Per Cybersecurity si intendono quelle
insieme di tecniche che consentono alle rganizzazioni di minimizzare il numero di attacchi con esito positivo al proprio sistema informativo.
Questo permette la protezione delle informazioni da furto, distruzione, corruzione consentendo nel contempo che siano accessibili ai destinatari.
La Cybersecurity ha il principale obiettivo di ridurre le vulnerabilità di un sistema ovvero tutti i difetti o debolezze che possono essere sfruttate per violarne la politica di sicurezza.
Per ridurre le vulnerabilità di eseguono tecniche definite di hardening.
Queste tecniche prevedono due step, il primo volto alla riduzione della superficie di attacco ed il secondo al miglioramento della robustezza dei sistemi.
La riduzione della superficie di attacco prevede di rimuovere tutto il software non necessario, disabilitare tutti i servizi, moduli kernel e porte non necessarie. Il concetto alla base di questa operazione è che ogni software porta con sé delle vulnerabilità intrinseche, ogni porta aperta può essere soggetta ad attacco quindi se non servono devono essere disabilitati.
Una volta ridotta la superficie di attacco bisogna concentrarsi su tutti i servizi attivi (e quindi necessari) e più in generale sui sistemi ed essere irrobustiti.
Come? Abilitando policy di complessità delle password, aggiornando le patch di sicurezza, rimuovendo tutti gli utenti non necessari, riducendo i diritti degli utenti a quelli strettamente indispensabili.
Bisogna considerare che una volta eseguito l’hardening dei sistemi al tempo T0, è solo in quel momento abbiamo la certezza dello stato della nostra infrastruttura.
Al tempo T0+1 la nostra infrastruttura potrebbe essere mutata perché si potrebbero essere verificati eventi come:
• Installazione di nuovo software
• Creazione di nuovi utenti
• Migrazione di utenti nel gruppo Amministratori
• Mancata installazione di una nuova patch di sicurezza
Questo indica che il processo di riduzione delle vulnerabilità deve essere un processo continuo e non può eseguito unicamente al tempo T0.
Controllare la superficie di attacco
Una volta eseguito l’hardening dell’infrastruttura bisogna iniziare a controllare che la fotografia al tempo T0 della stessa non vari.
La prima cosa da fare è monitorare costantemente che la superficie di attacco non si estenda.
Questo avviene quando si verificano i seguenti eventi:
• quando si installa nuovo software, infatti, come specificato in precedenza, ogni software ha delle vulnerabilità intrinseche che possono essere più o meno
pericolose.
• Quando si attivano nuovi servizi
• Quando si aprono nuove porte tcp e udp
Sentinet3® dispone di check che permettono di:
• Controllare che non vari la configurazione software di un server segnalando ogniqualvolta un nuovo software viene installato
• Controllare che non vi sia nessuna variazione sui servizi attivi, ogniqualvolta un nuovo servizio viene avviato questo viene segnalato
• Controllare che non vengano aperte nuove porte di rete
Naturalmente il vantaggio apportato da questo prodotto è che il controllo sarà continuo e duraturo.
Controllare la robustezza dei sistemi
Una volta controllata l’evoluzione della superficie di attacco bisogna controllare che i sistemi mantengano la stessa robustezza raggiunta dopo le operazioni di hardening.
Le operazioni da eseguire ciclicamente sono fondamentalmente due:
a) IT security patch monitoring
b) User policy monitoring
IT security patch monitoring
Permette di controllare che i sistemi siano aggiornati alle ultime patch di sicurezza disponibili.
Questo è possibile grazie a controlli che sono in grado di eseguire questi controlli su server Windows, Debian, Ubuntu, Red Hat, Aix e Solaris, su router e switch della famiglia Cisco e sui principali antivirus in commercio
User policy monitoring
Permette:
a) Abilitazione delle policy di sicurezza delle password
b) Controllo sull’inserimento di nuovi utenti
c) Controllo sul passaggio di utenti nel gruppo amministratori
Controllare i sistemi di protezione
In una infrastruttura che si rispetti e che ha una attenzione alla sicurezza sono presenti sistemi come Firewall, IDS, IPS, SIEM, Antivirus.
Tutti questi sistemi hanno il compito di aumentare la sicurezza dell’infrastruttura e ridurre le possibilità di attacchi con esito positivo.
Ma cosa succede se uno di questi sistemi non funziona correttamente o non funziona affatto?
La risposta alla domanda è scontata!
E' necessario uno strumento in grado mettere sotto monitoraggio questi sistemi ed avvertire prontamente se uno di questi ha dei problemi.
Controllare gli attacchi in corso
Oltre al controllo della superficie di attacco e sulla sicurezza dei sistemi è necessario poi monitorare che l’infrastruttura IT non sia sottoposta agli attacchi più comuni:
a) Dns Redirection
b) Web site defacement
c) Denial of Service
DNS Redirection
In questo caso viene monitorato il database del DNS per controllare se ci sono tentativi di “avvelenamento”. Nel caso in cui il DB del DNS viene modificato Sentinet3® avviserà prontamente gli amministratori di sistema
Website Defacement
Questo è l’attacco classico apportato per minare la reputazione di una organizzazione e consiste nel modificare una home page sostituendola con un’altra che ha l’obiettivo di lanciare un messaggio denigratorio.
Grazie a Sentinet3® è possibile monitorare costantemente una home page di un sito per controllare se la stessa viene modificata. Nel caso in
cui questo dovesse avvenire Sentinet3® invia un messaggio agli amministratori e può eseguire azioni proattive come mettere il sito in manutenzione o sostituire l’homepage incriminata.
DOS
Questo attacco ha l’obiettivo di “far piantare un servizio”. In pratica aumentano enormemente le richieste di questo servizio (es. http) e fanno in maniera tale che il servizio o addirittura il server vengano bloccati. Uno dei più conosciuti è l’attacco Syn-Flood.
Grazie alla capacità di eseguire statistiche sulla rete con il modulo Network Monitoring, Sentinet3® può vedere se ci sono picchi di traffico da o verso alcuni indirizzi IP ed avvisare di conseguenza
Altro
Sentinet3® può fare molto altro. Grazie a questo dispositivo è possibile controllare sistemi di protezione perimetrale come telecamere ip, sensori di apertura e chiusura porte, sensori di temperatura, luminosità, allagamento.
In pratica è possibile eseguire un monitoraggio fisico.
Conclusioni
Sentinet3® è un sistema di unified proactive monitoring:
a) UNIFIED perché è
specializzato a monitorare tutto dalla rete, ai server, ai dispositivi di rete, ai sensori ambientali. Si pone come unico strumento di monitoraggio dell’intera infrastruttura
b) PROACTIVE perché è in grado di eseguire azioni proattive ovvero di lanciare comandi su host e dispositivi per ripristinarne il corretto funzionamento
Sentinet3® è in grado di eseguire:
a) Network monitoring
b) System monitoring
c) Application monitoring
d) Log management
e) Asset management
f) Security Monitoring
Per quanto riguarda le azioni di Security Monitoring è in grado di:
a) Controllare che la
superficie di attacco non si espanda
b) Controllare che le policy di sicurezza impostate sui sistemi non vengano modificate
c) Controllare che non ci siano attacchi specifici in corso
d) Controllare sistemi di sicurezza
perimetrale