n questo articolo riportiamo il punto di vista Alessio Mercuri, Security Engineer di Vectra AI, e Michele Vescovi, R&D Manager di Praimectra AI e Praim su come approcciare il tema della sicurezza.

“Le esigenze di mobilità e flessibilità – afferma Alessio Mercuri – hanno portato le aziende ad abilitare in fretta nuovi strumenti a garanzia dell’operatività dei propri dipendenti. Mobilità e flessibilità delle postazioni di lavoro portano con sé, però, anche uno spostamento di dati e informazioni al di fuori del consueto perimetro aziendale. Per mantenere l’operatività, le aziende cercano quindi soluzioni capaci di garantire la sicurezza dei dipendenti e delle informazioni nella loro disponibilità, ovunque si trovino”

Secondo Michele Vescovi è necessario affrontare la sicurezza con un metodo olistico e integrato, dove ogni anello dell’infrastruttura IT offra strumenti di protezione, capaci di integrarsi e garantire le informazioni necessarie a contribuire alla sicurezza complessiva.
Possono essere messe in campo tecniche di supervisione per individuare, segnalare e bloccare, anomalie di sicurezza all’interno del perimetro aziendale o ai confini.
Le PDL oggi sono aziendali, individuali e personali, dalle quali collegarsi alle risorse aziendali anche da remoto e da sorgenti di rete non sicure.
L’approccio alla security deve interessare tutti i punti di potenziale debolezza o vulnerabilità dei sistemi, dai servizi centrali ove risiede il “valore” aziendale, al perimetro utente che rappresenta un possibile elemento vulnerabile. La messa in sicurezza di ogni PDL deve riguardare sia il dispositivo sia i flussi di lavoro.

Secondo Vectra AI è difficile prevedere quando e come una macchina o l’account di un utente verrà compromesso da una minaccia o da un attore esterno, ma è possibile rilevarne i segnali e determinarne il comportamento. Per questo non basta affidarsi a soluzioni di prevenzione delle minacce informatiche: oltre a costruire barriere all’ingresso, occorre dotarsi di soluzioni che analizzino costantemente il comportamento delle macchine e degli utenti e che siano a conoscenza delle tecniche e metodologie utilizzate dagli attaccanti. Ciò permette di rilevare in tempo potenziali attacchi – noti e ignoti – e aiuta a bloccarli sul nascere prima che si trasformino in violazioni e producano danni al business.

Per Praim sono tre i fattori generali per rendere sicura una postazione.
Il primo è quello di creare una postazione d’uso ottimizzata e specializzata per lo scopo a cui è dedicata. È indubbio che una postazione “general purpose”, è più difficile da proteggere perché deve essere lasciata libera di eseguire ogni genere di applicazione e software con connessioni diverse. In caso di postazioni multiple, il secondo criterio è l’uniformità, che consente di replicare efficacemente le misure di sicurezza adottate indistintamente. Il terzo punto è la manutenzione. Così come hacker, malware, ransomware e virus sono in continua evoluzione. Allo stesso modo devono esserlo i software chiamati a proteggere da queste minacce. La manutenzione continua e la tempestività nell’adottare gli aggiornamenti di sicurezza su tutte le PDL sono imprescindibili.

La sicurezza informatica deve essere evoluta e stratificata. Uno degli approcci vincenti è l’uso del VDI e di postazioni dedicate e specializzate al collegamento al VDI come i Thin Client che permettono di creare e gestire macchine virtuali con sistema operativo desiderato e di eseguirle in modo virtuale su un server centralizzato. L’utente finale, sul suo dispositivo interagirà con il sistema virtuale remoto come se stesse lavorando esattamente sulla propria postazione, eseguendo solo un client per la decodifica video e per l’invio delle informazioni di interazione.

Di regola, una postazione di lavoro virtuale (VDI) non è esclusa dall’applicazione delle stesse best practice di protezione tipiche di una classica postazione di lavoro. Tuttavia, si rendono necessari ulteriori accorgimenti in considerazione del fatto che spesso queste tipologie di postazioni sono accessibili da remoto (remote-working) e che, essendo dinamiche per natura, possono essere utilizzate da più utenti nell’arco della giornata (multi-utente). È evidente, quindi, che tali postazioni possono risultare obiettivi prediletti per gli attaccanti per avere un primo accesso all’infrastruttura. Ecco perché è importante rilevare i segnali di eventuali compromissioni di credenziali (on-prem e cloud) e tenere sotto stretta osservazione l’utilizzo di protocolli amministrativi come RDP.

Per proteggere le postazioni aziendali alcuni approcci tecnologici sono più efficaci di altri. Tra i più importanti l’autenticazione per verificare che ad accedere alla postazione e alle risorse aziendali, siano solo utenti validati. L’autenticazione a più fattori riduce i rischi di diffusione involontaria di password così come l’uso di un OTP sui dispositivi personali garantisce maggiore sicurezza.
Anche limitare la scrittura su disco è di aiuto. I Thin Client, ad esempio, adottano la tecnica del Write Filter che non dà la possibilità di scrivere sul disco locale e ciò che viene eseguito e modificato è conservato in memoria volatile (RAM). Ad ogni riavvio si ha una postazione pulita dal punto di vista del sistema, sulla quale i tentativi di attacco che chiedono modifica dei file o del sistema locale non attecchiscono. Impedire la possibilità di modificare i parametri di sistema o di definire autonomamente nuove connessioni di rete è un’altra buona norma per garantire la sicurezza. Inoltre si raccomanda l’adozione di VPN (Virtual Private Network), a garanzia di connessioni sicure. Anche il blocco delle periferiche, ove non necessario, permette di prevenire il collegamento di dispositivi esterni non sicuri.

Nascoste all’interno dell’elevato volume di traffico proveniente dalle attività dei lavoratori da remoto, dalle reti aziendali e dalle istanze cloud, ci sono piccole, ma importanti informazioni che, se interpretate correttamente, permettono di rilevare minacce e potenziali attacchi dannosi. Attraverso l’utilizzo di una piattaforma di Threat Detection and Response potenziata dall IA, i team di sicurezza possono ridurre il carico di lavoro e il tempo necessario per rilevare e analizzare questi segnali, incrementando efficienza ed efficacia e rispondendo in tempo prima che l’attaccante riesca ad arrecare danni all’infrastruttura.

Vectra è una piattaforma di Threat Detection and Response che utilizza l’Intelligenza Artificiale avanzata, focalizzata sul rilevamento e sulla risposta alle minacce all’interno della rete, senza rumore e senza bisogno di effettuare decryption Che si tratti di ambienti ibridi e cloud-nativi (AWS, Azure o GCP), di applicazioni SaaS come Microsoft Office 365 e Azure AD, di carichi di lavoro nel data center, di dispositivi IoT o di reti aziendali, la piattaforma Vectra è in grado di analizzare, correlare e ordinare secondo criteri di priorità i comportamenti malevoli che possono mettere a rischio l’organizzazione, fornendo informazioni immediatamente utili all’investigazione e meccanismi di risposta automatizzati.

I Thin Client, fiore all’occhiello di Praim, sono postazioni specializzate che possono essere dotate di sistemi operativi dedicati e ottimizzati per lo scopo, più snelli e facili da proteggere. Su queste postazioni il numero di applicazioni disponibili viene limitato ai client per collegarsi online o al VDI prescelto. Le soluzioni Thin Client, tramite firmware dedicati, offrono anche specifiche funzionalità di sicurezza e interfacce semplificate e specializzate che limitano l’azione degli utenti alle sole funzionalità concesse riducendo le potenzialità di azioni scorrette che possono inficiare la sicurezza della postazione di lavoro.