14 punti per aumentare la sicurezza in azienda


Negli ultimi tempi ho avuto modo di riflettere molto su come un'organizzazione dovrebbe strutturarsi per difendersi dalle minacce che stanno imperversando. Ho deciso di scrivere alcuni punti che a mio dire possono fre la differenza. Buona lettura.

 

  1. Aggiornare client e server

Mantenere sempre aggiornato il parco macchine è importante. Alcuni aggiornamenti tuttavia possono essere di difficile applicazione, vuoi perché le macchine sono in produzione, vuoi perché particolarmente impattanti. Il mio consiglio è di definire una maintenance plan, sacrificare delle ore di produttività per mettere al sicuro i sistemi e seguire la maintenance con costanza. Qualora l’aggiornamento sia impattante è consigliabile testarlo prima su alcune macchine per poi distribuirlo in massa. L’importante è dare agli update la giusta priorità e non sottostare a logiche di business poco intelligenti disposte a rischiare molto più di quello che si perderebbe con un paio d’ore di fermo.

  1. Antivirus aggiornati e soluzioni endpoint

Oggigiorno l’antivirus così come lo conosciamo non è più sufficiente, l’industrializzazione del crimine informatico ha reso disponibili sul mercato parallelo veri e propri servizi outsourcing per la messa in opera di campagne criminali. In questo scenario è impossibile fare affidamento su soluzioni di tipo reattivo (rilevamento della minaccia -> generazione della firma -> distribuzione della firma), occorre dotarsi di misure predittive e ridurre la superficie di attacco. Tuttavia i vettori di infezione e le minacce tradizionali non sono estinte, ciò vuol dire che è importante mantenere aggiornato un buon prodotto di sicurezza e dotarsi di una soluzione di sicurezza di nuova generazione (comportamentale) da affiancare all’antivirus.

  1. Backup sicuri (regola 3-2-1)

La regola del 3-2-1 recita: “Almeno tre backup, due on-site su media differenti e uno off-site”. Mettere in pratica un sistema di backup come questo è meno complesso di quanto possa sembrare: In primo luogo occorre specificare che è consigliabile mettere il dispositivo di backup nelle condizioni di andare a prendere i dati da salvare e non l’inverso. Nella mia esperienza posso affermare che difficilmente mi son trovato a dover effettuare il backup di oggetti che non possano essere resi accessibili da una risorsa diversa dal server sul quale risiedono, i file possono essere condivisi, i DB sql possono essere acceduti tramite TCP, ci sono molti modi per mettere in pratica quanto affermato.

Nel caso in cui i backup siano snapshoot di VM è consigliabile effettuare i backup in storage repository collegati all’hypervisor con connettività dedicata e su dispositivi isolati non accessibili se non dalla network di management.

I backup off-site possono essere realizzati integrando le stesse NAS o il prodotto che effettua il backup con uno dei tanti servizi di storage online. Orami la disponibilità di tale servizi è sempre maggiore sia in termini economici che di spazio.

Può essere utile effettuare i backup comprimendoli in archivi senza estensione, solitamente i ransomware attaccano file con specifiche estensioni, ciò vi salvaguarderebbe da questo tipo di minacce.

Qualora sia possibile implementare sul NAS filtri di scrittura che consentano la creazione di file con estensioni definite, anche qui si ostacolano i ransomware impedendo la creazione dei file con estensione modificata.

Assicurarsi che l’accesso alla console di gestione del NAS sia limitato alla network di management.

Se possibile posizionare il NAS su una rete diversa da quella di produzione.

  1. Procedure di ripristino.

Scrivere delle procedure di ripristino e testarle regolarmente può fare la differenza. Solitamente in caso di infezione estesa o di disastro ci si trova in una situazione critica al punto che è quasi impossibile mantenere la lucidità. In questi momenti è meglio non pensare e seguire alla lettera qualcosa che abbiamo scritto in altre circostanze.

Le procedure di ripristino devono essere scritte pensando a cosa rendere nuovamente operativo con lo scopo di ridurre al minimo l’impatto del disastro. Devono essere ripristinati prima i servizi di rete essenziali per permettere ai dipendenti autenticazione e navigazione, seppur strano (si tende ad isolare la rete invece che a connetterla ad internet) rendere nuovamente l’organizzazione “viva” può fare la differenza, si possono ricevere e inviare mail, si possono contattare fornitori e dare ai dipendenti qualcosa di meglio da fare che non stare a chiedervi ogni 10 minuti quando possono usare il PC. Ovviamente la navigazione deve essere consentita soltanto su siti e servizi di cui si ha la matematica certezza che siano in buona salute.

Una volta in piedi i servizi fondamentali si può passare al ripristino dei file e delle applicazioni corrotte contattando alla bisogna i fornitori.

In ultimo si passa alla bonifica e all’analisi dell’evento.

  1. Non far uscire i server su internet

Importante limitare la navigazione dei server allo stretto necessario e ai soli host pubblici identificati come sicuri. Questo scongiura la possibilità di aprire reverse shell o di effettuare il download di codice malevolo su macchine critiche e importanti come i server. Per gli aggiornamenti va implementato un server che li centralizzi (vedi wsus) e possibilmente tale server va messo in una rete di DMZ.

  1. Aprire solo le porte necessarie

Se la navigazione dei server va limitata se non impedita lo stesso non si può dire dei client, tuttavia ciò non toglie che si debba consentire solo lo stretto necessario. Tenere tutto il traffico consentito in uscita permette ad attaccanti che sono riusciti a violare il perimetro di aprire connessioni in uscita volte ad instaurare reverse shell o al download del resto di un malware che in tale modo risulterebbe non intercettabile. Ad esempio un download sulla porta 4093 non sarebbe mai scansionato da nessun proxy.

  1. Utenti non amministratori

Per nessuna ragione gli utilizzatori dei pc debbono essere amministratori di macchina, è importante usare solo utenti con privilegi limitati anche per le operazioni di manutenzione, ad esempio un utente di helpdesk con i permessi necessari all’installazione di applicazioni e stampanti è sufficiente.

  1. UAC

UAC può essere molto scomodo ma allo stesso tempo intercetta molti dei processi malevoli e spesso anche l’esecuzione del processo principale di alcuni ransomware. Il consiglio è di lasciarlo abilitato, l’utente presto si abituerà.

  1. Politica delle password

Avere una politica delle password degna di questo nome è un must, il consiglio è quello di formare gli utenti e di costringerli ad usare la testa. Forzare la scadenza password a un mese e istruirli su strumenti di password management come keepass è un ottimo inizio. Implementare sensori biometrici per l’autenticazione potrebbe semplificare in qualche modo questo passaggio.

  1. Segmentare la rete

Una rete segmentata è una rete più sicura. Una violazione dall’esterno mette l’attaccante nelle condizioni di dover ripetere tale operazione dal segmento di rete in cui si trova, con risorse ridotte e visibilità limitata. Sicuramente un ostacolo in più e anche abbastanza importante. Il mio consiglio è di dividere la rete in almeno due zone: Una per i client e una per i server. Per nessun motivo reti dedicate a device mobili devono poter parlare con le altre network. Reti wireless di produzione devono essere dotate di MAC address white list. Per l’interconnessione di queste reti è consigliabile l’implementazione di un firewall ad alte performance di IPS e ids al fine di avere sempre il controllo del traffico interno della rete.

  1. Usare una console dedicata

Per l’amministrazione degli apparati di rete e appliance (Storage, switch, nas, server fisici, firewall e router) è consigliato l’uso di una workstation dedicata e isolata dal resto della rete e non connessa ad internet. Se le operazioni di manutenzione sono molto frequenti si può estendere la management con una connessione VPN limitando i servizi a quelli strettamente necessari.

  1. Monitoraggio degli eventi e del traffico di rete.

Dotare la propria organizzazione di un sistema di monitoraggio che sia in grado di controllare cosa accade è sicuramente una cosa importante. Possiamo solo immaginare quante centinaia di attacchi sarebbero stati sventati se gli IT admin avessero ricevuto segnalazioni di logon in orari anomali o tentativi di logon falliti (brute force).

  1. Geo localizzazione IP

Che ci siano paesi particolarmente attivi da punto di vista della criminalità informatica è risaputo … A meno che non abbiate personale che si collega dall’estero è importante bloccare il traffico DAL resto del mondo. Ciò non vuol dire che così facendo non potrete visitare siti in America o in Australia, questo perché in quel caso le connessioni saranno iniziate da voi e non il contrario.

  1. Formazione e consapevolezza

Le minacce nell’IT nascono e mutano a velocità importanti, è un campo il cui dinamismo rende velocemente obsolete le conoscenze. Gli IT admin devono essere costantemente informati ma non basta, occorre estendere questo processo di formazione anche ai dipendenti rendendo le proprie skill informatiche un prerequisito integrante per completare il proprio quadro professionale e non un fronzolo necessario allo svolgimento dei propri compiti. Tale traguardo può essere raggiunto solo grazie alla responsabilizzazione degli utenti mettendoli nella condizione di rispondere in prima persona delle proprie negligenze.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *