Centro Assistenza ACSIA

Ricerca

Cos'è un "possible account compromise again"?

Federico Trotta
Federico Trotta
  • Aggiornato

Panoramica

Questo articolo spiega l'alert CASIA chiamato "possible account compromise again".

Spiegazione del possible account compromise again

"Possible account compromise again" significa che vi è il sospetto o l'indicazione che l'account di un utente possa essere stato violato o vi sia stato accesso da parte di persone non autorizzate per la seconda volta, dopo che un precedente incidente di sicurezza si era già verificato ed era stato presumibilmente risolto.

Esempio: supponiamo che in un'organizzazione di medie dimensioni i dipendenti abbano un sistema  per accedere alle risorse aziendali che coinvolge l'utilizzo dell'SSH (Secure Shell): un metodo comune per accedere ai sistemi remoti in modo sicuro. Ogni dipendente ha un account univoco con nome utente e password d'accesso.

In passato, l'organizzazione ha subìto un incidente di sicurezza informatica in cui gli aggressori sono riusciti a compromettere alcuni account dei dipendenti. Il team IT ha risposto prontamente, reimpostando le password e implementando ulteriori misure di sicurezza per prevenire ulteriori accessi non autorizzati. Credevano che il problema fosse risolto.

Tuttavia, dopo alcune settimane, hanno notato un aumento sospetto dei tentativi di accesso falliti su diversi account dei dipendenti. Sembra che qualcuno stia tentando di accedere nuovamente a questi account, utilizzando varie credenziali di accesso in modo automatico.

Il team IT si preoccupa che si possa essere un "possible account compromise again". Sospettano che gli stessi aggressori stiano tentando un secondo attacco, cercando di sfruttare potenziali punti deboli che non sono stati completamente affrontati nella loro risposta iniziale. Il team intraprende azioni immediate per indagare sulla situazione, rafforzare le misure di sicurezza e proteggere gli account interessati per impedire qualsiasi accesso non autorizzato e potenziali violazioni dei dati.

ACSIA ti avvisa quando c'è di nuovo una possibile compromissione dell'account sulla tua infrastruttura. Ecco tutte le informazioni che ACSIA ti mostra nella Live Notification:

Inoltre, sulla destra della schermata sopra, possiamo vedere le azioni che un utente può eseguire in questi casi.

 

 

ACSIA rileva per la prima volta una possibile compromissione dell'account. Quindi, se si verifica di nuovo (ma ACSIA era già stato installato durante la prima compromissione), avvisa l'utente con un "ANCORA" nella notifica. In altre parole, ACSIA non può rilevare se un account è stato compromesso prima della sua installazione sui tuoi computer.