuggire al controllo.

NimzaLoader malware dettagli e caratteristiche

La campagna di TA800 ha iniziato a diffondere NimzaLoader il 3 febbraio 2021 sfruttando i dati personali degli utenti nelle sue e-mail di phishing. L’e-mail contine collegamenti che reindirizzano gli utenti alle pagine di phishing per compromettere e / o rubare le informazioni sensibili o, potenzialmente, distribuire malware aggiuntivo. Diventa sempre più importante così, formare i dipendenti su come individuare le e-mail di phishing, in particolare quando campagne come questa tentano di sfruttare i dati personali.

Qui sotto un esempio tratto da un articolo di CyberSecurity360.it che parla di tutti i dettagli riguardo la nuova minaccia informatica.


Le esche di phishing utilizzate includono testi tipici dell’inegneria sociale, e così difficili da interpretare in modo corretto da parte dell’utente che viene spinto da un certa urgenza da parte del messaggio che tra l’latro dirige a link verosimili all’oggetto dell’eMail. Il malware NimzaLoader inoltre è progettato per riuscire a fornire agli aggressori informatici l’accesso ai computer Windows e la successiva possibilità di eseguire i comandi e controllare la macchina.

TA800 ha spesso sfruttato malware diversi e unici e gli sviluppatori possono scegliere di utilizzare un linguaggio di programmazione raro come Nim per evitare il rilevamento, poiché gli ingegneri inversi potrebbero non avere familiarità con l’implementazione di Nim o concentrarsi sullo sviluppo del rilevamento per esso, e quindi strumenti e sandbox potrebbero avere difficoltà ad analizzarne campioni

Sherrod DeGrippo, ProofPoint – L’analisi di ZDnet
ransomware-2021-andrea-biraghi

Ransomware 2021 i tre rapporti : IBM, Trend Micro e BlackBerry

Ransomware 2021: da 3 rapporti separati sulle minacce informatiche pubblicati da IBM, Trend Micro e BlackBerry, emergono molti degli stessi temi.

In questi rapporti nei nomi dei nuovi arrivati vi sono i nomi Egregor e DoppelPaymer, e ransomware come Sodinokibi e Ryuk permangono nelle liste delle migliori campagne. Tra i punti di unione dei tre rapporti la crescita e il raddoppiamento di ransomware e phishing – con alcune modifiche – e minacce come i deepfake e la disinformazione che nel futuro diventeranno minacce sempre più importanti.

I criminali informatici e gli hacker di stato risultano raddoppiati, approfittando anche del caos della pandemia con il passaggio al lavoro da remoto. BlackBerry sottolinea che i Managed Service Provider (MSP) erano obiettivi importanti durante gli attacchi ransomware 2020: secondo il “2021 Threat Report” gli hacker hanno sempre più sfruttato il ransomware per compromettere gli MSP come parte di campagne di criminalità informatica altamente mirate. Il ransomware rimane il grande business del cyber crime .

Ransomware 2021: come cambiano gli attacchi

Una delle osservazioni circa il numero di tentativi di attacchi ransomare è stata circa il suo declino. Questo declino per Jon Clay di TrendMicro non è dovuto alla diminuzione delle minacce, ma al mutare delle tattiche.

“Se si guardano i numeri ransomware, quel numero è in realtà in calo di anno in anno perché le tattiche sono cambiate”.

“Siamo passati dagli attacchi ransomware spray-and-pray all’approccio molto più mirato da parte degli attori ransomware.”

Darkreading – Ransomware, Phishing Will Remain Primary Risks in 2021

Altre notevoli tendenze del ransomware 2020 evidenziate nel rapporto di BlackBerry includono l’uso di Ransomware-as-a-Service (RaaS), l’esfiltrazione dei dati prima e durante la crittografia ransomware,la “collaborazione” di Ryuk con Trickbot ed Emotet, o la collaborazione di Zeppelin con Azorult.

Un altro fattore è il mercato Bitcoin che sta spingendo gli aggressori a trasferirsi in Linux e cercare di sfruttare i servizi cloud. “Molte aziende si stanno spostando verso il cloud, quindi ci sono molti dati lì”, afferma Rossmann di IBM Security X-Force.

Le tendenze che si evincono dallo stesso rapporto riguardano le strategie di doppia estorsione, l’uso di Crimeware-as-a-Service da parte di hacker di Stato e attacchi informatici a pazienti sanitari e loro. cartelle cliniche.

Dal monitoraggio 24 ore su 24 agli strumenti di sicurezza basati sull’intelligenza artificiale e al rilevamento delle minacce interne e la comprensione di come gli eventi attuali hanno un impatto sulla superficie di attacco di un’organizzazione possono fare la differenza tra una violazione dei dati e una difesa informatica di successo.

Eric Milam, vice presidente della ricerca e dell’intelligence di BlackBerry.


cyber-security-falsi-positivi-andrea-biraghi

Cyber security: avvisi di sicurezza e falsi positivi, l’analisi di Fire eye

Cyber security e falsi positivi: si può migliorare l’analisi della sicurezza senza tradurla in migliaia o a volte milioni di avvisi al giorno che da soli non forniscono informazioni sufficienti?

La frase “falso positivo” suggerisce che ci sia un positivo che si è dimostrato falso. Tuttavia, come detto sopra, queste singole prove, senza contesto o correlazioni, non sono mai utilizzabili da sole. Per dimostare infatti che un allarme positivo, bisogna raccogliere, analizzare e contestualizzare le prove di supporto necessarie. Rispondere ai falsi allarmi – secondo una ricerca fornita dal Ponemon Institute – le organizzazioni sprecano in media 1,27 milioni di dollari ogni anno.

Dei 17.000 avvisi malware che un’organizzazione riceve ogni settimana, solo 3.230 sono considerati affidabili e solo 680 degli avvisi vengono effettivamente esaminati.

FireEye – Security Alerts: Stop the Noise

La società di cyber security Fire Eye nel rapporto “The Voice of the Analysts: Improving Security Operations Center Processes Through Adapted Technologies”, rileva che gli analisti stanno diventando “meno produttivi” a cauasa della diffusa “stanchezza degli avvisi” con conseguente allarme ignorato, aumento dello stress e paura di non rilevare minacce e di non poter prevenire gli incidenti. Ma nel rapporto vengono evidenziate anche le attività principali che gli stessi analisti ritengono sia meglio automatizzare per proteggere meglio i loro Centri operativi di sicurezza (SOC).

“Gli analisti della sicurezza sono sopraffatti da una marea di falsi avvisi positivi da soluzioni disparate, mentre crescono sempre più preoccupati di poter perdere una vera minaccia. Per risolvere queste sfide, gli analisti chiedono strumenti di automazione avanzati, come extended detection e response, che possano contribuire a ridurre la paura di incidenti mancanti rafforzando al contempo la sicurezza informatica del loro SOC.”

Chris Triolo, Vice President of Customer Success di FireEye.

Cyber Security: ridurre i falsi positivi

Gli intervistati hanno condiviso per il report gli strumenti principali che utilizzano per le loro analisi. Meno della metà utilizza tecnologie di intelligenza artificiale e machine learning (43%) ), strumenti soar (Security Orchestration Automation and Response), software SIEM (Security Information and Event Management) (45%) e altre funzioni di sicurezza.
Per ridurre l’affaticamento da “falsi positivi” e gestire i propri SOC, i team di sicurezza hanno bisogno di soluzioni automatizzate avanzate. Le soluzioni avanzate e meglio automatizzate permettono un rilevamento delle minacce più alto (18%), seguito dall’intelligence sulle minacce (13%) e dal triage degli incidenti (9%).

Il report di FireEye evidenzia che la maggior parte delle soluzioni di sicurezza informatica non distingue tra malware quotidiano e attacchi mirati avanzati. in questo modo gli avvisi importanti vengono confusi o persi con gli avvisi non importanti, consentendo agli attacchi di violare la sicurezza della rete.

Le procedure consigliate da FireEye sono:

  • Ridurre i falsi positivi e consolidare gli eventi correlati
  • Verificare, analizzare e fornire il contesto per gli avvisi
  • Allineare la sicurezza ai rischi aziendali
  • Assegnare priorità ed evidenziare gli avvisi importanti

Ci sono tuttavia delle soluzioni di sicurezza come software che raccolgono le singole prove, pesandole e analizzandole e contestualizzandole. Software che diminuisicono i falsi positivi collegando collega i punti di tutti i vari eventi di sicurezza, creando un quadro chiaro di una violazione.

Leonardo Spa: dalla divisione cyber security di Genova ai sottomarini. Le ultime notizie

Leonardo Spa, le ultime notizie e rassegna stampa in materia di sicurezza e difesa, dalla divisione cyber security di Genova, ai sistemi di sorveglianza e protezione dei nuovi sottomarini della Marina Militare Italiana, che lega la compagnia a Fincantieri, altro campione della sicurezza italiana.

Leonardo: cyber security e digitalizzazione

Genova rappresenta il secondo polo ingegneristico sul territorio nazionale di Leonardo, e la Liguria rimane centrale per le sfide industriali del Paese. La nuova organizzazione aziendale della divisione Cyber Security viene descritta dal vertice aziendale come perfettamente pronta. Sempre a Genova si trova il nuovo supercomputer di Leonardo, davinci-1: tra i primi 100 al mondo per potenza di calcolo e prestazioni – in grado di compiere 5 milioni di miliardi di operazioni al secondo – e tra i primi tre per il settore aerospazio e difesa.

“È fondamentale capire come una realtà come la Divisione Cyber può affermarsi sul mercato mondiale contro competitor di ben altre dimensioni”

Leggi la news su Genova24.it – Leonardo, Fim Cisl: “Genova sia centrale nella divisione Cyber Security

L’innovazione tecnologica di Leonardo e Fincantieri per la protezione degli spazi subaquei

E’ stato firmato il contratto tra Leonardo e Fincantieri: ha un valore di circa 150 milioni di euro e servirà per la fornitura di equipaggiamenti per i primi due sottomarini U212 Near Future Submarines.

I nuovi sottomarini entreranno a far parte della flotta della Marina Militare Italiana a partire dal 2027. Parte così la fase 2 Leonardo e Fincantieri.

Per Leonardo questo contratto riveste un’importanza strategica nel navale: dal punto di vista commerciale, l’azienda amplia la sua offerta al settore dei sottomarini. Dal lato industriale, la sinergia con i sistemi già forniti sulle navi di superficie, incluse le future configurazioni, sarà una spinta ulteriore a investimenti per lo sviluppo e l’innovazione delle linee di prodotto, in particolare del combat management system.

MilanoFinanza – Leonardo entra nel business dei sottomarini

Leonardo: ok all’operazione Drs

Per finire la rassegna stampa, la società Leonardo, guidata da Alessandro Profumo, ha depositato alla Sec il prospetto S-1 per la quotazione a Wall Street – entro marzo 2021 – di una quota di minoranza della controllata americana Leonardo Drs.

Sole 24 Ore: “L’intera Drs potrebbe essere valutata più di tre miliardi di euro. Leonardo potrebbe incassare oltre un miliardo. Potrà ridurre l’indebitamento, stimato nella «guidance» in almeno 3,3 miliardi a fine 2020, ma potrebbe essere più alto. Leonardo valuta anche possibili acquisizioni. Dal collocamento Leonardo trarrà anche una bella plusvalenza. Il valore di carico di Drs non è indicato nel bilancio del gruppo. Leonardo Us Holding ha un valore di libro di 1.944 milioni di euro a fine 2019″.

Leggi anche: Il Cyber Range Leonardo scelto dal Qatar computing research Institute (QCRI)