Ci crederesti se ti dicessi che le soluzioni di cybersecurity più efficaci e potenti sono completamente gratuite?
Non parlo di software libero, ma di rafforzare i sistemi usando ciò che è già disponibile e configurabile.
Le possibilità di hardening sono infinite, ma voglio restare quanto più conciso e indipendente dall’infrastruttura.
Il mantra è uno: ridurre la superficie d’attacco
Chiediti sempre se esistono modi per blindare i sistemi senza comprometterne la funzionalità. A volte sacrificare un po’ di comodità porta enormi vantaggi in sicurezza.
Ciò che può sembrare un piccolo freno per l’utente diventa una ripida parete per un intruso.
Questo approccio, idealmente accompagnato da una conoscenza della sicurezza offensiva, può portare risultati sorprendenti.
POLP: Principle of Least Privilege
Il concetto è semplice: se un utente/account non ha bisogno di qualcosa, non dovrebbe avervi accesso.
- Quella cartella condivisa dove tutti leggono e scrivono? Restringi l’accesso.
- I file non utilizzati vanno spostati in uno storage sicuro e permanente, idealmente cifrato. Non hanno posto nelle directory operative.
- Il CEO NON ha bisogno di privilegi da Domain Admin. Se li ha, leggi sotto.
- IT e Admin dovrebbero avere due account: uno per ispezionare (read-only) e uno per agire (read/write), con credenziali separate.
- Controlla i privilegi ereditati dai gruppi. Ho trovato account di dipendenti a un clic dal Domain Admin!
- Mai e poi mai concedere agli utenti privilegi da Local Administrator.
- Limita i metodi di autenticazione a quelli realmente necessari, non potenzialmente utili.
Whitelist dei privilegi di esecuzione
Questo merita un capitolo a parte per l’impatto enorme che ha.
Se Karen delle risorse umane ha bisogno solo di Office 365 e Chrome, perché ha Candy Crush installato?
Consentendo solo l’esecuzione di software esplicitamente consentito, elimini completamente i rischi legati ai malware.
Tutto il malware deve essere eseguito per fare danni. Terabyte di codice malevolo su una macchina sono innocui come un file .txt se non possono andare in esecuzione.
Assicurati anche che le macro di Office siano disabilitate e non riattivabili dall’utente.
Questa pratica da sola eleva la sicurezza a livelli molto alti.
Con quanto risparmi in soluzioni endpoint puoi anche regalare un laptop a Karen per Candy Crush, a patto che...
Segmenta la rete
Dividi la rete in segmenti separati. Non c’è motivo che tutti gli endpoint stiano nella stessa sottorete.
Il primo candidato per la segmentazione è la rete di Operational Technology. No, la CNC su Windows 95 non deve essere nella stessa sottorete usata dalle risorse umane.
Consentire l’accesso Wi-Fi agli smartphone è legittimo, ma il telefono deve connettersi a una rete separata, senza toccare asset aziendali.
Questo va applicato rigorosamente tramite Network Access Control con whitelist.
Affina il firewall
I firewall, a differenza degli AV, sono quasi impossibili da bypassare.
Un sistema “furbo” può essere ingannato, uno che dice “Non puoi connetterti a 1.2.3.4. Punto” non lo sarà.
Se le workstation A, B e C hanno bisogno solo di accedere a un SMB Share e al Domain Controller, perché dovrebbero parlarsi tra loro? Implementa regole firewall basate su whitelist dei server necessari e blocca tutto il resto di default.
Questo elimina la maggior parte degli attacchi Man-in-the-Middle.
È utile anche limitare le connessioni in uscita al minimo indispensabile.
Backup corretti
I server di backup non sono repliche dei file server.
Il backup non deve essere una semplice copia: deve essere immutabile e completamente bloccato, anche per i Domain Admin.
Molti rispettano la regola 3-2-1 e testano i backup, ma pochi si preoccupano che i backup non siano scrivibili e rimangono sorpresi se un ransomware li cifra.
C’è una grande differenza tra incidente e minaccia: un attaccante andrà a caccia dei tuoi backup.
Rendili immutabili e non dare accesso a nessun altro host. È il backup server che deve connettersi attivamente per prelevare i backup, non il contrario. NON unirlo al Dominio.
Prepara playbook, inventari e policy
Devi conoscere ogni tecnologia presente nell’infrastruttura e avere piani pronti per ogni evenienza.
Non servono dettagli eccessivi, basta reagire rapidamente.
Una semplice regola firewall che blocca tutto il traffico in uscita con eccezioni predefinite può fermare rapidamente un attacco senza grandi disservizi.
È importante anche definire un uso restrittivo degli asset aziendali.
Gioca ai wargame
Allenati a chiederti “e se…?” e simula scenari ipotetici di intrusione.
Cosa succederebbe se questo asset finisse completamente sotto il controllo di un avversario? Cosa potrebbe vedere? Dove potrebbe andare?
Questo insegna a vedere rete e infrastruttura come una mappa tattica, aiutando a individuare punti critici da rafforzare.
Whitelist, whitelist, whitelist
L’accesso va concesso in modo consapevole, il blocco è di default. Abbraccia completamente il principio Zero-Trust.
So che richiede tempo e lavoro, ma i benefici in termini di sicurezza sono enormi.
Per un’infrastruttura IT interna di una tipica di una PMI, senza particolari asset esposti a internet, questi accorgimenti portano risultati incredibili.