Spesso ci si chiede quali siano le misure minime per mitigare i rischi connessi con l’esercizio di una propria infrastruttura IT e protezione da eventuali minacce sia esterne che interne. Appare evidente che non tutte le aziende posso permettersi costosi software o appliance, personale dedicato, strumenti di controllo sofisticati, per la protezione della propria infrastruttura e dei dati che essa si trova a gestire. Di seguito vogliamo quindi dare una minima indicazione di quelle che sono le regole di una buona “igiene” di cyber security. Ovviamente tali considerazioni potranno apparire scontate ma anche in organizzazioni di dimensioni medio-grandi queste non sono completamente attuate.
La sicurezza informatica è sempre stata infatti una specie di corsa tra attaccanti e difensori. Le organizzazioni che eseguono costantemente decisioni tempestive e basate sui dati incentrate sulla riduzione del rischio hanno maggiori probabilità di avere successo.
Patch e aggiornamenti coerenti: l’ambiente più resistente agli hacker è quello che viene amministrato meglio. Anche se spesso le organizzazioni devono affrontare una riduzione delle attività di amministrazione causa la riduzione del budget / del personale e la mancanza di formazione, questa pratica porta alla definizione delle priorità e la scelta di quali compiti svolgere prima, dopo o per niente. Nel tempo, ciò genera una serie di problemi di rischio medio-basso che possono però portare ad un focolaio di grandi dimensioni nelle giuste condizioni.
Se a questo aggiungiamo la mancanza di un inventario completo delle risorse, sia hardware che software, il rischio aumenta quando le applicazioni e i dispositivi diventano non gestiti.
Rimanere aggiornati su patch, aggiornamenti di sistema / applicazione, migrazione delle piattaforme di fine supporto / vita, amministrazione degli utenti e gestione della configurazione è per molti frustrante, richiede tempo ed è generalmente sottovalutato, anche per motivi economici; ma questa attività – più di ogni altra singola attività, ridurrà il rischio di eventi informatici in un’organizzazione e ridurrà drasticamente il rischio di attacchi opportunistici.
Sicurezza della posta elettronica: la posta elettronica è il punto di accesso numero uno per il malware nell’azienda. Moltissime ricerche di settore indicano questo come la causa principale di molti eventi di violazione, questo dovrebbe essere il posto successivo in cui le organizzazioni raddoppino i 
propri sforzi per garantire la sicurezza della propria infrastruttura. È importante essere informati al riguardo e comprendere quali minacce sono prevenute dai controlli e-mail e quali sono le esposizioni rimanenti, in modo da poter attuare un modello di controllo a più livelli.
Quello della sicurezza delle e-mail è anche un settore in cui attuare una buona pratica di protezione è anche più complesso in quanto non basta solo dotarsi della corretta tecnologia, ma occorre una forte opera di formazione / sensibilizzazione del proprio personale sui rischi connessi.
Protezione degli endpoint: Il secondo vettore di infezione da malware più comune è il contenuto Web dannoso. Gli hacker sanno che alla fine qualcuno effettuerà un clic su un collegamento predisposto ad hoc e da lì inizierà a propagarsi l’infezione, nelle giuste condizioni o con le giuste tattiche. Di conseguenza, ha senso disporre di una suite completa di controlli sugli endpoint e sui server nell’ambiente per identificare e chiudere virus, malware e altri programmi potenzialmente indesiderati. I software più comuni in tal senso sono costituiti da sistemi antivirus e antimalware.
Autenticazione a più fattori: la maggior parte delle violazioni di un account comporta l’uso di credenziali di autenticazione intercettate o altrimenti divulgate. Utilizzare metodi di autenticazione a più fattori, predefiniti laddove possibile, aiuta drasticamente a ridurre il rischio di compromissione degli account. In combinazione con la capacità di rilevare e avvisare in caso di tentativi di accesso falliti, è una pratica che può fornire agli utenti indizi che potrebbero indicare di essere al centro di attacchi mirati.
Poiché molte implementazioni dell’autenticazione a più fattori / a più fasi coinvolgono telefoni cellulari per chiamate o messaggi SMS, ciò richiede che gli utenti adottino misure per proteggere i loro telefoni cellulari, in particolare in un ambiente aziendale. Assicurati che i dispositivi siano completamente aggiornati alle ultime release di sicurezza, che eseguano solo applicazioni attendibili / firmate da app store affidabili e protetti da un PIN o da un altro controllo di accesso di sicurezza.
E’ possibile, se non molto raccomandabile, utilizzare metodi di autenticazione basati su app rispetto a metodi basati su SMS o telefonate per proteggere ulteriormente gli accessi agli account utente. Tali passaggi possono aiutare a ridurre il rischio di compromissione della posta elettronica aziendale e mantenere la sicurezza dell’autenticazione degli account dei social media aziendali.
Segmentazione infrastruttura e filtro in uscita: anche se un hacker o un malware si fa strada nel proprio ambiente IT, ciò non significa che dovrebbe essere in grado di diffondersi ai nodi di rete adiacenti o di ottenere dati regolamentati o mission-critical. Limitare la capacità di comunicare sia all’interno che all’esterno della rete attraverso una combinazione di controlli come i criteri del firewall e richiedere l’uso di server proxy è un’opportunità spesso trascurata per le organizzazioni di aumentare la propria sicurezza, limitare l’impatto di un incidente e aiutare a prevenire un incidente di rete dal diventare una violazione.
Infrastruttura di controllo affidabile: la storia ci insegna che le strategie incentrate sulla prevenzione, come quelle sin qui descritte, purtroppo non sempre sono sufficienti. Si dovrebbero quindi abbinare dei controlli investigativi per ridurre al minimo i tempi di rilevazione e ripristino: le organizzazioni dovrebbero assicurarsi di disporre di un’infrastrutture ad hoc (ad esempio un SIEM / SOAR se in linea con il budget aziendale) ottimizzate come parte della loro architettura di sicurezza in grado di ricevere i log / registri che coprono la rete interna e le applicazioni, nonché attraverso il perimetro. Ciò deve però essere seguito dall’ottimizzazione dei log dei dispositivi endpoint, delle applicazioni e di rete per consentire una rilevazione precoce e capacità di risposta efficace.
