Che cos'è la sicurezza aziendale?

La sicurezza aziendale è una questione estremamente complessa che include sia i segreti aziendali interni o proprietari di un'azienda, sia i dati dei dipendenti e dei clienti relativi alle leggi sulla privacy. La sicurezza aziendale è sempre più al centro dell'attenzione, soprattutto da quando alcune grandi multinazionali come Facebook, Yahoo!, Target, Home Depot ed Equifax hanno subito sanzioni economiche e sono state oggetto di interventi normativi a seguito del furto di dati sensibili dei loro clienti da parte degli hacker. Se prima le aziende erano sostanzialmente interessate a proteggere il proprio codice proprietario o i segreti commerciali da concorrenti e falsari, ora si trovano ad affrontare nuove leggi sulla privacy dei dati negli Stati Uniti e nell'Unione Europea che possono imporre pesanti sanzioni economiche alle aziende che utilizzano in modo improprio o cui vengono sottratti i dati dei consumatori. Il passaggio all'infrastruttura cloud per il supporto dei processi aziendali introduce nuove sfide per la sicurezza aziendale nell'IT.

La sicurezza di classe enterprise è incentrata sul data center, sul networking e sulle operation dei web server, ma tecnicamente inizia dalle risorse umane. Secondo alcuni ricercatori che si occupano di sicurezza, il social engineering è la causa primaria di ben due terzi di tutti gli attacchi di hacking riusciti. Negli attacchi di social engineering, gli hacker sfruttano le debolezze insite nella natura umana, la corruttibilità dei dipendenti o l’ingenuità personale per ottenere l'accesso a una rete o a risorse di dati. Gli attacchi di phishing tramite e-mail incoraggiano i dipendenti a fare clic sui link per scaricare e installare malware. Negli attacchi di vishing (phishing vocale o VoIP), gli hacker sfruttano conversazioni telefoniche con vari dipendenti per ottenere password o altre informazioni riservate che possono compromettere la sicurezza della rete. Smishing (phishing tramite SMS), baiting, spearfishing e water holing sono tutte tecniche di hacking correlate basate su processi di social engineering. Questi vettori di attacco possono compromettere anche i più solidi sistemi di sicurezza della rete e possono essere contrastati solo grazie a una maggiore consapevolezza dei dipendenti, che può essere conseguita mediante formazione, verifica e screening.

Gli attacchi automatizzati di hacking si basano su script e prendono di mira in modo continuativo le risorse del data center, quali web server e applicazioni online, tramite punti di immissione di testo come schermate di login, moduli di contatto, query di ricerca su database e processi di amministrazione back-end. Esempi comuni di attacchi di script bot sono gli attacchi di MySQL injection ed exploit di scripting cross-site. La possibilità di inviare il codice a un server tramite moduli non protetti può causare la perdita di un intero database, incluse tutte le informazioni delle tabelle, le password e i dati finanziari sensibili dei clienti. Gli attacchi tramite iniezione di codice sono diversi dal password cracking e permettono agli hacker di ottenere l'accesso completo con privilegi di amministratore o la possibilità di stabilire backdoor su un server tramite FTP e la riga di comando. Gli hacker migliori impiegano in genere dai 30 ai 90 giorni per la ricognizione di un sistema di rete compromesso con accesso interno prima di iniziare il processo di trasferimento delle informazioni del database o l'installazione di codice remoto malevolo.

Panoramica su VMware Security

GUARDA IL VIDEO

Report globale sulle minacce e la risposta agli incidenti: manipolazione della realtà

SCARICA ORA

Perché è importante la sicurezza aziendale?

L'importanza della sicurezza aziendale può essere illustrata esaminando il ruolo della crittografia nelle comunicazioni Internet. Quando viene inviata un'e-mail o viene immessa una password utente per accedere a un sito web, i dati vengono trasferiti da un punto all'altro tramite una serie di canali di terze parti in cui potrebbero essere intercettati e letti da utenti malintenzionati con accesso non autorizzato, a meno che non siano crittografati. La minaccia include agenti non autorizzati che utilizzano software di sniffing dei pacchetti installati sulla rete di telecomunicazione, sull'ISP o sui canali Wi-Fi locali. Anche se il valore delle informazioni inviate tramite queste connessioni può variare, nessuna azienda o altra organizzazione complessa può permettere a terze parti con intenzioni malevole di monitorare su canali aperti i propri segreti commerciali, le comunicazioni con i clienti e le discussioni interne. La possibilità di accedere a password e informazioni di login non crittografate può compromettere non solo singoli account e dati, ma anche un'intera rete aziendale, nel caso in cui un intruso dovesse ottenere l'accesso al data center.

Di conseguenza, la maggior parte dei siti web e delle mobile app ora applica la crittografia HTTPS tramite certificati SSL/TLS nei vari canali di comunicazione degli utenti. I data center hanno adottato funzionalità di sicurezza di tipo “militare”, che includono dati biometrici, sistemi di accesso controllati e monitoraggio 24/7 delle strutture per impedire l'accesso fisico non autorizzato. I programmi di formazione per i professionisti IT possono aumentare la capacità di individuare segnali di attacchi di social engineering. Anche se l'accesso fisico è controllato in modo rigoroso, le multinazionali continuano a subire attacchi di hacking dalle regioni più lontane del mondo, che possono anche includere attività sponsorizzate dallo Stato da regimi quali Russia, Cina, Iran e Corea del Nord.

L'hacking sponsorizzato dallo Stato può riguardare segreti militari e industriali correlati all'ingegneria nei programmi di armamento, aeronautica o ricerca avanzata in altri settori sensibili. L'hacking sponsorizzato dallo Stato può colpire anche le media company, come nel caso dell’attacco hacker alla Sony Pictures da parte della Corea del Nord, per attività di propaganda o per rendere pubblico il comportamento corrotto dei pubblici ufficiali attraverso la sottrazione e la divulgazione di comunicazioni personali.

Ai livelli più alti, i team di hacking sponsorizzati dallo Stato o gli hacker in cerca di pubblicità possono concentrarsi su obiettivi di alto livello, con azioni assimilabili ad atti di terrorismo o in grado di causare la perdita di vite umane, come in caso di guerra cibernetica. Il virus Stuxnet è solo un esempio degli effetti dello spionaggio industriale e dell'hacking delle agenzie di intelligence. Questi gruppi, così come gli hacker criminali o in cerca di pubblicità, possono prendere di mira infrastrutture pubbliche essenziali come centrali elettriche, telecomunicazioni o produzione industriale per causare crolli o danni fisici a strutture con lo scopo di causare panico e caos. Al contrario, gli hacker criminali in genere cercano solo di sottrarre informazioni sulle carte di credito, credenziali di accesso ai conti bancari e criptovaluta per ottenere un guadagno finanziario personale. Milioni di numeri di carte di credito sono già disponibili per la vendita sul Web oscuro, a un prezzo di appena 1 dollaro per carta. Gli attacchi di hacking che hanno come bersaglio le informazioni personali dei consumatori possono portare a furti di identità, addebiti fraudolenti o appropriazione indebita di risorse finanziarie, difficili da rilevare o bloccare per le autorità senza la diffusa interdizione da parte di forze dell'ordine o agenzie internazionali.

Architettura della sicurezza di classe enterprise

L’architettura della sicurezza di classe enterprise deve proteggere l’infrastruttura da attacchi fisici, di social engineering e di script-bot, proteggendo al contempo i sistemi che prevedono l’inserimento di password dal cracking e i canali di input utente dall’iniezione (o esecuzione) di codice remoto. Il firewall di rete è considerato la principale barriera contro gli attacchi di pirateria informatica. La maggior parte dei pacchetti software per firewall di rete ora include la possibilità di eseguire la scansione dei dati dei pacchetti in tempo reale per ricercare potenziali virus, malware, worm e ransomware. Il problema con la scansione antivirus è che si tratta di un approccio ex post alla sicurezza che fa affidamento sulla capacità delle agenzie professionali di identificare il malware prima che questo possa essere rilevato. Negli attacchi “zero-day”, viene utilizzato un codice di exploit che non è mai stato rivelato o classificato dagli esperti di sicurezza per penetrare in una rete, in una piattaforma software, in un dispositivo firmware o in un sistema operativo. Poiché non è possibile difendersi in anticipo dagli attacchi zero-day, le aziende devono implementare policy di sicurezza multi-tier che isolano e contengono in modo efficace le minacce dopo che si sono inevitabilmente concretizzate.

L'uso della crittografia per i trasferimenti di dati e la definizione delle impostazioni del firewall per l'accesso degli utenti autorizzati sono i due aspetti fondamentali della sicurezza aziendale dopo i vincoli di accesso fisico. La maggior parte delle piattaforme dotate di sistemi di accesso degli utenti ora include procedure di lock-out che bloccano gli utenti dopo 5 o più accessi con password errate, per evitare attacchi di cracking. Il blocco IP consente di ridurre i tentativi di login non identificati eseguiti ripetutamente da un singolo indirizzo IP. Il software firewall si integra con la scansione antivirus, che abbina in tempo reale la trasmissione dei pacchetti di dati alle firme malware note per identificare i file dannosi e impedire l'installazione accidentale di virus, worm e trojan tramite download o attacchi di phishing. È possibile installare firewall per applicazioni web (WAF, Web Application Firewall), aggiungendo un ulteriore livello di protezione ai moduli web per evitare script cross-site e attacchi di MySQL injection. I software antivirus di vendor come Symantec, McAfee, Trend Micro, Kaspersky, Bitdefender e altri ancora sono aspetti essenziali della sicurezza aziendale. Molte aziende utilizzano anche i servizi di una rete CDN per riconoscere e prevenire gli attacchi DDoS durante la produzione.

Best practice fondamentali per la sicurezza aziendale

L'attuale paradigma di best practice per la sicurezza aziendale prevede l'applicazione di tutti i metodi disponibili nel settore per sicurezza fisica, firewall, crittografia, protezione dalle frodi, rilevamento degli intrusi, WAF, antivirus, ecc. con la consapevolezza che gli hacker possano trovare ancora dei metodi per penetrare nei sistemi, compromettere l'hardware e sottrarre dati. In base ai principi della massima riduzione del danno, l'obiettivo deve essere quello di rilevare e identificare gli intrusi nel più breve tempo possibile, creando allo stesso tempo sistemi con un maggiore isolamento dei dati per impedire la diffusione di attacchi di vettori. La microsegmentazione protegge ogni singola macchina virtuale su una rete aziendale attraverso l'isolamento, che impedisce lo spostamento laterale di un intruso verso altre strutture da un unico punto di ingresso. Il modello DMZ (o zona demilitarizzata) opera in base gli stessi principi di firewall, barricate e fossati, separando i processi web da una LAN attraverso un maggiore isolamento rafforzato dai server proxy edge nell'anello di difesa esterno. VMware vSAN Datastore viene utilizzato per la crittografia dei database aziendali, mentre VMcrypt Encryption viene utilizzato per lo storage, gli archivi e i file di backup.

L'escalation del potere amministrativo è un altro problema critico che non può essere trascurato nelle procedure di sicurezza aziendali. Le autorizzazioni per utenti con privilegi avanzati e amministratori devono essere controllate in modo più rigoroso e rilevate all'istante quando vengono distribuite da utenti non autorizzati. Sempre più spesso il monitoraggio della rete in tempo reale include funzionalità di analisi supportate dall'apprendimento automatico e dall'intelligenza artificiale per rilevare meglio gli intrusi, i trasferimenti sensibili di dati non autorizzati e i problemi di escalation del potere amministrativo. Poiché le piattaforme software e i sistemi operativi dei server web privi di patch sono le principali cause di compromissione delle reti e delle violazioni dei dati, le aziende devono prestare particolare attenzione nell'applicazione immediata degli aggiornamenti necessari nella produzione. Gli upgrade automatizzati della sicurezza migliorano notevolmente la velocità di risposta nell'applicazione delle patch critiche. L'antivirus agentless può essere installato a livello di hypervisor e configurato per applicare automaticamente le risposte di sicurezza a malware o attacchi di intrusione senza intervento umano, migliorando il tempo di risposta nei data center cloud con milioni di macchine virtuali eseguite simultaneamente in parallelo.

Oggi il 73% delle aziende utilizza uno o più public cloud. Il multi-cloud accelera la digital transformation, ma crea anche complessità e rischi.

I servizi VMware Cross-Cloud™ consentono alle organizzazioni di sfruttare le potenzialità del multi-cloud e di ottenere sicurezza e resilienza a livello aziendale.

Anywhere Workspace

Piattaforma per app

Infrastruttura cloud ed edge

Cloud Management

Hypervisor desktop

Sicurezza e networking

Esegui VMware su qualsiasi cloud. In qualsiasi ambiente. Ovunque.

Su public cloud e hybrid cloud

Su private cloud e HCI

Soluzioni

Per settore

Gestione dell'ambiente multi-cloud

Per i clienti

Per i partner

Lavoriamo con i partner al successo dei clienti

Strumenti e formazione

Servizi

Assistenza

Marketplace

Blog e community

Clienti

Eventi

Panoramica su VMware Security

Report globale sulle minacce e la risposta agli incidenti: manipolazione della realtà