Protezione delle reti: le nuove tecnologie permettono di aggirare i controlli tradizionali? | ZeroUno

Protezione delle reti: le nuove tecnologie permettono di aggirare i controlli tradizionali?

pittogramma Zerouno

Analisi

Protezione delle reti: le nuove tecnologie permettono di aggirare i controlli tradizionali?

Hotspot Wi-Fi e dispositivi IP-enabled costituiscono nuove strade facilmente imboccabili dai malintenzionati per carpire segreti e accedere ai dati aziendali. Ma come bloccare la loro corsa?

14 Lug 2012

di redazione TechTarget

I controlli di sicurezza e le best practice per la protezione delle reti sono tra i più efficaci e maturi, ma le aziende possono essere sicure che una parte del traffico di rete non sia nascosta ai controlli tradizionali? Questo dubbio è lecito, soprattutto alla luce della recente proliferazione dei nuovi dispositivi wireless e di altri strumenti IP-enabled.

Con l’ampia diffusione dell’accesso in mobilità alle applicazioni aziendali e i relativi trend come la consumerizzazione dell’IT e il Bring Your Own Device (BYOD), un numero crescente di dipendenti accede alle reti aziendali tramite hotspot Wi-Fi, sia internamente che esternamente al perimetro dell’organizzazione.

Che questi hotspot Wi-Fi siano o meno in grado di aumentare il potenziale di perdita dei dati dipende principalmente dalla strategia messa in campo dall’organizzazione in materia di sicurezza della rete.

Se le organizzazioni continuano a fare affidamento sulla sicurezza delle reti come controllo chiave nella protezione dei loro dati, il Wi-Fi diventa un veicolo potenziale di perdita dei dati. Secondo Mettew Lord, CISO della società di servizi IT Steria, “un utente malintenzionato potrebbe semplicemente sedersi in un’auto all’interno del parcheggio di un’azienda e tentare di forzare la rete interna provando una combinazione di user ID e password varie, fino a ottenere l’accesso”.

Se le imprese vogliono utilizzare hotspot Wi-Fi in tutta sicurezza, dovranno quindi seguire due strategie di prevenzione della perdita dei dati: configurarli come un hotspot Internet senza accesso ai sistemi interni, da un lato, e utilizzare una forma di autenticazione forte, come i certificati di autenticazione client, dall’altro.

Gli hotspot Wi-Fi interni (dove sono separate le reti corporate da quelle degli ospiti e la rete aziendale dispone di controlli stretti, tra cui l’autenticazione del dispositivo) non destano preoccupazioni. Tuttavia, gli utenti aziendali potrebbero essere tentati di passare alla rete ospite, che si caratterizza per minori controlli, ed è qui che potrebbero verificarsi perdite involontarie o sottrazioni fraudolente dei dati. Miglior prassi sarebbe, quindi, quella di creare una rete ospite che richieda l’attivazione di credenziali temporanee per abilitare le connessioni.

 

I pericolo degli hotspot Wi-Fi pubblici

Gli hotspot Wi-Fi pubblici, come quelli comunemente forniti da bar e alberghi, sono in genere in chiaro, il che significa che qualsiasi sniffer wireless o rogue access point senza fili può “succhiare” tutto il traffico, perché tutti i pacchetti di dati sono aperti. Pertanto, la prevenzione della perdita dei dati dipende dal modo in cui il dispositivo mobile di accesso alla rete è protetto e configurato.

La miglior protezione degli hotspot pubblici prevede l’adozione di WPA2 (Wireless Protected Access 2, conosciuto anche come IEEE 802.11i) per la crittografia di ogni sessione, unita all’accesso alle reti interne solo attraverso una rete privata virtuale (VPN). Questo significa che il traffico visibile dallo sniffer si risolve in un flusso di pacchetti di dati cifrati, quindi impossibili da utilizzare. Questo impedisce, inoltre, il reindirizzamento del traffico e gli attacchi del tipo man-in-the middle associati all’accesso al web tramite HTTPS.

Le PMI sono, in genere, assoggettate a un rischio più alto rischio di perdita dati attraverso l’utilizzo di hotspot Wi-Fi pubblici, perché non usano comunemente le VPN pubbliche. “Le PMI spesso aprono le connessioni sul firewall solo per il server di posta, o al più per il server RDP (Remote Desktop Protocol – ndr), che richiedono unicamente un nome utente e password, e in realtà non verificano la coerenza del computer che vi accede. Questo è un problema reale e le PMI hanno bisogno di essere educate per capire finalmente quanto sia facile in molti casi garantire l’accesso remoto”, ha detto Vladimir Jirasek, esperto di sicurezza e membro del chapter inglese della Cloud Security Alliance.

Anche se esistono kit per la creazione di stazioni base canaglia in grado di intercettare il traffico 3G, i rogue hotspot Wi-Fi sono un bersaglio molto più probabile per i malintenzionati, almeno secondo William Beer, responsabile della unit sicurezza informatica presso la società di consulenza PricewaterhouseCoopers (PwC). Secondo l’esperto, anche se esistono vulnerabilità nei canali di comunicazione wireless, il Wi-Fi è più facile da colpire a causa di tutti i controlli di sicurezza integrati all’interno delle reti 3G. Per riuscire a intercettare questo traffico occorrono competenze più specifiche e hardware più sofisticato e tutto questo si traduce in un minor rendimento sugli investimenti da parte degli hacker. Secondo Jirasek, le best practice per i dispositivi mobili che supportano il 3G, il Wi-Fi e l’accesso HSPA (High Speed Packet Access) prevedono l’utilizzo del voice-over-IP (VoIP) e l’esecuzione di un software peer-to-peer per crittografare il traffico. In questo modo, tutto il traffico sarà cifrato su una rete non sicura.

Un altro veicolo potenziale di perdita di dati è il crescente numero di dispositivi IP-enabled utilizzati all’interno dell’azienda, tra cui stampanti, telecamere e sistemi Point of Sale (POS). Il fatto che la maggior parte di questi dispositivi sia in grado di operare su una rete IP, unito al fatto che la maggior parte delle aziende hanno il diktat di risparmiare denaro, significa inevitabilmente che vi è un crescente utilizzo della rete aziendale come dorsale di comunicazione per più di un semplice file server o di un server di stampa.

Alla luce di questo fatto, e stante la necessità di bloccare il maggior numero di possibili vie di fuga dei dati, le aziende sono costrette a trattare le loro reti interne come intrinsecamente ostili, implementando il giusto livello di sicurezza su tutti i dispositivi collegati in rete. “Un buon esempio potrebbe essere quello di cifrare i filmati tra la fotocamera e il registratore o implementare un server di controllo della fabbrica più robusto, dotato di un firewall sulla rete, piuttosto che una workstation non protetta sulla quale gira il software di controllo del sistema”, ha suggerito Lord.

Ancora una volta, la migliore prassi è sempre quella di separare i diversi tipi di dispositivi e applicare controlli di sicurezza diversi di conseguenza, ha detto Jirasek. “Non si dovrebbero mettere dispositivi IP nello stesso dominio o nella stessa rete dei computer. Se non c’è bisogno che debbano parlare tra loro, allora non dovrebbero essere in grado di farlo”, ha chiarito.

 

L’accesso alla rete richiede una gestione attenta

Idealmente, tutto il traffico deve essere monitorato, ma quando si effettua un’analisi costi/benefici può risultare impossibile farlo. “È necessario compiere una scelta di merito, basata sulla verifica delle minacce potenziali per capire se vale la pena di introdurre controlli specifici su alcuni segmenti della rete – ha detto Jirasek -. Sarebbe una prassi scorretta avere tutto sulla stessa rete, ma questo è ciò che le PMI stanno facendo nella realtà. Queste realtà non hanno i soldi per segmentare la rete”.

L’approccio migliore, sempre a detta dell’esperto, sarebbe quello di avere un sistema di identificazione delle anomalie che scandagli tutto il traffico in rete. “Si tratterebbe della scelta migliore da un punto di vista di puro traffico sul network, ma per il malintenzionato determinato è necessario essere preparati anche sul lato degli host. Questo implica proteggerli adeguatamente con l’uso di antivirus e anti-malware, imporre la classificazione e la netta separazione dei dati, che dovranno essere accessibili separatamente. Inoltre, se un utente ha accesso a dati sensibili riguardanti l’azienda, in teoria dovrebbe utilizzare uno specifico PC per navigare attraverso questi record”, suggerisce Jirasek.

La complessità è la sfida più grande per le grandi imprese. Le vulnerabilità di sicurezza in genere emergono a causa di errori di configurazione. Solitamente, infatti, solo il 30-40% delle regole di base per i firewall viene utilizzata e le organizzazioni tendono a esporre le proprie reti all’accesso “open” per il quale non è vi è alcuna giustificazione di tipo commerciale. “La perdita di dati è raramente un problema che ha a che fare con la tecnologia. Spesso, invece, rimanda a errori di configurazione degli apparati, a errata stesura delle regole di controllo e a una certa riluttanza mostrata nel correggere gli errori di configurazione rilevati ex post, per paura di bloccare l’accesso del personale alla rete”, ha detto Jody Brasile, fondatore e CTO della società di sicurezza americana FireMon.

Per le grandi reti aziendali e governative si rende necessaria la dotazione di un sistema di gestione degli eventi di sicurezza (SIEM), unita alla capacità di prevedere tutti i possibili accessi alla rete, per costruire un quadro di rischio complessivo. Questo consente alle organizzazioni di ridurre i pericoli, bloccando i percorsi di accesso non necessari prima che si verifichi un incidente di sicurezza. “La maggior parte delle organizzazioni rimane stupita quando gli vengono mostrati i possibili percorsi di accesso alla rete interna. Percorsi tutti potenzialmente utilizzabili come vie di accesso non autorizzato a dati più o meno sensibili”, ha detto il Brasile.

Secondo Beer, molte organizzazioni sono ancora relativamente deboli quando si tratta di un monitoraggio continuo del traffico di rete: “Rimango sempre sorpreso nel vedere come i dati di log non vengano quasi mai considerati per individuare possibili attacchi potenziali”, ha detto.

 

Educare gli utenti

Come tutte le sfide alla sicurezza, tuttavia, la tecnologia da sola non è sufficiente. Specialmente nell’era del BYOD, le aziende devono assicurarsi che i dipendenti siano a conoscenza dei rischi connessi all’utilizzo di dispositivi mobili per accedere alle reti e ai dati aziendali. “La causa dei problemi di sicurezza è, sempre più spesso l’utente, che diventa l’anello più debole di tutta la catena di protezione posta a tutela dei dati aziendali”, ha detto Beer.

Mentre molte organizzazioni hanno tecnologie appropriate, policy e programmi di sensibilizzazione in atto per i computer desktop e portatili, spesso tutto questo manca quando si tratta di smartphone e altri dispositivi mobili. Il livello di consapevolezza sui rischi sicurezza relativi ai dispositivi IP-enabled è relativamente basso. “Ma il numero di vulnerabilità legate ai dispositivi IP-enabled mal gestiti è destinato ad aumentare”, ha messo in guardia Beer.   

redazione TechTarget

Argomenti trattati

Approfondimenti

H
hacker

Articolo 1 di 4