Anche tu fai parte di quegli imprenditori che, quando sentono parlare di cybersecurity, corrono col pensiero al fiume di soldi che dovrebbero investire per ottenere la tanto agognata sicurezza informatica e che quindi decidono di non fare niente?
Bene, oggi ti voglio dire tre cose:
- Non è detto che per sistemare i tuoi ammennicoli informatici siano necessarie cifre da capogiro. Certo, non puoi pensare di investire 4 cipolle e due bulloni ruggini, ma sicuramente ci sono soluzioni che possono incrementare sensibilmente la sicurezza senza doverti svenare;
- Ti voglio parlare di 5 aspetti legati alla cybersecurity che potresti prendere in considerazione, in modo da ridurre o azzerare i rischi a costo zero o quasi;
- La sicurezza non va in vacanza, quindi puoi leggere questo articolo anche dalla spiaggia e puoi pianificare qualcosa da fare al tuo rientro in ufficio. Se hai dubbi chiedi, e ti risponderò anche se è agosto.
Relativamente ai 5 punti di cui ti accennavo, cercherò di spiegarteli con un linguaggio semplice, senza scendere in tecnicismi noiosi, ma tu investi 5 minuti e concentrati, perché grazie a questa lettura un giorno potresti salvare la capra, i cavoli e pure il lupo.
1. Software non aggiornati e vulnerabili
Lavorare con software vecchi è un po’ come giocare con una pistola carica. Spesso i produttori non investono tempo e risorse economiche per mantenere sicuri e protetti prodotti particolarmente datati, perché ovviamente questo rappresenta per loro un costo senza possibilità di rientro. Ad un certo punto, quindi, i software vengono abbandonati (in gergo si dice che “vanno fuori supporto”) e quindi continueranno a (mal)funzionare nel totale disinteresse del produttore.
Anche software supportati, ma senza gli aggiornamenti installati, rappresentano un rischio per la sicurezza dei tuoi sistemi. Infatti, quando un produttore rilascia un patch che corregge delle falle di sicurezza, queste ultime vengono documentate. Il produttore rilascia un documento che spiega quali falle vengono chiuse con la relativa analisi. Ovviamente questi documenti finiscono nelle mani di coloro che stanno dall’altra parte della barricata, i cattivi, che quindi possono realizzare dei programmi malevoli per sfruttare queste vulnerabilità dichiarate.
I malfattori puntano sul fatto che l’utente mediamente non aggiorna i sistemi, e quindi sanno do trovare un terreno fertile tra gli utilizzatori di un dato prodotto.
E’ quindi tassativo mantenere aggiornati gli applicativi e i sistemi operativi in uso, se non vuoi trovarti a dover gestire una violazione (e un relativo danno) legato a questa tua mancanza.
2. Reti non correttamente segmentate e segregate
Molto spesso – quasi sempre – mi imbatto in reti non correttamente segmentate e segregate, anche in presenza di decine o centinaia di dispositivi dalle caratteristiche completamente eterogenee.
Ad esempio, mi capita di imbattermi in contesti dove la rete è unica e condivisa tra server, client, rete ospiti, videosorveglianza, macchinari di produzione, e chi più ne ha più ne metta.
Contesti del genere sono particolarmente esposti ad attacchi su più fronti, poiché una eventuale vulnerabilità legata ad un singolo contesto (ad esempio le telecamere) potrebbe essere sfruttata per raggiungere il resto della rete, ripercuotendosi quindi sui reparti di produzione, sui terminali degli utenti o bloccando il server e quindi tutta l’azienda.
Senza scendere nei dettagli tecnici, come promesso all’inizio dell’articolo, basta considerare che esistono delle linee guida, delle best practices, per definire la segmentazione di una rete. In linea di massima, si potrebbe tenere sempre come riferimento l’idea che se un oggetto di rete non ha necessità di vederne un altro, allora non ha senso che i due condividano la stessa rete e andrebbero isolati.
Il ragionamento può essere esteso anche ai singoli server o alle postazioni di lavoro. In merito ai server, ad esempio, potrebbe essere utile separare quelli relativi ad applicazioni e database dai server dati, accessibili in modo diretto dagli utenti tramite cartelle condivise, così come separare ulteriormente i server che per natura comunicano con il mondo esterno tramite internet (web, posta elettronica, proxy, ecc.).
Una progettazione corretta della rete è quindi un aspetto fondamentale, volendo mantenere un livello di sicurezza accettabile da questo punto di vista.
3. Carenza di blindatura dei sistemi
La blindatura dei sistemi è quella che in inglese e in gergo tecnico viene definita hardening.
Anche per l’hardening esistono delle best practices che andrebbero sempre seguite, senza lasciare nulla al caso. Esisono aspetti che vanno presi in considerazione, evitando l’approccio standard, del tipo: “OK, ma tanto i nostri dati non interessano a nessuno”. Ho una notizia: i tuoi dati interessano – dovrebbero interessare – almeno a te, quindi sarebbe bene proteggerli in ogni modo possibile.
Gli aspetti da considerare durante le operazioni di hardening riguardano, tra le altre cose:
- la corretta gestione degli accessi ai sistemi (anche dal punto di vista fisico);
- l’aggiornamento dei sistemi (come visto al punto 1);
- la riduzione al minimo della cosiddetta superficie di attacco. La parola d’ordine in questo caso è rimuovere tutto ciò che non è necessario;
- l’avere consapevolezza di ciò che accade nell’infrastruttura, installando sistemi di auditing, reportistica e assessment da tenere sempre sotto controllo per identificare immediatamente comportamenti sospetti o a rischio da parte di utenti o dispositivi;
- la protezione delle credenziali e la loro corretta gestione, implementando dei criteri relativi alle password e alla loro conservazione sicura;
- il piano di backup e di disaster recovery. Ho scritto un ebook su questo argomento, che puoi prelevare gratuitamente cliccando qui;
- la protezione delle sessioni di lavoro remote, tenendo presente che i confini della rete sono liquidi ed è possibile metterla a tappeto stando seduti dall’altra parte del mondo.
Tutti questi aspetti – e non solo – sono da considerare seriamente se si vuole raggiungere la sicurezza.
4. Controllo degli accessi superficiale
In molti casi mi capita di trovarmi a prendere in gestione delle infrastrutture che sotto questo aspetto sono estremamente lacunose.
Devi tenere ben presente che il controllo degli accessi rappresenta un punto chiave quando si parla si cybersecurity. Volendo fare un paragone con la vita reale, tralasciare il controllo degli accessi significa installare un antifurto in casa e poi lasciare il codice per disinserirlo scritto sulla porta di ingresso. Aperta.
Sono abbastanza certo ci sia una elevata probabilità che anche sul tuo server sia presente qualche utente relativo a persone che non lavorano più in azienda da tempo. Credenziali che venivano utilizzate da un dipendente che ora è andato in pensione, ha cambiato lavoro o, comunque, non lavora più da te.
Queste credenziali rappresentano un rischio, perché consentono l’accesso a delle risorse della rete. Una prassi indispensabile sarebbe quella di disattivare gli utenti non necessari, in modo da chiudere eventuali porte aperte. Per questo motivo sarebbe utile avere anche un report periodico con indicata la data relativa all’ultimo accesso effettuato da qualsiasi utente della rete. Un utente che non accede da settimane o mesi, probabilmente può essere disattivato, e magari riattivato in caso di necessità effettiva.
5. Log e monitoraggio insufficienti
L’analisi dei log e il monitoraggio degli eventi rappresenta un altro punto chiave. Se volessi riprendere l’esempio dell’antifurto di casa, non monitorare i log di un sistema informatico significa ignorare la sirena dell’allarme.
E’ indispensabile, per garantire la sicurezza, ricevere un avviso nel caso in cui si verifichino dei tentativi di accesso non andati a buon fine, non trovi? Perché un tentativo di accesso di un utente può significare semplicemente un errore durante la digitazione di una password. Cento tentativi di accesso da parte di un utente, probabilmente sono sintomo di un tentativo di violazione da parte di qualcuno che sta cercando di “indovinare” la password.
Sono decine i casi che ho potuto visionare personalmente, di imprenditori e professionisti che hanno subito una violazione dei sistemi grazie ad un accesso illecito. Accesso che si sarebbe potuto evitare semplicemente dando un peso alle decine di migliaia di tentativi non andati a buon fine, ma registrati dai server. Sarebbe bastato tenere sotto controllo i report e intervenire in tempo per evitare la violazione e la corruzione di tutti i dati aziendali.
Esistono dei campanelli di allarme che non puoi ignorare, che non devi ignorare, se vuoi interrompere un attacco sul nascere ed evitare di trovarti in spiacevoli situazioni. Esistono in commercio soluzioni in grado di generare report leggibili anche dall’utente meno avvezzo all’informatica, proprio per mettere tutti nella condizione di correre ai ripari in tempo.
Ora dimmi: come ti poni di fronte ai 5 punti appena descritti?
Hai trovato qualche aspetto migliorabile oppure sei un virtuoso della sicurezza e stai già facendo tutte le cose come andrebbero fatte?