Che cos'è la sicurezza aziendale?


La sicurezza aziendale è una questione estremamente complessa che include sia i segreti aziendali interni o proprietari di un'azienda, sia i dati dei dipendenti e dei clienti relativi alle leggi sulla privacy. La sicurezza aziendale è sempre più al centro dell'attenzione, soprattutto da quando alcune grandi multinazionali come Facebook, Yahoo!, Target, Home Depot ed Equifax hanno subito sanzioni economiche e sono state oggetto di interventi normativi a seguito del furto di dati sensibili dei loro clienti da parte degli hacker. Se prima le aziende erano sostanzialmente interessate a proteggere il proprio codice proprietario o i segreti commerciali da concorrenti e falsari, ora si trovano ad affrontare nuove leggi sulla privacy dei dati negli Stati Uniti e nell'Unione Europea che possono imporre pesanti sanzioni economiche alle aziende che utilizzano in modo improprio o cui vengono sottratti i dati dei consumatori. Il passaggio all’infrastruttura cloud per il supporto dei processi aziendali introduce nuove sfide per la sicurezza aziendale nell'IT.

Scopri come proteggere la tua azienda dalle minacce

Scopri come proteggere la tua azienda dalle minacce

Scopri di più 

La sicurezza di classe enterprise è di fatto incentrata sul data center, sul networking e sulle operation dei web server, ma tecnicamente inizia con le risorse umane. Secondo alcuni ricercatori sulla sicurezza, il social engineering è la causa primaria di ben due terzi di tutti gli attacchi di hacking riusciti. Negli attacchi di social engineering, gli hacker sfruttano le debolezze insite nella natura umana, la corruttibilità dei dipendenti o l’ingenuità personale per ottenere l'accesso a una rete o a risorse di dati. Gli attacchi di phishing tramite e-mail incoraggiano i dipendenti a fare clic sui link per scaricare e installare malware. Negli attacchi di Vishing (phishing vocale o VoIP), gli hacker sfruttano le conversazioni telefoniche con vari dipendenti per ottenere informazioni privilegiate che compromettono la sicurezza della rete, come le password. Smishing (phishing tramite SMS), baiting, spearfishing e water holing sono tutte tecniche di hacking correlate basate su processi di social engineering. Questi vettori di attacco possono compromettere anche i più solidi sistemi di sicurezza della rete e possono essere contrastati solo grazie a una maggiore consapevolezza dei dipendenti, che può essere conseguita mediante formazione, verifica e screening.

Gli attacchi automatizzati di hacking si basano su script e prendono di mira in modo continuativo le risorse del data center, quali web server e applicazioni online, tramite punti di immissione di testo come schermate di login, moduli di contatto, query di ricerca su database e processi di amministrazione back-end. Esempi comuni di attacchi di script bot sono gli attacchi di MySQL injection ed exploit di scripting cross-site. La possibilità di inviare il codice a un server tramite moduli non protetti può causare la perdita di un intero database, incluse tutte le informazioni delle tabelle, le password e i dati finanziari sensibili dei clienti. Gli attacchi tramite iniezione di codice sono diversi dal password cracking e permettono agli hacker di ottenere l'accesso completo con privilegi di amministratore o la possibilità di stabilire backdoor su un server tramite FTP e la riga di comando. Gli hacker migliori impiegano in genere dai 30 ai 90 giorni per la ricognizione di un sistema di rete compromesso con accesso interno prima di iniziare il processo di trasferimento delle informazioni del database o l'installazione di codice remoto malevolo.

Perché è importante la sicurezza aziendale?

L'importanza della sicurezza aziendale può essere illustrata esaminando il ruolo della crittografia nelle comunicazioni Internet. Quando viene inviata un'e-mail o viene immessa una password utente per accedere a un sito web, i dati vengono trasferiti da un punto all'altro tramite una serie di canali di terze parti in cui potrebbero essere intercettati e letti da utenti malintenzionati con accesso non autorizzato, a meno che non siano crittografati. La minaccia include agenti non autorizzati che utilizzano software di sniffing dei pacchetti installati sulla rete di telecomunicazione, sul provider di servizi Internet o sui canali Wi-Fi locali. Anche se il valore delle informazioni inviate tramite queste connessioni può variare, nessuna azienda o altra organizzazione complessa può permettere a terze parti con intenzioni malevole di monitorare su canali aperti i propri segreti commerciali, le comunicazioni con i clienti e le discussioni interne. La possibilità di accedere a password e informazioni di login non crittografate può compromettere non solo singoli account e dati, ma anche un'intera rete aziendale, nel caso in cui un intruso dovesse ottenere l'accesso al data center.

Di conseguenza, la maggior parte dei siti web e delle mobile app ora applica la crittografia HTTPS tramite certificati SSL/TLS nei vari canali di comunicazione degli utenti. I data center hanno adottato funzionalità di sicurezza di tipo “militare”, che includono dati biometrici, sistemi di accesso controllati e monitoraggio 24/7 delle strutture per impedire l'accesso fisico non autorizzato. I programmi di formazione per i professionisti IT possono aumentare la capacità di individuare segnali di attacchi di social engineering. Anche se l'accesso fisico è controllato in modo rigoroso, le multinazionali continuano a subire attacchi di hacking dalle regioni più lontane del mondo, che possono anche includere attività sponsorizzate dallo stato da regimi quali Russia, Cina, Iran e Corea del Nord.

L'hacking sponsorizzato dallo stato può riguardare segreti militari e industriali correlati all'ingegneria nei programmi di armamento, aeronautica o ricerca avanzata in altri settori sensibili. L'hacking sponsorizzato dallo stato può colpire anche le media company, come nel caso dell’attacco hacker alla Sony Pictures da parte della Corea del Nord, per attività di propaganda o per rendere pubblico il comportamento corrotto dei pubblici ufficiali attraverso la sottrazione e la divulgazione di comunicazioni personali.

Ai livelli più alti, i team di hacking sponsorizzati dallo stato o gli hacker in cerca di pubblicità possono concentrarsi su obiettivi di alto livello, con azioni assimilabili ad atti di terrorismo o in grado di causare la perdita di vite umane, come in caso di guerra cibernetica. Il virus Stuxnet è solo un esempio degli effetti dello spionaggio industriale e dell'hacking delle agenzie di intelligence. Questi gruppi, così come gli hacker criminali o in cerca di pubblicità, possono prendere di mira infrastrutture pubbliche essenziali come centrali elettriche, telecomunicazioni o produzione industriale per causare crolli o danni fisici a strutture con lo scopo di causare panico e caos. Al contrario, gli hacker criminali in genere cercano solo di sottrarre informazioni sulle carte di credito, credenziali di accesso ai conti bancari e criptovaluta per ottenere un guadagno finanziario personale. Milioni di numeri di carte di credito sono già disponibili per la vendita sul Web oscuro, a un prezzo di appena 1 dollaro per carta. Gli attacchi di hacking che hanno come bersaglio le informazioni personali dei consumatori possono portare a furti di identità, addebiti fraudolenti o appropriazione indebita di risorse finanziarie, difficili da rilevare o bloccare per le autorità senza la diffusa interdizione da parte di forze dell'ordine o agenzie internazionali.

Architettura della sicurezza di classe enterprise

L’architettura della sicurezza di classe enterprise deve proteggere l’infrastruttura da attacchi fisici, di social engineering e di script-bot, proteggendo al contempo i sistemi che prevedono l’inserimento di password dal cracking e i canali di input utente dall’iniezione (o esecuzione) di codice remoto. Il firewall di rete è considerato la principale barriera contro gli attacchi di pirateria informatica. La maggior parte dei pacchetti software per firewall di rete ora include la possibilità di eseguire la scansione dei dati dei pacchetti in tempo reale per ricercare potenziali virus, malware, worm e ransomware. Il problema con la scansione antivirus è che si tratta di un approccio ex post alla sicurezza che fa affidamento sulla capacità delle agenzie professionali di identificare il malware prima che questo possa essere rilevato. Negli attacchi “zero-day”, viene utilizzato un codice di exploit che non è mai stato rivelato o classificato dagli esperti di sicurezza per penetrare in una rete, in una piattaforma software, in un dispositivo firmware o in un sistema operativo. Poiché non è possibile difendersi in anticipo dagli attacchi zero-day, le aziende devono implementare policy di sicurezza multi-tier che isolano e contengono in modo efficace le minacce dopo che si sono inevitabilmente concretizzate.

L'uso della crittografia per i trasferimenti di dati e la definizione delle impostazioni del firewall per l'accesso degli utenti autorizzati sono i due aspetti fondamentali della sicurezza aziendale dopo i vincoli di accesso fisico. La maggior parte delle piattaforme dotate di sistemi di accesso degli utenti ora include procedure di lock-out che bloccano gli utenti dopo 5 o più accessi con password errate, per evitare attacchi di cracking. Il blocco IP consente di ridurre i tentativi di login non identificati eseguiti ripetutamente da un singolo indirizzo IP. Il software firewall si integra con la scansione antivirus, che abbina in tempo reale la trasmissione dei pacchetti di dati alle firme malware note per identificare i file dannosi e impedire l'installazione accidentale di virus, worm e trojan tramite attacchi o download di phishing. È possibile installare firewall per applicazioni web (WAF, Web Application Firewall), aggiungendo un ulteriore livello di protezione ai moduli web per evitare script cross-site e attacchi di MySQL injection. Il software antivirus di vendor quali Symantec, McAfee, Trend Micro, Kaspersky, Bitdefender e altri ancora è un aspetto essenziale della sicurezza aziendale odierna. Molte aziende utilizzano anche i servizi di una rete CDN per riconoscere e prevenire gli attacchi DDoS durante la produzione.

Best practice fondamentali per la sicurezza aziendale

L'attuale paradigma operativo delle best practice per la sicurezza aziendale consiste nell'applicare tutti i metodi di settore disponibili per sicurezza fisica, firewall, crittografia, protezione dalle frodi, rilevamento di intrusi, WAF, antivirus e altro ancora con la consapevolezza che gli hacker potrebbero trovare metodi per penetrare nei sistemi, compromettere l'hardware e rubare i dati. In base ai principi della massima riduzione del danno, l'obiettivo deve essere quello di rilevare e identificare gli intrusi nel più breve tempo possibile, creando allo stesso tempo sistemi con un maggiore isolamento dei dati per impedire la diffusione di attacchi di vettori. La microsegmentazione protegge ogni singola macchina virtuale su una rete aziendale attraverso l'isolamento, che impedisce lo spostamento laterale di un intruso verso altre strutture da un unico punto di ingresso. Il modello DMZ (o zona demilitarizzata) opera in base gli stessi principi di firewall, barricate e fossati, separando i processi web da una LAN attraverso un maggiore isolamento rafforzato dai server proxy edge nell'anello di difesa esterno. VMware vSAN Datastore viene utilizzato per la crittografia dei database aziendali, mentre VMcrypt Encryption viene utilizzato per lo storage, gli archivi e i file di backup.

L'escalation del potere amministrativo è un altro problema critico che non può essere trascurato nelle procedure di sicurezza aziendali. Le autorizzazioni per utenti con privilegi avanzati e amministratori devono essere controllate in modo più rigoroso e rilevate all'istante quando vengono distribuite da utenti non autorizzati. Sempre più spesso il monitoraggio della rete in tempo reale include funzionalità di analisi supportate dall'apprendimento automatico e dall'intelligenza artificiale per rilevare meglio gli intrusi, i trasferimenti sensibili di dati non autorizzati e i problemi di escalation del potere amministrativo. Poiché le piattaforme software e i sistemi operativi dei server web privi di patch sono le principali cause di compromissione delle reti e delle violazioni dei dati, le aziende devono prestare particolare attenzione nell'applicazione immediata degli aggiornamenti necessari nella produzione. Gli upgrade automatizzati della sicurezza migliorano notevolmente la velocità di risposta nell'applicazione delle patch critiche. L'antivirus agentless può essere installato a livello di hypervisor e configurato per applicare automaticamente le risposte di sicurezza a malware o attacchi di intrusione senza intervento umano, migliorando il tempo di risposta nei data center cloud con milioni di macchine virtuali eseguite simultaneamente in parallelo.

Risorse, soluzioni e prodotti VMware per la sicurezza aziendale

VMware NSX, la piattaforma di virtualizzazione della rete e della sicurezza leader del settore

VMware NSX Data Center offre una piattaforma completa di virtualizzazione di networking e sicurezza L2-L7 che consente di gestire l'intera rete come singola unità da un unico punto di monitoraggio.

Soluzioni di sicurezza di classe enterprise

VMware integra la sicurezza di classe enterprise nell'infrastruttura, offrendo visibilità e protezione senza pari per le applicazioni e gli utenti, dall'endpoint al cloud.

VMware Bitglass Next-Gen Cloud Access Security Broker

Bitglass Next-Gen CASB offre protezione completa e in tempo reale dei dati e dalle minacce per qualsiasi applicazione cloud.

Splunk Enterprise Security

Splunk Enterprise Security utilizza le funzionalità di ricerca e creazione di report della piattaforma Splunk per offrire ai professionisti della sicurezza una visione d'insieme del livello di sicurezza dell'azienda.

PhoenixNAP Data Security Cloud

PhoenixNAP, un service provider IT di livello mondiale che presta particolare attenzione alla sicurezza informatica e alla predisposizione per la compliance, offre soluzioni Infrastructure as-a-Service all'avanguardia, che vengono distribuite da ubicazioni strategiche sull’edge, dislocate in tutto il mondo.

Ottieni una sicurezza unificata integrata context-aware con VMware

Proteggi i dati e le app sfruttando i punti di controllo all'interno dell'infrastruttura esistente. Scopri come implementare la sicurezza intrinseca con VMware.