Giacomo Lanzi
Acronis Active Protection: difesa dai ransomware
Tempo di lettura: 4 min
Acronis Active Protection e’ una tecnologia anti-ransomware avanzata. Protegge attivamente tutti i dati dei vostri sistemi: documenti, dati di ogni tipo e file di backup Acronis. E’ una tecnologia disponibile per i sistemi operativi Windows e Mac OS X e protegge dalle piu’ recenti azioni ransomware come Petya, WannaCry, Locky e Osiris.
Cos’e’ un Ransomware?
Il Ransomware e’ un tipo di malware particolarmente doloroso. Il malware e’ un “software ostile o intrusivo” introdotto illegalmente nel vostro sistema per motivi malevoli. Quando il ransomware infetta il sistema blocca l’accesso ai dati. Chi ha introdotto il malware fara’ quindi una richiesta in denaro per sbloccare i dati. Il meccanismo e’ quello del riscatto, insomma.
Per difendersi da questo tipo di attacco, e’ necessario monitorare costantemente le attivita’ che avvengono nel sistema.
Individuare i pattern
Acronis Active Protection osserva costantemente gli schemi nel modo in cui i file e i dati vengono modificati. Un insieme di comportamenti puo’ essere tipico e atteso. Un altro puo’ segnalare un processo sospetto che ha il fine di avviare azioni ostili contro i dati.
L’approccio di Acronis e’ il seguente: esaminare queste azioni e confrontarle con i modelli di comportamento malevolo. Questo modo di procedere puo’ essere eccezionalmente potente nell’identificazione di attacchi ransomware, anche da varianti che non sono ancora state segnalate. La piu’ recente versione di Acronis Active Protection aggiunge ulteriori schemi comportamentali per migliorare il rilevamento dei ransomware.
Acronis ha investito molto in una nuova infrastruttura dedicata al Machine Learning utilizzata per la telemetria e l’elaborazione dei dati. Il primo passo del processo e’ un’analisi dello stack trace. E’ possibile rilevare il codice malevolo utilizzando l’analisi dello stack trace di un processo basata sull’approccio del machine learning.
I dati da studiare e analizzare sono i dump / frame dello stack trace che sono inviati come input al modulo Acronis Machine Learning. L’output dell’analisi sara’ il verdetto: dati puliti o infetti. Questo approccio porta la protezione attiva su un nuovo livello, specialmente quando si parla di minacce mai usate prima (dette Zero Day).
Il sistema non richiede firme di alcun tipo, ma crea piuttosto un modello di cio’ che e’ accettabile e cio’ che non lo e’. In questo modo, quando gli hacker troveranno una nuova vulnerabilita’ o un nuovo approccio per infiltrarsi nel sistema, difficilmente potranno superare questo controllo del comportamento fatto grazie ai modelli di applicati da Acronis.
Difesa contro minacce avanzate
Acronis Active Protection e’ in grado di rilevare minacce ransomware molto sofisticate che normalmente appaiono come operazioni legittime. La rilevazione degli attacchi avviene grazie all’applicazione di euristiche avanzate e machine learning, ma non solo.
Infatti, vengono adottati anche speciali approcci matematici per calcolare l’entropia dei file, in modo da poter capire se il file e’ stato modificato anche se l’intestazione rimane la stessa. Molte soluzioni anti-ransomware, invece, agiscono solo in base alle intestazioni dei file.
Un modo in cui i criminali potrebbero scegliere di compromettere i file sarebbe quello di attaccare il software di backup stesso per corrompere i file di backup che crea. Per proteggersi da questo, Acronis ha implementato un robusto meccanismo di autodifesa che non permettera’ ai criminali di interrompere il lavoro dell’applicazione Acronis o il contenuto dei file di backup. Inoltre, Acronis Active Protection controlla il Master Boot Record dei computer basati su Windows. Quindi, non permettera’ di apportare modifiche illegittime per impedire di avviare il computer.
Come interviene
Se l’attacco ransomware inizia a criptare i file, Acronis rileva e arresta rapidamente questo processo. Poiche’ Acronis e’ una soluzione di backup, tutti i dati che sono stati esposti e crittografati prima dell’arresto del processo possono essere recuperati da una varieta’ di fonti. Questo e’ notevole, considerando che, non solo le soluzioni anti-ransomware comunemente non possono terminare un attacco una volta iniziato, ma non hanno nemmeno modo di recuperare i file crittografati dall’attacco.
Acronis Active Protection rileva e devia gli attacchi e ripristina i file di qualsiasi dimensione.
Le metodologie rilevano e deflettono gli attacchi e ripristinano in modo avanzato i file. Questi approcci di protezione non solo sono all’avanguardia rispetto ai criminali, ma sono piu’ innovativi e avanzati di qualsiasi altra metodologia anti-ransomware disponibile.
La soluzione di Acronis e’ in grado di individuare:
– Hacker che cercano di infettare o compromettere i backup locali o nel cloud
– Attacchi ridotti e solitamente piu’ difficili da individuare (per esempio cambiare solo una piccola porzione di un documento o una foto stoccata in profondita’ nel disco rigido)
– Gli aggressori che escogitano nuovi modi creativi per tentare di modificare i file in modo malizioso
Conclusioni
L’applicazione dell’intelligenza artificiale nel campo della cyber security ha permesso di fare passi da gigante nella difesa e sta rendendo la vita estremamente complicata per gli hacker. La ricerca di soluzioni innovative, ormai, e’ orientata all’implementazione del machine learning per cercare di cogliere i comportamenti maliziosi piuttosto che gli attacchi stessi. Acronis Active Protection agisce in quest’ottica e lo fa in modo efficace, offrendo una protezione completa ed efficiente dagli attacchi ransomware.
Le minacce non terminano una volta verificata la sicurezza dei propri sistemi e del perimetro, bisogna adottare soluzioni di difesa e verifica costante per assicurare i propri dati nel modo migliore possibile.
Link utili:
Condividi
RSS
Piu’ articoli…
- Introduzione a Lockbit e all’IOC (Indicator of Compromise)
- Comprendere gli approcci di Penetration Testing: Gray Box, Black Box e White Box
- SOC esterno
- Cos’è il Ghost Broking e come la Cyber Threat Intelligence può aiutare a prevenirlo
- EDR (Endpoint Detection and Response)
- Unificare la piattaforma per la threat detection
- L’importanza del monitoring ICT
- I benefici SOAR: semplificare indagine e risposta
Categorie …
- Backup as a Service (24)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (15)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (163)
- Cyber Threat Intelligence (CTI) (6)
- Ethical Phishing (8)
- Penetration Test (6)
- SOCaaS (52)
- Vulnerabilita' (83)
- Web Hosting (15)
Tags
CSIRT
- La Settimana Cibernetica del 5 febbraio 2023 Febbraio 6, 2023Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 30 gennaio al 5 febbraio 2023:
- Rilevato lo sfruttamento massivo della CVE-2021–21974 in VMWare ESXi
(AL01/230204/CSIRT-ITA) Febbraio 4, 2023Rilevato il massiccio sfruttamento attivo in rete della vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021 – presente nei prodotti VMware ESXi.
- Risolte vulnerabilità in Grafana
(AL06/230203/CSIRT-ITA) Febbraio 3, 2023Rilasciati aggiornamenti di sicurezza per risolvere una vulnerabilità presente in Grafana, nota applicazione web per la visualizzazione e l’analisi interattiva di dati.
- Rilevata vulnerabilità in Atlassian Jira Service Management
(AL05/230203/CSIRT-ITA) Febbraio 3, 2023Aggiornamenti di sicurezza sanano una vulnerabilità presente nei prodotti Atlassian Jira Service Management Server e Data Center.
- Risolte vulnerabilità in prodotti VMware
(AL04/230203/CSIRT-ITA) Febbraio 3, 2023VMware ha rilasciato aggiornamenti di sicurezza per sanare una vulnerabilità presente nel noto hypervisor Workstation.
- Aggiornamenti per IBM WebSphere
(AL03/230203/CSIRT-ITA) Febbraio 3, 2023Aggiornamenti di sicurezza risolvono una vulnerabilità con gravità “alta” nel prodotto WebSphere, noto application server di IBM. Tale vulnerabilità, qualora sfruttata, potrebbe permettere l’esecuzione di codice arbitrario da remoto sui dispositivi interessati.
- Sanate vulnerabilità in Symfony
(AL02/230203/CSIRT-ITA) Febbraio 3, 2023Disponibile un aggiornamento di sicurezza che risolve 2 vulnerabilità in Symfony, di cui una con gravità “alta”, nel noto framework open source per lo sviluppo di applicazioni web. Tale vulnerabilità potrebbe permettere - qualora sfruttata da un utente malevolo remoto - la lettura dei dati memorizzati nella HttpCache e l’accesso alla sessione della vittima.
- Aggiornamenti per prodotti CISCO
(AL01/230203/CSIRT-ITA) Febbraio 3, 2023Aggiornamenti di sicurezza Cisco sanano molteplici vulnerabilità, di cui una con gravità “alta”, presenti in vari prodotti.
- Rilevate vulnerabilità in prodotti F5
(AL02/230202/CSIRT-ITA) Febbraio 2, 2023F5 rilascia aggiornamenti di sicurezza di febbraio volti a sanare vulnerabilità in molteplici prodotti, di cui 13 con gravità “alta”.
- Sanata vulnerabilità in Django
(AL01/230202/CSIRT-ITA) Febbraio 2, 2023Disponibile aggiornamento di sicurezza che risolve una vulnerabilità in Django, noto framework open source per lo sviluppo di applicazioni web. Tale vulnerabilità, dovuta alla non corretta gestione dell’header HTTP Accept-Language, potrebbe causare un potenziale Denial of Service.
Dark Reading
- Name That Edge Toon: For the Birds Febbraio 6, 2023Come up with a clever caption, and our panel of experts will reward the winner with a $25 Amazon gift card.
- How Cybercriminals Are Operationalizing Money Laundering and What to Do About It Febbraio 6, 2023It's time to share threat intelligence and prioritize digital literacy and cyber hygiene to stem the rising money laundering tide.
- What CISOs Can Do About Brand Impersonation Scam Sites Febbraio 3, 2023Apply these nine tips to proactively fight fraudulent websites that use your brand to rip people off.
- Iran-Backed Actor Behind 'Holy Souls' Cyberattack on Charlie Hebdo, Microsoft Says Febbraio 3, 2023The January attack was in retaliation for the satirical French magazine's decision to launch a cartoon contest to lampoon Iran's Supreme Leader.
- Scores of Redis Servers Infested by Sophisticated Custom-Built Malware Febbraio 3, 2023At least 1,200 Redis servers worldwide have been infected with "HeadCrab" cryptominers since 2021.
- How the Cloud Is Shifting CISO Priorities Febbraio 3, 2023The greatly expanding attack surface created by the cloud needs to be protected.
- MITRE Releases Tool to Design Cyber-Resilient Systems Febbraio 3, 2023Engineers can use the Cyber Resiliency Engineering Framework Navigator to visuzalize their cyber-resiliency capabilities.
- Hornetsecurity Combats QR Code Phishing With Launch of New Technology Febbraio 2, 2023
- Korelock Launches IOT Smart Lock Technology Company Febbraio 2, 2023Denver-based business secures Series A Funding through partnerships with Iron Gate Capital and Kozo Keikaku Engineering.
- Cyberattack on Fintech Firm Disrupts Derivatives Trading Globally Febbraio 2, 2023The Russia-linked LockBit ransomware group claims to be behind the attack that fouled automated transactions for dozens of clients of financial technology firm ION Group.
Full Disclosure
- Trovent Security Advisory 2203-01 / Micro Focus GroupWise transmits session ID in URL Gennaio 31, 2023Posted by Stefan Pietsch on Jan 30# Trovent Security Advisory 2203-01 # ##################################### Micro Focus GroupWise transmits session ID in URL ################################################# Overview ######## Advisory ID: TRSA-2203-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2203-01 Affected product: Micro Focus GroupWise Affected version: prior to 18.4.2 Vendor: Micro Focus, https://www.microfocus.com...
- APPLE-SA-2023-01-24-1 tvOS 16.3 Gennaio 27, 2023Posted by Apple Product Security via Fulldisclosure on Jan 26APPLE-SA-2023-01-24-1 tvOS 16.3 tvOS 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213601. AppleMobileFileIntegrity Available for: Apple TV 4K (all models) and Apple TV HD Impact: An app may be able to access user-sensitive data Description: This issue was addressed […]
- [SYSS-2022-047] Razer Synapse - Local Privilege Escalation Gennaio 27, 2023Posted by Oliver Schwarz via Fulldisclosure on Jan 26Advisory ID: SYSS-2022-047 Product: Razer Synapse Manufacturer: Razer Inc. Affected Version(s): Versions before 3.7.0830.081906 Tested Version(s): 3.7.0731.072516 Vulnerability Type: Improper Certificate Validation (CWE-295) Risk Level: High Solution Status: Open Manufacturer Notification: 2022-08-02 Solution Date: 2022-09-06 Public Disclosure:...
- [RT-SA-2022-002] Skyhigh Security Secure Web Gateway: Cross-Site Scripting in Single Sign-On Plugin Gennaio 26, 2023Posted by RedTeam Pentesting GmbH on Jan 26RedTeam Pentesting identified a vulnerability which allows attackers to craft URLs to any third-party website that result in arbitrary content to be injected into the response when accessed through the Secure Web Gateway. While it is possible to inject arbitrary content types, the primary risk arises from JavaScript […]
- t2'23: Call For Papers 2023 (Helsinki, Finland) Gennaio 24, 2023Posted by Tomi Tuominen via Fulldisclosure on Jan 23Call For Papers 2023 Tired of your bosses suspecting conference trips to exotic locations being just a ploy to partake in Security Vacation Club? Prove them wrong by coming to Helsinki, Finland on May 4-5 2023! Guaranteed lack of sunburn, good potential for rain or slush. In […]
- Re: HNS-2022-01 - HN Security Advisory - Multiple vulnerabilities in Solaris dtprintinfo and libXm/libXpm Gennaio 24, 2023Posted by Marco Ivaldi on Jan 23Hello again, Just a quick update. Mitre has assigned the following additional CVE IDs: * CVE-2023-24039 - Stack-based buffer overflow in libXm ParseColors * CVE-2023-24040 - Printer name injection and heap memory disclosure We have updated the advisory accordingly: https://github.com/hnsecurity/vulns/blob/main/HNS-2022-01-dtprintinfo.txt Regards, Marco
- APPLE-SA-2023-01-23-8 Safari 16.3 Gennaio 24, 2023Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-8 Safari 16.3 Safari 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213600. WebKit Available for: macOS Big Sur and macOS Monterey Impact: Processing maliciously crafted web content may lead to arbitrary code execution Description: The issue was addressed with […]
- APPLE-SA-2023-01-23-7 watchOS 9.3 Gennaio 24, 2023Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-7 watchOS 9.3 watchOS 9.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213599. AppleMobileFileIntegrity Available for: Apple Watch Series 4 and later Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened […]
- APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 Gennaio 24, 2023Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 macOS Big Sur 11.7.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213603. AppleMobileFileIntegrity Available for: macOS Big Sur Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling […]
- APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 Gennaio 24, 2023Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 macOS Monterey 12.6.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213604. AppleMobileFileIntegrity Available for: macOS Monterey Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened runtime. CVE-2023-23499: […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Introduzione a Lockbit e all’IOC (Indicator of Compromise) Febbraio 6, 2023
- Comprendere gli approcci di Penetration Testing: Gray Box, Black Box e White Box Gennaio 30, 2023
- SOC esterno Gennaio 26, 2023
- Cos’è il Ghost Broking e come la Cyber Threat Intelligence può aiutare a prevenirlo Gennaio 23, 2023
- EDR (Endpoint Detection and Response) Gennaio 5, 2023
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications