Il mondo digitale è in continua trasformazione, rimani aggiornato con la nostra newsletter:

Processi di comunicazione beacon: cosa sono e perchè sono pericolosi?

beacon

Processi di comunicazione beacon: cosa sono e perchè sono pericolosi?

Che cos’è un processo di comunicazione beacon? 

Da alcuni anni l’incremento delle attività da parte di cyber-gruppi dediti a operazioni di attacco, ha portato all’osservazione di metodi di intrusione più sofisticati.

Il beacon è un processo usato per questo scopo, in grado di raggiunge spesso in modalità silenziosa, le periferiche computer come client e server. L’installazione di tale componente può avvenire anche tramite l’apertura di pagine o siti web, inviati alle caselle email tramite campagne di truffa, sotto forma di richieste, come ad esempio “clicca qui per…”, tramite allegati manipolati (false bollette di gestori energia/telefonici, false cartelle esattoriali di Equitalia…).

Attenzione, una volta attivato, il processo beacon manterrà un intervallo di tempo (in genere non inferiore a ventiquattro ore), in cui non eseguirà nessun tipo di operazione. Passato questo periodo il beacon provvederà a contattare il cyber-gruppo che lo ha generato, in ascolto tramite una porta di comunicazione preimpostata nelle impostazioni del processo. I sistemi di difesa di ultima generazione a volte faticano a rilevare e bloccare sul nascere, lo scambio dei primi comandi, spesso camuffati come se fossero normali visite a siti web di un utente. Scoprire questo primo contatto, è una manovra complessa anche per un amministratore di rete IT.

Ultimata la fase di prima attività del beacon, i cyber-criminali potranno ottenere rapidamente le informazioni del computer infettato, ed avviare operazioni laterali, ovvero scoprire come è formata la rete interna aziendale, e se i server che mantengono tutte le informazioni degli utenti di dominio sono attivi nella sede dell’organizzazione vittima. Sarà semplice per il cyber-gruppo trasportare gli strumenti di rottura (crack) dei servizi interni di dominio, per poi avviarli e tentare di ottenere i privilegi di amministratore di rete IT. Se fossero ottenuti, il cyber-gruppo avrebbe accesso a tutte le informazioni salvate nei server di dominio.

Perchè è difficile individuare un beacon attivo in un computer?

I cyber gruppi criminali o dediti allo spionaggio industriale, considerano la presenza di controlli di ultima generazione come EDR (Endpoint Detecion Response) nelle odierne organizzazioni. Nascondere per mesi la comunicazione con la sede di comando del cyber-gruppo, è una realtà. I beacon programmati con tecniche sempre migliori, sono in grado persino di eludere protezioni EDR, impegnate nella ricerca delle funzioni usate dagli intrusi per attendere ore, senza che venga riconosciuta la loro presenza come pericolosa o indesiderata.

In scenari in cui il cyber-attacco sia avvenuto, ed una soluzione di difesa non fosse riuscita a rilevare traccia di un ipotetico beacon attivo, è possibile integrare la protezione di un firewall perimetrale. Esso dovrà ricevere dal proprio produttore, impronte di sequenze byte da comparare con il traffico di rete generato dall’organizzazione verso la rete internet, indirizzi IP usati e mantenuti dai cyber gruppi, al fine di bloccare queste transazioni in uscita dalla rete dell’ufficio.

Un beacon può essere attivo anche in un sistema operativo Linux? 

Sì, nell’anno 2021 è stata rilevata la prima versione beacon costruita appositamente per il sistema Linux. Questo aspetto tende a confermare che i cyber-gruppi, sono sempre più interessati ad entrare anche in ambienti di dominio non solo amministrati da prodotti di Microsoft, ma anche con alternative di Redhat, Suse, Oracle, oppure totalmente libere (progetti open-source).

Cosa posso fare per aumentare la protezione dei miei dati?

Una soluzione per mantenere i dati più al sicuro, sono le aree cloud.

Un cyber-gruppo impegnato a sabotare dati presenti nel cloud, si scontrerebbe con i meccanismi di difesa gestiti dal provider cloud. I dati in cloud possono essere predisposti in due aree, produzione e backup, le rispettive posizionate in due datacenter di diversa posizione geografica.

In caso di incidente, i computer utente impegnati a lavorare nell’area di produzione, possono essere scollegati salvaguardando l’integrità degli ultimi dati aggiornati nell’ultime ore. Come risaputo, il cyber attacco potrebbe alterare la natura dei dati tramite la criptatura nel più breve tempo possibile, rendendo definitivamente i dati indisponibili all’organizzazione.

Per proteggersi anche da tale caso, è necessario disporre fin da subito di un sistema di disaster-recovery con il cloud provider.

L’accesso ai dati salvati nelle aree di disaster-recovery, è oggi disponibile tramite l’autenticazione a due fattori (password ed ulteriore riconoscimento con device personale). Quest’ultima permette poi l’accesso ai dati precedentemente protetti dal cloud provider con specifiche chiavi, in modo che solo il personale autorizzato e riconosciuto vi possa accedere.

Un accesso di tipo tunnel VPN dedicato per accedere all’area cloud è efficace? 

Sì, a patto che ogni utente con diritto di accesso, abbia attivo il controllo a due fattori (password e codice dinamico generato con il proprio smart-phone) per poter accedere all’area cloud con il tunnel.

Quest’ultima area non dovrebbe mai permettere ai server dati, di contattare di propria iniziativa la rete internet; la regola restrittiva eviterebbe ai server di inizializzare dall’interno, un contatto con un cyber-gruppo.

Posso essere preventivamente avvisato se vi fossero dei problemi con i miei dati salvati nel cloud?

I cyber gruppi sono intenzionati a compiere la manovra di fermo schedulazioni, e cancellazione delle aree backup, in modo da obbligare l’organizzazione vittima a dipendere quasi totalmente dalle richieste di ricatto.

Il controllo delle schedulazioni e copie dati predisposte dal cloud provider è difficile da fermare e cancellare, proprio perché è sottoposto ad un rigido controllo quotidiano. L’organizzazione viene avvisata riguardo l’inizio di una possibile anomalia nei dati delle aree di disaster-recovery. Il consiglio ulteriore è di effettuare almeno una volta all’anno, il ripristino dei dati cloud, al fine di accertarsi che i livelli di integrità e disponibilità siano adeguati alle proprie esigenze. 

La soluzione per proteggersi è quella di attivare una strategia di disaster recovery e backup dati in cloud, approfondisci l’argomento e contattaci

Condividi questo articolo con i tuoi contatti
Condividi su email
Email
Condividi su facebook
Facebook
Condividi su twitter
Twitter
Condividi su linkedin
LinkedIn
Per rimanere aggiornato su tutte le nostre iniziative dedicate alla Transizione Ecologica, lasciaci il tuo contatto per iscriverti alla nostra newsletter.
Condividi su facebook
Condividi su twitter
Condividi su linkedin
condividi

Categorie

Articoli recenti

Data Protection Day 2023

Il cloud è la principale soluzione a molte delle problematiche interne che ogni giorno le aziende si trovano ad affrontare,

Entra nel flusso

Il mondo digitale è in continua trasformazione, rimani aggiornato con la nostra newsletter.

Customer Care,
Subito a tua disposizione

Compila la form per ricevere assistenza, un preventivo o semplicemente richiedere maggiori informazioni.

OPIQUAD SRL A SOCIO UNICO

Sede Operativa
Via Bergamo, 60 – Merate 23807 (LC)

Sede Legale
Via Pietro Paleocapa, 6 – Milano 20121 (MI)

039 93 99 920
info@opiquad.it
amministrazione@opiquad.it
opiquad@pec.opiquad.it

Codice Fiscale: 05866450967
Partita Iva: IT05866450967
REA: MI – 1946731
Capitale Sociale: € 90.000 i.v.
Codice SDI: B2K7HJZ

Società soggetta a direzione e coordinamento di OPIQUAD HOLDING SRL 

Questo sito usa i cookie e consente l'invio di terze parti

Premendo il pulsante OK o eseguendo qualsiasi azione all'interno del sito, accetti il loro utilizzo e la nostra politica sui cookie.

Iscrizione inviata con successo

Rimani in contatto con Opiquad!

Entra nel flusso
Opihub è il laboratorio di ricerca e sviluppo di Opiquad, dove competenze multidisciplinari dell’ambito digitale si confrontano costantemente e si stimolano per dare forma a nuove soluzioni tecnologiche.
Il messaggio è stato inviato

Ti ricontatteremo per trovare la tua soluzione digitale!