Con l’incremento dei servizi digitali online condotti dalle aziende, difendere e proteggere il patrimonio delle informazioni e della propria reputazione digitale rappresenta un punto chiave per una gestione ottimale di ogni attività aziendale, per contrastare le possibili cause di compromissione. Compito di un sistema informativo, in termini di sicurezza informatica, è quello di salvaguardare le informazioni trasmesse sulla rete quanto quello di custodire adeguatamente i dati in esso archiviati. Occorre che le aziende si proteggano dalle minacce che possono mettere in serio pericolo applicazioni e risorse.
Escludendo in questa trattazione le minacce dovute a calamità naturali – che possono comunque causare periodi di inattività del sistema informativo, con malfunzionamenti, danneggiamenti e perdita di dati per i quali occorre assumere ovvie misure di sicurezza fisica di prevenzione – possiamo classificare i rischi legati all’azione umana, cui un sistema informativo è soggetto, in minacce intenzionali (interne/esterne) oppure involontarie, da parte di utenti inesperti.
Con l’avvento di Internet e della elaborazione distribuita delle informazioni su linee condivise, l’esigenza di sicurezza è divenuta sempre più preponderante.
Ecco perché la rete aziendale, se non adeguatamente protetta, potrebbe essere passibile di accessi non autorizzati, con eventuali compromissioni di rete e furto di informazioni.
Le minacce umane intenzionali possono essere dovute a soggetti con interessi personali ad acquisire informazioni o a limitare l’operatività dei processi aziendali, mossi dalla ricerca di un guadagno economico, politico o semplicemente per divertimento. Come prima accennato, un attacco intenzionale può scaturire:
Garantire la sicurezza di un sistema informativo significa impedire l’accesso o l’uso non autorizzato delle sue informazioni e risorse, evitando – o cercando di mitigare – l’impatto dei danni che ne possono derivare in caso contrario. Ecco gli obiettivi fondamentali, da verificare tramite una corretta valutazione del rischio:
La valutazione del rischio deve essere esaminata così come si fa con un qualunque processo aziendale, ovvero prevedendo delle fasi e studiandone le singole componenti costituenti:
Sappiamo che la comunicazione in rete segue un approccio a livelli, in cui ogni livello aggiunge un tassello all’attività del livello precedente secondo il paradigma implementativo TCP/IP utilizzato su Internet e che prevede solo 4 livelli (Applicazione, TCP, IP, Accesso alla Rete) rispetto allo standard protocollare ISO/OSI.Secondo questo modello ogni dato, suddiviso dall’host in pacchetti sui vari livelli, viene inviato all’host remoto destinatario (lungo un percorso che prevede tante stazioni intermedie). Il problema risiede sul fatto che ognuno di questi livelli è suscettibile a determinati tipologie di attacchi, che a prescindere dalle motivazioni e dagli scopi sfruttano le vulnerabilità riguardanti indistintamente il sistema, i controlli o i criteri di sicurezza. Vediamo a quali tipologie di minacce può essere soggetto ciascun livello.
Il livello applicazione è il livello più alto della pila e più vicino agli utenti, e rappresenta di fatto una interfaccia con i vari software. Contiene anche delle applicazioni standard e native quali Telnet, SMTP, FTP. Pertanto tale livello può essere vulnerabile allo sfruttamento di bug (exploit) di vario tipo, ad esempio per l’accesso non autorizzato ai sistemi, ma anche al phishing (i truffatori impersonano una azienda/contatto legittimo cercando di rubare informazioni o credenziali) e all’hijacking (sfruttamento di una sessione utente valida per guadagnare un accesso non autorizzato).
Il livello TCP (trasporto) è deputato al trasporto dei dati, dividendoli in pacchetti, e alla gestione degli errori di trasmissione. Un classico attacco cui è soggetto tale livello è il Denial of Service, tecnica attuata per disabilitare, interrompere o danneggiare un sito web, un servizio o la comunicazione di una intera rete attraverso la saturazione della banda di trasmissione.
Il livello IP (rete) permette di gestire l’indirizzamento dei dati, attraverso il loro invio in rete. Il Man in the Middle è lo scenario di attacco tipico a questo livello.
L’Accesso alla Rete ingloba, rispettivamente, due livelli ISO/OSI:
Gli strumenti di difesa non possono assicurare una protezione totale ed impenetrabile ma possono di sicuro rendere l’attuazione di un attacco più difficile e oneroso per gli attaccanti, rilevarne l’esecuzione e mitigarne i danni.
Il Firewall è uno strumento hardware/software il cui scopo è quello di proteggere un host o un segmento della rete dal traffico potenzialmente dannoso proveniente dalla rete esterna (ad esempio Internet).
Questo strumento può operare a diversi livelli della pila protocollare ISO/OSI:
Il firewall, inoltre, può consentire di partizionare la rete in tre zone secondo diversi livelli di sicurezza:
Un Intrusion Detection System (IDS) altro non è che uno strumento per rilevare possibili manipolazioni non volute a un determinato sistema o rete. Può essere implementato a diversi livelli della pila protocollare ISO/OSI per individuare, ad esempio, tentativi di sniffing o attacchi DoS. Si possono distinguere IDS passivi, che si limitano ad analizzare e stilare report, e IDS attivi che invece una volta individuata l’anomalia sono in grado di eseguire delle contromisure precedentemente programmate.
Per una maggiore efficacia di questi nodi di rete che fungono da sensore, solitamente si preferisce adottare una implementazione distribuita (diversi sensori Slave che comunicano con un sensore Master per l’elaborazione ed interpretazione dei risultati). Occorre, pertanto, prestare una adeguata attenzione nel dimensionamento di un sistema IDS per evitare che grosse quantità di traffico da analizzare creino dei colli di bottiglia sulla rete.
Una honeypot è solitamente formata da uno o più insiemi di sistemi utilizzati per rilevare, attrarre e studiare tentativi di accesso o di attacchi, allo scopo di cercare di mantenere, a sua insaputa, l’attaccante confinato in un ambiente trappola isolato e protetto. Si possono distinguere honeypot fisiche e virtuali.
In generale, è molto difficile garantire che il traffico su una rete non venga intercettato. Una soluzione potrebbe essere pertanto quella di cifrare i dati trasmessi, in modo che non siano intellegibili nei casi di sniffing. Se le esigenze di sicurezza non riguardano un singolo protocollo dello stack protocollare, ma la gran parte del traffico effettuato, è possibile utilizzare una VPN (Virtual Private Network) [2], per creare una rete di comunicazione sicura per il tramite di una rete non sicura (Internet).
Nella pratica, dopo una fase di autenticazione, i pacchetti di rete incapsulati, che viaggiano lungo un tunnel virtuale, vengono cifrati e decifrati ai due estremi della rete VPN, in modo del tutto trasparente per l’utente.
L’incapsulamento e il tunneling possono essere implementati su diversi livelli della pila ISO/OSI, e ogni protocollo con la propria specificità può contribuire alla protezione dei dati in trasmissione.
Tra i protocolli più comuni si possono citare PPTP e L2PT (livello data link), IPSEC (livello rete), SSL/TLS (livello trasporto) e HTTPS (livello applicazione).
Però ci sono due fattori da tenere presente qualora si volesse adottare una VPN:
Con l’audit di sicurezza è possibile monitorare e dare una valutazione alle relative politiche adottate da un’azienda. Per attuare questa operazione, eseguibile esclusivamente all’interno della rete aziendale, è necessario avere una completa conoscenza di tutte le risorse di rete da esaminare.
Alternativamente o congiuntamente all’audit di sicurezza è possibile mettere in pratica una tipologia di analisi, il penetration test, che opera all’esterno della rete simulando un attacco. A differenza dell’audit di sicurezza per svolgere un pentest ed effettuare un’analisi più vicina alla realtà, non è necessaria una conoscenza preliminare della rete.
Un’azione di sensibilizzazione sui vari aspetti della sicurezza delle informazioni, per incrementare il livello di consapevolezza degli utenti, risulta quanto mai indispensabile per innalzare il livello di protezione dell’organizzazione.
Lo scopo di un adeguato programma di security awareness è quello di fornire agli utenti (dipendenti e dirigenti) delle competenze base allestendo delle opportune linee guida riguardo prevenzione e regole di comportamento:
I canali per l’attuazione di una campagna di formazione sulla sicurezza delle informazioni possono essere, ad esempio:
Alla luce di quanto detto risulta imprescindibile introdurre delle misure che prevedano un certo livello di protezione tanto delle informazioni residenti su pc e server e trasmesse in rete, quanto delle risorse e i servizi offerti.
Una adeguata strategia di sicurezza deve porsi come obiettivo principale quello di salvaguardare tutte le risorse fondamentali dell’organizzazione e di garantirne sempre la disponibilità con:
[1] https://www.cybersecurity360.it/nuove-minacce/tecniche-di-sniffing-dallanalisi-delle-reti-al-furto-di-credenziali-cosa-sono-e-come-funzionano/, di Salvatore Lombardo
[2] https://www.cybersecurity360.it/soluzioni-aziendali/vpn-cose-come-funziona-e-a-cosa-serve-una-virtual-private-network/, di Salvatore Lombardo
Articolo a cura di Salvatore Lombardo
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…