Come tenere fuori gli hacker, anche quando entrano
“Non possiamo più pensare di poter tenere gli hacker fuori dai nostri sistemi,” così scriveva un anno fa Mike Gault di WIRED Magazine. “Dobbiamo lavorare per poterli prendere quando sono dentro!”
E’ proprio così. Le reti devono essere monitorate costantemente non solo per scovare gli hacker, ma anche per capire le loro tattiche.
Ma se sappiamo che gli hacker entreranno nella nostra rete, non dovremmo fare di più per evitare che arrechino danni una volta che sono entrati?
Questa strategia è chiamata di “contenimento” — ed Erka Koivunen, cyber security advisor di F-Secure, ritiene che sia quell’aspetto della difesa informatica che le aziende ignorano maggiormente.
Prevenzione, rilevazione e recupero sono tutti aspetti fondamentali di una strategia di sicurezza. Ma se ti focalizzi solo su questi aspetti potresti dimenticare di limitare il danno che i tuoi utenti possono fare attraverso errori umani che sono inevitabili.
“Creare confini e limiti a ciò che un utente o un sistema può fare e a quali dati può accedere significa porre quegli stessi limiti a qualsiasi attaccante,” spiega Erka.
Cosa significa in pratica?
“Un notebook in un ufficio a Londra non dovrebbe essere in grado di accedere a un altro notebook in un ufficio a Tokyo,” spiega Erka. “La rete non dovrebbe nemmeno dare al computer l’opportunità di provare ad accedere. E non dovrebbe nemmeno essere in grado di accedere a un altro notebook nella stessa Londra!”
In un mondo caratterizzato da minacce avanzate, un server non dovrebbe essere in grado di iniziare una connessione da solo.
“Dovrebbe solo fare il suo lavoro, che è stare in attesa di tentativi di connessioni in entrata – e renderle possibili” sostiene Erka.
E con questo principio non si vuole solo limitare l’accesso che hanno le macchine.
“Un utente admin non dovrebbe avere accesso alle caselle di posta di nessun altro e viceversa.”
“Privilegi utenti non troppo stringenti e una topologia ‘flat’ della rete — cioè, chiunque può accedere a qualsiasi asset nella rete da qualsiasi punto nella rete — sono spesso fattori fondamentali che contribuiscono al successo di un’infezione con conseguente sottrazione di dati.”
Ma allora come iniziare il processo di contenimento?
Erka suggerisce di iniziare con la “vecchia scuola”:
“Suggerirei vecchi trucchi che sono sfortunatamente meno usati oggigiorno: ‘separazione dei compiti’, ‘principio del minimo privilegio ’ e ‘accesso limitato dell’utente’. Ciò significherebbe dare a sistemi, applicazioni e account del servizio e dell’utente il più piccolo set di permessi e diritti di accesso possibile e che compiti completamente distinti debbano sempre essere portati avanti usando differenti set di credenziali e sistemi separati.”
Questo modo di pensare non deve valere solo quando stai pensando a come minimizzare il danno al prossimo attacco.
“Creare compartimenti è un principio di progettazione che dovrebbe essere scelto fin dall’inizio – spiega Erka – per far sì che la tua protezione degli endpoint funzioni al suo meglio.”
Limitare il potenziale di un errore umano e di un’intrusione ha anche un altro effetto vantaggioso che è quello di minimizzare i fallimenti.
Vuoi rendere il “contenimento” una parte importante del tuo approccio?
Guarda questo webinar tenuto da Erka per scoprire come si integra in un approccio globale ai controlli di sicurezza nella cyber security.
https://youtu.be/YpXtRZcJfoU
[Immagine di Terry Johnston | Flickr]
Articolo tratto da “How to keep hackers out even when they get in” di Jason Sattler, Social Media Consultant di F-Secure Corporation.
Categorie