Blog WatchGuard

10 suggerimenti per le pulizie di primavera nella sicurezza informatica

La primavera è un buon momento per fare le pulizie, mettere via i vestiti invernali e l'abbigliamento da sci, aprire le finestre e lasciare che la brezza primaverile porti via la polvere che si è accumulata durante l'inverno. Ma è un buon momento per fare le "pulizie di primavera" anche per i team IT e della sicurezza informatica e valutare il proprio stato in fatto di protezione. 

Di seguito riportiamo 10 modi rapidi e semplici per "ripulire" le tue prassi di sicurezza informatica e adattarle alle minacce che fronteggiamo ogni giorno.

  1. Non sovraesporre le porte: una delle prime cose che dovrebbe fare qualsiasi team IT durante le "pulizie di primavera", volte a valutare il proprio stato di protezione, è rivedere le porte di rete a gestione aperta. Per quanto aprire le porte possa semplificare alcune attività IT e renderle più accessibili, può anche creare vettori sfruttabili dagli hacker per sferrare attacchi alla rete e ottenere l'accesso privilegiato ai dispositivi. Con una superficie di attacco in costante espansione, comprensiva di dispositivi IoT e OT, è importante assicurarsi che siano chiuse tutte le porte che non devono per forza rimanere aperte.
  1. Aggiornare tutto: i team IT sono spesso oberati, per cui è comprensibile che attività di routine ma importanti, come aggiornare il firmware e installare le patch del software, passino in secondo piano rispetto a problemi più pressanti o vengano lasciate in sospeso per dare la precedenza a questioni che rischiano di compromettere le attività aziendali. Ma queste incombenze, per quanto fastidiose, non sono nulla sono rispetto alle conseguenze di un attacco hacker. Molti attacchi andati a segno avrebbero potuto essere prevenuti applicando prontamente e con facilità le patch e gli aggiornamenti del firmware che vengono resi disponibili.
  1. L'MFA deve essere la regola, non un'eccezione: questo è un buon momento per adottare o ampliare l'uso dell'autenticazione MFA per te stesso, la tua azienda e i dipendenti, soprattutto visto il passaggio al lavoro da remoto e ibrido. Se l'adozione di una policy MFA completa sembra troppo onerosa, inizia ora con le aree più importanti e poi pian piano la integrerai nel tempo in altre applicazioni, servizi e dispositivi. Ad esempio, gli endpoint interni alla rete LAN magari possono aspettare la "fase 2" della policy di adozione dell'MFA, mentre per tutto ciò che utilizza l'accesso remoto l'MFA serve subito. Controlla inoltre le informazioni e le applicazioni più sensibili. L'accesso a risorse critiche, come le informazioni finanziarie, i dati dei dipendenti, ecc., deve per forza avvenire tramite MFA.
  1. Verifica incrociata delle password con hash: gli hacker non fanno fatica a trovare nel Web raccolte di credenziali rubate. Oltre a richiedere password complesse e a cambiarle regolarmente, controlla Active Directory ed esegui una verifica incrociata delle password con hash dei dipendenti a fronte di quelle trapelate nel Dark Web. Trovi qualche password di dipendenti finita sottobanco? Cambiala subito!
  1. Mappatura: sai dove si trovano tutti i dispositivi che accedono alla rete? Sfrutta il tempo a disposizione per creare una mappa di questi dispositivi con interfacce di gestione come stampanti, router, ecc., connessi alla rete. La mappatura delle reti consente ai team IT di vedere cosa accade sulla rete in tempo reale e di individuare eventuali problemi più rapidamente, con la possibilità di affrontarli in tempi più brevi e con efficienza. 
  1. Test delle procedure di backup e disaster recovery: è una buona prassi eseguire il backup dei dati e delle informazioni e disporre di un piano di disaster recovery consolidato. Ma adesso è giunto il momento di vedere anche se questi backup e procedure funzionano in pratica. Cosa succede quando si tenta il ripristino da un backup? Viene ripristinato tutto come previsto? Assicurati che i piani per la continuità aziendale in essere siano a prova di bomba, perché prima o poi serviranno.
  1. Togliere quello che non si usa: gli account vecchi e inutilizzati vengono spesso sfruttati come vettori negli attacchi. Elimina gli account di ex fornitori ed ex dipendenti, se ancora sono presenti. Questo vale anche per le applicazioni e i server che non si usano. Riduci al minimo le opportunità di attacco ovunque sia possibile.
  1. Le minacce si evolvono, le policy devono adattarsi: i responsabili della sicurezza informatica e della sicurezza dei dati dovrebbero sfruttare questo tempo per rivedere e aggiornare le policy di sicurezza. Quello che aveva senso qualche anno fa (o, nel mondo della sicurezza informatica, qualche settimana fa) potrebbe non essere più sufficiente adesso. Lo scenario delle minacce è in costante cambiamento ed evoluzione e le policy che ruotano attorno ai diversi aspetti della sicurezza, incluse le prassi di utilizzo accettabili, devono essere adattate a questi cambiamenti.
  1. Formazione dei dipendenti: unitamente alle policy, anche gli umani devono adattarsi allo scenario delle minacce in evoluzione. Se la tua azienda svolge annualmente corsi di formazione per sensibilizzare il personale sulla sicurezza informatica e le best practice, prova a pensare di renderli semestrali. Le minacce (e anche le persone) cambiano troppo in fretta per affidarsi a un training annuale. Prova a inviare false e-mail di phishing e vedi cosa succede. Se vai in ufficio, lascia una o due chiavette USB per terra o in un punto di ristoro per vedere se qualcuno le raccoglie e tenta di usarle. La consapevolezza dei dipendenti è il primo passo per essere preparati.
  1. Fermarli in corso d'opera: cercare di evitare gli attacchi è importante, ma non è possibile prevenirli al 100% e a volte può succedere che riescano a far breccia. Pertanto è importante anche rilevarli. Svolgere una rapida verifica degli accessi del sistema può essere utile ai team di sicurezza per identificare prontamente comportamenti insoliti. C'è qualcuno che accede a dati sensibili che non dovrebbe vedere? Si sono verificati accessi da parte di utenti sconosciuti da luoghi strani? Con la vigilanza si possono bloccare minacce sia interne che esterne.

Quelli di voi che hanno adottato tutte queste misure, e hanno già finito con i suggerimenti per le pulizie di primavera, possono considerare di passare a un livello successivo nella sicurezza informatica adottando subito un'architettura Zero-Trust!