Threat Model aggiornato per lavorare da remoto in sicurezza

I consigli di Gabriele Zanoni, EMEA Solutions Architect di FireEye, su rischi e opportunità per chi lavora in smart working

Quando un’azienda avvia un progetto IT, i diversi dipartimenti aziendali instaurano un tavolo di lavoro per pianificarne l’esecuzione. Solitamente durante queste fasi, le divisioni di cyber security forniscono una serie di suggerimenti e di verifiche affinché il progetto sia il più sicuro possibile.

In questi giorni, di emergenza dovuta alla pandemia da Covid-19, molte aziende si sono ritrovate a dover fornire necessariamente ai dipendenti, in tempi pressoché immediati, un accesso remoto a sistemi e dati aziendali, abilitandoli a effettuare il cosiddetto smart working.

Quando ci si trova a dover affrontare nell’emergenza un progetto che vada a garantire accesso remoto ai sistemi aziendali, a un ampio bacino di utenti, è di fondamentale importanza adottare anche una serie di precauzioni dal punto di vista della cyber security.

A cosa devono prestare attenzione le aziende e gli utenti in termini di sicurezza quando avviano un programma di smart working?

In prima istanza è necessario realizzare un Threat Model aggiornato, ovvero analizzare come gli aggressori potrebbero comportarsi in questa specifica situazione, sulle modalità in cui in passato altre aziende sono state compromesse, per arrivare poi a stabilire quali sistemi o accorgimenti di sicurezza o di mitigazione serviranno.

Sfruttando le sorgenti di Intelligence sulle minacce cyber è ad esempio possibile avere a disposizione informazioni importanti per creare dei modelli di scenari di attacco da andare poi a indirizzare.

Ad esempio, sappiamo con certezza che diversi gruppi di aggressori hanno già avviato una campagna di email malevole a tema “Coronavirus”.

FireEye ha rilevato, durante questo periodo, email con la presenza di falsi link che invece di portare l’utente a visionare le statistiche aggiornate sulla diffusione del virus, portavano allo scaricamento di file con malware.

Gli aggressori, per meglio ingannare le vittime, impersonavano enti sanitari prediligendo vittime nel settore governativo ma hanno effettuato anche l’invio di email con malware anche a clienti di alcuni istituti bancari.

Recentemente su questi temi, FireEye ha pubblicato un blog post con diversi punti a qui prestare attenzione proprio sulla base del Threat Model dato dalle nuove modalità lavorative.

Tra i punti di attenzione ci sono: l’accesso remoto agli endpoint, i movimenti laterali, le autenticazione multi-fattore, la gestione sicura dei device degli utenti, le connessioni VPN e gli accessi remoti, nonché i controlli per i servizi Cloud solo per citarne alcuni.

Questa attività di Threat Modeling dovrebbe essere svolta periodicamente in una azienda che desidera affrontare il tema del cyber security in modo efficace.

Spesso per queste attività di studio delle minacce, di verifica delle propria esposizione e di valutazione dell’efficacia delle contromisure sono coinvolte diverse divisioni aziendali che spaziano ad esempio dalla cyber security, alla threat intelligence alla gestione delle rete e dei sistemi IT.

È inoltre chiaro che i cambi repentini a livello di architetture, rete e sistemi possano indebolire il livello di sicurezza se non correttamente gestiti e tracciati.

Pertanto indirizzare tempestivamente i nuovi scenari di compromissione (anche con informazioni di Threat Intelligence), valutare l’efficacia delle soluzioni di sicurezza in campo e al contempo tracciare i cambiamenti “non previsti o “non voluti” diventa parte fondamentale di una strategia di validazione continua della propria esposizione con il fine ultimo di minimizzare i rischi.