Nov 06, 2023 Approfondimenti, Hacking, In evidenza, RSS, Vulnerabilità
Spesso i cybercriminali sfruttano gli errori di configurazione nelle reti e nei dispositivi per ottenere l’accesso iniziale ai sistemi delle organizzazioni e distribuire malware o sottrarre dati.
Nell’ottica di aiutare le aziende a ridurre la superficie di attacco e aumentare le difese, l’Agenzia di Cybersicurezza nazionale (CSA) di Singapore ha condiviso un elenco degli errori più comuni presenti nelle configurazioni di rete e le misure per mitigarle.
Uno degli errori più comuni delle organizzazioni è avere policy inadeguate per la gestione delle credenziali: sono ancora troppi gli utenti che utilizzano password deboli e semplici da indovinare. Introdurre regole più stringenti per la creazione delle password, come la lunghezza minima di 12 caratteri e l’uso di simboli speciali, aiuta a migliorare le difese e rendere gli utenti dei sistemi più consapevoli dei rischi.
L’autenticazione multi-fattore (MFA) offre un livello di sicurezza molto superiore rispetto alle password, ma non è comunque immune da attacchi, soprattutto se si utilizzano metodi vulnerabili agli attacchi di phishing, come l’MFA con SMS. L’uso di smart card e token è sempre consigliato, ma è necessario che siano configurati correttamente.
Un altro errore molto comune consiste nel lasciare invariate le impostazioni di default nei software e nelle applicazioni in uso. Le configurazioni predefinite sono conosciute e ben documentate, quindi facilmente sfruttabili dagli attaccanti. È fondamentale che le imprese modifichino subito le impostazioni di default e rafforzino le policy per tutti i software in rete.
Le appliance di sicurezza sono uno degli elementi fondamentali per garantire la protezione della rete. L’assenza di firewall o l’uso di regole sbagliate o imprecise consente anche al traffico non autorizzato di passare, mettendo in pericolo l’intero sistema; inoltre, in molti casi le imprese ignorano l’importanza di configurare soluzioni di alerting per il monitoraggio e l’individuazione delle minacce.
Il CSA di Singapore consiglia alle organizzazioni di aggiornare regolarmente le policy e di implementare sistemi di monitoring per rilevare e rispondere il prima possibile alle attività sospette all’interno della rete, bloccandole prima che compromettano il funzionamento dell’intero sistema.
Accade spesso che nelle reti aziendali ci siano servizi, dispositivi e porte inutilizzati che aumentano la superficie di attacco. Ogni software in esecuzione o dispositivo connesso, soprattutto se ci sono vulnerabilità conosciute non patchate, rappresenta un potenziale punto di accesso sfruttabile dagli attaccanti.
Per ridurre il rischio di minacce è consigliabile disattivare porte e servizi non utilizzati e applicare regole di accesso più stringenti seguendo il principio del Zero Trust.
Gli attaccanti possono sfruttare i servizi e protocolli insicuri per l’accesso remoto, come il Remote Desktop Protocol, o le configurazioni VPN errate per accedere a reti e sistemi e prendere il controllo di più dispositivi o distribuire payload malevoli. Per garantire la sicurezza degli accessi remoti le organizzazioni devono investire su metodi sicuri di autenticazione, sistemi di monitoraggio degli accessi e aggiornare regolarmente i software in uso.
Un altro problema molto diffuso riguarda l’utilizzo di dispositivi IoT non configurati correttamente. Questi device sono ampiamente utilizzati per la costruzione di botnet per lanciare attacchi DDoS o come punto di accesso alla rete. Anche in questo caso è fondamentale proteggere i dispositivi aggiornando regolarmente il firmware e utilizzare password robuste.
La diffusione del cloud pubblico sta esponendo le aziende a nuove categorie di attacchi e la situazione è esacerbata anche dalle configurazioni errate dei sistemi. Gli attaccanti sfruttano gli errori nelle impostazioni dei bucket o nel controllo degli accessi per infiltrarsi nei sistemi e accedere a dati sensibili ed eseguire software malevoli.
Oltre a controllare e aggiornare periodicamente le configurazioni degli ambienti cloud, le organizzazioni dovrebbero potenziare i sistemi di sicurezza e monitoraggio per proteggere le risorse e agire non appena si presenta una minaccia.
Se gli attaccanti riescono ad accedere ai sistemi, è molto probabile che cerchino di eseguire codice o file malevoli per compromettere l’intera rete. Per proteggersi da questa eventualità è necessario configurare i dispositivi in modo che venga bloccata l’esecuzione di qualsiasi applicazione scaricata da sorgenti sconosciute o non attendibili.
In molti casi le imprese non gestiscono le patch e ignorano l’importanza di applicare gli aggiornamenti condivisi dal vendor per proteggere i sistemi.
Aggiornare regolarmente i sistemi è fondamentale per garantire la sicurezza di dispositivi e applicazioni; ciò significa sostituire software e device non più supportati con le versioni più recenti e definire un piano per l’applicazione delle patch che tenga conto della priorità delle vulnerabilità per agire prima su quelle più urgenti.
Spesso gli amministratori dei sistemi configurano in modo errato le Access Control List (ACL), ovvero gli elenchi per filtrare il traffico di rete e le azioni eseguibili per limitare l’accesso ai dati sensibili.
Per esempio le regole possono essere troppo o troppo poco permissive, oppure possono esserci regole incoerenti od obsolete che consentono agli attaccanti di accedere ai sistemi per esfiltrare i dati o eseguire altri attacchi.
Il consiglio di CSA Singapore è applicare il alle organizzazioni di applicare il principio del privilegio minimo (PoLP – Principle of Least Privilege) per limitare l’accesso informazioni importanti e di usare controlli severi per l’accesso basato sui ruoli (RBAC – Roled Based Access Control).
Gli attaccanti possono aggirare i controlli di accesso compromettendo i metodi di autenticazione; per esempio, se riescono a recuperare gli hash, possono utilizzarli per autenticarsi utilizzando la tecnica del Pass-the-Hash. Le imprese dovrebbero limitare la sovrapposizione di credenziali nella rete, ovvero il riutilizzo delle stesse credenziali per più account, per ridurre al minimo i problemi di sicurezza.
La segmentazione della rete consente di isolare le diverse parti del sistema per fare in modo che il traffico rimanga all’interno del segmento e non si propaghi all’esterno; ciò è particolarmente utile per limitare gli spostamenti laterali degli attaccanti dopo l’accesso iniziale.
La mancata segmentazione delle reti espone gli ambienti alle minacce poiché favorisce la diffusione di malware e consente agli aggressori di accedere ad altri sistemi. Il consiglio è di creare delle “zone sicure” per ridurre la circolazione del traffico e monitorare le comunicazioni per individuare attività sospette.
Uno degli errori più gravi delle aziende è trasmettere e memorizzare dati non cifrati, rendendoli vulnerabili a furti o compromissioni. Gli attaccanti possono intercettare le informazioni per sottrarle o manometterle in modo da eseguire altri attacchi. È fondamentale che le imprese usino la crittografia per proteggere i dati sia in “movimento” che “a riposo”, impedendo gli accessi non autorizzati.