Secondo una recente ricerca i temi legati alla sicurezza aziendale sono sempre più complessi ed articolati e toccheranno nel breve periodo principalmente 5 punti: attacchi mirati, furto di identità, spyware, ingegneria sociale, virus. Se …
Secondo
una recente ricerca i temi legati alla sicurezza aziendale sono sempre più
complessi ed articolati e toccheranno nel breve periodo principalmente 5 punti:
attacchi mirati, furto di identità, spyware, ingegneria sociale, virus.
Se in precedenza gli attacchi erano compiuti con scopo autocelebrativo o vandalico,
oggi sono il prodotto di azioni organizzate e mirate ad obiettivi chiari, spesso
finanziari, che oltre ad essere in grado di procurare danno diretto alle vittime
possono rovinare immagine e reputazione di chi li ha subiti.
Il furto di identità mira ad impadronirsi degli elementi necessari
per guadagnare l’accesso a dati e risorse riservate utilizzando le credenziali
di un utente ignaro; uno degli strumenti utilizzati per compierlo sono gli spyware,
software nascosti tipicamente in piccole applicazioni ed in grado di raccogliere
informazioni riservate agendo direttamente all’interno della rete per
poi trasferirle all’esterno.
Parlare di best practice per la sicurezza è un po’ come parlare
delle cinture di sicurezza sulle automobili: tutti le hanno, ma tutti le usano
bene? Quindi, un semplice decalogo con i punti essenziali per usare la network
security può tornare utile.
Il controllo di accesso alla rete è il primo punto, in quanto il plug
RJ45 di rete o l’access point Wi-Fi sono i veri e unici confini fisici
ben definiti della propria rete: mobile workers, consulenti, devices differenti,
sempre più richiedono la connessione alla rete interna, modificando radicalmente
il vecchio concetto di confine o border tra una parte interna (trusted) e una
esterna (untrusted) della rete.
I meccanismi di AAA (autenticazione, autorization e accounting), di verifica
del rispetto delle regole di securizzazione prima e durante l’accesso
alle risorse interne da parte degli utenti, l’autorizzazione granularmente
condizionata dai livelli di compliance degli end point stessi sono i punti chiave
per mantenere sicure le risorse in queste condizioni di estrema flessibilità
e variabilità di accesso.
1) Controllo degli accessi remoti. La dispersione della forza
lavoro è in contrasto con la tendenza ad accentrare le risorse (consolidamento
delle server farm) ed il processo è in atto da un paio d’anni.
La necessita’ di accesso ubiquo (hot spot, kiosk) e slegato dagli orari
di lavoro canonici ha posto l’accento sul concetto di end point secuirty
per questo tipo di accessi.
2) Segmentazione delle reti e contenimento degli utenti. Una
volta il firewall era pensato per il controllo perimetrale degli accessi: utilizzato
internamente il firewall diviene un elemento prezioso per la segmentazione dipartimentale
o per servizio della propria rete ed il controllo degli accessi da parte di
utenti autorizzati o la mitigazione di attacchi . La segmentazione delle reti
consente il rispetto dei requisiti da norme di sicurezza quali SOX, GLB, HIPPA,
e Basilea 2. La segmentazione deve essere intesa anche tra branche differenti
a garanzia e controllo del traffico proveniente da uffici remoti dove l’enforcment
di security policy può essere più complesso.
3) Intrusion Prevention. L’impiego di IDS o meglio IPS
evoluti per la protezione in rete e in linea da attacchi applicativi è
necessario.
4) Difesa in profondità. Il primo punto in rete sul
quale si fa detect di un attacco non dovrebbe essere l’ultimo punto su
cui si fa difesa: più layer di sicurezza consentono un maggior livello
di protezione. In caso di fallimento di un layer, il successivo può fermare
o mitigare un attacco. La supply chain per così dire tra le risorse in
rete e l’utente finale è lunga e complessa, e le interazioni avvengono
a vari livelli. Router, firewall UTM, IPS e gli strumenti di end point defense
(AV, Personal Firewall) possono e devono cooperare non solo a livello di design
ma anche funzionalmente in una visione d’insieme orizzontale all’interno
della rete dell’enterprise.
5) Performance garantite sotto attacco e redundancy. Sono
elementi chiave nel design di soluzioni di sicurezza: una rete sicura è
una rete disponibile indipendentemente dagli attacchi dDOS interni o esterni
che sta subendo, una rete le cui performance siano garantite e predicibili.
Nessun elemento di rete deve poter diventare l’anello debole della catena
ed occorre considerare le performance dei singoli apparati sotto il carico derivante
da attacchi a loro diretti o diretti altrove nella rete. Politiche di QOS possono
garantire la raggiungibilità delle applicazioni anche in condizione di
saturazione della rete da parte di traffico indesiderato.
6) Traffic awareness e analysis. Conosci la tua rete, il tuo
business, i tuoi utenti. Il controllo di accesso alle risorse ha coinciso inizialmente
con il deployment di macchine stateful dotate di traffic policies (firewall).
Si è aggiunto poi uno strato di analisi protocollare applicativa in rete
(IPS-IDS) e ora funzioni UTM sui firewall perimetrali. Un unico sistema di gestione
policy/log-eventi è necessario, l’implementazione di un’unica policy
di sicurezza globale con le gestione di regole custom da implementare sui singoli
device è desiderabile.
7) Usare cifratura e autenticazione ove possibile, quali strumenti
di salvaguardia dell’integrità e della riservatezza dei dati. IPSEC
ha raggiunto una maturità tecnologica da diversi anni e i servizi e la
ridondanza sono comunque garantiti anche per reti IPSEC.
8) Keep it simple. Non si fa sicurezza cercando di sfuttare
l’ignoranza altrui e non la si fa in generale complicando le infrastrutture:
il rischio semmai è quello di incappare nei propri limiti organizzativi
con un inutile overhead. Strutture complesse ed overingegnerizzate aumentano
esponenzialmente il fattore di rischio di errore umano, alzano i costi di gestione,
aumentando il caos, limitano la capacita’ di analisi in real time. Il
giusto compromesso tra un mix di flessibilità architetturale, buoni strumenti
di analisi, architetture note e consolidate, e persone di talento sono la ricetta
vincente.
9) Igiene di design e di comportamenti: consapevolezza ed educazione
degli user. Se è vero che la sicurezza al 100% non può
esistere è pur vero che un buon design con buone macchine e un’altrettanta
buona implementazione possono abbassare di molto i fattori di rischio del proprio
business derivanti dalla propria struttura di ICT. Procedure e comportamenti
interni sono un altro elemento solitamente poco considerato. L’ultimo
elemento della catena è l’utente e spesso è stato l’elemento
sul quale si è investito di meno. Ci sono quindi notevoli spazi di intervento
per consentire grossi miglioramenti con poco sforzo lavorando sui propri utenti:
un uso consapevole ed educato degli strumenti informatici puo’ fare molto,
specie nei confronti degli attacchi basati sullo studio dell’ingegneria
sociale.