Security Operation Center, sicurezza informatica a un livello superiore

  1. Home
  2. Non categorizzato
  3. Security Operation Center, sicurezza informatica a un livello superiore
Magazine
antivirus lan&wan

L’antivirus non basta più a difendere i nostri dati sensibili. Questa è l’era del SOC – Security Operation Center, un centro dedicato alla prevenzione degli attacchi informatici, grazie a vari strumenti e database sempre aggiornati.

Siamo ormai abituati a condividere la nostra vita attraverso i social e quindi per chiunque è normale pensare di accedere a informazioni sulla vita altrui attraverso Facebook o Instagram.  Ma è altrettanto normale che chiunque possa ottenere facilmente informazioni su di noi, a partire da quelle riguardanti l’identità, come nome, cognome, indirizzo email, numero di telefono e talvolta anche l’indirizzo di casa. 

Ma la facilità, per non dire la superficialità, con cui tendiamo a gestire i nostri dati personali, fa sì che anche quelli più riservati, i cosiddetti dati sensibili, vengano spesso condivisi. E così, divengono facilmente a disposizione di molti:

  • Dati bancari (Carte Bancomat o Credito)
  • Documenti che riguardano il nostro stato di salute
  • Documenti aziendali che possono essere utilizzati per affossare il nostro business
  • Intelligence sul nucleo familiare e conoscenze
  • E molto altro ancora…

Ma come vi sentireste se un bonifico di 10 mila euro fatto da voi stessi verso un vostro fornitore non arrivasse mai al suo legittimo destinatario; e che dopo un breve controllo vi accorgeste che l’IBAN fornitovi dall’email amministrativa del destinatario è diverso dal “solito”?

Questo è quello che accade ogni giorno per migliaia di impiegati amministrativi in migliaia di aziende diverse, nel mondo intero. Com’è successo? Le modalità sono parecchie e possono essere più o meno raffinate, ma quel che è certo è che l‘antivirus, per quanto mantenuto e aggiornato, non può più essere l’unico strumento di sicurezza. Un automatismo non è più sufficiente. La buona notizia è che porre fine a questi incidenti è comunque possibile grazie a un SOC – Security Operation Center.

Come fa il SOC a prevenire attacchi hacker?

Il SOC – Security Operation Center di Lan & Wan Solutions sviluppa di continuo nuove soluzioni per prevenire attacchi informatici di qualsiasi tipo, servendosi di vari strumenti e database sempre aggiornati. Di seguito vedremo quali sono gli elementi che interessano la sicurezza dell’infrastruttura IT con qualche consiglio per migliorare la “Security Architecture” aziendale.

SOC - Security Operation Center

1. Network Segmentation

La corretta segmentazione della rete è indispensabile per mantenere sicura l’intera infrastruttura aziendale: un servizio contenente vulnerabilità pubblicato in un dispositivo nell’internal LAN può causare danni catastrofici sotto tutti i punti di vista della sicurezza, arrivando, nel peggiore dei casi, a permettere il controllo completo del dominio all’attaccante.

Di seguito alcuni accorgimenti da osservare:

  • Creazione di DMZ e inserimento di tutti i dispositivi con servizi pubblicati in tale rete
  • Vulnerability Assessment periodico della rete e del pool di Public Ips di proprietà
  • Cambio di tutte le passwords di default negli apparati collegati in rete

Come agisce il SOC – Security Operaton Center

In questo ambito i nostri Network Security Experts si ocuperanno di analizzare tutte le policy ed il routing del traffico, proponendo tutte le migliorie utili ad alzare esponenzialmente i livelli di security in questo ambito.

2. Device Configurations

Tutti i Server e le PDL devono essere configurati secondo best practices evitando di lasciare share accessibili a chiunque o conferendo permessi non necessari ad utenti all’interno dell’infrastruttura.

Uno degli errori dei System Administrators è quello di incolpare solamente “l’insider scontento” del furto di dati non autorizzati, quando a monte questo non avrebbe dovuto avere permessi d’accesso a ciò che è stato rubato.

Come agisce il SOC – Security Operaton Center

Qui entrano in gioco i Cyber Security Specialists che dopo un Vulnerability Assessment identificheranno tutte le mis-configuration e creeranno un report contenente tutte le vulnerabilità presenti nei sistemi in rete.

In aggiunta, per quanto riguarda la sicurezza in ambito Active Directory, il SOC analizzerà la configurazione in uso e con il cliente concorderà un nuovo set di regole per permettere una corretta segmentazione dei permessi.

3. Risorse Hardware

Le risorse Hardware sono spesso sottovalutate ma, in alcuni casi sono la porta d’accesso alle nostre infrastrutture nell’ambito security. Non è strano vedere malware RAT o attacchi esterni che cominciano con DDOS per portare i firewall in “conservative mode”: questa tecnica costringe il firewall a scegliere se dare un disservizio, e quindi stoppare tutto il traffico, o in alternativa (come è configurato in gran parte degli apparati) fare esattamente l’opposto: permettere a tutto il traffico di passare indisturbato.

Inutile dire che a quel punto l’attaccante ha una finestra temporale per sfruttare tutto il suo arsenale tentando di ottenere shell nell’infrastruttura della vittima.

Come agisce il SOC – Security Operaton Center

Qui il SOC con i vari strumenti a sua disposizione monitorerà lo stato dell’hardware di tutti i key devices, scongiurando in questo modo ogni possibilità di breach derivante dall’utilizzo di questo tipo di tecniche.

4. Applications

In un oceano dove ogni molecola d’acqua è una vulnerabilità dobbiamo essere consci che gli applicativi che utilizziamo ogni giorno possono essere soggetti a problematiche di sicurezza. Mi viene in mente un’intervento di qualche anno fa su un cliente che riscontrò un virus (Malware che inietta codice in aree vuote di processi ed eseguibili) che era stato veicolato nell’infrastruttura dall’interno, ovvero da un’aggiornamento del gestionale infetto.

Il risultato era disastroso, dopo un controllo degli MD5 risultò che tutti gli eseguibili erano infetti in quanto diversi da quelli originali.

Come agisce il SOC – Security Operaton Center

Il SOC monitora costantemente la suite antivirus e correla tutti i dati disponibili avvalendosi anche del Traffic log del firewall per identificare minacce anche per quanto riguarda i payload 0-day.

5. Removable Devices & Users

Sempre più raro nelle aziende strutturate, ma comunque presente, è il rischio di contrarre infezioni Malware attraverso dispositivi removibili utilizzati dai dipendenti sia nei computer di casa che quelli aziendali.

Mi viene in mente un’azienda che si trovava puntualmente i file trasformati in link all’interno delle chiavette e non sapeva spiegarsene il motivo, in quanto ogni volta che veniva eseguita una scansione nelle USB veniva sempre rimosso un malware. La risposta era ovvia: anche gli host avevano il malware che fungeva da WormDropper in presistenza.

Questo tipo di attacco è stato un bel campanello d’allarme per l’azienda in questione, che ha cominciato da quel momento a vedere la sicurezza informatica come una parte fondamentale del loro business.

Cosa sarebbe successo se al posto di un worm puro il payload avesse avuto anche funzionalità Ransomware? 

Come agisce il SOC – Security Operaton Center

Il SOC monitora anche gli accessi dei dispositivi attraverso i moduli forniti dall’antimalware (se presenti) o implementando altri sistemi di sicurezza di Lan & Wan Solutions.

Contattaci per maggiori informazioni

Richiedi informazioni

Menu