Scritto da Davide Galanti

Condividi su

ll rischio informatico è ai primi posti nelle classifiche delle preoccupazioni dalle aziende di ogni dimensione. Molte aziende provano a fare del loro meglio, investendo anche molto ma qual’è l’attività fondamentale per la sicurezza informatica che dovrebbero fare aziende?

Disegnamo insieme un percorso semplice e facilmente implementabile da tutti.

La cronaca quotidianamente ci racconta di attacchi mirati e ben organizzati a danno di imprese ed enti pubblici. Tralasciando le “ricette magiche” che a volte vedo proposte in giro, il più delle volte per garantirsi un livello di sicurezza informatica sufficiente basterebbero poche e semplici cose. In questo decalogo, che considero il minimo sindacale, trovi quello che penso sia facilmente attuabile in qualsiasi situazione, anche per step.

Non servono software dai nomi avveniristici né investimenti da far rizzare i capelli (per chi ancora li ha). Vediamo insieme qualisono le attività fondamentali per la Sicurezza Informatica della tua impresa.

quale Attività è Fondamentale per la Sicurezza Informatica

Definisci il perimetro della sicurezza IT della tua azienda

Prima di tutto, intendiamoci su quello che è il perimetro entro cui garantirsi sicurezza IT in azienda. La superficie è ampia ed è caratterizzata da strumenti e dispositivi molteplici che vengono adoperati quotidianamente per lo svolgimento dell’attività lavorativa.

Uso personale dei dispositivi aziendali e uso aziendale dei dispositivi personali

I dispositivi mobili che sono in dotazione ai collaboratori dell’azienda possono essere di proprietà dell’azienda e su questi girano applicazioni aziendali, ed informazioni come la posta elettronica. Ma le stesse informazioni vengono spesso attivate, come ad esempio la posta elettronica, anche su dispositivi di proprietà dei collaboratori. Collaboratori che magari poi non accettano alcun tipo di controllo su questi dispositivi né misure di sicurezza.

Tralasciando i dispositivi privati su cui difficilmente si può avere una gestione, tutti i dispositivi mobili aziendali vanno gestiti con una piattaforma di Mobile Device Management che impone livelli minimi di sicurezza indipendentemente dal tipo di dispositivo o dal sistema operativo come PIN all’accensione, o faceID, o fingerprint attivato.

L’attacco non arriva solo da fonte esterna

Se la superficie di attacco informatico dal mondo esterno è davvero enorme (va dagli IP statici alle applicazioni che l’azienda espone), la superficie d’attacco interna all’azienda è altrettanto vasta, perché è composta anche dai pc che gli utenti utilizzano tutti i giorni. Utenti che volendo possiamo dividere in quelli che vogliono fare danno e quelli ignari del danno che possono arrecare. L’utente che appositamente attacca il sistema  aziendale è abbastanza raro ma esiste. Succede infatti che qualcuno per divertimento, frustrazione, dispetto o spionaggio decida di installare un qualche cosa o di collegarsi, con un suo dispositivo, alla rete aziendale tentando di scardinarla.  A volte riesce anche a farla franca per diverso tempo e il danno è ingente: furto di dati, spesso di brevetti, interruzione dell’attività aziendale.

Il collaboratore distratto

 C’è anche il collaboratore che diventa veicolo per un attacco ma ne è ignaro, perchè semplicemente compie azioni inappropriate, le sue azioni infatti sono al di fuori della conoscenza e del controllo della gestione dell’IT aziendale. Questi collaboratori possono fare quella che si chiama operazione di pulldown di applicazioni malevoli e il risultato è che vengono cifrate informazioni aziendali, alterati i database degli ERP, o bloccata l’infrastruttura. Le loro azioni sono quindi causa di furto delle informazioni.

La terza parte incompetente

A volte poi i partner commerciali compromettono la sicurezza dell’azienda per negligenza. Il più delle volte è nell’accesso e nell’uso improprio degli asset aziendali, primo fra tutti le credenziali di amministratore.

Ho fatto quindi un elenco delle azioni che secondo me tutti dovrebbero fare, se ne ho dimenticata qualcuna ti chiedo di aiutarmi.

quale Attività è Fondamentale per la Sicurezza Informatica

1) Disacoppia il tuo Backup aziendale

Il backup è parte centrale di ogni strategia di sicurezza perchè tutela i gioielli di famiglia: i dati, lo stato patrimoniale digitale dell’azienda. Questo valore patrimoniale va difeso con intelligenza e per questa ragione il backup deve essere qualcosa che sta a se e non deve avere credenziali coincidenti con quelle del sistema informatico aziendale. Deve essere isolato intrinsecamente. Esistono infatti software che consentono di isolare i dispositivi su cui si versano i backup. Come sicuramente immagini è indispensabile che il server dove si versa il backup non debba essere membro di dominio e con credenziali comuni agli altri server aziendali. Questo perché se una credenziale amministrativa viene catturata si rischia che i backup vengano cancellati o alterati, e l’azienda si trova priva di backup e in preda al pagamento di un riscatto.

Questa prima indicazione certamente un pò scontata riguarda tutti, anche i sistemi basati su nastri ecc. Anche questi devono essere isolati a livello applicativo, come se ci fosse una membrana che isola il sistema del backup dal sistema dell’infrastruttura aziendale in cui si lavora ogni giorno.

2) Gestisci gli accessi privilegiati (PAM) in maniera oculata

Tutte le maggiori fonti internazionali lo confermano: l’80% degli attacchi più disastrosi alle aziende è legata all’uso improprio dei privilegi elevati, Il veicolo di l’attacco sono gli utenti con privilegi di amministratore.

Cosa sono i privilegi di amministratore? Negli ambienti aziendali il termine “accesso privilegiato” viene utilizzato per descrivere accessi speciali superiori a quelli garantiti al classico utente standard. Gli accessi privilegiati vengono rilasciati principalmente per fare manutenzione IT oppure vengono forniti a chi non lavora nel reparto IT ma ha bisgno di accedere ai sistemi critici. Gli attacchi informatici portati avanti con questo vettore sono molto insidiosi perchè con gran facilità provocano danni ingenti. Non è necessario avere competenze tecniche da super hacker, è sufficiente che qualcuno carpisca l’informazione per utilizzata per i propri scopi malevoli. Quindi, con un po di social engineering o con la distrazione di chi ha creato questi account, il gioco è fatto.

Fai l’inventario di tutti gli account amministrativi

Gli utenti admin vengono il più delle volte creati per fare manutenzione server, firewall, router, database System, e alla fine dimenticati o meglio “lasciati in giro”. Anche gli strumenti di supporto remoto lasciati permanentemente attivi con account amministrativi, tipo Teamviewer o Anydesk rientrano nella stessa casistica. La prima cosa da fare è quindi creare un inventario degli account amministrativi e andare a bloccare quegli account che non sono essenziali. Noi di Serverlab abbiamo un tools che utilizziamo per i nostri clienti. Trovi in questa news tutte le indicazioni: Amministratori di Sistema: verifica quali utenti admin hai dimenticato in giro .

NO agli account generici, pretendi siano nominali

Una volta fatto il tuo l’inventario, crea degli account amministratori nominali. L’account administrator non dovrebbe esistere in nessuna azienda, dovrebbe esistere Administrator Davide o ADM Silvia, ADM Giovanni, ADM Mario, perché un account amministrativo generico non consente di ricondurre le attività svolte e di capire chi ha fatto cosa e quando.

Taglia gli utenti con privilegi admin

L’altra cosa che va assolutamente evitata è che chi fa accesso ai personal computer aziendali, siano essi Mac o PC, lo faccia utilizzando account amministrativi. Nel 95% delle aziende i PC sono joinati al dominio tramite active directory e quindi con credenziali memorizzate nel sistema centrale aziendale, quindi con identità centralizzata. Bene, chi fa logon a PC configurati in questo modo non dovrebbe mai essere amministratore del PC su cui sta lavorando, altrimenti tutta l’impalcatura di sicurezza che ci costruiamo sopra è inutile. Ogni anno, a marzo, Microsoft rilascia un bollettino sui bachi riscontrati e risolti dei suoi sistemi operativi e ogni anno conclude che il 99% delle vulnerabilità riscontrate non sarebbero state fonte di perdita dati o a cifratura se gli applicativi non fossero stati usati da utenti con credenziali amministrative.

3) L’antivirus è inutile, dotati di sistema di mailsecurity maturo

La posta elettronica è una fonte continua di possibili vulnerabilità derivanti dalla ricezione di elementi malevoli: script, Java, Macro, Macrovirus, eseguibili scritti in C. Quando entrano in esecuzione diventano un disastro, chi non ricorda narrazioni su cryptolocker e ransomware vari che vanno a cifrare tutti i dati aziendali in un tempo davvero limitato? Si tratta di software realizzati per operare ad altissima velocità. E l’antivirus cosa fa per metterci al riparo? Analizza ciò che passa, al posto di impedire la possibilità di trasportare e-mail con con un payload attivo, cioè con un carico dannoso attivo.

Un sistema di mailsecurity maturo invece ragiona in maniera diversa da un antivirus: qualsiasi sia il tipo di programma che viene veicolato tramite la posta elettronica, fosse anche nascosto in uno script a bordo di un PDF non deve passare. Si tratta di un approccio molto conservativo, in cui noi di Serverlab crediamo fortemente, e dopo questo esempio ti sarà ancora più chiaro come ragiona.

Faresti entrare in una banca una persona con armi da guerra in mano per poi chiedergli che intenzione ha? Penso di NO. L’antivirus tradizionale analizza l’intenzione, ma secondo noi non si fa entrare in banca una persona con un’arma, la si disarma all’ingresso.

Nelle aziende la porta d’ingresso è la posta. Qualunque tipo di posta tu abbia, server in cloud, Microsoft, o un server di posta aziendale, il tuo impegno deve sempre essere di non far arrivare le minacce ai client point dei tuoi utenti. La posta deve veicolare solo informazioni non attive e che quindi non possano alterare i sistemi.

Sembra complesso, ma è molto, è molto semplice e l’ho spiegato in molti articoli. Un software come come Libraesva quando è correttamente configurato, mette fine per sempre alla possibilità di trasportare e-mail con con un payload attivo. Ne parlo in questa video intervista: Libraesva un’eccellenza tutta italiana

4) Programma sia Network Testing che Intrusion Prevention

Un altro test che non andrebbe mai dimenticato è il network testing, cioè uno scan test a livello di rete di tutti gli IP presenti sulle porte utlizzate. Guarda la superficie d’attacco, controlla la sicurezza della propria rete ed identifica le vulnerabilità con i relativi rischi. Si tratta di tools che mettono al riparo dalla più classica delle disattenzioni IT, che somiglia molto al lasciare la chiave del garage appesa alla porta del garage.

Nel mondo informatico infatti non è raro che vengano lasciate aperte le porte del firewall, anche se il sistemista spergiura di aver aperto solo la porta 443 di un certo IP pubblico aziendale. Capita che ad essere aperte siano anche altre due porte, e quando una delle due punta a un vecchio FTP server che non si sa perché è ancora lì, e l’altra porta è aperta verso un server che è stato dismesso ma di fatto è ancora acceso, se si ha anche un sistema operativo obsoleto tipo Windows2000, un XP, Windows2003 a cui nessuno ha più pensato il gioco è fatto. Qualcuno entra da fuori, atterra su quella macchina e tenta da quella macchina di saltare dentro il resto dell’infrastruttura.

Questo è uno dei tanti aneddoti informatici che ho visto e ti racconto, e come immagini bastava davvero poco per evitarselo

Le Vulnerabilità dei firewall

Ahimè in questa mia casistica ci sono anche le vulnerabilità che vengono riscontrate sui firewall, anche su quelli di grandi nomi prestigiosi. La domanda da farsi è: meglio un intrusion prevention a bordo del proprio firewall o un apparato separato?

La risposta è semplice e non arriva dall’industria informatica che come sappiamo è recente. Se le cassaforti non vanno fatte collaudare da chi le costruisce, ma dai ladri perchè ci ostiniamo a far fare tutto dallo stesso fornitore? Un’applicazione non dovrebbe mai essere fatta collaudare da chi l’ha costruita, perché il nostro cervello ragiona per analogia e non per dissonanza e quindi è soltanto il ladro, cioè chi non ha fatto l’applicazione, ma chi vuole veramente penetrare quella applicazione a trovare la maniera di entrare, di danneggiare i dati, di prelevarli, di attrarli.

Dopo queste parole sono sicuro che tu sappia già rispondere alla mia domanda: meglio un intrusion prevention a bordo del proprio firewall o un apparato separato?

5) Penetration Testing e Vulnerability Assessment

Chiediamoci perché settimanalmente il nostro cellulare ci proponga di aggiornare le applicazioni. Puoi essere certo che non lo faccia perché ha qualche bottoncino colorato in più da farci avere, ma perchè vuole risolvere un vulnerability fix oppure bug fix, prova a leggere le release notes.

 Come l’applicazione del mio cellulare può essere vulnerabile così l’applicazione aziendale esposta al pubblico esposta può avere delle vulnerabilità e necessita di una continua verifica dei componenti software, delle librerie. Questa attività frequente di verifica per i motivi di cui sopra, va sempre fatta fare da entità indipendenti, possibilmente non legate dall’azienda, in maniera che vengano condotte in maniera blind test, quindi alla cieca e mettano al sicuro quella superficie d’attacco aziendale che è ancor più impalpabile e non visibile che sono le applicazioni esposte.

Se vuoi maggiori informazioni le trovi in questa news: Guida completa alla Vulnerability Assessment: cosa sono le Vulnerabilità del Software e come si può ripristinare la Sicurezza

6) Attento all’obsolescenza dei sistemi

L’infrastruttura aziendale può essere attaccabile dall’interno a causa della obsolescenza dei sistemi. Non è necessario che un sistema sia vecchio di dieci anni per avere delle vulnerabilità interne. Ti faccio un esempio per chiarire quanto è importante la verifica periodica degli aggiornamenti ai sistemi. Hai presente quei sistemi che fisicamente sembrano hardware? Mi riferisco a firewall, router, switch dentro hanno software che diventa obsoleto. In questa lista entrano anche i sistemi server, spesso server virtuali, gli hypervisor che sono quell’elemento che si mette sui server fisici per virtualizzare i server anche questi devono essere oggetto di aggiornamento periodico ecostante.

Ti ricordi il baco riscontrato nella SMBw1? Si tratta di una grave vulnerabità di sicurezza e se il protocollo SMBw1 è attivo sulla condivisione di rete e arriva il consulete esterno con il suo bel programmino in una chiavetta infetta, finisce che questi programmi che vanno poi a scansionare nella rete quello che è ancora configurato con protocollo SMBw1

Mettere in pratica queste indicazioni è un ottimo punto di partenza per garantirsi sonni tranquilli.

Se hai bisogno di un aiuto per la tua realtà o pensi che abbia dimenticato qualcosa? lascia i tuoi dati nel form di seguito.

Indicaci i recapiti ai quali desideri essere contattato:

Ottimizza l’efficienza del tuo lavoro e risparmia sui costi di gestione IT

Altri Post