Aggiornamenti recenti Settembre 17th, 2024 9:58 AM
Dic 28, 2023 Marina Londei In evidenza, Minacce, News, RSS 0
Il problema delle password di default nei dispositivi e nei sistemi è molto sentito: i cybercriminali continuano a sfruttare le credenziali preimpostate per ottenere accesso iniziale alle infrastrutture e spostarsi nelle reti aziendali; per questo CISA, l’agenzia governativa statunitense di cybersecurity, ha pubblicato un avviso rivolto a tutti i produttori OT invitandoli a eliminare le password di default nei propri prodotti.
“Anni di riscontri hanno dimostrato che affidarsi al cambio password da parte dei consumatori non è sufficiente e solo azioni collettive da parte dei produttori tecnologici riusciranno a gestire adeguatamente i gravi rischi a cui sono esposte le infrastrutture critiche delle organizzazioni” si legge nell’avviso.
L’Agenzia ha definito “inaccettabile” l’uso di password conosciute e semplici come “1234”, “default” e “password”, sottolineando che si tratta di una delle debolezze più usate per accedere ai sistemi delle aziende.
Nell’avviso CISA ha imposto ai produttori di seguire due dei tre principi già definiti per assicurare che i prodotti di tecnologia siano “Secure by Design”, ovvero costruiti in modo da essere protetti contro le principali minacce.
Il primo principio richiede ai produttori di prendersi la responsabilità delle implicazioni di sicurezza di sistemi e dispositivi e dell’utilizzo che ne fa l’utente; ciò implica che i prodotti devono essere sviluppati per essere resistenti contro le minacce prevedibili, prima fra tutte l’uso delle password di default da parte degli attaccanti.
In questo caso i produttori dovrebbero fornire password uniche per il setup del prodotto, possibilmente temporanee e che vengano disabilitate automaticamente dopo l’inizializzazione, richiedendo all’utente di seguire metodi di autenticazione più sicuri. L’obiettivo di questo principio è di creare sicurezza duratura per la gestione dei prodotti fin dalle fasi di installazione.
L’altro principio su cui si sofferma CISA riguarda la creazione di una cultura di cybersecurity nell’azienda produttrice, affinché i dipartimenti che si occupano del design, dello sviluppo e della consegna dei prodotti siano consapevoli dei problemi di sicurezza e lavorino per contenerli.
I team dovrebbero dare priorità alla comprensione dell’utilizzo dei prodotti da parte dei consumatori, cercando di identificare i possibili punti critici per mitigare i rischi di cybersecurity.
La volontà dell’Agenzia è di sollevare gli utenti dalla maggior parte della responsabilità di sicurezza e portare i produttori a integrare le buone pratiche di protezione dei dispositivi sin dalla fase di design.
Set 13, 2024 0
Set 09, 2024 0
Ago 29, 2024 0
Ago 26, 2024 0
Set 17, 2024 0
Set 16, 2024 0
Set 16, 2024 0
Set 13, 2024 0
Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Set 03, 2024 0
Le identità digitali si moltiplicano e con esse anche le...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...