Come implementare una strategia Zero Trust dopo il recovery da un attacco informatico. Dopo aver recuperato e ripristinato i sistemi IT da un attacco informatico, le aziende si ritrovano nuovamente padroni del loro destino, con il pieno controllo di tutti i dati e gli strumenti necessari alla loro piena operatività.

Tale circostanza rappresenta inoltre l’occasione per riflettere sull’accaduto e far si che non si ripeta, o vi siano le condizioni per mitigare più rapidamente e con il minor impatto sui danni che ne conseguono. In altri termini, subire un incidente di sicurezza informatica rappresenta l’occasione per ripensare la propria strategia di cybersecurity, implementandola con criteri zero trust e renderla finalmente solida ed affidabile, grazie a strumenti di moderna concezione, facilmente configurabili ed aggiornabili nel tempo. 

Per agevolare le aziende in questo compito, Microsoft ha messo a punto specifici piani di ripristino strategico della sicurezza, in modo da implementare una corretta postura dei sistemi e una consapevole igiene informatica da parte dei dipendenti, utile a minimizzare il rischio legato all’errore umano. Un piano di ripristino strategico della sicurezza dei sistemi e dei dati aziendali comporta l’impiego di varie componenti, tra cui i Securing Priviliged Access e l’Extended Detection and Response (XDR).

Grazie alla possibilità di configurare tali componenti, è possibile soddisfare le esigenze di sicurezza informatica di qualsiasi organizzazione, secondo le logiche di una strategia Zero Trust. Sulla base di quanto descritto da Microsoft nel presente articolo vediamo quali sono i passi fondamentali per implementare una strategia Zero Trust dopo un corretto recovery da un attacco di sicurezza informatica.

[Arriva l’ultima tappa del road show #TuttoLoStadio. Un tour senza precedenti per raccontare l’innovazione, che serve, “minuto per minuto”. Quattro tappe, quattro stadi tra i più belli ed emozionanti in Italia, quattro eventi straordinari dedicati alla rivoluzione cloud, alle più grandi opportunità in arrivo per  system integrator, sviluppatori e reseller. Non perderti il prossimo e ultimo appuntamento chiave per toccare con mano e scoprire tutte le funzionalità delle  piattaforme Microsoft. Calcio d’inizio il prossimo 24 novembre allo Stadio San Siro di Milano. Qui tutti i dettagli per l’iscrizione.]

Gestione degli accessi e delle autorizzazioni

Dopo aver rimesso in sicurezza i server più critici, come i Domain Controller, e gli account più rilevanti, come i Domain Admins, il passo successivo risiede nel mitigare le possibilità per gli account che dispongono di privilegi limitati, per controllare in maniera dettagliata il loro controllo sui dati e sui carichi di lavoro. In altri termini, è necessario intervenire su quelli che in gergo vengono rispettivamente definiti i Tier 0 e i Tier 1 degli ambienti IT on-premise.

Gli attacchi ransomware sfruttano notoriamente i punti deboli nella gestione degli accessi e delle autorizzazioni, per acquisire il controllo dei server più importanti della rete, esfiltrare i dati e mettere a segno la fase violenta dell’attacco. Un ransomware può infatti utilizzare un account dotato di privilegi da admin per criptare le applicazioni e i database, avendo il medesimo tipo di accesso a tali risorse.

Diventa pertanto indispensabile assicurare la robustezza degli accessi con sistemi di autenticazione ed altre misure tecnologiche ed organizzative in grado di tenere i malintenzionati al di fuori del controllo dei sistemi vitali per l’infrastruttura IT.

Controllare i privilegi di accesso delle workstation consente di minimizzare sia i rischi che un attacco informatico possa ripetersi secondo me le medesime circostanze che lo hanno reso possibile la prima volta, sia la garanzia che i dati più critici non vengano osservati anche da dipendenti del tutto legittimi che non dovrebbero tuttavia godere di tali privilegi.

La gestione delle policy e dei controlli di sicurezza a livello locale rappresenta quindi la condizione fondamentale per garantire un’infrastruttura sufficientemente robusta nei confronti delle minacce presenti nella rete.

XDR (Extended Detection and Response)

Quando subentra un attacco di sicurezza informatica diventa cruciale il ruolo svolto dall’investigazione, tanto più agevole quanto si dispone di sistemi di monitoraggio configurati in maniera opportuna. Grazie a piattaforme come Microsoft Sentinel, è infatti possibile avere la totale visibilità di quanto accade nella rete, ed in particolare in corrispondenza dei sistemi più critici.

Tali aspetti risultano infatti cruciali per rispondere in maniera rapida ed efficiente alle anomalie e alle attività sospette prima che possano verificarsi altri incidenti di sicurezza informatica. L’impiego di una piattaforma XDR (Extended Detection and Response) come Microsoft Defender Threat Protection consente di automatizzare gran parte delle attività di monitoraggio, semplificando l’investigazione e le attività di remediation per offrire un miglior livello di sicurezza.

Le aziende che si dotano di efficienti sistemi XDR sono in grado di anticipare le minacce prima che si traducano in azioni effettivamente dannose.

Zero Trust Journey

La strategia Zero Trust si basa su una serie di principi tra loro coordinati per garantire un generale incremento delle misure di sicurezza dei sistemi e dei dati. Secondo Microsoft i tre passi fondamentali per implementare con successo una strategia di sicurezza Zero Trust sono sostanzialmente tre.

Verifica dei data point

Consiste nella costante validazione di tutti i data point, per quanto concerne i seguenti elementi:

  • Identità e posizione degli utenti
  • Salute dei singoli dispositivi
  • Contesto del servizio e del carico di lavoro
  • Classificazione dei dati
  • Rilevamento delle anomalie

Accesso con minimo privilegio

Per assicurare i dati senza limitare la produttività, è possibile controllare i privilegi degli utenti utilizzando:

  • Just-in-time (JIT)
  • Just-enough-access (JEA)
  • Policy adattive sulla base dei rischi
  • Protezione dei dati contro i vettori out of band

Prevenire le violazioni con la strategia Zero Trust

Tra le attività indispensabili nell’attuazione di una strategia Zero-Trust vi è la necessità di minimizzare la portata di una possibile violazione e prevenire i movimenti laterali:

  • Segmentando gli accessi di reti, utenti, device e applicazioni
  • Criptando tutte le sessioni end-to-end
  • Utilizzando gli analytics per il rilevamento delle minacce, la visibilità posturale e il progressivo miglioramento dei sistemi di difesa

L’investigazione post incidente rileva come molto spesso di attaccanti utilizzino le violazioni di identità per intraprendere una serie di movimenti laterali utili ad attivare quella escalation di privilegi che li porta in contatto con i server e i dati più critici. Per questo motivo, limitarsi a difendere il perimetro di sicurezza aziendale non è più sufficiente, in quanto una violazione di identità potrebbe rendere vana l’azione del più impenetrabile dei firewall.

La riorganizzazione a seguito di un attacco di sicurezza informatica consente di fare mente locale anche su questo aspetto, implementando dei principi effettivamente Zero Trust, focalizzati in primo luogo sulla protezione e sulla corretta definizione dei privilegi legati alle identità.

Implementare i principi Zero Trust non è soltanto un fatto di natura strettamente tecnologica, in quanto comporta l’esigenza di intraprendere uno specifico percorso di formazione dei dipendenti, in modo da adottare il corretto mindset per quanto concerne le logiche operative legate ai privilegi di cui si dispone.

Per soddisfare questi aspetti, legati soprattutto alla crescita della consapevolezza sulla sicurezza e sull’igiene informatica, Microsoft ha implementato lo Zero Trust Essentials eBook, utile ad acquisire le basi della disciplina, e il Microsoft Zero Trust Maturity Assessment Quiz.

Compromise Recovery Security Practice (CRSP), la soluzione Zero Trust di casa Microsoft

Oltre alle metodologie e alle tecnologie per un approccio Zero Trust, Microsoft dispone di un team di specialisti di livello internazionale, il Compromise Recovery Security Practice, formato da esperti di cybersecurity attivi in tutto il mondo, chiamati a supportare le esigenze di aziende pubbliche e private, grazie al loro straordinario know-how e alla perfetta conoscenza dei sistemi Microsoft.

Il CRSP rientra nel più ampio circuito dei Microsoft Security Experts, che vanta di tutte le competenze necessarie per aiutare le organizzazioni a reagire con successo agli incidenti di sicurezza informatica: dall’investigazione, al contenimento, alla mitigazione alle opportune attività di ripristino e recupero dei sistemi che si rendono necessarie per tornare ad essere pienamente efficienti anche nelle situazioni più difficili. In particolare, i servizi di risposta e recovery sono svolti dal già citato CRSP e dal DART (Detection and Response Team).

Zero Trust, come si implementa dopo il recovery da un attacco informatico ultima modifica: 2022-11-21T15:45:36+01:00 da Francesco La Trofa

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui