Le tipologie di sicurezza di rete da implementare dovrebbero essere basate sul panorama delle minacce. Ciò include gli effettivi attori delle minacce, i vettori e le vulnerabilità. Sulla base di ciò, è necessario aggiungere controlli all'ambiente di rete per ridurre la probabilità e ridurre l'impatto di un attacco concluso con successo.
La sicurezza aggiunta a un ambiente di rete dovrebbe essere basata sul panorama delle minacce che esiste oggi e che si prevede esisterà domani. Questo vale per le reti domestiche, per quelle aziendali e per quelle dei fornitori di servizi.
Una sicurezza della rete efficace tiene conto delle vulnerabilità note, degli hacker o di altri attori delle minacce e delle tendenze attuali degli attacchi. Per aggiungere correttamente la sicurezza a una rete, è necessario comprendere quali siano tutte le risorse esposte della propria azienda e come queste possono essere compromesse.
Il panorama o l'ambiente delle minacce include molti elementi che è importante identificare e comprendere. In questo modo è possibile disporre delle conoscenze necessarie per intraprendere le opportune azioni.
Cominciamo con gli attori delle minacce. Sono coloro che lanciano gli attacchi e che provano a insinuarsi nei sistemi. Gli attori malintenzionati sono persone o entità e perseguono una molteplicità di obiettivi diversi a seconda del tipo di attore.
Il vettore di minaccia è il percorso seguito dall'attacco. Potrebbe essere semplice tanto quanto la richiesta a qualcuno da parte dell'aggressore di aprire fisicamente una porta dell'edificio, il che si classifica come operazione di ingegneria sociale di base. Potrebbe anche essere molto più sofisticato e richiedere una notevole abilità per essere perseguito.
Ad esempio, è comune che un'aggressione inizi con un attacco di ingegneria sociale noto come phishing. Un utente si lascia ingannare da un'email di phishing. Installa il software sul sistema e questo apre una backdoor. L'hacker sfrutta la backdoor per accedere al sistema e navigare, o spostarsi lateralmente, attraverso la rete.
Le vulnerabilità sono debolezze o difetti presenti all'interno della tecnologia. Ciò include prodotti di sicurezza come firewall, antivirus e antimalware. Include anche i normali dispositivi endpoint come server, workstation, laptop, fotocamere, termostati e frigoriferi. Include inoltre dispositivi di rete come router e switch. Le vulnerabilità si dividono in tre categorie:
Siti come Mitre mantengono un registro dei primi due tipi di minacce che insieme compongono l'elenco delle cosiddette Common Vulnerabilities and Exposures (CVE). Il National Institute of Standards and Technology (NIST) gestisce un altro sito che elenca le vulnerabilità note chiamato National Vulnerability Database (NVD).
È possibile rilevare le vulnerabilità eseguendo scansioni di vulnerabilità sulla propria rete. Strumenti validi, come Nessus di Tenable, collegano automaticamente il software rilevato a un database di vulnerabilità note. Le scansioni delle vulnerabilità segnalano le vulnerabilità sospette ma non confermano la possibilità che siano sfruttabili. Il passo successivo è confermare che siano sfruttabili su una rete e agire per proteggere i sistemi.
Ad esempio, se sulla rete è presente una macchina Microsoft Windows Server 2019, la scansione delle vulnerabilità dovrebbe rilevare Zerologon, un problema che può interessare questo tipo di server. La scansione rileva prima di tutto la presenza di una macchina Windows Server 2019, quindi cerca nel database le vulnerabilità note.
Questa scansione dovrebbe rilevare una CVE presso il NIST denominata Zerologon che consente l'acquisizione impropria di privilegi. Questa CVE è associata a un Common Vulnerability Severity Score (CVSS) di 10 su 10, il che significa che è del livello peggiore possibile e deve essere affrontata immediatamente. La pagina della CVE contiene collegamenti a consigli, soluzioni e strumenti. Punta anche alla pagina Common Weakness Enumeration (CWE), che fornisce ulteriori più informazioni su un attacco.
Esistono molti strumenti e metodologie diversi che un'azienda può utilizzare per testare una rete alla ricerca delle vulnerabilità di sicurezza. Un metodo consiste nel simulare un attacco all'azienda stessa, noto anche come test di penetrazione o pen test. A questo scopo le aziende impiegano hacker etici.
Quando gli hacker etici attaccano una rete, rilevano le sue vulnerabilità specifiche. Ciò che rende etici questi hacker è il fatto che hanno il permesso di attaccare un sistema. Potrebbero dimostrare l'esistenza sulla rete delle vulnerabilità elencate nelle CVE o scoprire errori di configurazione o vulnerabilità sconosciute.
Un modo per eseguire un test di penetrazione è l'utilizzo di due squadre, una rossa e una blu. La squadra rossa utilizza effettivi strumenti di hacking e tenta di violare le difese di rete esistenti. La squadra blu è un team di risposta agli incidenti che utilizza i piani di risposta agli incidenti esistenti, o playbook, per rispondere all'attacco attivo.
I vantaggi garantiti dal lavoro combinato delle due squadre sul test di penetrazione sono maggiori rispetto a quelli offerti da un test di penetrazione standard. La squadra rossa scopre le vulnerabilità e la squadra blu si esercita a rispondere. Le reti verranno attaccate da veri hacker, quindi è importante che il team di risposta agli incidenti sia pronto. A tale scopo, la possibilità di fare pratica è fondamentale.
L'obiettivo della sicurezza della rete è innanzitutto prevenire gli attacchi. Quando si verifica un attacco, il primo passo è rilevarlo. Una volta che l'attacco è noto, è importante rispondere: individuare e valutare il danno, comprendere l'ambito e correggere le vulnerabilità o il percorso utilizzato per eseguire l'attacco. Questo processo è comunemente indicato come prevenzione, rilevamento e risposta (PDR).
La prevenzione comporta il rafforzamento dei sistemi e la loro difesa con controlli di sicurezza. La messa in sicurezza di un sistema include quanto segue:
Il rilevamento avviene principalmente tramite i log. Sistemi come quelli di riconoscimento delle intrusioni (IDS) controllano il traffico e registrano le attività sospette. Il sistema registra l'attività e la invia a un server syslog. Un gestore di eventi di informazioni sulla sicurezza (SIEM) correla e analizza i log e avvisa il personale di sicurezza della presenza di Indicatori di compromissione (IoC). Il dipartimento di sicurezza o il team di risposta agli incidenti può quindi intervenire per verificare se si tratta di una vera compromissione e adegua l'ambiente per evitare che l'evento si ripeta.
La risposta può essere semplice, come lo scaricamento di una patch su un sistema, ma potrebbe anche richiedere molto più lavoro. Potrebbe essere necessario analizzare le configurazioni esistenti all'interno di firewall, sistemi di riconoscimento delle intrusioni (IPS), router e tutti gli altri software e dispositivi di rete e di sicurezza per capire cosa è configurato in modo errato.
Una risposta può anche essere l'aggiunta di strumenti di sicurezza nuovi o diversi alla rete. In tal caso potrebbe trattarsi di un processo più ampio che include la definizione di un business plan.
Articoli correlati
Ricerche correlate