Alessio Mercuri, Security Engineer di Vectra AI, e Michele Vescovi, R&D Manager di Praim, ci raccontano lo sfaccettato mondo della sicurezza informatica.
Crescono gli ambienti digitali aziendali e con essi anche i potenziali rischi alla sicurezza. Complice la diffusione del lavoro da remoto e l’elevata mobilità dei dipendenti in ogni settore, il perimetro aziendale oggi non coincide più con le mura dell’ufficio. Gli esperti di sicurezza si trovano a dover proteggere una superficie di attacco che è cresciuta a dismisura, rendendo urgente l’adozione di soluzioni evolute per la gestione e la protezione dei dati e la definizione di strategie di sicurezza più rigorose, dalla singola postazione di lavoro al monitoraggio della rete e dell’ambiente in generale. Il punto di vista di Vectra AI e Praim su come approcciare il tema della sicurezza.
Cosa chiedono le aziende
Vectra AI – Le esigenze di mobilità e flessibilità hanno portato le aziende ad abilitare in fretta nuovi strumenti a garanzia dell’operatività dei propri dipendenti. Mobilità e flessibilità delle postazioni di lavoro portano con sé, però, anche uno spostamento di dati e informazioni al di fuori del consueto perimetro aziendale. Per mantenere l’operatività, le aziende cercano quindi soluzioni capaci di garantire la sicurezza dei dipendenti e delle informazioni nella loro disponibilità, ovunque si trovino.
Che tipo di postazioni di lavoro servono e quali requisiti devono avere
Praim – La necessità è quella di approcciare la sicurezza con un metodo olistico e integrato, dove ogni anello dell’infrastruttura IT offra strumenti di protezione, capaci di integrarsi e garantire le informazioni necessarie a contribuire alla sicurezza complessiva. Possono essere messe in campo tecniche di supervisione per individuare, segnalare e bloccare, anomalie di sicurezza all’interno del perimetro aziendale o ai confini. Le PDL oggi sono aziendali, individuali e personali, dalle quali collegarsi alle risorse aziendali anche da remoto e da sorgenti di rete non sicure. Basti pensare ai diversi tipi di settori e utenti.
Pubblica Amministrazione, grandi aziende, call-center necessitano di molteplici postazioni condivise mirate verso un ambiente virtuale o web uniforme. Banche e assicurazioni chiedono postazioni che garantiscano massima sicurezza e un ambiente di lavoro standardizzato. Nella Sanità servono postazioni che permettano l’accesso ad ambienti virtuali specializzati per ruolo e reparto, gestiti centralmente dal reparto IT con garanzia di massima sicurezza e privacy dei dati. L’approccio alla security deve interessare tutti i punti di potenziale debolezza o vulnerabilità dei sistemi, dai servizi centrali ove risiede il “valore” aziendale, al perimetro utente che rappresenta un possibile elemento vulnerabile. La messa in sicurezza di ogni PDL deve riguardare sia il dispositivo sia i flussi di lavoro.
Come monitorare e rendere sicuri gli accessi degli utenti
Vectra AI – È difficile prevedere quando e come una macchina o l’account di un utente verrà compromesso da una minaccia o da un attore esterno, ma è possibile rilevarne i segnali e determinarne il comportamento. Per questo non basta affidarsi a soluzioni di prevenzione delle minacce informatiche: oltre a costruire barriere all’ingresso, occorre dotarsi di soluzioni che analizzino costantemente il comportamento delle macchine e degli utenti e che siano a conoscenza delle tecniche e metodologie utilizzate dagli attaccanti. Ciò permette di rilevare in tempo potenziali attacchi – noti e ignoti – e aiuta a bloccarli sul nascere prima che si trasformino in violazioni e producano danni al business.
Postazioni di lavoro sicure
Praim – Sono tre i fattori generali per rendere sicura una postazione. Il primo è quello di creare una postazione d’uso ottimizzata e specializzata per lo scopo a cui è dedicata. È indubbio che una postazione “general purpose”, è più difficile da proteggere perché deve essere lasciata libera di eseguire ogni genere di applicazione e software con connessioni diverse. In caso di postazioni multiple, il secondo criterio è l’uniformità, che consente di replicare efficacemente le misure di sicurezza adottate indistintamente. Il terzo punto è la manutenzione. Così come hacker, malware, ransomware e virus sono in continua evoluzione, allo stesso modo devono esserlo i software chiamati a proteggere da queste minacce. La manutenzione continua e la tempestività nell’adottare gli aggiornamenti di sicurezza su tutte le PDL sono imprescindibili.
Accorgimenti da adottare per garantire la sicurezza
Praim – La sicurezza informatica deve essere evoluta e stratificata. Uno degli approcci vincenti è l’uso del VDI e di postazioni dedicate e specializzate al collegamento al VDI come i Thin Client che permettono di creare e gestire macchine virtuali con sistema operativo desiderato e di eseguirle in modo virtuale su un server centralizzato. L’utente finale, sul suo dispositivo interagirà con il sistema virtuale remoto come se stesse lavorando esattamente sulla propria postazione, eseguendo solo un client per la decodifica video e per l’invio delle informazioni di interazione.
Vectra AI – Di regola, una postazione di lavoro virtuale (VDI) non è esclusa dall’applicazione delle stesse best practice di protezione tipiche di una classica postazione di lavoro. Tuttavia, si rendono necessari ulteriori accorgimenti in considerazione del fatto che spesso queste tipologie di postazioni sono accessibili da remoto (remote-working) e che, essendo dinamiche per natura, possono essere utilizzate da più utenti nell’arco della giornata (multi-utente). È evidente, quindi, che tali postazioni possono risultare obiettivi prediletti per gli attaccanti per avere un primo accesso all’infrastruttura. Ecco perché è importante rilevare i segnali di eventuali compromissioni di credenziali (on-prem e cloud) e tenere sotto stretta osservazione l’utilizzo di protocolli amministrativi come RDP.
Postazioni di lavoro condivise: esigenze di sicurezza e prevenzione
Praim – Per proteggere le postazioni aziendali alcuni approcci tecnologici sono più efficaci di altri. Tra i più importanti l’autenticazione per verificare che ad accedere alla postazione e alle risorse aziendali, siano solo utenti validati. L’autenticazione a più fattori riduce i rischi di diffusione involontaria di password così come l’uso di un OTP sui dispositivi personali garantisce maggiore sicurezza. Anche limitare la scrittura su disco è di aiuto. I Thin Client, ad esempio, adottano la tecnica del Write Filter che non dà la possibilità di scrivere sul disco locale e ciò che viene eseguito e modificato è conservato in memoria volatile (RAM). Ad ogni riavvio si ha una postazione pulita dal punto di vista del sistema, sulla quale i tentativi di attacco che chiedono modifica dei file o del sistema locale non attecchiscono. Impedire la possibilità di modificare i parametri di sistema o di definire autonomamente nuove connessioni di rete è un’altra buona norma per garantire la sicurezza. Inoltre si raccomanda l’adozione di VPN (Virtual Private Network), a garanzia di connessioni sicure. Anche il blocco delle periferiche, ove non necessario, permette di prevenire il collegamento di dispositivi esterni non sicuri.
Il valore aggiunto dell’AI nell’analisi dei comportamenti malevoli
Vectra AI – Nascoste all’interno dell’elevato volume di traffico proveniente dalle attività dei lavoratori da remoto, dalle reti aziendali e dalle istanze cloud, ci sono piccole, ma importanti informazioni che, se interpretate correttamente, permettono di rilevare minacce e potenziali attacchi dannosi. Attraverso l’utilizzo di una piattaforma di Threat Detection and Response potenziata dall’AI, i team di sicurezza possono ridurre il carico di lavoro e il tempo necessario per rilevare e analizzare questi segnali, incrementando efficienza ed efficacia e rispondendo in tempo prima che l’attaccante riesca ad arrecare danni all’infrastruttura.
Le soluzioni di Vectra AI e Praim
Vectra AI – Vectra è la piattaforma di Threat Detection and Response che utilizza l’Intelligenza Artificiale più avanzata del settore, focalizzata sul rilevamento e sulla risposta alle minacce all’interno della rete, senza rumore e senza bisogno di effettuare decryption Che si tratti di ambienti ibridi e cloud-nativi (AWS, Azure o GCP), di applicazioni SaaS come Microsoft Office 365 e Azure AD, di carichi di lavoro nel data center, di dispositivi IoT o di reti aziendali, la piattaforma Vectra è in grado di analizzare, correlare e ordinare secondo criteri di priorità i comportamenti malevoli che possono mettere a rischio l’organizzazione, fornendo informazioni immediatamente utili all’investigazione e meccanismi di risposta automatizzati.
Praim – I Thin Client, fiore all’occhiello di Praim, sono postazioni specializzate che possono essere dotate di sistemi operativi dedicati e ottimizzati per lo scopo, più snelli e facili da proteggere. Su queste postazioni il numero di applicazioni disponibili viene limitato ai client per collegarsi online o al VDI prescelto. Le soluzioni Thin Client, tramite firmware dedicati, offrono anche specifiche funzionalità di sicurezza e interfacce semplificate e specializzate che limitano l’azione degli utenti alle sole funzionalità concesse riducendo le potenzialità di azioni scorrette che possono inficiare la sicurezza della postazione di lavoro.