Ogni rete aziendale cablata (o LAN), dalla più semplice alla più complessa, è per sua stessa natura vulnerabile. Vulnerabile da attacchi esterni o interni di decine di tipologie diverse. L’amministratore di sistema o l’IT manager deve comprendere la natura di questi attacchi per poter mettere in pratica le giuste contromisure e le difese. In questo articolo diviso in due parti vedremo per prima cosa la natura degli attacchi e successivamente le soluzioni che la tecnologia ci offre per difenderci.
Dal BYOD al CYOD => Leggi come cambia la sicurezza in azienda
I sistemi informativi
Per sistema informativo intendiamo un’organizzazione di persone, gruppi e attrezzature che trattano il flusso di dati aziendale e che collaborano per perseguire un obiettivo comune. La sua implementazione automatizzata è il sistema informatico. Storicamente si sono presentate principalmente due architetture tipo: l’architettura centralizzata e quella distribuita.
Nasce prima l’architettura centralizzata per la necessità di contenere i costi (i computer all’epoca erano costosi e ingombranti) e per la sua facilità di progettazione (vi è infatti un unico grande computer centrale detto mainframe). Successivamente assistiamo all’affermazione di quella distribuita resa possibile dal minor costo dei componenti hardware, dal minor ingombro e dalla necessità di ottimizzare le risorse presenti.
Questo sistema è infatti caratterizzato dal fatto che vi sono più calcolatori, spesso distribuiti nei diversi siti aziendali (in piccolo nei diversi edifici, in grande addirittura in diverse città), connessi tra di loro da una rete per condividere informazioni, componenti hardware costosi (stampanti particolari,frese,attrezzature specifiche per il disegno industriale,ecc) che cooperano nelle diverse fasi del flusso informativo aziendale (dal controllo qualità in ingresso fino al controllo degli agenti di vendita).
La rete, essenziale affinché i calcolatori possano comunicare e scambiarsi informazioni, può essere sia “la grande rete” cioè internet o più tipicamente una rete locale detta LAN.
Caratteristica peculiare dei sistemi distribuiti è la possibilità di distribuire sui diversi nodi sia le applicazioni che le basi di dati. Se le applicazioni, oltre che fisicamente, vengono anche viste logicamente come distribuite, il patrimonio informativo viene ripartito su più nodi elaborativi ma è necessariamente unitario dal punto di vista logico.
=> Leggi anche la Guida alla privacy in azienda
Sicurezza di un sistema distribuito
All’interno di un sistema distribuito gli attacchi possono provenire da più parti:
- dall’interno: utenti non autorizzati potrebbero trafugare o accedere a informazioni private;
- dall’esterno: i generici virus, trojan, malware e le altre minacce che potrebbero inficiare le prestazioni “di progetto” del sistema;
- dagli stakeholder: aziende, persone, fornitori, clienti con cui l’azienda si confronta quotidianamente.
Le problematiche di sicurezza richiedono quindi interventi integrati su diversi fronti: dalla difesa dell’impianto informatico preso in toto, alla protezione della LAN aziendale, la protezione degli applicativi e della rete Extranet, la protezione dei dati memorizzati nelle basi dati e dei pacchetti trasmessi nella rete stessa.
=> Leggi di più sulla sicurezza informatica
Queste componenti possono subire vari tipi di attacchi, dai semplici virus agli attacchi più pericolosi volti a ottenere informazioni riservate che vanno protette per garantire la gestione dei dati aziendali, per l’esecuzione delle suite software adottate dall’azienda (Enterprise Resource Planning, Customer Relationship Management, Sales Force Automation) e il semplice rispetto della privacy individuale.
In prima schematizzazione i problemi nascono da:
- le reti, il semplice fatto di collegare un nodo in rete lo espone a potenziali attacchi;
- i dati, bisogna proteggere le informazioni critiche per il proprio business e proteggere quelle idee che rappresentano il vero differenziale competitivo;
- le applicazioni, possono contenere vulnerabilità utilizzate poi per inficiare il sistema stesso. Queste vulnerabilità possono essere semplici errori di programmazione e/o trapdoor volte a sottrarre dati critici;
- le architetture, vanno preservati sia i nodi fisici che i diversi e distribuiti siti aziendali che ospitano le sale server,le applicazioni, ecc.
=> Leggi di più sulla sicurezza dei dati
Le misure adottate devono garantire l’integrità delle informazioni, la disponibilità, la loro riservatezza, la loro autenticità (gli autori dei messaggi devono essere identificabili) e inoltre devono garantire il non-ripudio. Purtroppo è spesso trascurato questo aspetto ma l’attribuzione di meriti e responsabilità è un passaggio chiave in azienda.
Predisporre delle misure di sicurezza significa quindi partire dalla fase di progettazione e continuamente aggiornare le difese, migliorare le configurazioni dei firewall e creare dei database appropriati per gli IDS. (Intrusion Detection System).
Occorre definire quindi delle policy di sicurezza che garantiscano quali nodi (utenti) possono accedere a quali informazioni e con quali modalità (lettura,scrittura,cancellazione).
=> Leggi le buone pratiche sulle policy aziendali
Inoltre in un sistema ben organizzato sicuramente troveremo:
- un Contingency Management Plan: chi effettivamente individua l’attacco e attiva le risposte;
- un Business Continuity Plan: un piano che permetta comunque di continuare il proprio business senza interruzioni (pensate al disastro che si avrebbe su un aereo se non vi fossero altri sistemi ausiliari pronti ad intervenire);
- un Disaster Recovery Plan: un piano che, tramite delle procedure standardizzate, permetta di ripristinare il normale funzionamento del sistema.
Tipicamente coloro che vogliono entrare nel sistema informativo cercano di sfruttare delle vulnerabilità note piuttosto che trovarne di nuove: è fondamentale tenere aggiornati i componenti hardware e software.
Sfruttando queste vulnerabilità note e le tipologie conosciute di attacco l’aggressore solitamente:
- accede al sistema attraverso l’utilizzo di exploit noti, attacchi bruteforce (è fondamentale utilizzare dei meccanismi che permettano di costruire delle password “di qualità” che vadano oltre la propria data di nascita!) o lo sfruttamento di buffer overflow;
- ottiene i privilegi tipici dell’amministratore attraverso la scoperta delle password di sistema e l’esecuzione di exploit successivi;
- occulta le tracce dell’intrusione riscontrabili nei log di sistema attraverso l’utilizzo di particolari rootkit;
- installa particolari applicativi come trojan e back door che permettano in un secondo tempo la possibilità di riprendere il controllo del sistema precedentemente attaccato e di trafugare informazioni nel momento più opportuno.
=> Leggi come evitare gli attacchi informatici
Esempi tipici di attacchi che possono essere implementati:
- Denial of Service: questa tecnica consiste nel portare un particolare sistema al limite delle proprie capacità attraverso la manipolazione di uno o più parametri in ingresso. Tipicamente viene inondato il server di richieste lecite così da saturare la backlog queue e impedire di completare il 3-way handshake tipico del protocollo tcp-ip;
- Distributed Denial of Service: funzionamento analogo al sopradescritto DoS ma si utilizza una serie di calcolatori precedentemente predisposti che creano così una botnet. Di particolare interesse è questo tipo di attacco perché con il proliferare della banda larga questo fenomeno assume proporzioni preoccupanti;
- Distributed Reflection Denial of Service (DRDoS): particolare tipologia di attacco che sfrutta la possibilità di far credere al server ricevente che il mittente dell’attacco é lo stesso server che riceve l’attacco. Si ottiene quindi in aggiunta al classico DDoS una moltiplicazione delle richieste al server spesso fatale per le risorse che rappresentano il bottleneck del sistema.
- Sniffing: vengono intercettati i pacchetti che circolano in rete in modo tale da poter leggere e quindi trafugare informazioni;
- Address Spoofing: si generano pacchetti con un falso mittente;
- Data Spoofing: vengono creati dati nuovi o vengono modificati i dati già circolanti in rete;
- Hijacking: tecnica molto sottile di sniffing: ci si sostituisce a uno dei due nodi che stanno intrattenendo una comunicazione;
- Attacchi sociali: sfruttano le debolezze e le ingenuità delle persone; l’attacco tipico é il phishing.
I principali metodi di difesa devono quindi assicurare la corretta autenticazione dei diversi utenti, monitorare gli accessi, regolare l’accesso alle differenti risorse condivise e soprattutto garantire l’utilizzo di regole per la gestione delle password e per la regolamentazione dell’uso di dispositivi di memorizzazione portatili.
Una particolare attenzione deve essere riservata in quei contesti dove sono presenti dispositivi wireless.
=> Leggi le basi della sicurezza WiFi
In questi contesti sono infatti presenti dei rischi connaturati alla natura del mezzo trasmissivo e sono necessari accorgimenti appositi che permettano di mantenere la rete sicura: bisogna per esempio utilizzare i più recenti metodi di crittografia dei dati come il WAP-TKIP che garantisce più sicurezza del WEP, protocollo presente nella prima emanazione del wi-fi 802.11b, che ormai è superato e attaccabile in pochi minuti grazie ad attacchi bruteforce.
Sarebbe inoltre preferibile un collegamento Wi-Max oltre che per la maggiore copertura anche per la sua migliore resistenza al sovraccarico della rete. Questo perché l’accesso al mezzo di comunicazione è significativamente diverso dal wi-fi. Nel wi-fi tutti i dispositivi collegati all’access point competono per ottenere il segnale e lo ottengono secondo scelte casuali.
=> Approfondisci: installazione Wi-Fi, quando le leggi ostacolano il mercato
Nel Wi-Max invece si usa un meccanismo Time Division Multiplexing che prevede che le stazioni avanzino una sola richiesta iniziale all’access point che le assegna un slot. Questo viene allargato o ristretto in funzione del numero di richieste così da raggiungere un numero massimo di accessi (e minimo in termini di dimensione del slot) oltre il quale la rete è comunque garantita a chi è già autenticato e non comporta il blocco di tutta la rete.