Che cos'è la sicurezza aziendale?
La sicurezza aziendale è una questione estremamente complessa che include sia i segreti aziendali interni o proprietari di un'azienda, sia i dati dei dipendenti e dei clienti relativi alle leggi sulla privacy. La sicurezza aziendale è sempre più al centro dell'attenzione, soprattutto da quando alcune grandi multinazionali come Facebook, Yahoo!, Target, Home Depot ed Equifax hanno subito sanzioni economiche e sono state oggetto di interventi normativi a seguito del furto di dati sensibili dei loro clienti da parte degli hacker. Se prima le aziende erano sostanzialmente interessate a proteggere il proprio codice proprietario o i segreti commerciali da concorrenti e falsari, ora si trovano ad affrontare nuove leggi sulla privacy dei dati negli Stati Uniti e nell'Unione Europea che possono imporre pesanti sanzioni economiche alle aziende che utilizzano in modo improprio o cui vengono sottratti i dati dei consumatori. Il passaggio all'infrastruttura cloud per il supporto dei processi aziendali introduce nuove sfide per la sicurezza aziendale nell'IT.
La sicurezza di classe enterprise è incentrata sul data center, sul networking e sulle operation dei web server, ma tecnicamente inizia dalle risorse umane. Secondo alcuni ricercatori che si occupano di sicurezza, il social engineering è la causa primaria di ben due terzi di tutti gli attacchi di hacking riusciti. Negli attacchi di social engineering, gli hacker sfruttano le debolezze insite nella natura umana, la corruttibilità dei dipendenti o l’ingenuità personale per ottenere l'accesso a una rete o a risorse di dati. Gli attacchi di phishing tramite e-mail incoraggiano i dipendenti a fare clic sui link per scaricare e installare malware. Negli attacchi di vishing (phishing vocale o VoIP), gli hacker sfruttano conversazioni telefoniche con vari dipendenti per ottenere password o altre informazioni riservate che possono compromettere la sicurezza della rete. Smishing (phishing tramite SMS), baiting, spearfishing e water holing sono tutte tecniche di hacking correlate basate su processi di social engineering. Questi vettori di attacco possono compromettere anche i più solidi sistemi di sicurezza della rete e possono essere contrastati solo grazie a una maggiore consapevolezza dei dipendenti, che può essere conseguita mediante formazione, verifica e screening.
Gli attacchi automatizzati di hacking si basano su script e prendono di mira in modo continuativo le risorse del data center, quali web server e applicazioni online, tramite punti di immissione di testo come schermate di login, moduli di contatto, query di ricerca su database e processi di amministrazione back-end. Esempi comuni di attacchi di script bot sono gli attacchi di MySQL injection ed exploit di scripting cross-site. La possibilità di inviare il codice a un server tramite moduli non protetti può causare la perdita di un intero database, incluse tutte le informazioni delle tabelle, le password e i dati finanziari sensibili dei clienti. Gli attacchi tramite iniezione di codice sono diversi dal password cracking e permettono agli hacker di ottenere l'accesso completo con privilegi di amministratore o la possibilità di stabilire backdoor su un server tramite FTP e la riga di comando. Gli hacker migliori impiegano in genere dai 30 ai 90 giorni per la ricognizione di un sistema di rete compromesso con accesso interno prima di iniziare il processo di trasferimento delle informazioni del database o l'installazione di codice remoto malevolo.

Panoramica su VMware Security

Report globale sulle minacce e la risposta agli incidenti: manipolazione della realtà
Perché è importante la sicurezza aziendale?
Architettura della sicurezza di classe enterprise
L’architettura della sicurezza di classe enterprise deve proteggere l’infrastruttura da attacchi fisici, di social engineering e di script-bot, proteggendo al contempo i sistemi che prevedono l’inserimento di password dal cracking e i canali di input utente dall’iniezione (o esecuzione) di codice remoto. Il firewall di rete è considerato la principale barriera contro gli attacchi di pirateria informatica. La maggior parte dei pacchetti software per firewall di rete ora include la possibilità di eseguire la scansione dei dati dei pacchetti in tempo reale per ricercare potenziali virus, malware, worm e ransomware. Il problema con la scansione antivirus è che si tratta di un approccio ex post alla sicurezza che fa affidamento sulla capacità delle agenzie professionali di identificare il malware prima che questo possa essere rilevato. Negli attacchi “zero-day”, viene utilizzato un codice di exploit che non è mai stato rivelato o classificato dagli esperti di sicurezza per penetrare in una rete, in una piattaforma software, in un dispositivo firmware o in un sistema operativo. Poiché non è possibile difendersi in anticipo dagli attacchi zero-day, le aziende devono implementare policy di sicurezza multi-tier che isolano e contengono in modo efficace le minacce dopo che si sono inevitabilmente concretizzate.
L'uso della crittografia per i trasferimenti di dati e la definizione delle impostazioni del firewall per l'accesso degli utenti autorizzati sono i due aspetti fondamentali della sicurezza aziendale dopo i vincoli di accesso fisico. La maggior parte delle piattaforme dotate di sistemi di accesso degli utenti ora include procedure di lock-out che bloccano gli utenti dopo 5 o più accessi con password errate, per evitare attacchi di cracking. Il blocco IP consente di ridurre i tentativi di login non identificati eseguiti ripetutamente da un singolo indirizzo IP. Il software firewall si integra con la scansione antivirus, che abbina in tempo reale la trasmissione dei pacchetti di dati alle firme malware note per identificare i file dannosi e impedire l'installazione accidentale di virus, worm e trojan tramite download o attacchi di phishing. È possibile installare firewall per applicazioni web (WAF, Web Application Firewall), aggiungendo un ulteriore livello di protezione ai moduli web per evitare script cross-site e attacchi di MySQL injection. I software antivirus di vendor come Symantec, McAfee, Trend Micro, Kaspersky, Bitdefender e altri ancora sono aspetti essenziali della sicurezza aziendale. Molte aziende utilizzano anche i servizi di una rete CDN per riconoscere e prevenire gli attacchi DDoS durante la produzione.
Best practice fondamentali per la sicurezza aziendale
L'attuale paradigma di best practice per la sicurezza aziendale prevede l'applicazione di tutti i metodi disponibili nel settore per sicurezza fisica, firewall, crittografia, protezione dalle frodi, rilevamento degli intrusi, WAF, antivirus, ecc. con la consapevolezza che gli hacker possano trovare ancora dei metodi per penetrare nei sistemi, compromettere l'hardware e sottrarre dati. In base ai principi della massima riduzione del danno, l'obiettivo deve essere quello di rilevare e identificare gli intrusi nel più breve tempo possibile, creando allo stesso tempo sistemi con un maggiore isolamento dei dati per impedire la diffusione di attacchi di vettori. La microsegmentazione protegge ogni singola macchina virtuale su una rete aziendale attraverso l'isolamento, che impedisce lo spostamento laterale di un intruso verso altre strutture da un unico punto di ingresso. Il modello DMZ (o zona demilitarizzata) opera in base gli stessi principi di firewall, barricate e fossati, separando i processi web da una LAN attraverso un maggiore isolamento rafforzato dai server proxy edge nell'anello di difesa esterno. VMware vSAN Datastore viene utilizzato per la crittografia dei database aziendali, mentre VMcrypt Encryption viene utilizzato per lo storage, gli archivi e i file di backup.
L'escalation del potere amministrativo è un altro problema critico che non può essere trascurato nelle procedure di sicurezza aziendali. Le autorizzazioni per utenti con privilegi avanzati e amministratori devono essere controllate in modo più rigoroso e rilevate all'istante quando vengono distribuite da utenti non autorizzati. Sempre più spesso il monitoraggio della rete in tempo reale include funzionalità di analisi supportate dall'apprendimento automatico e dall'intelligenza artificiale per rilevare meglio gli intrusi, i trasferimenti sensibili di dati non autorizzati e i problemi di escalation del potere amministrativo. Poiché le piattaforme software e i sistemi operativi dei server web privi di patch sono le principali cause di compromissione delle reti e delle violazioni dei dati, le aziende devono prestare particolare attenzione nell'applicazione immediata degli aggiornamenti necessari nella produzione. Gli upgrade automatizzati della sicurezza migliorano notevolmente la velocità di risposta nell'applicazione delle patch critiche. L'antivirus agentless può essere installato a livello di hypervisor e configurato per applicare automaticamente le risposte di sicurezza a malware o attacchi di intrusione senza intervento umano, migliorando il tempo di risposta nei data center cloud con milioni di macchine virtuali eseguite simultaneamente in parallelo.