Monitoraggio della sicurezza informatica e vulnerabilità dei sistemi

Monitoraggio della sicurezza informatica e vulnerabilità dei sistemi

Monitoraggio della sicurezza informatica e vulnerabilità dei sistemi

Vulnerabilità dei sistemi e minacce informatiche

Per poter operare un efficace monitoraggio della sicurezza, occorre tenere conto anche delle vulnerabilità dei sistemi personali; sarebbe auspicabile trovare la maniera  di inserire i report dei vari vulnerability assessment effettuati all’interno del sistema di log management, per automatizzare il processo di identificazione di possibili attacchi.

Di seguito vengono analizzati alcune delle principali vulnerabilità dei sistemi informatici che possono essere presenti all’interno dell’organizzazione.

Protocolli vulnerabili

I protocolli che regolano la comunicazione tra computer sono stati pensati parecchi anni fa e con una minima attenzione alle problematiche della sicurezza. Alcuni di questi protocolli contengono vulnerabilità note e alcuni di questi sono stati sostituiti con versioni più sicure. Per eliminare tali vulnerabilità occorrerebbe definire delle policy che non permettano l’uso di protocolli vulnerabili. Sistemi che individuino tali protocolli sul loro segmento di rete, come router o IDS che siano configurati per inviare i loro log al sistema di log management, permettono di segnalare l’uso di protocolli vulnerabili non consentiti dalle policy.

Errori di configurazione

Gli errori di configurazione possono introdurre vulnerabilità su sistemi altrimenti sicuri. Tali errori possono essere frutto di sviste da parte di amministratori, mentre a volte possono essere appositamente commessi da parte di utenti che intendono svolgere attività malevole senza essere scoperti. Esempi comuni di errori di configurazione possono essere l’attivazione o la disattivazione di servizi, la modifica di configurazione di servizi che vengono resi meno sicuri. Il sistema di log management può essere utilizzato per monitorare i servizi attivi sui sistemi e per ricevere i log di sistemi di controllo dell’integrità.

Errori degli utenti

Molte vulnerabilità vengono introdotte nei sistemi da parte degli utenti che, sia perché non sono adeguatamente formati sulle possibili minacce, o perché giudicano eccessive le policy di sicurezza, possono tenere dei comportamenti o commettere errori che mettano a repentaglio la sicurezza della rete e del sistema informativo dell’organizzazione. Esempi di comportamenti di questo tipo sono l’installazione di software non autorizzato, la navigazione su siti di dubbia reputazione, il desiderio di accedere a documenti riservati, la navigazione su siti contenuti in email che sono in realtà attacchi di phishing. Al di là del fatto che la contromisura più efficace a questo tipo di vulnerabilità è la formazione continua degli utenti, questi comportamenti, se il sistema di log management è opportunamente configurato, possono essere monitorati.

Minacce interne ed esterne

Passando dal campo delle vulnerabilità a quello delle intenzioni malevole, le reti aziendali sono normalmente meno protette verso gli attacchi provenienti dall’interno rispetto a quelli provenienti dall’esterno. Il motivo principale è che molte reti sono costruite puntando i sistemi di sicurezza verso l’esterno, là dove si pensa vengano la maggior parte delle minacce. Le statistiche dicono invece che la maggior parte degli attacchi proviene dall’interno; per questo motivo nelle misure di sicurezza occorre sempre tenere presente tali minacce.

Come contromisure alle minacce interne, occorre sempre tenere conto del principio del minimo privilegio, cercando di fare in modo di concedere a ciascun utente i minimi privilegi che gli permettano di svolgere la sua attività. Le tecniche per limitare le possibilità che utenti alterino la sicurezza dei sistemi e/o per rilevare possibili azioni malevole sono:

  • separazione dei privilegi;
  • rotazione delle attività;
  • definizione di access control list (ACL) secondo il principio del minimo privilegio;
  • implementare l’auditing su dati critici, applicazioni, configurazioni e log dei sistemi.

Le minacce esterne sono generalmente più facili da rilevare, in quanto esistono apparati di sicurezza in grado di segnalare attacchi provenienti dall’esterno.

Tale rilevazione è più facile nel caso di attacchi operati con tool automatici, che lasciano molte più tracce e generano più “rumore”, rispetto ad attacchi manuali mirati.

Precedente Monitoraggio della sicurezza informatica mediante analisi dei rischi Successivo Monitoraggio della sicurezza informatica e riconoscimento degli attacchi

Lascia un commento

*