Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Una guida al CIS Control 10: Difese contro i malware

Una guida al CIS Control 10: Difese contro i malware

Jun 16, 2022

Il Controllo 10 dei CIS Critical Security Controls versione 8 è incentrato sulle difese contro i malware. Descrive le misure di sicurezza per prevenire o controllare l'installazione, la diffusione e l'esecuzione di applicazioni, codici e script maligni sugli asset aziendali. (Nella versione 7 dei CIS, questo argomento era trattato dal Controllo 8.)

Contenuti correlati selezionati:

Il malware, in particolare il ransomware, è diventato un problema di sicurezza urgente negli ultimi anni. Il ransomware impedisce agli utenti di accedere ai loro sistemi o informazioni, minacciando tipicamente di pubblicare o distruggere i dati a meno che il proprietario non paghi un riscatto. Le previsioni degli esperti affermano che entro il 2031 ci sarà un nuovo attacco ogni 2 secondi e i costi del ransomware raggiungeranno i 265 miliardi di dollari all'anno.

Il software maligno è progettato per aiutare gli aggressori a ottenere accesso e controllo sui sistemi e reti, solitamente con l'intento di estrarre dati sensibili. Oltre al ransomware, il malware può presentarsi sotto forma di un cavallo di Troia che si maschera da programma regolare; virus e worm che modificano i sistemi infetti per servire gli scopi dell'attaccante; e altro ancora. Il malware aumenta il rischio aziendale rubando dati, catturando credenziali, criptando o distruggendo dati e identificando altri obiettivi nella tua rete.

Contenuti correlati selezionati:

I segni di un'infezione da malware possono includere:

  • Spam e annunci pop-up
  • Un sistema lento o bloccato
  • Crash frequenti
  • Processi e servizi sconosciuti che vengono creati o avviati
  • Creazione di nuovi file o cartelle senza autorizzazione
  • Reindirizzamenti da siti noti a siti sconosciuti

Le minacce malware possono evolversi e adattarsi utilizzando tecniche di apprendimento automatico e possono penetrare nei sistemi della tua organizzazione attraverso molteplici vulnerabilità, eludendo, ingannando e disabilitando le difese.

Per proteggere la tua organizzazione dalle infezioni da malware e garantire una pronta risposta agli incidenti, segui le misure di sicurezza del CIS Control 10 elencate di seguito.

10.1. Installare e mantenere software anti-malware su tutti i beni aziendali

Il software anti-malware identifica il malware utilizzando diverse tecniche, tra cui:

  • Definizioni o firme — Ogni pezzo di malware ha una definizione o firma che può essere catturata e memorizzata in un database. Le soluzioni anti-malware eseguono scansioni continue e confrontano il codice che entra o è presente nel sistema con le firme nel database per identificare e segnalare il malware.
  • Analisi euristica — Poiché le modifiche al codice avvengono frequentemente, le euristiche vengono utilizzate per identificare il malware attraverso il suo comportamento e le sue caratteristiche invece di confrontare il codice con una firma. Possono aiutare nella rilevazione di malware precedentemente non scoperto.
  • Sandboxing— Le soluzioni anti-malware utilizzano questa tecnica di test per eseguire un programma sospetto in uno spazio protetto e ne monitorano il comportamento come se avesse pieno accesso al sistema. Se determina che il programma è dannoso, l'anti-malware lo termina. Altrimenti, gli è permesso di eseguire al di fuori della sandbox.

Una volta identificato il malware, la maggior parte dei software anti-malware può rimuoverlo o metterlo in quarantena in un file protetto. Il software anti-malware non è not 100% effective, ma è comunque un elemento di sicurezza essenziale.

10.2. Configurare gli aggiornamenti automatici delle firme anti-malware

Le firme (definizioni) sono algoritmi o hash unici per uno specifico pezzo di malware. Gli strumenti anti-malware confrontano i file sui vostri sistemi contro un insieme di firme al fine di segnalare il malware.

Poiché il malware cambia e si adatta continuamente, anche l'anti-malware deve adattarsi per rimanere efficace. Gli aggiornamenti sono l'unico metodo per garantire che l'anti-malware riconosca gli ultimi codici maligni.

Gli aggiornamenti automatici sono più efficienti e affidabili rispetto al richiedere agli utenti o al team IT di installare gli aggiornamenti. Gli aggiornamenti possono essere rilasciati ogni ora o ogni giorno, e qualsiasi ritardo nell'installazione può lasciare il sistema vulnerabile a soggetti malevoli.

10.3. Disabilitare autorun e autoplay per i supporti rimovibili

I supporti rimovibili, come le chiavette USB e i dischi rigidi portatili, sono suscettibili al malware, proprio come ogni altro sistema informatico. Questi supporti possono essere configurati per scaricare, installare, riprodurre o eseguire programmi automaticamente nel momento in cui vengono collegati al computer. Il malware può infettare il tuo dispositivo prima che tu possa fermarlo.

Disabilitando la funzionalità di auto-esecuzione come parte della gestione della configurazione sicura, è possibile prevenire infezioni da malware che potrebbero causare violazioni dei daties, tempi di inattività del sistema, danni alla reputazione e perdite finanziarie.

10.4. Configurare la scansione automatica anti-malware dei supporti rimovibili

Alcuni hacker lasciano in giro chiavette USB, aspettando che qualcuno le raccolga e le colleghi, anche solo per curiosità. Altre volte, supporti rimovibili che sono fuori dal tuo controllo possono avere malware installati, oppure potrebbero essere utilizzati per trasferire malware da un sistema all'altro, involontariamente o intenzionalmente.

Impostare il software antivirus per eseguire automaticamente la scansione dei supporti rimovibili non appena vengono collegati aiuta a rilevare il malware e a metterlo in quarantena o eliminarlo prima che possa infettare il sistema a cui è connesso. Le migliori pratiche suggeriscono di limitare l'uso dei supporti rimovibili e di esercitare un controllo rigoroso sulla loro ubicazione. La formazione di gruppo è utile per aumentare la consapevolezza sui rischi associati all'uso dei supporti rimovibili.

10.5. Abilita le funzionalità anti-sfruttamento

Questo controllo suggerisce di abilitare le funzionalità anti-sfruttamento su beni aziendali e software dove possibile. Esempi includono Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG) e Apple System Integrity Protection (SIP) e Gatekeeper.

Le funzionalità anti-sfruttamento offrono una protezione generica contro gli exploit invece di cercare malware noti come gli anti-virus o anti-malware basati su firme. La maggior parte sono integrate nei sistemi operativi attuali per prevenire la penetrazione di malware, ma le funzionalità sono disabilitate di default, quindi devi abilitarle per sfruttarne i vantaggi.

La sicurezza anti-sfruttamento è particolarmente efficace contro gli exploit più comuni che causano infezioni di massa, come i siti di download drive-by, le campagne di phishing e gli iframe maligni. Queste funzionalità mitigano anche le vulnerabilità zero-day, che sono vulnerabilità precedentemente sconosciute per le quali non sono ancora disponibili patch o correzioni. Le funzionalità aiutano inoltre a fermare gli overflow di buffer e altri attacchi di corruzione della memoria.

10.6. Gestire centralmente il software anti-malware

Se avete più soluzioni anti-malware che non comunicano tra loro, rischiate di non riuscire a rilevare malware o tendenze in tutta l'azienda. Dovete gestire ogni silo separatamente.

Chiudete questa lacuna di sicurezza implementando una soluzione antimalware unica e centralmente gestita che scansiona e riporta informazioni su ogni dispositivo all'interno della vostra organizzazione. Facendo ciò si riduce l'esperienza necessaria per gestire diverse soluzioni e si garantisce di non perdere nulla perché è sfuggito tra le maglie delle varie soluzioni. E in caso di violazione dei dati, è necessario cercare in un solo posto le informazioni.

10.7. Utilizzare software anti-malware basato sul comportamento

Le soluzioni basate su firme identificano solo codici già noti. Il malware di oggi è spesso abbastanza intelligente da eludere questi strumenti attraverso ambiguità incorporate che portano a esecuzioni di codice variabili.

Le soluzioni basate sul comportamento possono identificare file maligni che le soluzioni basate su firme non riconoscerebbero perché sono in grado di analizzare ogni riga di codice e tutte le sue potenziali azioni. Ad esempio, queste soluzioni possono analizzare l'esecuzione di istruzioni a livello di sistema operativo; codice di rootkit a basso livello; e file, processi e servizi interni critici o irrilevanti.

Tuttavia, il software basato sul comportamento presenta alcuni svantaggi. Mentre l'anti-malware basato su firme identifica il malware in tempo reale, il software anti-malware basato sul comportamento presenta una certa latenza intrinseca a causa della necessità di un'analisi dinamica su più dimensioni. Inoltre, le soluzioni basate sul comportamento difficilmente rileveranno malware dotati di capacità anti-sandbox.

D'altro canto, il software anti-malware basato sul comportamento offre flessibilità nel trovare diverse forme di malware sconosciute al software basato su firme. Migliora il rilevamento di intrusioni, l'analisi delle minacce e l'analisi degli utenti, e permette di creare o modificare politiche per consentire o vietare requisiti specifici per la tua industria o organizzazione. La maggior parte del software basato sul comportamento segue un meccanismo di controllo basato su politiche, quindi la flessibilità è importante per scopi amministrativi.

Altri consigli per la prevenzione e mitigazione del malware

  • Usare secure authentication methods, inclusi password complesse, autenticazione multifattore (MFA) o strumenti biometrici.
  • Utilizzare gli account amministratore solo quando assolutamente necessario.
  • Aderire al modello del minimo privilegio: Concedere agli utenti l'accesso minimo alle capacità del sistema, servizi e dati di cui hanno bisogno per completare il loro lavoro.
  • Implementare soluzioni di sicurezza email e protezione dallo spam.
  • Sviluppare la consapevolezza delle tattiche comuni di malware e mantenere gli utenti aggiornati sulle tendenze e le migliori pratiche di cybersecurity. In particolare, consigliare loro di collegarsi solo a reti sicure utilizzando VPN quando lavorano fuori dall'ufficio.
  • Incoraggiate gli utenti a segnalare comportamenti insoliti del sistema.

Sommario

Seguendo i CIS critical security controls si può aiutare un'azienda a rafforzare la sicurezza, ottenere la conformità normativa e migliorare la resilienza aziendale, sia on premises che nel cloud.

Il Controllo 10 raccomanda l'utilizzo sia di anti-malware basati sul comportamento che di strumenti basati su firme con aggiornamenti automatici attivati, e la gestione centralizzata del software. Assicurati anche di abilitare le funzionalità anti-sfruttamento nei tuoi sistemi operativi e di controllare rigorosamente l'uso di supporti rimovibili sui tuoi dispositivi, se li permetti affatto. Seguendo queste migliori pratiche, puoi ridurre il rischio di un'infezione da malware devastante.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Creare utenti AD in massa e inviare le loro credenziali tramite PowerShell

Come aggiungere e rimuovere gruppi AD e oggetti nei gruppi con PowerShell

Attributi di Active Directory: Ultimo accesso

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza