Come prepararsi alla prossima violazione della sicurezza

La maggior parte dei professionisti IT, anche con il più alto grado di esperienza tecnica, non crede davvero che i loro ambienti IT subiranno una violazione. Pensano che gli hacker non li troveranno mai, che il malware contro cui i loro utenti si avvicinano su siti Web imprecisi non supereranno la protezione degli endpoint e che sono al sicuro anche dai ransomware. Dopotutto, è un gioco di numeri e tutti sanno che probabilmente passeranno di lì.

Bene, tutti hanno torto. Secondo un sondaggio condotto da 451 Research all'inizio del 2018, il 71 percento dei suoi 1.200 intervistati di sicurezza aziendale ha segnalato una sorta di violazione nella loro storia recente. Sono sette su 10, e quelli sono solo i numeri di persone che si sono effettivamente rese conto di essere state violate. Ciò significa che è quasi certo che su qualsiasi rete di grandi dimensioni almeno un dispositivo ospita malware, inattivo o attivo, di qualche tipo. Potrebbe essere qualsiasi cosa da un piccolo frammento malvagio seduto inattivo fino a quando non viene ascoltato dal suo server di comando e controllo, oppure potrebbe essere un pezzo di ransomware che sta semplicemente aspettando fino a quando non è stato eseguito il backup abbastanza volte da rendere il processo di recupero senza speranza. O peggio, potrebbe essere un dipendente scontento che alla fine viene licenziato e decide di rompere il sistema un'ultima volta in modo che possa inviare la maggior parte dei tuoi dati più preziosi sul web oscuro. Le possibilità sono infinite e, quindi, effettivamente inevitabili.

Non ignorare, invece Prepara

Se pensi che sia sbagliato, prendi in considerazione la US Geological Survey (USGS), la struttura di imaging satellitare del Centro EROS (Earth Resources Observation and Science) a Sioux Falls, nel Dakota del Sud. I sistemi della struttura si sono arrestati in modo anomalo e durante il ripristino hanno scoperto oltre 9.000 pagine di pornografia insieme ad alcuni malware, tutti caricati sui loro server locali a causa delle azioni di uno dei loro dipendenti. Non hanno mai saputo che fosse lì fino a quando non è stato necessario il recupero. A volte sembra che una delle ipotesi dei ricercatori senior della sicurezza sia effettivamente vera: i cattivi sono già nella tua rete, si stanno solo aspettando il loro tempo.

Quindi, invece di fingere che non ti succederà mai, sii semplicemente realistico. Supponiamo che accada una violazione e vada da lì. Per prima cosa, assicurati che qualunque cosa accada, avrà un impatto il minimo possibile sui tuoi utenti e sull'organizzazione. Come considerazione iniziale, questo significa proteggere i tuoi dati in modo tale da non essere automaticamente compromessi solo perché lo è la tua rete.

Esistono diversi altri passaggi che è possibile eseguire per proteggere da tale violazione. Questi passaggi includono rendere inaccessibili i tuoi dati, renderli inutilizzabili anche se i cattivi lo trovano e rendere la tua rete recuperabile in modo da poter riavviare le operazioni una volta superata la violazione. Mentre lo fai, devi anche prepararti in anticipo per tutti gli altri requisiti che accompagnano una violazione dei dati.

7 consigli per la preparazione hack

Per aiutarvi a prepararvi, ho raccolto sette suggerimenti dalla mia lunga storia di gestione di imminenti violazioni IT e altri disastri. Ecco i passaggi seguenti:

1. Crittografa tutti i dati. Anche se non sei legalmente obbligato a utilizzare la crittografia, fallo comunque. Perché fare questo passo in più significa che avrai una drastica riduzione del dolore quando si verifica una violazione perché puoi ancora soddisfare i requisiti per la protezione dei dati. E puoi farlo perché non dovrai preoccuparti della responsabilità per la perdita di dati. Inoltre, a seconda del tuo segmento di mercato, potresti anche evitare multe ingenti o persino tempi di detenzione, sempre una buona politica.

2. Distribuisci i tuoi dati. Non mettere tutte le uova nello stesso paniere proverbiale si applica anche alla sicurezza dei dati. A seconda del tipo di dati che si sta proteggendo, ciò può significare far funzionare un ambiente cloud ibrido, impiegare l'archiviazione a livelli utilizzando un servizio di archiviazione cloud di livello aziendale o mantenere i dati su server diversi accessibili da un ambiente virtualizzato. Ricorda che le macchine virtuali (VM) possono anche essere vulnerabili agli attacchi se l'attaccante è ragionevolmente sofisticato. Le macchine virtuali possono essere non solo vulnerabili, ma potenzialmente così come non lo sono le infrastrutture fisiche e viceversa. Quello che non vuoi fare è assegnare lettere di unità ai tuoi server di archiviazione dati dal tuo server principale. Questa non è solo una cattiva pratica, ma anche un invito aperto anche per i cattivi hacker a ottenere le tue cose.

3. Prestare attenzione alla gestione dell'accesso. L'hai già sentito da me, ma non è cambiato: l'intera rete non può essere aperta a tutti e i tuoi dati non possono essere disponibili a tutti. Sia che si tratti semplicemente di utilizzare password utente o (molto meglio) utilizzando una piattaforma di gestione delle identità valida, è necessario limitare l'accesso a una determinata risorsa di rete solo a quelle persone la cui funzione lavorativa richiede tale accesso. Ciò include tutti, dal CEO al dipartimento IT. E se l'IT ha bisogno di accedere ad un'area protetta, allora l'accesso deve essere concesso in base alle necessità (preferibilmente in base al ruolo lavorativo). Anche l'accesso deve essere registrato: chi e quando è la quantità minima di dati che vuoi raccogliere qui.

4. Segmenta la tua rete. Ciò è correlato all'ultimo punto perché l'uso degli strumenti di gestione della rete per chiudere firewall o router interni significa che possono essere programmati per consentire solo a determinati utenti autorizzati di passare il traffico; tutti gli altri vengono bloccati. Oltre a controllare l'accesso degli utenti autorizzati, ciò limita anche qualsiasi accesso non autorizzato a solo una parte della rete e, insieme a ciò, solo una parte del portafoglio dati complessivo dell'organizzazione. E se hai seguito il passaggio uno, quindi, anche se i cattivi accedono ai tuoi dati, saranno crittografati. Se hai saltato il primo passaggio e hai lasciato i tuoi bit non crittografati, o in qualche modo hanno ottenuto la chiave di crittografia, almeno con la segmentazione non hanno tutto, solo un pezzo.

5. Non utilizzare la stessa chiave di crittografia per tutto. Sembra ovvio, ma una lunga esperienza mi dice che troppi professionisti IT cadono ancora in questa trappola. Non vuoi una chiave rubata o danneggiata per fornire l'accesso a tutti i tuoi dati. È un po 'come non usare la stessa password, tranne per l'accesso ai tuoi sistemi perché dovranno anche essere autenticati.

• Il miglior software di rimozione e protezione malware per il 2019 Il miglior software di rimozione e protezione malware per il 2019
• Violazione dei dati compromessa 4, 5 miliardi di record nella prima metà del 2018 Violazione dei dati compromessa 4, 5 miliardi di record nella prima metà del 2018
• Under Attack: in che modo l'hacking elettorale minaccia gli intermediari Under Attack: in che modo l'hacking elettorale minaccia gli intermediari

6. Sì, la vecchia castagna: eseguire il backup di tutto. I servizi di backup su cloud aziendale hanno reso questo più facile che mai nella storia dell'IT, quindi approfittane e impazzisci. Eseguire il backup di tutto, preferibilmente in più di una posizione o anche utilizzando più di un servizio di backup. Una delle posizioni dovrebbe essere nel cloud e sui server, il più lontano possibile dalla posizione principale. In questo modo i dati possono essere disponibili per uno scenario di ripristino di emergenza (DR) oltre alle tipiche situazioni di backup. Ma anche se il malware si trova sul tuo sistema, il tuo servizio di backup dovrebbe essere in grado di trovarlo ed eliminarlo. Con questo in mente, è importante eseguire il backup solo di ciò che conta davvero, quali sono i tuoi dati. Non eseguire il backup dei contenuti dei dischi rigidi sui computer client perché è probabilmente lì che si trova il malware. Invece, ripristina semplicemente quei computer dalle immagini standard gestite dal dipartimento IT.

7. Infine, crea una lista di cose da fare. Questo significa solo assicurarsi di aver preso cura delle attività amministrative che di solito vengono con una violazione. Avere un elenco telefonico che non è memorizzato su un sistema da qualche parte che fornisca i dettagli che dovranno essere comunicati in caso di violazione, preferibilmente nell'ordine in cui devono essere chiamati. È inoltre necessario aggiungere ciò che è necessario dire loro durante quella chiamata e qual è la scadenza per la notifica. Tieni anche le informazioni di contatto per il tuo servizio DR lì. Siediti con il tuo team legale e i tuoi senior manager e vai su questo elenco per assicurarti che nulla sia stato trascurato. E una volta che hai deciso che è tutto lì, confermalo esercitando effettivamente la tua risposta alla violazione.

Dopo aver fatto tutto questo, non solo ti riposerai più facilmente, ma potrai anche prendertene il merito per avere una buona risposta alla violazione e per essere uno dei pochi fortunati che non sperimenta mai una violazione.