Data center e sicurezza: l’infrastruttura fisica è nel mirino degli hacker

Con il termine entry point gli esperti di sicurezza informatica si riferiscono a dei punti di accesso attraverso i quali superare il perimetro difensivo di un’infrastruttura IT.

I server e le reti aziendali sono gli obiettivi più frequentemente colpiti dai malintenzionati ed è per questo che buona parte del personale di sicurezza si concentra proprio su questi, cercando di ostacolare in ogni modo eventuali tentativi di intrusione: come detto in altre occasioni, non esistono sistemi di sicurezza infallibili ma è sempre possibile dissuadere i potenziali aggressori – lanciare un attacco informatico ha un costo e, se il tempo impiegato e la complessità dell’operazione non sono commisurati al guadagno finale, è probabile che l’hacker interrompa l’operazione.

Le modalità e le strategie di attacco degli hacker sono però in costante evoluzione e, come affermano gli esperti interpellati da Data Center Knowledge (DCW), tra i loro nuovi obiettivi finisce sempre più spesso l’infrastruttura “fisica” di un data center, dalle semplici PDU (power distribution unit) ai sistemi di sicurezza (antincendio o antintrusione) e di refrigerazione (quindi impianto di areazione dei locali) etc. Al giorno d’oggi qualsiasi apparecchiatura ha un indirizzo IP, osserva uno degli esperti, e buona parte della strumentazione fisica non è stata pensata con in mente standard di sicurezza elevati:

La strumentazione fisica [dei data center] è simile a quella degli impianti industriali, afferma [A. Nikishin (Kaspersky Lab)]. E’ più facile mandare offline un data center danneggiando il sistema di refrigerazione che attaccando ciascuno dei suoi server.

I sistemi di controllo industriali sembrano ricordare in parte le “ingenuità” dei produttori di dispositivi intelligenti (pensati per l’Internet delle Cose): password facilmente intuibili (anche mediante brute forcing) ed altre falle nei sistemi di protezione. Le cause dietro a tale stato di cose sono essenzialmente due: l’estrema lentezza con cui i vendor rilasciano le patch di sicurezza ed il timore, da parte degli utenti finali, che la loro installazione possa causare interruzioni di servizio o altre problematiche – meglio non toccare niente.

In questo modo si agevola il compito dei malintenzionati che hanno a disposizione un’ampia scelta di opzioni con cui danneggiare i bersagli: accensione dei sistemi antincendio per distruggere i server, disattivazione degli allarmi e dei sistemi di videosorveglianza, alterazione delle impostazioni nel sistema di gestione dell’impianto elettrico per causare incendi o esplosioni.

Indirizzi IP e strategia di difesa

Una ricerca menzionata nella parte finale del contributo afferma che il 97% degli interpellati riconosce la pericolosità delle apparecchiature connesse alla rete e prive di adeguate misure di sicurezza. Tuttavia solo il 9% sa esattamente quali dispositivi presenti nel proprio ambiente di lavoro siano collegati ad internet, una percentuale estremamente bassa e che dovrebbe far riflettere i lettori.

Se [un’apparecchiatura] ha un indirizzo IP può essere hackerata e necessita quindi di essere protetta.[…] Di questi tempi è possibile associare un indirizzo IP a qualsiasi cosa. Le infrastrutture dei data center non fanno eccezione […]

aggiunge un esperto.

Quali sono le strategie di difesa consigliate? In primo luogo la segmentazione delle reti (network segmentation), espediente grazie al quale è possibile appunto suddividere la rete principale in varie sottoreti. Ciò rende naturalmente più complessa l’esplorazione dell’intero ambiente da parte degli hacker – che necessiteranno di molto più tempo. In secondo luogo un’adeguata formazione del personale e l’impiego di soluzioni di monitoraggio destinate all’infrastruttura fisica del data center – solitamente trascurata, come già detto.

Un colocation provider statunitense ha ad esempio predisposto l’applicazione automatica di misure di sicurezza ai rack “noleggiati” dai propri clienti. Il motivo è facilmente intuibile: non essendo a conoscenza del livello di competenza (in materia di sicurezza) di ciascun cliente, il provider ha deciso di prevenire il peggiore degli scenari possibili, ovvero quello in cui una singola macchina può trasformarsi in un punto d’ingresso privilegiato per l’intera infrastruttura.

Fonte: 1