Le pillole di Empeiria
Pillola n. 3: ascoltare è importante…… e non solo tra umani.
Nela precedente “puntata” di Cybersec abbiamo parlato di come sia importante formare i collaboratori anche sul tema della sicurezza informatica. E di quali siano i principali modi con cui alcuni operatori del mercato in parola propongano di verificare lo stato dell’arte. C’è ad esempio chi propone di verificare il livello di formazione del personale dipendente mandando delle mail di phishing direttamente alle caselle di posta degli stessi, e verificando quindi chi si lascia ingannare dalla mail e compie qualche azione (click a link, accesso a siti pericolosi, download suggeriti, ecc.) che potenzialmente può causare danni all’organizzazione di appartenenza. C’è chi propone di svolgere un Penetration Test (PT) – dopo avere ottenuto una lettera di liberatoria/manleva dal committente – per poi accedere alla rete del cliente usando sostanzialmente gli stessi strumenti che userebbe un hacker malintenzionato. Per altro da notare che le lettere di liberatoria che vengono proposte sono delle vere lettere di totale manleva dai danni che l’azione di penetration test può generare.
C’è chi propone un Vulnerability Assessment (VA), cioè una verifica della situazione dall’interno o dall’esterno. Obiettivo è sempre verificare oggettivamente la robustezza delle contromisure di sicurezza adottate dal cliente per la protezione del proprio business. Per definire il perimetro dell’intervento spesso viene chiesto al cliente quanti siano gli indirizzi IP interessati alla verifica, su quante sedi si trovino e come le sedi siano tra loro collegate. Anche in questo caso praticamente tutti gli operatori del settore chiedono al committente la sottoscrizione di specifiche lettere di manleva.
A volte viene chiesto di predisporre una macchina virtuale con Linux a bordo e una VPN tramite cui accedere a tale macchina, dalla quale poi partiranno le scansioni versdo i sistemi da verificare. Ma qual è allora il sistema migliore per verificare la situazione della tua organizzazione dal punto di vista della sicurezza informatica?
A nostro modesto parere il sistema migliore è l’effettuazione di un Vulnerability Assessment basandosi però, invece che su massive attività di scansione (portscan, pingscan), su un agente che sappia sia svolgere attività diagnostica sia garantire un presidio continuativo.
L’agente deve fungere anche da black box, una scatola nera che sia in grado di “mettersi in ascolto”, all’inizio in modalità invisibile, senza quindi destare sospetti agli eventuali intrusi già presenti in rete. Deve inoltre essere in grado di catalogare le relazioni tra i vari componenti la rete e i sistemi aziendali, riconoscere la maggior parte di problematiche di sicurezza, e se serve, verso la fine della verifica, fungere da honeypot, ovvero “attirare” l’interesse dei malintenzionati.
Inoltre l’agente deve essere poliedrico e saper fare molte cose, come ad esempio:
- monitorare dell’esterno gli apparati di rete (Switch, Access Point, Router, Firewall).
- redigere un inventario dinamico degli oggetti presenti in rete
- catalogare i principali protocolli (dns, dhcp, http, telnet, ssh, rdp, ftp, pop3/smtp)
- analizzare il traffico di rete (LAN, WiFi) identificando i vari tipo di anomalie
- Identifica eventuali rogue-AP (finti Access Point hardware o software che fingendosi dispositivi
della rete catturano le credenzili Wi-Fi…)
Analizzare la permeazione della rete Wi-Fi, ovvero identificare l’emissione spuria del traffico
interno all’esterno del perimetro aziendale.
Mi rendo conto che stiamo parlando di aspetti tecnici che possono sembrare piuttosto astrusi per i non addetti o appassionati di cybersec, tuttavia il tema è semplice. Le aziende sono sempre più spesso sotto attacco e verificare l’efficacia del proprio sistema difensivo può fare la differenza tra resistere o cedere. E cedere all’attacco può avere conseguenze esiziali per l’azienda, l’ente l’organizzazione. E’ per questo che l’agent migliore che ci può aiutare in questa battaglia è quello che può fungere da
sentinella. Deve essere quindi un agent “leggero”, quindi installabile senza problemi in quasi tutti i device, e lavorare come una sentinella che lancia l’allarme – verso l’IT Manager o verso le persone identificate dall’azienda – nel momento in cui si accorge di un tentativo di intrusione. Noi di Empeiria abbiamo identificato un agent che raggruppa in sé tutte le caratteristiche utili a valutare la situazione in cui si trova l’azienda, e che, come vedremo nella prossima e ultima pillola informativa, è utile
anche per le attività successive, ovvero il monitoraggio continuativo dei sistemi di sicurezza aziendale.
Diego Bonetto