Nirmal Sharma, Microsoft MVP in Directory Services, ha parlato recentemente delle buone norme di sicurezza e dei servizi che dovrebbero essere implementati in un’infrastruttura per prevenire eventuali attacchi. Il ragionamento iniziale dell’editorialista lega a doppio filo i concetti “identificazione” e “prevenzione” delle minacce:
Al giorno d’oggi mettere a punto dei meccanismi di sicurezza in grado di prevenire minacce interne non è abbastanza – è ugualmente importante implementare [soluzioni] che aiutino ad identificare [eventuali minacce anche nel momento in cui si manifestano]. Detta in un altro modo, i sistemi di individuazione possono [aiutare] ad implementare efficaci metodi di prevenzione. [Occorrono specifiche policy] e controlli in modo che [le minacce interne (tecniche e non)] siano individuate.
Sebbene lo studio e l’impiego di robuste policy e procedure di cyber sicurezza siano importanti, prosegue, è fondamentale appoggiarsi a strumenti e software che aiutino lo staff incaricato ad individuare il pericolo prima che possa causare danni all’azienda. Gli strumenti e software menzionati da Nirmal sono i seguenti:
- videosorveglianza. La registrazione di quanto avvenuto nel periodo di tempo interessato può aiutare ad accertare la natura della problematica. Nel caso in cui la criticità non sia di natura malevola (attacco di hacker etc.) ma provocata da errore umano, quest’ultimo sarà più facilmente identificabile dopo aver vagliato le registrazioni delle telecamere.
- Tracking dei gruppi di sicurezza (ed account correlati). In base alla grandezza dell’azienda i team di sicurezza possono trovarsi davanti a decine di gruppi e molteplici account da monitorare. L’editorialista sottolinea che è cruciale controllare i gruppi di sicurezza più importanti, primo fra tutti quello dei Domain Admin. La presenza in quest’ultimo gruppo di utenti non autorizzati (o che comunque non dovrebbero appartenervi) può esporre a potenziali rischi l’infrastruttura – gli admin possono ottenere infatti il controllo totale di un dominio Active Directory.
- Monitoraggio ed identificazione degli accessi ai dati. Il monitoraggio deve essere esteso anche alle attività che interessano la consultazione dei dati, in particolare modo i tentativi di lettura falliti (failed read attempts). Questi ultimi si verificano quando un utente sprovvisto delle autorizzazioni richieste tenta di accedere ai dati. Gli strumenti da adottare possono aiutare i team di sicurezza a capire i motivi dietro ad eventuali tentativi falliti (errore umano o tentativo volontario da parte di un malintenzionato che ha ad esempio rubato delle credenziali).
- Individuazione dei tentativi di login non andati a buon fine. Negli ambienti più ampi e destinati ad un elevato numero di utenti, è difficile tenere traccia ed analizzare ogni attività di login. Adeguati strumenti (di livello enterprise) possono facilitare la vita dei team di sicurezza fornendo informazioni dettagliate circa le attività menzionate, dal tipo d’operazione (interattiva o non interattiva) fino alla data e l’ora esatta in cui è avvenuto un tentativo fallito di accesso e la macchina dalla quale quest’ultimo è stato effettuato. Gli account con un elevato numero di operazioni in brevi periodi di tempo sono quelli che più di tutti dovrebbero destare l’attenzione degli addetti alla sicurezza – è il comportamento abituale di chi sta tentando di accedere “con la forza” ad uno o più sistemi.
Chiudono la rassegna una serie di brevi consigli inerenti alla “teorizzazione” delle policy e la preparazione del personale in materia di sicurezza informatica. In generale, ricorda Nirmal, che le sviste e le dimenticanze sono dietro l’angolo: ad esempio l’implementazione del blocco delle operazioni di spostamento/copia dei file verso periferiche di archiviazione esterne (hard disk portatili, chiavette USB) ma l’assenza di specifiche linee guida (da seguire in caso di emergenza) per il personale “non di sicurezza”.
Fonte: 1