Per Cybersecurity si intendono quelle

insieme di tecniche che consentono alle rganizzazioni di minimizzare il numero di attacchi con esito positivo al proprio sistema informativo.

Questo permette la protezione delle informazioni da furto, distruzione, corruzione consentendo nel contempo che siano accessibili ai destinatari.

La Cybersecurity ha il principale obiettivo di ridurre le vulnerabilità di un sistema ovvero tutti i difetti o debolezze che possono essere sfruttate per violarne la politica di sicurezza.

Per ridurre le vulnerabilità di eseguono tecniche definite di hardening.

Queste tecniche prevedono due step, il primo volto alla riduzione della superficie di attacco ed il secondo al miglioramento della robustezza dei sistemi.

La riduzione della superficie di attacco prevede di rimuovere tutto il software non necessario, disabilitare tutti i servizi, moduli kernel e porte non necessarie. Il concetto alla base di questa operazione è che ogni software porta con sé delle vulnerabilità intrinseche, ogni porta aperta può essere soggetta ad attacco quindi se non servono devono essere disabilitati.

Una volta ridotta la superficie di attacco bisogna concentrarsi su tutti i servizi attivi (e quindi necessari) e più in generale sui sistemi ed essere irrobustiti.

Come? Abilitando policy di complessità delle password, aggiornando le patch di sicurezza, rimuovendo tutti gli utenti non necessari, riducendo i diritti degli utenti a quelli strettamente indispensabili.

Bisogna considerare che una volta eseguito l’hardening dei sistemi al tempo T0, è solo in quel momento abbiamo la certezza dello stato della nostra infrastruttura. 

Al tempo T0+1 la nostra infrastruttura potrebbe essere mutata perché si potrebbero essere verificati eventi come:

•    Installazione di nuovo software

•    Creazione di nuovi utenti

•    Migrazione di utenti nel gruppo Amministratori

•    Mancata installazione di una nuova patch di sicurezza

Questo indica che il processo di riduzione delle vulnerabilità deve essere un processo continuo e non può eseguito unicamente al tempo T0.

Controllare la superficie di attacco

Una volta eseguito l’hardening dell’infrastruttura bisogna iniziare a controllare che la fotografia al tempo T0 della stessa non vari.

La prima cosa da fare è monitorare costantemente che la superficie di attacco non si estenda.

Questo avviene quando si verificano i seguenti eventi:

•    quando si installa nuovo software, infatti, come specificato in precedenza, ogni software ha delle vulnerabilità intrinseche che possono essere più o meno

pericolose.

•    Quando si attivano nuovi servizi

•    Quando si aprono nuove porte tcp e udp

Sentinet dispone di check che permettono di:

•    Controllare che non vari la configurazione software di un server segnalando ogniqualvolta un nuovo software viene installato

•    Controllare che non vi sia nessuna variazione sui servizi attivi, ogniqualvolta un nuovo servizio viene avviato questo viene segnalato

•    Controllare che non vengano aperte nuove porte di rete

Naturalmente il vantaggio apportato da questo prodotto è che il controllo sarà continuo e duraturo.

Controllare la robustezza dei sistemi

Una volta controllata l’evoluzione della superficie di attacco bisogna controllare che i sistemi mantengano la stessa robustezza raggiunta dopo le operazioni di hardening.

Le operazioni da eseguire ciclicamente sono fondamentalmente due:

a)    IT security patch monitoring

b)    User policy monitoring

IT security patch monitoring

Permette di controllare che i sistemi siano aggiornati alle ultime patch di sicurezza disponibili.

Questo è possibile grazie a controlli che sono in grado di eseguire questi controlli su server Windows, Debian, Ubuntu, Red Hat, Aix e Solaris, su router e switch della famiglia Cisco e sui principali antivirus in commercio

User policy monitoring

Permette:

a)    Abilitazione delle policy di sicurezza delle password

b)    Controllo sull’inserimento di nuovi utenti

c)    Controllo sul passaggio di utenti nel gruppo amministratori

Controllare i sistemi di protezione

In una infrastruttura che si rispetti e che ha una attenzione alla sicurezza sono presenti sistemi come Firewall, IDS, IPS, SIEM, Antivirus.

Tutti questi sistemi hanno il compito di aumentare la sicurezza dell’infrastruttura e ridurre le possibilità di attacchi con esito positivo.

Ma cosa succede se uno di questi sistemi non funziona correttamente o non funziona affatto?

La risposta alla domanda è scontata!

E' necessario uno strumento in grado mettere sotto monitoraggio questi sistemi ed avvertire prontamente se uno di questi ha dei problemi.

Controllare gli attacchi in corso

Oltre al controllo della superficie di attacco e sulla sicurezza dei sistemi è necessario poi monitorare che l’infrastruttura IT non sia sottoposta agli attacchi più comuni:

a)    Dns Redirection

b)    Web site defacement

c)    Denial of Service

DNS Redirection

In questo caso viene monitorato il database del DNS per controllare se ci sono tentativi di “avvelenamento”. Nel caso in cui il DB del DNS viene modificato Sentinet3®  avviserà prontamente gli amministratori di sistema

Website Defacement

Questo è l’attacco classico apportato per minare la reputazione di una organizzazione e consiste nel modificare una home page sostituendola con un’altra che ha l’obiettivo di lanciare un messaggio denigratorio.

Grazie a Sentinet3® è possibile monitorare costantemente una home page di un sito per controllare se la stessa viene modificata. Nel caso in

cui questo dovesse avvenire Sentinet3® invia un messaggio agli amministratori e può eseguire azioni proattive come mettere il sito in manutenzione o sostituire l’homepage incriminata.

DOS

Questo attacco ha l’obiettivo di “far piantare un servizio”. In pratica aumentano enormemente le richieste di questo servizio (es. http) e fanno in maniera tale che il servizio o addirittura il server vengano bloccati. Uno dei più conosciuti è l’attacco Syn-Flood.

Grazie alla capacità di eseguire statistiche sulla rete con il modulo Network Monitoring, Sentinet3® può vedere se ci sono picchi di traffico da o verso alcuni indirizzi IP ed avvisare di conseguenza

Altro

Sentinet può fare molto altro. Grazie a questo dispositivo è possibile controllare sistemi di protezione perimetrale come telecamere ip, sensori di apertura e chiusura porte, sensori di temperatura, luminosità, allagamento.

In pratica è possibile eseguire un monitoraggio fisico.

Conclusioni

Sentinet3® è un sistema di unified proactive monitoring:

a)    UNIFIED perché è

specializzato a monitorare tutto dalla rete, ai server, ai dispositivi di rete, ai sensori ambientali. Si pone come unico strumento di monitoraggio dell’intera infrastruttura

b)    PROACTIVE perché è in grado di eseguire azioni proattive ovvero di lanciare comandi su host e dispositivi per ripristinarne il corretto funzionamento

Sentinet è in grado di eseguire:

a)    Network monitoring

b)    System monitoring

c)    Application monitoring

d)    Log management

e)    Asset management

f)    Security Monitoring

Per quanto riguarda le azioni di Security Monitoring è in grado di:

a)    Controllare che la

superficie di attacco non si espanda

b)    Controllare che le policy di sicurezza impostate sui sistemi non vengano modificate

c)    Controllare che non ci siano attacchi specifici in corso

d)    Controllare sistemi di sicurezza

perimetrale

Copyright 2014 - Fata Informatica s.r.l.

Nel rispetto del nuovo Regolamento UE 2016/679 sul trattamento dei dati personali, questo sito utilizza i cookie per migliorare i servizi e l'esperienza degli utenti.