7 consigli per difendersi da cyberattacchi

Ricordiamoci che "prevenire è meglio che curare", quindi spendere del tempo (e denaro) prima di un attacco è sempre un investimento per evitare di spendere più tempo e denaro ad attacco avvenuto.

Quali sono le soluzioni tecniche che possiamo adottare, in azienda, per ridurre il rischio di ransomware (e di virus in generale)? Riassumiamo:

• Avere un piano di emergenza: come nei disastri naturali, la prima azione di prevenzione è avere un programma da seguire, in linea di massima, quando il problema si presenta.
• Avere una buona politica di manutenzione: gestire correttamente la manutenzione di un sistema, schedulando gli aggiornamenti dei software, le verifiche dei log e quant'altro, permette di mantenere la struttura "in salute", e di individuare subito i problemi.
• Usare correttamente i firewall/IDS/IPS: sia verso l'esterno, sia all'interno della rete aziendale (tra dipartimenti/aree/settori). Se non è necessario che due aree siano in contatto diretto, meglio evitare.
• Usare/configurare correttamente i sistemi di contenimento: nessuna applicazione è perfetta, specie quelle scritte in-house, quindi è bene dotarsi di un sistema di contenimento che restringa il più possibile le possibilità di un attaccante.
• Diffondere la cultura della prevenzione: spesso il vettore di attacco dei virus, o dell'attacco hacker, è proprio l'utente. Diffondere una buona cultura, spiegando quali sono le azioni migliori da fare in caso di problemi o dubbi è un ottimo modo per prevenire.
• Avere i backup: dovrebbe essere inutile ormai, ma si continuano a vedere situazioni in cui il backup è inesistente o male costruito.
• Aggiornarsi: non dimentichiamoci che anche noi dell'IT siamo utenti, quindi cerchiamo di non essere noi l'anello più debole della catena. Teniamoci al passo con i tempi.

Ma cosa possiamo fare nel dettaglio per ogni punto? Approfondiamo.

Avere un piano di emergenza

Possiamo prendere ad esempio quello che succede nell'aviazione: ogni fault (problema ad un motore, perdita carburante, etc) ha una sua checklist da seguire, comprensiva di tutte le azioni da portare a termine per garantire la sicurezza. Ad esempio, possiamo realizzare la checklist "infezione da virus su un PC":

1. Disconnessione del PC colpito dalla rete
2. Spegnimento della rete e dei sistemi dell'area colpita (con disconnessione dal resto dell'azienda)
3. Verifica dei sistemi esterni all'azienda (verifica dei canali trasmissivi permessi da quel PC verso il resto dell'azienda)
4. Verifica dei sistemi interni alla rete dell'area
5. Riaccensione dei sistemi dell'area che non presentano segni di infezione
6. Formattazione PC infetti

Ovviamente non si tratta di un programma da seguire alla lettera: a seconda del caso possiamo fare alcune variazioni. Rappresenta tuttavia la linea da seguire.

Avere una buona politica di manutenzione

La manutezione costa ed è noiosa, ed è il motivo per cui in molte aziende è praticamente inesistente. Cosa dovrebbe fare un buon processo di manutenzione?

• Tenere d'occhio gli advisory dei CERT e dei fornitori di software che si utilizza in azienda (e ovviamente prendere provvedimenti nel caso esca una falla di sicurezza)
• Controllare periodicamente i logs, specialmente quelli riguardanti alla security; meglio se si ha un sistema IDS/IPS che permette di identificare molti problemi
• Controllare il buon funzionamento di firewall e dei sistemi di protezione; anche simulando un attacco se necessario
• Schedulare ed eseguire gli aggiornamenti di sistema, specie quelli classificati "di sicurezza".
• Verificare che il restore dei backup funzioni come previsto. Scoprirlo dopo è sempre male.

Usare correttamente i firewall/IDS/IPS

Comprendere bene il funzionamento di un sistema è necessario per configurare correttamente una rete. IDS (Intrusion Detection System) e IPS (Intrusion Prevention System) possono aiutare molto per identificare possibili intrusioni e reagire. Dovremmo investire molto del nostro tempo sull'implementazione di uno di questi due sistemi in azienda.

Una buona configurazione del firewall deve essere in stile "whitelist": consentito il traffico da questo host a quest'altro host alla porta 1234 dalle 8 alle 16, il resto è negato. Con i firewall moderni possiamo davvero generare delle regole molto particolari.

Non dimenticate che anche i singoli sistemi operativi hanno firewall (*BSD e GNU/Linux da molto, anche Windows da un po' ne ha uno "decente"): usateli per limitare la superficie d'attacco interna (ovvero da attacchi che vengono da altre macchine compromesse all'interno dello stesso segmento di rete).

Usare/configurare correttamente i sistemi di contenimento

Sistemi come AppArmor/SELinux (su GNU/Linux) o AppLocker (su Windows) permettono di bloccare l'esecuzione di azioni al di fuori di quelle indicate. Sono un "firewall" per le applicazioni in esecuzione: si può specificare che il server web (o nel caso del client, il client di posta elettronica o il browser) può scrivere dentro la directory dei file temporanei, ma dalla stessa directory nessuno può eseguire software.

Prendiamo il caso di un client di posta elettronica: se l'utente non può eseguire programmi al di fuori di una lista ben determinata (oppure al di fuori delle directory di sistema), un virus che si maschera come PDF non verrà eseguito se lanciato dall'utente (perché la decompressione avviene nella directory temporanea, oppure in una directory dove l'utente può scrivere ma non eseguire, ed il sistema sa bene che quello non è un PDF ma è un file eseguibile).

Anche firewall, proxy e border gateway giocano un ruolo importante: se le postazioni di lavoro non è previsto che siano libere di girare su Internet, negare l'accesso. Se non è previsto che scarichino eseguibili, negare.

Diffondere la cultura della prevenzione

Non c'è molto da dire: che siano corsi organizzati dall'azienda prendendo personale esterno, che siano interni, che siano video/documenti, ogni mezzo è utile per diffondere le buone pratiche che l'utente deve seguire per proteggersi il più possibile (nelle sue possibilità). Non si tratta di formare l'utente come esperto di sicurezza: nel caso della patente, nessuno si aspetta che conosciamo l'effetto di ogni sistema di sicurezza, ma ci viene richiesto di saper indossare la cintura, rispettare i limiti, maneggiare correttamente l'attivazione/disattivazione airbag, etc).

Avere i backup

Una massima recita "Quanto spenderesti per riavere i tuoi dati dopo che un crash irreversibile li ha cancellati? Quella cifra è quanto devi spendere nel backup". Spesso sottovalutato, vediamo quanto vale solo dopo la catastrofe. E' necessario scegliere bene però il periodo di retention, ovvero quanto teniamo i backup, la frequenza, ovvero quanti backup facciamo in un arco temporale, le modalità ed i tempi. E, cosa molto più importante, bisogna ciclicamente provarli (vedi la parte sulla manutenzione).

Aggiornarsi

Conoscete i metodi di diffusione degli ultimi virus? Conoscete alcune tecniche per i firewall (ad esempio, il target TARPIT su iptables)? Personale preparato nell'IT è la miglior arma.