In un precedente post abbiamo parlato delle misure minime per mitigare i rischi connessi con l’esercizio di una propria infrastruttura IT e protezione da eventuali minacce sia esterne che interne. Una di queste misure in particolare merita un ulteriore approfondimento: la protezione degli endpoint remoti.
Con il termine endpoint vengono identificati generalmente tutte le componenti connesse a Internet o ad una rete di sistemi di elaborazione distribuiti. In senso più allargato quindi possono essere definiti come endpoint non solo server o apparati di rete, ma in generale tutti i sistemi, anche client, che abbiano una qualche forma di connettività sia essa verso il mondo Internet che mobile (desktop, laptop, cellulari, tablet, apparati di domotica, ecc.)
La necessità di proteggere soprattutto gli endpoint remoti è stata resa quanto mai più forte a causa della recente pandemia COVID-19 che ha portato molti più lavoratori a lavorare fuori dall’ambito aziendale. Inoltre, se si considerava sicuro l’ecosistema in cui gli endpoint sono presenti all’interno di un ambiente “controllato” come l’infrastruttura aziendale, adesso non esiste più questa nozione di perimetro di sicurezza e avere una notevole quantità di endpoint esposti a Internet che accedono alle risorse aziendali tramite le reti domestiche o VPN esterne potrebbe anche “invitare” cyber trasgressori indesiderati.
Ecco un elenco di elementi essenziali di sicurezza che è possibile implementare per gli endpoint remoti in modo da aumentarne la resilienza a potenziali attacchi informatici, indipendentemente da dove lavorano gli utenti, nella propria abitazione o presso un cliente.
Disporre di sistemi di patching remoto / verifica livello di aggiornamento
Con endpoint che si collegano ed escono costantemente dalla rete a causa del maggior numero di lavoratori remoti, i problemi del patching, già evidenziati in un precedente post, sono stati amplificati. Non è possibile infatti accettare che i propri endpoint si connettano alla rete aziendale tramite VPN e nel frattempo rimangano vulnerabili. Tutto ciò che serve è una singola vulnerabilità per consentire attacchi esterni volti a divulgare informazioni sensibili o, peggio ancora, portare ad una compromissione della propria infrastruttura IT e di rete. Ora più che mai poi è quindi necessario utilizzare strumenti di patching automatizzati per sistemi remoti che supportino l’architettura della forza lavoro remota, oltre a mantenere le applicazioni e il sistema operativo in esecuzione aggiornati e protetti, nei limiti del possibile, contro vulnerabilità note ed emergenti.
Tali sistemi di aggiornamento automatico spesso operano in concomitanza di opportuni software da installare sul sistema remoto i quali, oltre ad occuparsi di un controllo dello stato del sistema in termini di presenza di malware, consentono l’accesso alla rete aziendale unicamente se il dispositivo in questione presenta un livello di aggiornamento/protezione prefissato dagli amministratori di sistema. Come vedremo nei prossimi paragrafi tali software possono inoltre effettuare un controllo su altri ambiti come gli applicativi installati e la navigazione web.
BYOD sicuro per prevenire il furto di dati
Non tutti i dipendenti dispongono di un laptop aziendale da poter usare da remoto e questa pandemia ha costretto quindi le aziende ad autorizzare i dipendenti ad utilizzare laptop, dispositivi mobili o tablet personali per il lavoro remoto. È probabile quindi che potenziali malintenzionati prendano il controllo di tutti i dispositivi non protetti, in particolare un dispositivo personale, per ottenere l’accesso ai dati aziendali. Poiché i dati aziendali vengono archiviati insieme a dati e app personali, disporre di una soluzione di gestione dei dispositivi mobili (MDM) che aiuti a crittografare e containerizzare i dati aziendali archiviati nei dispositivi personali è fortemente auspicabile per impedire la condivisione non autorizzata dei dati. Sebbene poi i dispositivi aziendali siano generalmente limitati ai locali dell’organizzazione, lo stesso non è vero per i dispositivi personali, rendendoli più suscettibili poi a furti e smarrimenti, soprattutto per dispositivi portatili come cellulari e tablet. Gli amministratori IT possono utilizzare sistemi MDM per bloccare in remoto il dispositivo o persino attivare una cancellazione completa dei dati aziendali in caso di furto o compromissione del dispositivo.
Controllo delle applicazioni installate per prevenire potenziali punti deboli
Gli endpoint remoti, soprattutto se non gestiti dall’azienda e regolarmente monitorati, potrebbero aver installato al loro interno anche applicazioni non affidabili. Per fare un esempio, gli utenti remoti potrebbero utilizzare software per la condivisione peer-to-peer, come i client torrent, in cui l’affidabilità dei file condivisi tramite tali software non può essere verificata. Inoltre, sempre nel caso di software peer-to-peer, questi potrebbero consentire ad utenti malevoli di trasmettere codice dannoso con un file scaricato.
Con il controllo dei software utilizzati da parte dei lavoratori remoti, il numero di applicazioni potenzialmente dannose in esecuzione deve essere sostanzialmente ridotto e limitato solo a ciò che è attendibile e ritenuto essenziale dall’organizzazione, mitigando così i rischi potenziali.
Blocco account e criteri password per prevenire attacchi di forza bruta
Se il proprio dipendente remoto lavora in uno spazio condiviso (più frequentemente presso un cliente) e un probabile attaccante potrebbe mettere le mani sul suo portatile quando è via per una pausa, è possibile che quest’ultimo possa utilizzare attacchi di forza bruta, per scoprire la password utente. Per prevenire tali tentativi di pirateria informatica, è possibile applicare rigorose politiche sulle password come un’opportuna lunghezza minima, complessità della password, cronologia delle password e durata minima e massima della password. È inoltre possibile configurare i criteri di blocco per bloccare gli account per una durata specificata dopo una soglia di tentativi di accesso non riusciti. Tali configurazioni poi non richiedono l’uso di software dedicati ma unicamente un’opportuna configurazione sui sistemi di autenticazione in uso.
Oltre a tali accorgimenti rimane comunque valido il consiglio di migliorare il proprio livello di protezione di risorse sensibili non solo con una semplice password ma con sistemi di autenticazione multifattore o MFA.
Web Filtering per limitare i contenuti a cui si accede da Internet
Le organizzazioni hanno iniziato a migrare la propria attività verso applicazioni in cloud e ora i browser sono il sistema privilegiato di accesso tra gli endpoint remoti e le applicazioni con cui interagiscono. Tuttavia, se non protetto, questo canale/client di comunicazione potrebbe finire per fungere da porta di accesso per hacker. Con il lavoro remoto che confonde la linea tra i dispositivi utilizzati per il lavoro aziendale e per uso personale, è molto probabile che i propri utenti remoti possano essere inconsapevolmente attirati (come nel caso di link presenti in mail di phishing) su siti dannosi che possano portare ad una violazione dei dati, alla loro cifratura tramite ransomware e altri attacchi informatici.
Nei luoghi di lavoro tradizionali il proxy aziendale, unito ad un’opportuna configurazione del firewall e di sistemi di protezione anti-malware centralizzati, viene utilizzato per impedire l’accesso a siti non sicuri e il download di contenuti rischiosi. Quando gli endpoint sono fuori da questa protezione, è essenziale abilitare un filtro Web in locale per limitare gli utenti ad accedere solo a siti attendibili e a scaricare contenuti verificati.
Zero Trust e criteri di trasferimento file per dispositivi rimovibili
Gli utenti potrebbero collegare chiavette USB e altri dispositivi portatili a computer di proprietà dell’azienda per condividere immagini, supporti di intrattenimento e persino file personali. Uno dei principali vettori per la propagazione del malware nel sistema è tramite dispositivi rimovibili. Sono state poi innumerevoli le notizie su come dipendenti scontenti a volte si trasformino poi in ladri e si approprino di dati sensibili tramite dispositivi rimovibili. Per affrontare tali problematiche, è possibile adottare un approccio Zero Trust per consentire ai soli dispositivi autorizzati di connettersi ai computer della propria organizzazione. Inoltre, è possibile impostare restrizioni di trasferimento dei file per impedire tentativi di furto di dati sensibili o la consegna di eseguibili dannosi nei computer (sistemi di Data Loss Prevention o DLP).
Abilitare il firewall dell’endpoint e bloccare le connessioni non sicure
Quando i dispositivi si trovano all’interno della rete aziendale, il firewall della medesima impedisce al traffico non sicuro di penetrare in un endpoint nella rete. Con endpoint oltre i confini aziendali, ora è essenziale verificare se è abilitato un firewall incorporato, come nei sistemi Windows, o è presente un firewall di terze parti. Spesso tale tecnologia è compresa in suite di protezione antimalware di molti fornitori, unitamente ai sistemi di controllo del livello di conformità del sistema descritti nel primo paragrafo.