L’Italia sta subendo di recente un picco di cyber attacchi da parte di criminali informatici e hacker di stato. L’esperto di information security Huy Kha spiega perché

L’Italia sta soffrendo di recente un picco di attacchi informatici da parte di criminali informatici e hacker di stato. Le vittime sono soprattutto organizzazioni a livello governativo e industriale. Perché? Difesa e sicurezza lo ha chiesto a Huy Kha, un professionista della information security, che ha studiato nel nostro paese e lavora spesso con nostre aziende per migliorare la loro cyber security. “Molte organizzazioni in Italia soffrono perché c’è una mancanza di consapevolezza nell’individuare quali sono le risorse critiche più importanti di cui dispongono attualmente – ha spiegato l’esperto cyber – . In realtà: c’è una mancanza di awareness su che tipo di sistemi siano disponibili internamente ed esternamente. Spesso sento dire dal CISO e dal dipartimento IT che non erano a conoscenza del fatto che avevano un server particolare, il quale non era stato aggiornato da anni. Solo perché non avevano la minima idea che fosse ancora esistente o che un sotto-dominio con un (vecchio) database contenente informazioni riservate fosse ancora esposto su Internet “.

Una delle risorse più critiche in un’organizzazione è l’Active Directory (AD). Ma spesso le aziende dimenticano di rimuovere gli ex dipendenti, specialmente quelli con privilegi elevati

Una delle risorse più critiche in un’organizzazione è l’Active Directory (AD). “Spesso trascuriamo di proteggere un’AD perché le persone pensano ancora che si tratti di un inventario di identità. Ma non lo è. Nella realtà è qualcosa che dovrebbe essere preso sul serio. È possibile per un intruso compromettere un account sull’AD ed elevare i suoi privilegi per ottenere più diritti e quindi avere accesso a più risorse sull’intera rete”, ha continuato Kha. In Italia, ad esempio, “una volta ho scoperto che un’organizzazione aveva circa 50 Domain Admins di utenti che non lavoravano più per essa. In effetti, gli utenti – specialmente quelli con privilegi elevati che non lavorano più per un’organizzazione, dovrebbero essere rimossi al più presto. Dobbiamo considerare gli amministratori di sistema come parte del nostro team di sicurezza, perché stanno gestendo questo tipo di sistemi”.

I 3 passaggi chiave per aumentare la sicurezza informatica nelle organizzazioni

“Ci sono alcune cose su cui le organizzazioni, anche in Italia, dovrebbero assolutamente lavorare per ridurre i rischi cyber multipli. Governance AD, modello di livello amministrativo e rilevamento del comportamento malevolo – ha sottolineato l’esperto di sicurezza informatica -. Il primo passo dovrebbe essere identificare il tipo di risorse che hanno. Inizia a capire il tuo network con l’AD Governance. Da quante workstation sono collegate e che tipo di privilegi e permessi ha un utente a quale tipo di risorsa è disponibile. Il secondo è assicurarsi che i tuoi amministratori stiano avendo una gestione rigorosa dei privilegi – ha aggiunto Kha -. Il modello amministrativo a più livelli mira ad aiutare le organizzazioni a proteggere meglio gli ambienti. Definisce 3 livelli che creano zone cuscinetto per separare l’amministrazione di PC ad alto rischio e risorse preziose come i controller di dominio. L’ultimo passo è sapere cosa sta succedendo nella tua rete con meccanismi di rilevamento adeguati per dare la caccia alle attività malevoli. Non vorreste essere in ritardo se l’intruso fosse già dentro”.

In Italia e oltre, le aziende e le organizzazioni subiscono ondate di attacchi informatici anche solo per problemi di errata configurazione (misconfiguration)

Spesso in Italia e altrove, le aziende subiscono ondate di attacchi informatici solo per problemi di errata configurazione (misconfiguration). “Sono andato in luoghi in cui ho visto che era ancora utilizzata la politica di password predefinite o che il protocollo di autenticazione NTLMv2 non lo era – ha denunciato Kha -. Per non dimenticare di menzionare che i diritti degli utenti spesso non sono stati assegnati alle persone che effettivamente ne necessitavano”.

Il profilo Twitter dello specialista in Information Security Huy Kha