Sicurezza informatica, come difendersi dalle minacce più moderne in ufficio e in azienda

Una serie di suggerimenti per difendersi dalle minacce informatiche più recenti in ufficio e in azienda.

Le moderne minacce informatiche sono sempre più diffuse e pericolose tanto che le realtà aziendali saranno costrette a confrontarsi con malware sempre più complessi e attacchi mirati. Aggressioni mirate, peraltro sempre più diffuse (dette APT; advanced persistent threat), vengono messe in campo dai criminali informatici per svolgere attività di spionaggio industriale, per sottrarre l’altrui proprietà intellettuale o informazioni riservate oppure, più semplicemente, per provocare gravi danni (come perdite di dati).

La sicurezza informatica deve quindi inevitabilmente diventare una delle priorità in qualunque azienda e presso qualunque studio professionale. I dati, compresi quelli personali, sono linfa vitale per l’economia globale: proteggere i propri dati e quelli dei clienti in maniera adeguata rappresenta la chiave di volta per ottenere un vantaggio competitivo sulla concorrenza, per tutelare e ampliare il proprio business, per preservare la libertà di comunicare.

Eppure capita spesso di leggere di attacchi APT sferrati con successo da parte dei criminali informatici: tali aggressioni informatiche sfruttano molteplici tattiche per penetrare all’interno dell’infrastruttura di un’azienda installando quindi componenti software che permettano di monitorare l’attività altrui e sottrarre preziose informazioni.
Gli attacchi APT sono i più pericolosi perché prendono di mira una realtà aziendale ben precisa senza sferrare un’aggressione su vasta scala.


Nel caso degli APT i criminali informatici cercano di individuare una porta d’ingresso all’interno dell’infrastruttura di rete altrui sfruttando debolezze interne ed errori di configurazione. Ad esse preso di mira è solitamente un sistema di un soggetto che non sta in cima alla gerarchia aziendale, ad esempio la workstation di un dipendente o di un collaboratore, magari anche al di fuori delle mura dell’impresa.

Si immagini il pericolo che può determinare nei confronti della sicurezza delle informazioni colui che portasse in azienda un dispositivo infetto (un notebook ma anche uno smartphone o un tablet…). Se tale device fosse già stato oggetto di attacco, un aggressore potrebbe usarlo come “testa di ponte” per razziare quante più informazioni possibile una volta connesso alla rete aziendale.

La facilità con cui qualunque dispositivo, anche personale, può essere collegato alla rete di un’impresa pone inevitabilmente dinanzi a una serie di interrogativi che non possono e non devono essere sottovalutati.

Nel nostro articolo ci proponiamo di offrire una serie di suggerimenti che consentiranno di difendersi dalla stragrande maggioranza delle minacce.

1) Prevenzione e formazione

Molti decisori aziendali si rendono conto dell’importanza della prevenzione quando ormai è troppo tardi. La gestione delle vulnerabilità con misure preventive in atto, insieme a forti capacità di rilevazione e risposta, funzionano meglio se lavorano “in tandem” per prevenire e rispondere alle violazioni.
Per evitare incidenti, la cui gestione è diventata molto più severa dopo l’ufficiale entrata in vigore del nuovo regolamento europeo sulla protezione dei dati personali (GDPR), la prevenzione resta lo strumento principe per preservare le informazioni dei propri clienti e i dati riservati relativi alla propria attività.

Cruciale, in questo senso, rimane la formazione del personale che dovrà essere consapevole dei rischi cui espongono alcuni tipi di comportamenti.

2) Adozione di una soluzione per la sicurezza di tipo centralizzato

Tutti i principali produttori di soluzioni per la sicurezza informatica propongono soluzioni per la protezione a 360 gradi della rete aziendale. Tali strumenti utilizzano un approccio centralizzato (con o senza l’utilizzo di agent da installare sui singoli endpoint) che permette di rilevare e neutralizzare istantaneamente componenti sospetti sulle singole macchine, verificare lo stato degli aggiornamenti software (vulnerability management) nel caso del sistema operativo e di tutte le applicazioni installate, creare un inventario di tutti i dispositivi connessi alla rete locale e, per ciascuno di essi, avere informazioni sul suo stato, prendere il controllo del dispositivo da remoto per procedere con l’installazione di un aggiornamento o l’applicazione di una modifica sul sistema (policy più restrittiva), proteggere server e singole workstation sia dalle minacce generiche (commodity malware) che dalle minacce sconosciute e dagli attacchi APT grazie all’analisi comportamentale e in cloud.

3) Corretta configurazione dei permessi e condivisione delle risorse in rete locale

È sempre bene evitare di fornire a collaboratori e dipendenti account utente dotati dei diritti amministrativi. Gli utenti dovrebbero poter accedere alle sole risorse di loro esclusiva competenza, senza avere né visibilità né tanto meno la possibilità di visualizzare o modificare dati altrui.
Nell’articolo Autorizzazioni cartelle condivise in Windows: come gestirle abbiamo visto come assegnare i permessi per l’accesso alle varie cartelle condivise in rete locale.

4) Rilevamento delle vulnerabilità software e loro correzione

È cosa ampiamente nota che in azienda spesso si usano sistemi operativi e applicazioni non aggiornati, che contengono falle già risolte ma per le quali non sono state installate le corrispondenti patch.
Allo stesso modo vengono frequentemente installati e adoperati dispositivi hardware che sono costantemente collegati alla rete e che magari vengono resi raggiungibili e accessibili dall’esterno (router, NAS, telecamere di sicurezza, device IoT,…). Se non adeguatamente protetti (anche con l’installazione delle versioni del firmware più aggiornate ed esenti da problemi conosciuti) tali device possono fungere da “testa di ponte” per attaccare l’intera rete aziendale.

Creare un inventario dei software usati in azienda è un aspetto fondamentale: l’applicazione delle patch rilasciate dal produttore e la rimozione dei programmi che hanno raggiunto il loro “fine vita” sono operazioni che consentono di minimizzare la superficie d’attacco identificando vulnerabilità critiche che possono essere sfruttate da parte dei criminali informatici.

5) Adozione di una policy efficace per il backup dei dati

Preferibilmente abbinata alla gestione multiversione dei file (ottima protezione nei confronti dei danni causati dai ransomware), una politica efficace dei dati permette di mettersi al riparo – se non altro – dalla perdita di informazioni e da danni economici talvolta anche ingenti.
Con un backup multiversione vengono conservate più versioni degli stessi file: nel caso in cui alcuni elementi si danneggiassero oppure fossero oggetto di un attacco ransomware, eliminata l’infezione si potranno facilmente recuperare le precedenti versioni.

I migliori server NAS disponibili sul mercato offrono strumenti per predisporre il backup multiversione, attivare la copia dei dati sul cloud (ove ritenuto necessario) e sincronizzare le dati tra filiali e sedi poste anche a grande distanza l’una dall’altra. Vedere Proteggere i dati contro i ransomware con i NAS Synology e Server NAS e cloud: un binomio vincente.

6) Controllare gli accessi alla rete e le porte visibili sulla rete WAN. Segmentazione della rete e utilizzo di VPN.

È fondamentale esaminare ed eventualmente ripensare la struttura e la configurazione della rete verificando quali servizi l’azienda espone in rete.
Se un software o un dispositivo installati in rete locale offrono funzionalità che devono poter essere raggiungibili da remoto, spesso si sente l’esigenza di aprire sul router la corrispondente porta in ingresso e inoltrare i dati verso l’IP privato corretto (port forwarding).
È però essenziale che il software locale che risponde alle richieste provenienti da remoto (si pensi anche al firmware di una videocamera di sorveglianza) non soffra di problemi di sicurezza. Diversamente, le vulnerabilità presenti in tale dispositivo potrebbero essere sfruttate dai criminali informatici per farsi largo all’interno dell’infrastruttura aziendale.

Al di là degli attacchi APT o comunque delle aggressioni sferrate nei confronti di una vittima ben precisa, utenti malintenzionati effettuano continuamente attività di port scanning (Port scanning: un’arma a doppio taglio. Difendetevi) e adoperano strumenti come Shodan per individuare obiettivi da prendere di mira (Shodan, cos’è e come permette di scovare webcam, router, NAS e altri dispositivi remoti).

Non c’è bisogno di avere un impianto sciistico (Il pannello di controllo di un impianto sciistico in Austria gestibile da chiunque via Internet), gestire un impianto industriale o un’impresa che tratta dati sensibili: se una porta è visibile in rete la propria presenza è manifesta e i criminali informatici possono trovare vie per penetrare nella rete locale.

Un dispositivo non dovrebbe mai essere esposto sulla rete WAN, neppure se protetto con nome utente e password perché, come ricordato, la presenza di eventuali vulnerabilità può consentire a un malintenzionato di superare anche la schermata di login.

Per accedere da remoto ai dispositivi configurati sulla rete locale, quindi, si dovrebbe sempre impostare e configurare correttamente un server VPN. In questo modo tutto il traffico da e verso la rete locale sarà automaticamente crittografato, non si esporranno porte in rete (tranne ovviamente quella per la connessione al server VPN locale) e si avrà la possibilità di effettuare collegamenti a distanza in tutta sicurezza:

Server VPN, come crearlo usando un NAS
Rendere più sicura la VPN sui server NAS Synology
Connessione VPN in Windows con OpenVPN

Un’ulteriore precauzione, particolarmente efficace in azienda, consiste nel segmentare la rete locale e isolare i sistemi informatici più critici.
A questo proposito è possibile ricorrere alle VLAN: configurando opportunamente router e switch capaci di supportare l’utilizzo delle VLAN, si può fare in modo che certi dispositivi non siano direttamente visibili e accessibili da parte di altri.

Con le VLAN si possono quindi separare dal resto della rete telecamere di videosorveglianza, dispositivi VoIP, sistemi informatici e server mission critical e così via. Così facendo un’infezione non potrà diffondersi sull’intera rete e un dispositivo accessibile da remoto non potrà essere usato né per monitorare le attività espletate sulla LAN né per sottrarre dati personali.

7) Impostazioni da verificare sul modem router

Il modem router è il dispositivo che funge da interfaccia per la connessione alla rete Internet.
Nell’articolo Configurare un router, le cose da fare dopo l’acquisto abbiamo presentato alcune impostazioni che non dovrebbero mai essere tralasciate dopo l’installazione in azienda o in ufficio di un router.

Suggeriamo di impostare correttamente la rete WiFi scegliendo una password lunga e complessa e l’algoritmo WPA2 o il neonato WPA3: WPA3, cos’è e come funziona: più sicurezza per le reti WiFi.

È altresì importante disattivare il supporto UPnP (Universal Plug and Play) sul router: con UPnP abilitato, infatti, software e dispositivi installati all’interno della rete locale possono aprire porte in ingresso sul router causando vere e proprie “voragini” in termini di sicurezza, soprattutto se il programma dotato di funzionalità server o il firmware del device presentassero delle vulnerabilità.
A tal proposito, vedere Sicurezza router, il pericolo può arrivare anche da UPnP?

Consigliabile anche la disattivazione del PIN WPS sul router mentre il pulsante WPS può essere lasciato attivo, soprattutto se il router fosse in un luogo fisicamente poco accessibile: Pulsante WPS, come funziona e quanto è sicuro.

La rete WiFi dell’ufficio, inoltre, dovrebbe essere mantenuta sempre separata dagli accessi concessi agli utenti che saltuariamente volessero usare la rete. Si pensi ad esempio alle strutture ricettive che dovranno usare le funzionalità del router per la creazione di reti WiFi guest.

È bene infine accertarsi che l’amministrazione remota del router sia disattivata e controllare che il dispositivo non risponda al PING sulla porta WAN (nessun invio di pacchetti ICMP). In questo modo il router sarà di fatto invisibile sulla rete Internet.

8) Utilizzo della cifratura dei dati su unità rimovibili e dispositivi portatili, ma anche su desktop

Il GDPR ha sancito per legge anche l’obbligo di implementare la cifratura dei dati sui dispositivi portatili e rimovibili. Per evitare che informazioni aziendali e dati riservati possano cadere nelle mani altrui, è fondamentale configurare i sistemi informatici che sono di solito portati al di fuori dell’impresa con le più adeguate soluzioni crittografiche.

Nell’articolo Crittografia SSD: quella hardware talvolta fa acqua e BitLocker può risultare inefficace abbiamo visto che attivare la crittografia hardware fornita dai produttori di alcuni hard disk e SSD professionali può non bastare.

È invece preferibile ricorrere a un’affidabile soluzione software che permetta di cifrare il contenuto di qualunque unità di memorizzazione. Un paio di validi esempi sono BitLocker e VeraCrypt:

BitLocker, cos’è, come funziona e perché è da attivarsi in ottica GDPR
Come proteggere il contenuto dell’hard disk con VeraCrypt e Bitlocker
BitLocker, come funzionano il recupero delle chiavi e lo sblocco con USB

Per approfondire le proprie competenze in materia di sicurezza informatica, suggeriamo anche i nuovi corsi gratuiti di F-Secure: Corsi online sulla sicurezza informatica: in partenza quelli di F-Secure, gratis.

Ti consigliamo anche

Link copiato negli appunti