L’IT in pratica: Come mettere in atto un buon piano per la vostra security aziendale

Le nuove minaccePer i Responsabili ITSophos SoluzioniSicurezza Aziendale
security-aziendale

Predire il futuro è una parte difficile, ma necessaria in qualsiasi tipo di pianificazione strategica. Purtroppo il panorama della security aziendale può muoversi così velocemente che la pianificazione, anche a breve termine può richiedere una sfera di cristallo.

security-aziendale

Se siete fortunati, le cose possono rallentare nella stagione estiva. Quindi questo può essere un buon momento per riorganizzarsi e prendere in considerazione i vostri piani per l’autunno.

Per aiutarvi dandovi qualche idea cominciamo col dare un’ampia visione (in termini IT almeno) sulle vulnerabilità.

Se ripenso ai primi anni del 2000 e prima, le vulnerabilità lato server erano la norma. Worm come Code Red e Slammer hanno sconvolto il panorama.

La gestione di un sito web pubblico su Microsoft IIS era una prospettiva terrificante. I cattivi non avevano certo bisogno di molto tempo o di molti tentativi per poter accedere direttamente su uno dei server critici.

Per fortuna le cose sono migliorate. I Zero-day exploit nei servizi Internet piu’ comuni sono una rarità al giorno d’oggi e la tendenza e’ quella di utilizzare firewall sempre migliori.

Purtroppo i cattivi avevano un sacco di altre opzioni. I client si sono rivelati un enorme punto debole e alla fine degli anni 2000 le vulnerabilità dei browser si sono messe in luce. Bastava attirare l’utente verso una finta pagina web e IE6 poteva tranquillamente installare qualsiasi malware richiesto, di solito senza dare all’utente alcun tipo di avvertimento.

Anche in questo caso ci siamo attrezzati. Ora i browser competono in termini di velocita’ e sicurezza piuttosto che in caratteristiche originali. Infatti ogni caratteristica e’ un entry point potenziale, quindi, in modo molto intelligente, i browser moderni ne hanno molte disabilitate per default. Grazie a tecniche di difesa migliori e piu’ profonde, anche se un malintenzionato trova il modo di intrufolarsi, dovra’ abbattere un discreto numero di altre porte prima di arrivare a qualcosa di “succoso”.

I plugin dei browser sono l’attuale terreno di scontro. Flash, Java, Adobe Reader e altri forniscono un ottimo modo per un malintenzionato di aggirare tutto il duro lavoro di sicurezza del browser. Tuttavia le sorti potrebbe anche volgere in nostro favore. Adobe ha fatto un ottimo lavoro migliorando il sandboxing e le funzionalità di auto-aggiornamento di Reader e Flash.

Persino Oracle sta finalmente promettendo di risolvere alcuni problemi che stanno alla base di Java. Io comunque preferisco non aspettare quel momento e credo che la soluzione migliore e piu’ immediata al momento sia quella di disabilitare Java completamente o con click-to-play.

E adesso?

Se ci spostiamo rapidamente dall’osservazione alle ipotesi, ecco alcune questioni emergenti da considerare. Mettetevi nei panni di un malintenzionato. Avete passato in rassegna i servizi perimentrali del vostro bersaglio e avete scoperto che sembrano abbastanza rigidi. Allora avete tentato un attacco phishing per attirarli verso una pagina web con un drive-by-download exploit, ma avete trovato un browser ben patchato senza plugin vulnerabili. E adesso?

Forse il Social engineering? Alcune tendenze lo stanno rendendo più facile e più efficace.

In primo luogo, nella corsa al cloud abbiamo dimenticato alcuni dei principi fondamentali. Quando tutto era protetto da una rete VPN la maggior parte delle aziende aveva applicato almeno l’autenticazione a due fattori. Una password da sola non era sufficiente per contrastare un utente malintenzionato. Ma al giorno d’oggi, la maggior parte dei servizi cloud si basano proprio su quella e basta indurre un utente a divulgare la propria password per avere tutto ciò che serve. La parte di persuasione è più facile che mai. A causa dei servizi cloud, gli utenti sono regolarmente abituati a fornire le password a siti esterni, ne consegue che essi possano essere ragionevolmente e facilmente persuasi a fare lo stesso con un sito che non conoscono.

In secondo luogo, il social networking rende molto piu’ facile l’individuazione del bersaglio. Dopo una breve ricerca del profilo LinkedIn di qualcuno, non e’ poi cosi’ difficile trovare il soggetto del vostro attacco.

In terzo luogo, anche se il software fortemente esposto, come i servizi Internet e i web broser, sono abbastanza difficili da attaccare, il resto delle vostre applicazioni potrebbe non essere cosi’ robusto. Poche persone patchano il loro software CAD regolarmente come il proprio browser.

Un titolo lavorativo da LinkedIn e’ tutto quello che ci vuole per venire a conoscenza di quale software qualcuno sta per eseguire. Persino un utente attento agli allegati email potrebbe abbassare la guardia se riceve un file attraverso strumenti di cloud storage/collaboration come Dropbox.

Ci sono ormai parecchi segnali che indicano che questo avanzato phishing mirato è già ben avviato su scala industriale, e certamente non è solo una preoccupazione per chi si occupa di sicurezza. Proprio di recente la GCHQ, parte dei servizi segreti inglesi, ha comunicato che sono circa 70 al mese gli attacchi alle imprese inglesi intercettati. Il phishing mirato sembra essere l’arma prescelta per questi attacchi.

Quindi cosa si puo’ fare?

Sta a voi valutare le tendenze e come si applicano al vostro business, ma ecco alcuni passi ragionevoli a cui pensare.

In primo luogo, i gateway di autenticazione forte single-sign-on non sono solo carini-da-avere!

In secondo luogo, gli investimenti in sicurezza ripagano sempre. Mantenere sistemi ben patchati ovunque, non solo per cio’ che e’ piu’ esposto, diventera’ sempre piu’ importante. Se gia’ non lo fate, l’estendere la scansione delle vulnerabilità per coprire i sistemi interni può aiutare a valutare l’esposizione interna. Dotare correttamente di firewall i server può davvero aiutare a ridurre il rischio di un intruso malintenzionato che dispone già di una punto d’appoggio nella vostra rete.

Infine, l’educazione diventa ancora più importante. I servizi cloud hanno reso più difficile che mai per gli utenti individuare la differenza tra e-mail e siti web validi e dannosi. Quindi educate gli utenti sulle minacce, e assicuratevi che abbiano ben chiaro come evitare i tranelli.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.