venerdì 27 Gennaio 2023

I passaggi che le Aziende devono intraprendere per mitigare il rischio di utilizzo improprio o di sottrazione delle credenziali – Parte 2

Da non perdere

Paolo Montali
Paolo Montalihttps://www.risksolver.it/
Partner, Technical Relationship Manager at RISK SOLVER. Ho vissuto la mia esperienza lavorativa nel campo delle telecomunicazioni all'inizio della diffusione delle reti geografiche e delle prime reti locali, nel corso degli anni 90 ha gestito progetti di interconnessione e standardizzazione delle comunicazioni applicative tra aziende, sistemi pionieristici di quelli che sono poi stati i modelli di marketplace sia in ambito b2b che b2c. Dal 2016 mi occupo a tempo pieno di protezione dei sistemi e dei dati, fornendo consulenza e soluzioni per innalzare il livello di sicurezza delle infrastrutture ICT delle Aziende.

Link Parte 1

Di seguito riportiamo cinque passaggi che le Aziende dovrebbero intraprendere per mitigare l’esposizione al rischio di sottrazione o di compromissione delle credenziali:

Raccogliere dati sulle credenziali trafugate

Per iniziare ad affrontare il problema, gli ICT manager  devono raccogliere dati sulle credenziali trafugate, dall’open Web al Dark Web. Questo può fornire indicazioni del rischio per la loro Azienda, nonché individuare le eventuali credenziali che devono essere aggiornate. Ci sono diversi strumenti per fare questo, anche di tipo free (ovviamente per le piccole e micro azienda).

Analizzare i dati

Gli ICT manager  devono cercare di individuare le credenziali che potrebbero effettivamente portare a rischi per la sicurezza. Le Aziende devono prendere in considerazione (sarebbe anche ora) le disposizioni che il Garante per la protezione dei dati personali ha fornito a fine del 2008 (quindi 12 anni fa) come misura di cyber security, vale a dire il controllo dei Log di sistema (sia per gli amministratori di sistema, sia per gli utenti). In modo da individuare azioni sospette su sugli account e sui sistemi. 

Inoltre gli ICT manager  dovrebbero utilizzare insieme anche altre tecniche per valutare i rischi, come ad esempio:

  • In generale e come prima misure di controllo e di sicurezza, bisogna definire una policy per la gestione delle password e per la gestione delle utenze, con regole precise che portino all’utilizzo di password complesse per innalzare il livello di sicurezza e con meccanismi di controllo dei tentativi di violazione
  • Verificare se le credenziali consentono l’accesso alle risorse esposte esternamente dell’Azienda, come servizi Web e database
  • Tentativo di decifrare gli hash delle password catturate
  • A seguito dell’individuazione di utenze compromesse, attivare delle azioni per mettere in sicurezza le utenze stesse e le risorse a cui possono accedere

Mitigare le esposizioni delle credenziali

Dopo aver convalidato le credenziali trafugate per identificare le effettive esposizioni, le Aziende possono intraprendere azioni mirate a mitigare il rischio. Ad esempio, una delle regole base in caso di furto delle credenziali o di attacco è di verificare se ci sono degli account scaduti o inattivi in Active Directory oppure richiedere d’ufficio la modifica della password per gli utenti attivi.

Rivalutare i processi di sicurezza

Dopo la mitigazione diretta, gli ICT manager dovrebbero valutare il livello di sicurezza dei loro processi, individuando le aree di miglioramento e definire degli action plan per livello di rischio. Ad esempio, se si ha a che fare con molte credenziali trafugate, possono dare indicazioni per la revisione dell’intera politica per la gestione delle utenze e le regole per la generazione delle password nell’Azienda. Allo stesso modo, se in Active Directory vengono trovati utenti inattivi, è opportuno rivedere il processo di off-boarding dei dipendenti/utenti.

Analizzare i Log di sistema

Ogni Azienda, dalla più piccola alla più grande dovrebbe attivare un servizio di verifica dei Log di sistema, ma per avere la certezza che i Log non siano stati “corrotti” o modificati da malintenzionati, devono mettere prima di tutto i Log a norma come da disposizione del garante del 27 novembre 2008 e così facendo hanno la sicurezza che i Log che analizzeranno forniscano agli IT manager indicazioni veritiere su eventuali tentativi di attacco o di sottrazione di credenziali

Ripetizione dei processi di controllo

Gli aggressori adottano continuamente nuove tecniche. Le superfici di attacco cambiano, con nuove identità aggiunte e rimosse regolarmente. Allo stesso modo, gli esseri umani saranno sempre inclini a errori accidentali. Di conseguenza, non è possibile effettuare queste azioni di verifica, convalida e mitigazione una sola volta. Si tratta di un processo che continua nel tempo, per ottenere una ragionevole sicurezza di abbattere il più possibile i rischi da minacce in un mondo altamente dinamico.

Tuttavia, gli ICT manager con risorse limitate non possono permettersi di eseguire manualmente tutti questi passaggi con una cadenza sufficiente. Di conseguenza per gestire efficacemente le minacce è necessario attivare dei sistemi che in modo automatizzato, effettuino i processi di analisi, controllo, revisione e successiva convalida.

In collab con risk-solver

- Advertisement -spot_img
- Advertisement -spot_img

Articoli recenti

- Advertisement -spot_img
- Advertisement -spot_img