Secondo Massimo Carlotti, Presales Team Leader di CyberArk, per essere produttive “in qualsiasi luogo” le organizzazioni di tutto il mondo stanno rapidamente abbracciando un modello di lavoro ibrido che sposta le workstation dei dipendenti sull’edge, ben oltre i tradizionali confini della rete aziendale.
Non a caso, fa notare l’autore di questo articolo, molte delle recenti attività del team CyberArk Remediation Services riflettono questa realtà: le workstation rappresentano ora uno dei canali più spesso utilizzati dagli attaccanti per compromettere le identità, lanciare attacchi ransomware, sfruttare le credenziali privilegiate, iniziare a muoversi verso i sistemi IT sensibili ed esfiltrare dati riservati.
Quando gli esperti di incident response vengono coinvolti, i cybercriminali sono già ovunque. Molte organizzazioni ritengono che implementare protezioni per la sicurezza degli endpoint durante un attacco informatico sia come mettere i doppi vetri alle proprie finestre nel bel mezzo di un uragano.
Le aziende possono accelerare gli sforzi di ripristino implementando prima di un inevitabile attacco i principali controlli per la sicurezza dell’identità nell’endpoint, che includono:
- Rimuovere i diritti di local admin.Gli account di amministratore di Microsoft Windows, macOS e Linux sono utilizzati per installare e aggiornare il software della workstation, configurare le impostazioni di sistema e gestire gli account utente. Gli attaccanti prendono di mira questi account privilegiati per disabilitare software antivirus o tool di disaster recovery e distribuire ransomware e altri programmi pericolosi. Spostare i diritti di amministrazione locale dagli utenti standard a un caveau digitale sicuro con rotazione delle credenziali è il passo più semplice e veloce per rendere le workstation dei dipendenti più protette. Limita drasticamente la capacità di movimento di un avversario, riducendo al contempo l’impatto degli errori involontari (ma inevitabili) dei dipendenti, come ad esempio cliccare su un link di phishing.
- Applicare il minimo privilegio. I dipendenti hanno spesso necessità legittime di eseguire un’azione che richiede privilegi amministrativi. L’accesso privilegiato just-in-time consente ai lavoratori di effettuare attività specifiche, in base ai criteri, al momento giusto e con un motivo valido, senza richiedere né un’azione dell’utente né un intervento dell’help-desk che potrebbe ostacolare la produttività.
- Definire policy di controllo delle applicazioni. Per bloccare il ransomware e altri attacchi all’endpoint non è sufficiente la capacità di consentire o negare l’accesso ad applicazioni note. Le organizzazioni devono essere in grado di:
- Definire “greylist” delle applicazioni, come il sandboxing di un’applicazione sconosciuta e la possibilità di eseguirla, ma non di accedere a Internet, per ridurre i rischi di ransomware.
- Implementare criteri condizionali avanzati, in modo che i dipendenti possano utilizzare le applicazioni affidabili in modo sicuro. Ad esempio, consentire l’esecuzione di Excel, ma vietare l’avvio di PowerShell per difendersi dal malware BazarBackdoor.
- Creare regole complete che includano determinati eseguibili (ad esempio, prendendo in considerazione un hash, un nome o un percorso di file) e gruppi di eseguibili (ad esempio, consentire di default le applicazioni di un fornitore specifico, con un nome di prodotto distinto associato e provenienti da una fonte di aggiornamento affidabile e nota).
- Proteggere le credenziali nella cache. Il furto di credenziali oggi è la prima area di rischio per le organizzazioni. Molte delle applicazioni aziendali più diffuse consentono di memorizzare le credenziali e numerosi browser web e gestori di password che le archiviano nella cache a livello locale. Una volta effettuato l’accesso con queste credenziali rubate, gli attaccanti possono tentare di aggirare anche le soluzioni di single sign-on (SSO). Dal momento che gli attori di minacce possono spesso recuperare le credenziali memorizzate nella cache senza bisogno di privilegi di amministrazione, la capacità di rilevare e bloccare automaticamente i tentativi di raccolta rappresenta un livello di sicurezza fondamentale per gli endpoint.
- Distribuire “trappole”. Per quanto riguarda il rilevamento, strumenti di protezione degli endpoint che supportano la funzionalità di decodifica dei privilegi, come la possibilità di creare falsi account privilegiati “honeypot”, possono aiutare a individuare subito potenziali aggressori.
- Monitorare le attività privilegiate. I cybercriminali spesso agiscono senza essere visti, sondando le difese e pianificando le loro prossime mosse. Monitorando in modo proattivo l’attività delle workstation privilegiate, le aziende possono identificare e bloccare automaticamente gli avversari prima che possano muoversi lateralmente, aumentare i privilegi e causare gravi danni. Disporre di registrazioni complete dell’attività delle workstation privilegiate è fondamentale anche per semplificare le verifiche di conformità e accelerare le indagini forensi.
Workstation non adeguatamente protette rappresentano una falla di sicurezza comune. Chi desidera rafforzare la sicurezza contro ransomware e altri attacchi dannosi, non dovrebbe attendere oltre, ma agire da subito come se fosse appena stato violato. Seguendo i passaggi chiave incentrati sull’Identity Security per mitigare il rischio, oltre a separare le workstation dai server e adottare una strategia di difesa stratificata in profondità, un’organizzazione sarà meglio equipaggiata per isolare l’attività dell’attaccante, ridurre al minimo l’impatto, riprendere il controllo del proprio ambiente e ripristinare la fiducia in modo rapido ed efficiente.
