Combattere le Minacce alla Sicurezza non Ovvie del Lavoro Remoto - TechRobot

Combattere le Minacce alla Sicurezza non Ovvie del Lavoro Remoto

Nella primavera del 2020, la maggior parte dei governi e delle aziende in tutto il mondo è stata costretta a trasferire rapidamente molti dipendenti al lavoro remoto. A causa di ciò, le questioni di progettazione di un nuovo sistema di sicurezza delle informazioni sono state posticipate. Invece, le organizzazioni hanno adottato le misure di protezione più rilevanti disponibili in quel momento, per esempio, firewall, VPN e autenticazione a più fattori.

A causa della fretta nella costruzione del lavoro remoto e dei budget limitati, molte minacce alla sicurezza urgenti sono state ignorate. Col tempo, il sistema di protezione delle informazioni e la sua base documentaria sono stati perfezionati per tenere conto del maggior numero di minacce effettive. Tuttavia, gli aggressori continuano a trovare e utilizzare scappatoie per infliggere danni.

Minacce agli account degli utenti

· Intercezione delle credenziali inserite

Una delle misure per proteggere le informazioni quando si organizza il lavoro remoto e i dipendenti utilizzano dispositivi personali è la virtualizzazione dei posti di lavoro e lo spostamento delle applicazioni su un server terminale, seguito dall’isolamento completo dell’ambiente.

Infatti, se un malware viene installato sul computer di un dipendente, non influenzerà l’ambiente di lavoro o le applicazioni aziendali.

Tuttavia, anche se viene utilizzata un’autenticazione alternativa per la connessione remota, se ti connetti a una postazione virtualizzata (VDI) e a un’applicazione terminale (ad esempio, tramite RemoteApp), c’è un’alta probabilità che l’applicazione richiederà l’autorizzazione utilizzando un nome utente e una password. In questo caso, il malware può intercettare i tasti digitati, identificare la corretta combinazione login-password e, infine, un attaccante sarà in grado di accedere ai dati riservati.

Per mitigare questa minaccia, si raccomanda di utilizzare soluzioni di Single Sign-On (SSO) in combinazione con soluzioni per l’autenticazione alternativa. La soluzione SSO dovrebbe essere installata sulle postazioni di lavoro d’ufficio alle quali il dipendente si collega tramite VDI o su un server terminale. Inoltre, per confermare l’autenticazione nelle applicazioni aziendali, il sistema richiederà un fattore di autenticazione alternativo, dopo il quale SSO fornirà autonomamente le credenziali necessarie. Così, anche se ci fosse un keylogger sulla postazione di lavoro di un dipendente, i login e le password inseriti non possono essere intercettati.

· Clonazione del generatore di password monouso

È ovvio che i metodi di autenticazione forte (multi-fattore) aumentano significativamente la resistenza alle minacce durante il lavoro da remoto. Tuttavia, tutte le tecnologie di autenticazione presentano differenze significative sia in termini di applicabilità che di sicurezza.

I metodi di autenticazione multi-fattore popolari oggi che utilizzano codici monouso generati sul dispositivo o inviati tramite messaggeri presentano significative vulnerabilità. Se un attaccante ottiene accesso continuo a uno smartphone, può tentare di ottenere privilegi elevati sullo smartphone (jailbreaking per dispositivi iOS, root per Android). E se un attaccante ha successo, sarà in grado di clonare le chiavi del generatore di password monouso e configurarlo per inviare i codici al proprio dispositivo.

Per mitigare questo rischio, si raccomanda di abbandonare le password monouso e utilizzare l’autenticazione push, che è esplicitamente legata al dispositivo e non funzionerà sul dispositivo dell’attaccante.

Minacce alla disponibilità delle risorse aziendali

· Blocco remoto degli account utente

Spesso, i servizi web sono disponibili su Internet. Ad esempio, la posta elettronica web può essere utilizzata per accedere alle risorse aziendali.

A volte, il nome della casella di posta è lo stesso del nome dell’account di dominio. Gli hacker possono provare a indovinare la password lanciando un attacco di forza bruta. Per neutralizzare questa minaccia, dovrebbe essere abilitato il blocco dell’account dopo diversi tentativi di password non riusciti.

Tuttavia, un attaccante può forzare brutalmente le password per bloccare intenzionalmente un account di dominio. Un tale attacco può paralizzare alcuni processi aziendali.

Per neutralizzare parzialmente questa minaccia, puoi utilizzare una soluzione specializzata per l’autenticazione a due fattori (2FA), per esempio, le password monouso. In questo caso, anche se viene effettuato un tentativo di forza bruta, verrà bloccato il secondo autenticatore, e non l’account. Così, l’impiegato conserverà la capacità di accedere alle risorse aziendali, sebbene solo tramite una connessione alternativa o lavorando localmente.

· Perdita o guasto di un supporto che memorizza le chiavi di sicurezza

Quando svolgono compiti lavorativi, i lavoratori remoti possono utilizzare certificati digitali per firmare documenti, collegarsi a servizi web di terze parti, o per altri compiti. Allo stesso tempo, in caso di perdita o guasto del dispositivo (ad esempio, la chiavetta USB che conserva le chiavi), sorge il problema della sua pronta sostituzione. Spesso, ciò non può essere attuato entro un tempo ragionevole, specialmente se il dipendente si trova lontano dall’ufficio.

Per neutralizzare la minaccia, puoi utilizzare soluzioni specializzate che implementano una smart card virtuale che non conserva le informazioni chiave su un dispositivo rimovibile.

In questo caso, la memorizzazione della chiave verrà effettuata nei seguenti modi:

1) Sul lato server, tutte le operazioni con le chiavi vengono eseguite sul server.

2) Un modulo specializzato all’interno del dispositivo – Trusted Platform Module.

Tali soluzioni sono considerate meno sicure rispetto ai supporti rimovibili protetti, ma queste soluzioni sono le più flessibili e adatte per la situazione di emergenza descritta.

Dopo aver sostituito la chiave, la smart card virtuale può essere disabilitata. Così, anche se il portachiavi viene perso o rotto, non ci sarà alcun fermo nei processi aziendali dell’azienda.

Minacce di non attribuzione delle azioni che hanno portato all’incidente

· Controversie in caso di fallimento di una risorsa critica

Ogni volta che gli utenti privilegiati lavorano con risorse IT, c’è sempre il rischio di errore umano. Le loro azioni stesse possono portare al fallimento di una risorsa critica.

Anche quando si lavora direttamente nei locali di un’organizzazione, può essere difficile capire cosa sia successo e chi sia responsabile del fallimento. Nel caso dell’accesso remoto, questa situazione diventa più complicata. L’indagine su tali incidenti non solo influisce negativamente sull’ambiente di lavoro quando ci sono tentativi di incolpare la parte innocente, ma spreca anche molto tempo in azioni improduttive.

Utilizzare soluzioni SIEM probabilmente ti permetterà di scoprire chi si è collegato alla risorsa, ma è improbabile che riesca a determinare con precisione chi è responsabile in caso di connessioni simultanee multiple. E anche la sequenza di azioni che ha portato al malfunzionamento è difficile da determinare.

Tuttavia, quando si utilizzano le soluzioni di Privileged Access Management (PAM), tutte le connessioni degli utenti privilegiati possono essere registrate in vari formati (video, testo, screenshot, battiture, file trasferiti, ecc.) Successivamente, utilizzando questi log, è possibile determinare rapidamente quale sequenza di azioni ha portato al fallimento e identificare la persona responsabile dell’incidente.

· Un tentativo di eludere la responsabilità

Ci sono situazioni in cui un insider malintenzionato lavora in un’azienda. Può intenzionalmente svolgere alcune azioni che possono portare a un guasto o a un’interruzione di una risorsa critica. Di per sé, il compito di identificare il responsabile non è facile; tuttavia, utilizzando soluzioni PAM, è possibile trovare rapidamente il colpevole.

Quando viene scoperto, un dipendente potrebbe dire che la sua password è stata rubata. Non è un segreto che l’autenticazione tramite password sia molto vulnerabile a varie minacce, e il fatto stesso della divulgazione viene spesso rivelato solo dopo l’incidente.

Ovviamente, in una tale situazione, gli addetti alla sicurezza possono pensare che il dipendente sia innocente e che ciò che è successo sia solo una sfortunata coincidenza.

Per neutralizzare questa minaccia, si raccomanda di utilizzare il 2FA in combinazione con la soluzione PAM. Se l’impiegato è davvero un insider malintenzionato, gli sarà difficile sottrarsi alla responsabilità. Se tuttavia, un impiegato sostiene che non solo la sua password, ma anche il suo telefono sono stati rubati, sul quale è installato un generatore di password monouso, gli verrà posta una domanda logica: “Perché non hai prontamente notificato il servizio di sicurezza riguardo a questo?”

Conclusione

Dopo aver preso in considerazione ulteriori minacce che emergono lavorando da remoto, è necessario tenere presente che le minacce alla sicurezza delle informazioni si evolvono con lo sviluppo delle tecnologie IT. Gli aggressori si adattano e sono sempre alla ricerca di nuovi modi per guadagnare di più. Fino a quando i sistemi di difesa non saranno completamente ristrutturati per le nuove realtà, i cybercriminali possono sfruttare le tue vecchie e nuove debolezze per i loro scopi.

Oggi, il formato di lavoro remoto è entrato fermamente nella nostra vita ed è persino regolamentato a livello statale in alcuni paesi. Di conseguenza, gli specialisti della sicurezza delle informazioni devono considerare attentamente e senza fretta fino a che punto i sistemi di protezione esistenti sono pronti a resistere alle sfide informatiche moderne. Abbiamo persino dovuto iniziare a guardare a cose che non avremmo mai pensato di dover considerare, come i rischi per la sicurezza legati al mangiare fuori.