Abbiamo imparato a conoscere il nemico della nostra battaglia informatica, ora dobbiamo capire come difenderci al meglio. Lasciaci illustrare come costruire una difensiva per la tua azienda!

Giocare in attacco e giocare in difesa

Durante un attacco informatico si gioca su due ruoli fondamentali: attaccanti o difensori. L’obiettivo dei difensori è di fermare gli aggressori, impedire loro di accedere o causare danni ai nostri beni. Questo viene fatto attraverso tattiche difensive proprio come gli attaccanti applicano tattiche offensive.
Il problema più grande è che non sappiamo chi siano i nostri avversari: non conosciamo le loro capacità o i loro obiettivi; si tratta di una rapina furtiva e silenziosa o di un rapido furto e sequestro di dati che possono crittografare e riscattare rapidamente? Siamo il loro bersaglio di odio o siamo un momento di opportunità per loro?
Di conseguenza, siamo spinti a sviluppare tattiche che possano in qualche modo essere ugualmente efficaci contro una varietà diversificata e in rapida crescita di potenziali attacchi.

Inoltre, le nostre difese devono anche tenere conto delle esigenze operative dell’azienda: quindi, non solo dobbiamo fermare gli attacchi, ma dobbiamo anche garantire che le nostre misure di sicurezza non rallentino o interrompano alcun processo o servizio.
Un utente malintenzionato non ha tali limitazioni, pertanto, la prima cosa che dobbiamo ricordare è che attaccanti e difensori non stanno giocando secondo le stesse regole.
Un attaccante deve essere efficace solo contro un aspetto specifico della nostra difesa, con ogni mezzo possibile, per avere successo. Come difensore, nel frattempo, dobbiamo essere efficaci contro ogni tipo di potenziale attacco; oltre che operare con limitazioni economiche, restrizioni legali e normative di settore.

Partendo da queste premesse:
che aspetto ha una strategia vincente per i difensori?

Per prima cosa: non possiamo andare contro un avversario che non vediamo arrivare, quindi per contrastare i vantaggi di un attaccante in termini di flessibilità e sorpresa, è necessario sviluppare una difesa a zone. L’idea è che creando una separazione, puoi assicurarti che una minaccia non possa raggiungere fisicamente una risorsa oppure che incontri una difesa maggiore quando lo fa.
Stabilire la separazione è al centro di qualsiasi strategia difensiva efficace e il primo passo per garantire la sicurezza.

Come farlo?

  1. Creare zone separando logicamente e fisicamente i servizi e le risorse gli uni dagli altri.
    Ad esempio: le risorse di un dipartimento dovrebbero essere accessibili solo a quel dipartimento o gruppo. Tutti gli accessi al sistema devono essere inseriti direttamente nella whitelist (limitati a un elenco di autorizzati predeterminati) tramite uno switch e un firewall.
  2. Creare zone su account remoti (fornitore o cloud) utilizzando login separate (ricordate sempre che il riutilizzo delle password è il modo più rapido e semplice per compromettere gli account) e una frase segreta per ciascuna (con frase segreta si intende una password composta da una frase completa di lettere maiuscole e punteggiatura che può possedere un significato personale, così da non dimenticarla).
  3. Creare zone di fiducia nella rete in cui nessun sistema è direttamente accessibile a un altro sistema.
    Ad esempio: i desktop non dovrebbero essere in grado di connettersi ad altri desktop e le condivisioni di rete dovrebbero essere chiuse. Anche se si trova sulla stessa rete, nessun sistema dovrebbe essere in grado di raggiungere un altro sistema a meno che tu non abbia pianificato di farlo. Connetti tutti i desktop a un file server per archiviare i documenti. Assicurati che tutte le porte di accesso amministrativo siano raggiungibili solo dal sistema dell’amministratore. Questa è la versione a livello di rete del privilegio minimo in cui dovrebbe essere consentito solo a coloro che dovrebbero effettivamente accedere a un particolare documento, stampante, file server o risorsa.
  4. Creare zone di sistema oltre alle zone persone.
    Molti tipi di attacchi, come gli attacchi di phishing, utilizzano i trust di un particolare utente per ottenere l’accesso ad altri sistemi senza che l’utente abbia la minima idea di ciò che sta accadendo. Vuoi assicurarti che qualsiasi risorsa a cui si accede sia eseguita dalla persona autorizzata a farlo e non segretamente dal loro sistema compromesso? Una delle tecnologie più comuni per aiutarti a farlo è CAPTCHA, che ti fa dimostrare di essere umano. Inoltre, ridurrà lo SPAN dei commenti web e gli attacchi di forza bruta (tentativi esaustivi di indovinare le password) sui sistemi di autenticazione.
  5. Evita i sistemi di rete all-in-one.
    Un esempio sono gli storage di accesso alla rete (NAS) + stampante o router + Wi-Fi. Questi sistemi sono intrinsecamente più deboli perché sono più difficili da configurare in modo sicuro e più difficili da isolare filtrando chi è autorizzato a utilizzarli. Se il tuo router ha il Wi-Fi integrato, disabilitalo e utilizza invece un router Wi-Fi in una zona speciale che non può connettersi ai sistemi interni.
  6. Mantenere un rigoroso programma di applicazione delle patch per i sistemi connessi direttamente a Internet.
    Mentre la corsa alle patch (= programmi o file distribuiti gratuitamente per la correzione di bug scoperti in pacchetti software) non dovrebbe essere una difesa primaria, per i servizi connessi a Internet è uno dei pochi modi per proteggere un server. Per i sistemi non connessi a Internet, ti consigliamo di rendere le patch e altri aggiornamenti parte di un programma di manutenzione regolare piuttosto che implementarli automaticamente tutto il tempo. Questo ti darà il tempo di testare prima le patch e gli aggiornamenti sul sistema standard, oltre a creare una routine nel tuo traffico di rete che ti aiuterà a identificare le installazioni dannose.
  7. Crea zone nei tuoi desktop, server e dispositivi mobili che separino ciò che può essere eseguito e ciò che si può leggere/scrivere.
    Ciò consente la creazione di file temporanei mentre si nega l’esecuzione dei file temporanei in caso di malware. Su desktop e dispositivi mobili, autorizza specificamente quali applicazioni possono essere eseguite oppure utilizzare la rete e negare il resto.
  8. Tieni separati il ​​lavoro e i dispositivi mobili personali.
    Le app hanno notoriamente una cattiva sicurezza e ogni app sul tuo dispositivo mobile è connessa a tutte le altre app su quel dispositivo. Ciò rende il concetto di suddivisione in zone incredibilmente importante. Se la tua azienda richiede l’uso di dispositivi mobili, separa quali possono avere app personali e quali possono avere app di lavoro. Esiste una tecnologia per separare il lavoro e i dati personali su un dispositivo fisico se non si desidera possederne due.
  9. Creare zone utilizzando più browser Web per gestire gli attacchi Web.
    Ad esempio, puoi mantenere pulito un browser senza plug-in e utilizzarlo specificamente per operazioni bancarie, amministrazione fornitori e altre connessioni strettamente riservate. Utilizzare un altro browser per lo shopping online. Utilizzare un altro browser per leggere le notizie, navigare e social network. Eccetera.
  10. Separa le tue interazioni remote.
    La tua migliore protezione per le interazioni remote è la crittografia: usa una VPN crittografata se il luogo da cui stai inviando o ricevendo non è il tuo posto di lavoro.
  11. Usa le liste nere
    Una lista nera (blacklist) è un elenco di tutto ciò a cui non è consentito accedere o connettersi. Una whitelist (lista bianca), d’altra parte, è un elenco delle cose che permetti. Usando le liste nere puoi negare intere categorie di dispositivi, programmi o tipi di servizi se non sono necessari. Nonostante siano più deboli e più facili da aggirare rispetto alle whitelist, le blacklist sono molto più facili da implementare e mantenere: questo le rende pratiche come ulteriore forma di separazione.

Ad esempio, la maggior parte dei software antivirus utilizza una lista nera che enumera i malware dannosi noti da cercare nei download e nelle installazioni. I controlli SPAM funzionano principalmente con le blacklist. La maggior parte dei firewall e router può utilizzare liste nere per negare l’accesso da paesi in cui non operano. Le blacklist di minacce specializzate possono anche bloccare i siti noti che forniscono malware e lanciano attacchi. Ognuno di questi può essere impiegato come protezione aggiuntiva. Tieni presente che possono essere incredibilmente facili da aggirare per gli aggressori e quindi non dovrebbero mai essere la principale forma di separazione.

Regola numero 1:
prepararsi in anticipo!

I risultati nella sicurezza sono spesso determinati da condizionamenti che hanno avuto luogo con largo anticipo. Gli atleti non si presentano al giorno della partita senza prima aver svolto innumerevoli ore di allenamento, quindi è più che giusto chiedersi: quanto rigorosamente è stata testata la tua sicurezza? Per quanti scenari ti sei preparato? Quanto velocemente puoi riprenderti da battute d’arresto e attacchi?
La sicurezza è in parti uguali preparazione e resilienza. Per raggiungere questo obiettivo, devi adattare il tuo piano di difesa in modo che includa passaggi di rivisitazione regolari su cosa fare quando qualcosa va storto.

Ecco alcune tattiche che dovresti assicurarti di usare:

  1. Impostare un mezzo per eseguire il backup e il ripristino di sistemi, dati, dispositivi mobili e desktop.
    I backup dovrebbero essere centralizzati, protetti e idealmente crittografati. Se i backup sono crittografati, sono accettabili sia i backup off-site (cloud) che quelli archiviati internamente. Ricorda solo che qualsiasi cosa di cui è stato eseguito il backup al di fuori della tua rete non è più sotto il tuo controllo. Poi di nuovo, se non puoi permetterti di costruire e testare correttamente un sistema di backup, allora è meglio lasciare il controllo di queste cose ai servizi che possono farlo. La chiave, tuttavia, è il ripristino rapido, quindi prova il ripristino e assicurati che avvenga rapidamente.
  2. Avere strumenti a portata di mano per copiare completamente un’unità per indagini forensi e recupero.
    Esistono sia tecnologie hardware che software che possono farlo, alcune delle quali sono certificate per l’uso nelle indagini penali. Se disponi di un’assicurazione informatica per la tua rete, ti potrebbe essere richiesto di utilizzare un software forense specifico per presentare un reclamo.
  3. Mantieni i dati condivisi in posizioni centrali come un server NAS (Network Access Storage).
    Le installazioni standardizzate di desktop e dispositivi di uso quotidiano insieme ai backup notturni riducono ulteriormente il tempo necessario per il ripristino completo. Essere preparati per il ripristino consentirà di copiare completamente la maggior parte dei sistemi compromessi per scopi forensi, cancellarli e reinstallarli fino a renderli quasi completamente operativi in ​​meno di due ore.
  4. Esegui il backup di tutto, anche dei dati centralizzati.
  5. Avere numeri di contatto di emergenza per il supporto del fornitore.
  6. Prendi in considerazione l’idea di investire in un servizio di protezione DDoS (Distributed Denial of Service).
    Questo può essere particolarmente importante se la tua azienda fa affidamento su clienti che hanno accesso tempestivo a una presenza online (come nel caso degli shop online). Ce ne sono molti di questi ed è possibile che il tuo provider di hosting lo offra già. Tuttavia, è necessario assicurarsi di sapere quanta protezione DDoS possono offrire e magari investire in un fornitore specializzato in essa.
Il vantaggio del “giocare in casa”

Internet è un ambiente ostile. Questo è il motivo per cui ci impegniamo così tanto per assicurarci che le nostre reti siano in grado di interagire ma ne rimangano comunque separate. Tuttavia, oltre a creare ambienti sicuri per i nostri utenti, dobbiamo fare un ulteriore passo avanti e renderli anche ambienti ostili per gli aggressori.
Nella sicurezza informatica ci sono tre principali vantaggi da sfruttare sul campo “domestico”: visibilità, protocollo e processo.
In questo modo gli aggressori dovranno entrare nel tuo ambiente e confrontarsi con una rete di sistemi che conosci meglio di chiunque altro.

Ecco come sfruttare al massimo questi vantaggi:

  1. Scopri cosa sta succedendo sulla tua rete.
    Questo è probabilmente il tuo più grande vantaggio. Per monitorare l’attività della tua rete e avere un quadro chiaro di ciò che è in esecuzione in qualsiasi momento della giornata, ci sono diverse tecnologie che puoi esaminare:
    • i prodotti SIEM (Security Information and Event Management) consolideranno i file di registro di tutti i tuoi sistemi e acquisiranno in tempo reale il traffico di rete.
    • I sistemi di rilevamento delle intrusioni (IDS), che sono generalmente una tecnologia di blacklist, monitoreranno il traffico di rete in tempo reale e risponderanno ad alcuni tipi di attacchi.
    • Anche senza queste tecnologie, tuttavia, strumenti come tcpdump e Wireshark ti forniranno informazioni più che sufficienti per capire cosa è in esecuzione sulla tua rete e dove sta andando.
    Questo ti aiuterà almeno a vedere se la tua difesa funziona. Man mano che una rete cresce, potresti voler esaminare gli strumenti di rete di analisi comportamentale per aiutare ad automatizzare l’individuazione delle anomalie, perché non tutte le attività dannose sono evidenti.
  2. Sapere cosa dovrebbe esserci su ciascuna installazione predefinita di ciascun disco rigido, che si tratti di un desktop o di un server.
    Ciò consente di riconoscere malware o installazioni di software non standard. Se preferisci utilizzare il software per l’integrità dei file, sarai avvisato delle modifiche in vari file e directory che possono indicare malware o compromissione. Il controllo dell’integrità è più potente sui server in cui può sostituire immediatamente i file inseriti dagli aggressori.
  3. Modificare le impostazioni predefinite.
    I tuoi protocolli non sono solo i tipi di pacchetti che vengono eseguiti sulla tua rete, ma come li configuri per l’esecuzione. L’aggressore deve sapere cosa stai eseguendo, come è connesso al resto della rete e come risponde. Modificando l’installazione predefinita e i nomi delle directory, gli accessi e le password predefiniti su sistemi e dispositivi e le configurazioni predefinite come le porte di servizio dei dispositivi e dei server di rete, puoi proteggerti dagli attacchi dei bot che cercano i valori predefiniti. Il semplice spostamento della porta amministrativa di SSH su un numero alto e casuale lo manterrà discretamente fuori dalla portata ovvia mentre i tuoi strumenti di monitoraggio della rete noteranno una scansione della porta e ti daranno la possibilità di fermarla.
  4. Cambia il modo in cui i tuoi server rispondono alle query.
    Gli aggressori che calpestano la tua rete per un attacco mirato cercheranno principalmente quali tipi di sistemi e applicazioni hai. Cambiare il modo in cui i tuoi server rispondono alle query in modo che ci siano solo positivi e falsi positivi inonderà gli strumenti di attacco comuni di rumore in modo che non possano dire se le risposte dello strumento sono vere.
    Ovviamente, questo non fermerà un attaccante avanzato con accesso a strumenti migliori, ma è a questo che serve la tua difesa a zona. La modifica delle impostazioni predefinite è il modo in cui riduci molto il pool di possibili aggressori di successo.
  5. Essere consapevole della “normalità”.
    Conoscere e comprendere i tuoi dipendenti, i tuoi fornitori, le tue routine, i tuoi orari di lavoro e le tue politiche. Ad esempio, se sai che nessun centro sicurezza Microsoft dovrebbe chiamarti per consentire loro di ispezionare in remoto il tuo sistema per attività dannose perché non hai mai pagato per tale servizio, lo riconoscerai come un attacco di social engineering o phishing e sarai pronto a fermarlo rapidamente.
  6. Rendi i tuoi utenti parte della soluzione.
    Assicurandoti che tutti i tuoi dipendenti siano consapevoli di ciò che è normale, puoi prevenire la maggioranza o gli attacchi di frode e phishing. I dipendenti che conoscono le routine noteranno rapidamente quando un cliente invia un’e-mail invece di chiamare. I cambiamenti nella routine sono un buon indicatore di possibili attacchi e i dipendenti sono la prima linea di difesa segnalando i loro sospetti.
    Dovresti anche prendere l’abitudine di parlare in modo proattivo con i dipendenti e chiedere come stanno andando le cose. Reclami come un disco rigido rumoroso, un sistema lento o messaggi strani possono quindi essere immediatamente esaminati. Se sei pronto a eseguire ripristini rapidi, un sistema che si comporta in modo sospetto può essere rapidamente cancellato e reinstallato.

Facciamo il punto della situazione

Abbiamo imparato a riconoscere gli attacchi informatici, abbiamo compreso come costruire una strategia difensiva vincente…e ora?

Beh, sappiamo che sarà difficile da digerire, ma questa competizione contro gli aggressori durerà a tempo indeterminato, questo perché il mondo informatica muta molto rapidamente e con lui anche la conoscenza di hacker e il relativo sviluppo di attacchi sempre nuovi. Questo significa che la strategia generale deve essere vincente non solo nel qui e ora, ma anche nel futuro.

Per farlo bisogna mantenersi in forma, migliorare ed aggiornare costantemente le proprie dotazioni, mantenere un ambiente sano e impiegare le tattiche giuste per rimanere in gioco. Proprio di questo vi parleremo nel prossimo post del blog!

Ma se necessitassi di una consulenza rapida contatta i nostri tecnici specializzati

Contattaci
Prev
Next
Copyright 2024 © LF IMPIANTI S.R.L. Via dell'Artigianato 34 Usmate Velate (MB) Italia - P.IVA 00880430962 C.F 07963220152