Articoli

La sicurezza della rete aziendale - IPS Cloud

Oggi tutte le reti aziendali sono connesse ad internet. I motivi sono numerosi, dallo scambio di email alla ricerca di informazioni, dall’utilizzo del cloud per l’archiviazione dei dati, agli svariati servizi a cui accediamo con un browser. Inoltre abbiamo sempre più necessità di accedere alla rete aziendale da remoto, che sia dalla nostra abitazione piuttosto che durante un viaggio di lavoro. Per questo è fondamentale che tutte queste connessioni avvengono con il giusto livello di sicurezza. Vediamo quali sono i mezzi che abbiamo a disposizione, come funzionano e quando usarli.

Autenticazione e autorizzazione

Immaginiamo di essere fornitori di componenti del settore aerospaziale e di andare a visitare una sede della NASA. Sicuramente quando arriviamo, prima di farci entrare, ci chiederanno di identificarci con un documento. Vorranno sapere il motivo della nostra visita e ci faranno registrare per averne traccia. Ci daranno un badge da indossare che ci identifica e qualcuno ci accompagnerà esattamente dove dobbiamo andare. Non resteremmo mai soli. Se fossimo malintenzionati che vogliono rubare informazioni, non avremmo certo vita facile. Non sarebbe semplice uscire dal percorso sicuro in cui siamo. E anche se ci riuscissimo, le varie aree avrebbero dei sistemi di accesso controllato, magari tramite badge, se non più sofisticati. Tutto questo è iniziato con due passaggi fondamentali. Prima di tutto siamo stati identificati e autenticati e di conseguenza ci sono state attribuite delle autorizzazioni su dove potevamo andare e cosa potevamo vedere.

La stessa cosa si presenta nel mondo digitale. Se agli utenti della nostra azienda non è richiesta l’autenticazione per accedere ai dati, un eventuale intruso che riuscisse ad entrare nella rete potrebbe liberamente accedere ai server e ai PC e fare ciò che vuole con i nostri dati, oltre alla possibilità di bloccarne il funzionamento. Per tornare al paragone di prima, più metto punti nella mia rete dove “mi serve il badge per entrare”, più un eventuale hacker sarà in difficoltà a muoversi all’interno e di conseguenza farà molta più fatica a fare danni o rubare dati. Un esempio apparentemente banale, ma molto efficace, è la modalità di accesso al sistema operativo del proprio PC. Se accedo come amministratore ho il permesso di fare ciò che voglio sul mio computer. Voi starete pensando che è una cosa buona, ma dobbiamo tenere conto che se un hacker riesce ad entrare nel mio PC, anche lui potrà fare ciò che vuole. E questo è un po’ meno buono. Se invece accedo con un profilo che mi autorizza solo a fare quello che mi serve quotidianamente, diventa molto più difficile per un hacker manomettere parti sensibili del sistema operativo o accedere a dati per i quali il mio utente non è autorizzato. Questo non significa che anch’io devo essere necessariamente limitato, se sporadicamente ho bisogno di accedere a funzioni o dati sensibili, vi accedo con un un’altro utente che ha questi permessi, ma per un tempo molto ridotto. Questo metodo si chiama principio del privilegio minimo. Nel caso si disponga di esperti IT interni, la cosa migliore è lasciare solo a loro il permesso di accedere a aree sensibili di PC e server, per evitare che persone poco esperte possano involontariamente rendere il sistema vulnerabile. Questo non significa che il principio non valga anche per un operatore IT, il quale deve usare privilegi di amministratore solo quando sono necessari.

Monitoraggio del sistema

Come facciamo a scoprire che sta succedendo qualcosa di pericoloso prima che sia troppo tardi? La prima cosa è sicuramente l’utilizzo di un antivirus, che blocca in via preventiva eventuali azioni rischiose. Come l’apertura di file potenzialmente pericolosi o l’accesso a siti web non sicuri. Non sempre però un malware viene identificato preventivamente, perciò è buona prassi far fare periodicamente all’antivirus scansioni approfondite. Inoltre non sarebbe male avere un sistema che registra tutto quello che avviene nella rete, quindi chi accede a cosa e quando. Così possiamo verificare se è avvenuto qualcosa di anomalo e intervenire prima che sia troppo tardi. Ad esempio, a chi ha un account Google, gli sarà capitato di accedere con un nuovo dispositivo e Google ha subito notificato che c’è stato un accesso da quel nuovo PC o smartphone, quel giorno a quell’ora e da quel posto. In questo modo, se non foste stati voi, magari sareste in tempo a cambiare la password dell’account prima che il malintenzionato faccia danni o ne faccia di ulteriori.

Crittografia dei dati

Trasferire informazioni attraverso internet oggi è diventata una necessità imprescindibile. Ma questo porta ad un’altra necessità, quella di non far leggere i miei dati a chi non è autorizzato. Nel World Wide Web, come dice il nome, c’è il mondo intero. Chiunque potenzialmente può leggere quello che trasferisco, a meno che non lo rendo illeggibile. Per ottenere questo viene usata la crittografia, cioè la traduzione dei messaggi in un linguaggio incomprensibile, come ad esempio un codice fatto di lettere e numeri apparentemente casuali. Per fare questo viene utilizzata una chiave di codifica, ovvero una serie di regole che determinano in quale codice viene trasformata una frase.

Crittografia a chiave simmetrica

Il sistema più semplice di crittografia è quello cosiddetto a chiave simmetrica. Questo metodo utilizza una sola chiave sia per crittografare, sia per decifrare il messaggio quando viene ricevuto. Quindi il processo prevede che la persona che scrive il messaggio e quella autorizzata a leggerlo siano entrambe in possesso della chiave. Il punto debole di questo metodo sta proprio nella gestione della chiave. Se quando la inviamo all’altra persona viene intercettata da un hacker, questo può usarla per decifrare tutti i messaggi che ci scambiamo su internet crittografati con quella chiave .

Crittografia a chiave asimmetrica

Nel 1976 i due matematici Diffie e Hellman pubblicano un nuovo sistema di crittografia. Questo metodo prevede l’utilizzo di due chiavi, una pubblica e una privata. Per spiegare come funziona usiamo la classica analogia dei lucchetti. Supponiamo di voler scambiare tramite posta delle scatole con un nostro amico e vogliamo essere certi che nessuno possa aprirle. Potremmo mettere un lucchetto sulla scatola, mandare prima la chiave al nostro amico e in seguito la scatola. Ma in questo caso avremmo il problema menzionato sopra. Se qualcuno dovesse intercettare la chiave, potrebbe farne una copia e successivamente aprire il lucchetto della scatola in transito. Per evitare questo possiamo fare una cosa più furba. Chiediamo al nostro amico di mandarci un lucchetto aperto del quale solo lui ha la chiave. Mettiamo questo lucchetto sulla scatola e gliela spediamo. Così è impossibile che qualcuno abbia intercettato la chiave durante il transito, visto che non è mai stata spedita.

Il lucchetto del nostro esempio corrisponde alla chiave pubblica, mentre la chiave che non ha mai lasciato la casa del nostro amico corrisponde alla chiave privata. Ovviamente se vogliamo scambiare messaggi nelle due direzioni, in totale le chiavi diventeranno quattro, due pubbliche (due lucchetti) e due private (le due chiavi dei lucchetti). In realtà anche questo sistema potrebbe avere un punto debole. Visto che sto spedendo un “lucchetto aperto”, chiunque potrebbe guardarci dentro per cercare di ricostruirne la chiave. Per costruire la chiave pubblica (il lucchetto) partendo da quella privata (la sua chiave) ed evitare questo problema, vengono usati dei calcoli matematici difficilmente reversibili. Ad esempio, con un computer è immediato trovare il risultato della moltiplicazione 709 x 887, ma non è così veloce trovare quali due numeri sono stati moltiplicati per ottenere il risultato 628883. Se questo numero lo facciamo diventare abbastanza grande, diciamo almeno di 600 cifre, il tempo per trovare i due valori che moltiplicati tra loro danno quel risultato è talmente lungo che in pratica non è fattibile. I due numeri da moltiplicare rappresentano la chiave privata del lucchetto, mentre il risultato della moltiplicazione rappresenta il lucchetto aperto che spedisco. Questo è solo un esempio per spiegare il concetto, esistono vari metodi per ottenere un “lucchetto” sicuro.

Dove viene usata la crittografia

Magari vi sarà capitato di notare che oggi quasi tutti i siti internet iniziano con HTTPS. Questa S in più sta ad indicare che lo scambio di informazioni con quel sito è sicuro, perché crittografato usando il sistema di chiave pubblica e privata. E’ il browser stesso che mi avverte se sto andando su un sito che non usa la crittografia, definendolo non sicuro. In realtà i sistemi utilizzati sono spesso degli ibridi tra chiave asimmetrica e simmetrica, perché usando solo la prima, la comunicazione diventerebbe molto lenta.

Rimane ancora un problema da risolvere, quando ad esempio il sito della mia banca mi manda la chiave pubblica, quindi il lucchetto per chiudere la mia scatola prima che gliela invio, come faccio ad essere sicuro che è davvero la mia banca e non un hacker che si spaccia per lei? La risposta sta nei certificati. Ci sono delle autorità di certificazione che accertano che una chiave pubblica appartiene effettivamente al suo proprietario, il quale l’ha depositata presso questo ente. In questo modo se un malintenzionato invia la sua chiave pubblica per cercare di rubarci informazioni, il browser non riconosce il certificato come attendibile e avverte subito l’utente dei rischi.

La VPN

Oltre che per i siti internet, la crittografia viene utilizzata per creare dei canali sicuri tra due punti privati fisicamente lontani. Un esempio è quando voglio connettermi alla rete aziendale da casa. Se accedessi senza prendere nessuna precauzione, tutti i dati scambiati sarebbero accessibili da chiunque, visto che passano da internet. Per risolvere il problema posso usare una VPN (virtual private network). Si tratta di un canale virtuale che connette il mio PC alla rete dell’azienda, dove i dati che transitano sono criptati. In questo modo sono tranquillo che nessuno può leggere quello che sto scambiando.

Vero che il canale della VPN non è in chiaro, ma qualcuno potrebbe comunque cercare di entrare in questo tunnel virtuale, come ci sono entrato io che sto scambiando i dati, e arrivare alla rete aziendale. Per evitarlo vengono usati i sistemi di autenticazione e autorizzazione che abbiamo visto all’inizio. Quindi oltre ad utilizzare la crittografia, ha anche un sistema di “controllo agli ingressi”.

Nel caso in cui non abbiamo bisogno di avere un flusso di dati in ingresso, ma vogliamo solo inviarli all’esterno della nostra rete (ad esempio ad un server su cloud), invece di usare una VPN, possiamo decidere di aprire la comunicazione in una sola direzione: in uscita. Premettiamo che in ogni caso i dati devono viaggiare crittografati, altrimenti chiunque potrebbe leggerli. Con questo sistema, un hacker non sarebbe in grado di leggere le informazioni inviate e non potrebbe nemmeno accedere alla nostra rete tramite questo canale di comunicazione, visto che l’entrata è chiusa. Per fare questo però dobbiamo scegliere un protocollo che non necessita di una comunicazione in entrambe le direzioni, altrimenti non funzionerebbe. Un esempio è l’MQTT, che pubblica i dati su un server intermedio, al quale il server finale (dove vogliamo inviare i dati) farà una richiesta per averli. Questo sistema viene chiamato publish-subscribe. Quindi il flusso di informazioni diventa bidirezionale solo dal server intermedio in poi. Mentre per quanto riguarda la nostra rete, permette alla porta utilizzata per questa comunicazione di rimanere sempre chiusa in ingresso.

Il firewall

Il nome nasce dai sistemi utilizzati per confinare un incendio in una zona di un edificio ed evitare che si propaghi indisturbato. In una rete informatica lo possiamo immaginare come una porta presidiata da qualcuno che verifica cosa entra ed esce. Può essere messo tra la rete aziendale ed internet, tra un PC e la rete aziendale o all’interno della rete stessa in punti intermedi. Lo scopo è quello di evitare accessi o movimenti di dati indesiderati.

Il firewall è un insieme di regole che determina cosa può passare. Ad esempio per far connettere un utente da casa all’azienda, posso impostare come regola del firewall che solo determinati PC possono accedere (ogni computer ha un identificativo univoco). Così chiunque tenti di connettersi da un’altro computer viene bloccato. Oppure accettare connessioni solo da certi indirizzi IP (indirizzo che identifica univocamente qualunque dispositivo che accede ad una rete). Il suo utilizzo può essere anche al rovescio. Ipotizziamo che sul mio PC è finito un programma con un virus. Questo programma tenta di connettersi ad internet per aprire un canale che permetterà ad un hacker di entrare. Posso impostare sul firewall che solo determinati software possono comunicare con internet, e solo in certe modalità prestabilite.

Riassumiamo i 10 punti chiave per la cybersecurity

Dopo aver spiegato quali sono gli strumenti per la sicurezza, concludiamo riassumendo le 10 azioni principali che serve intraprendere per rendere sicura la nostra rete:

  1. Dividere la rete in aree e filtrare ogni ingresso tramite firewall, e non solo tra la rete aziendale e internet (che rimane comunque il minimo indispensabile).
  2. Gestire le aree, i dispositivi e i software con un sistema di autenticazione e autorizzazione appropriato.
  3. Applicare sempre il principio del privilegio minimo.
  4. Usare un sistema di monitoraggio di ciò che avviene nella rete.
  5. Utilizzare password robuste (più è lunga, più è sicura) e non la stessa per più cose.
  6. Aggiornare costantemente i sistemi operativi e i software.
  7. Avere un antivirus attivo e aggiornato su ogni computer e server.
  8. Servirsi di una VPN per connessioni private con l’esterno (a meno di connessioni crittografate che aprono solo l’uscita).
  9. Utilizzare solo siti sicuri (lo potete leggere nel browser).
  10. Non usare programmi non originali, possono nascondere malware.
Cyber security - IPS Cloud

Voglio iniziare dal presupposto che qualunque oggetto connesso ad internet è potenzialmente vulnerabile agli attacchi informatici. Che sia un computer, un cellulare, un sistema di allarme o qualunque altra cosa. Ha un cordone ombelicale che può trasformarsi in una via d’accesso per gli hacker. Quindi basta non connettere nulla ad internet e il problema è risolto. Ovviamente questa affermazione è una provocazione, i vantaggi che internet ci da sono enormi. Probabilmente l’impatto sarebbe paragonabile a rinunciare all’energia elettrica. E come per la corrente, la soluzione non è non usarla, ma fare gli impianti e le reti con i giusti livelli di sicurezza.

In cosa consistono gli attacchi informatici

Esistono vari sistemi di attacco e il fattore comune è quello di raggiungere il dispositivo con un software chiamato comunemente malware. Gli scopi possono andare dal creare un malfunzionamento dell’oggetto attaccato, alla lettura di informazioni, fino ad arrivare al controllo del sistema. Pensate ad un hacker che prende il controllo della rete informatica di un moderno hotel. Come in tutti gli altri settori, il livello di digitalizzazione è elevato e le porte delle camere si aprono e si chiudono con delle tessere codificate. Potrebbe chiudere a chiave tutte le porte e chiedere un riscatto per riaprirle. E questa non è una fantasia, ma un fatto successo realmente. Potrebbe bloccare i computer di un’azienda e sbloccarli solo se le sue richieste vengono esaudite. Con una modalità più silenziosa potrebbe rubare i dati presenti nei computer (email, documenti, ecc.) per rivenderli a chi possa essere interessato. Tuttavia questo non deve spaventarci. Pensiamo a come sono gestiti i nostri soldi, in un sistema informatico che passa da internet e interconnette milioni di utenti. Ma questo non significa che quando ci alziamo la mattina dobbiamo iniziare a preoccuparci che qualcuno ci ruberà i soldi dal conto. Anzi, diciamo che è una possibilità così remota che nessuno ci pensa. Non perché le banche tengono tutto sconnesso da internet, al contrario, sono totalmente connesse, ma perché il sistema di sicurezza che utilizzano è talmente ben strutturato che riuscire a penetrarlo sarebbe un obiettivo estremamente arduo.

Chi sono gli hacker

Partiamo dagli amatori. Sono spesso persone non così competenti, che sfruttano software malevoli trovati in internet. Il loro scopo può essere anche solamente quello di provocare un danno, a volte lo fanno solo per curiosità, altre volte per dimostrare le loro abilità. In ogni caso non bisogna sottovalutare i problemi che possono provocare.

Poi troviamo gli hacker veri e propri. Persone con conoscenze approfondite delle reti e dei sistemi informatici, che si dividono in tre tipi. I Cappelli Bianchi cercano le vulnerabilità dei sistemi informatici allo scopo di migliorarne la sicurezza. Lo fanno per conto del proprietario, al quale vengono riportati i risultati. I Cappelli Neri al contrario lo fanno in modo illegale per trarne un guadagno personale. Il lavoro può anche essergli commissionato da qualcuno. I Cappelli Grigi si pongono un po’ a metà strada. Trovano le vulnerabilità di un sistema e, a seconda dei casi, magari le comunicano al proprietario, oppure le pubblicano su internet per permettere ad altri hacker di sfruttarle.

Infine ci sono le vere e proprie organizzazioni criminali. Si tratta di persone ben organizzate e finanziate che possono lavorare per conto di altre persone o al servizio di governi. I loro attacchi sono indirizzati a obiettivi specifici, dietro i quali spesso ci sono motivazioni politiche.

Perché scegliere il cloud

Per sistema cloud si intendono dei server o più in generale dei servizi da remoto. Invece di avere localmente dei computer che gestiscono l’immagazzinamento dei dati o software di vario genere, tutto questo viene fatto su computer che stanno in appositi centri dedicati a questo tipo di servizi. Allora, con tutti i rischi che abbiamo visto prima, perché scegliere il cloud? Sfrutto un paragone e vi faccio questa domanda: Perché mettere i soldi in banca invece che sotto il materasso? Diventano digitali, sono nella rete alla mercé degli hacker, quindi non sembrerebbe una soluzione così furba. Se non fosse che il livello di sicurezza di un sistema bancario digitale è di gran lunga superiore a quello della nostra casa. Allo stesso modo i servizi cloud dei big player come Microsoft, Amazon o Google hanno livelli di sicurezza superiori a quelli che possiamo avere a casa nostra o nella nostra azienda. Questi fornitori arrivano a spendere più di un miliardo di dollari l’anno solo per la cyber security.

Una migrazione già in divenire

In realtà tutti noi ci stiamo spostando progressivamente verso il cloud, anche se non sempre ce ne rendiamo conto. Per leggere le email andiamo su un browser e visualizziamo la pagina del nostro gestore di posta elettronica, oppure attraverso un’app del cellulare. Tutte le nostre email stanno su un server da qualche parte nel mondo, come il backup delle nostre fotografie o i file che mettiamo su OneDrive piuttosto che Google Drive, per non parlare dei social media. Siamo molto più spaventati di tenere le nostre foto solo sul cellulare o le email solo sul nostro PC, perché potrebbero avere problemi con il rischio di perdere tutto. Mentre su cloud sono costantemente sottoposti a backup.

La configurazione e l’aggiornamento dei dispositivi

Un’altro punto importante da tenere in considerazione è lo stato dei nostri dispositivi. Facciamo l’esempio di un server in azienda dove ci sono una serie di dati sensibili. Siamo sicuri che il sistema operativo sia costantemente aggiornato? Appena un hacker trova una falla e il problema diventa noto, chi fornisce il sistema operativo fa un aggiornamento per chiudere il “buco”, ma se l’aggiornamento non viene tempestivamente installato, il nostro server è a rischio. La stessa cosa può valere anche per il nostro PC o smartphone. Inoltre, le configurazioni di sicurezza devono essere impostate correttamente. Basta anche un solo settaggio sbagliato o non idoneo per rendere un server o un computer vulnerabile. E purtroppo non sempre possiamo avere a disposizione i massimi esperti di sicurezza informatica che ci configurano la rete e i relativi dispositivi connessi ad essa. Mente i vari Microsoft, Amazon o Google li hanno, esattamente come li hanno le banche. Come ultimo punto ci sono i backup. Se il dispositivo lo gestiamo noi, dobbiamo pensare a gestire correttamente il backup di tutti i dati per evitare che un malfunzionamento ce li faccia perdere. Su cloud questa cosa fa parte del servizio, quindi una cosa in meno da gestire, verificare e manutenere, con tutti i rischi che si porterebbe dietro.

In conclusione possiamo dire che un servizio cloud è un sistema intrinsecamente più sicuro, sempre aggiornato, con il backup dei dati e configurato al meglio per rendere un attacco molto difficile. Il cloud da solo non è la soluzione a tutti i problemi, dobbiamo pensare anche alla sicurezza dei dispositivi che rimangono in azienda. Nel prossimo post parleremo in modo più approfondito di come funzionano questi sistemi e configurazioni per la sicurezza di una rete informatica e la loro importanza per difendere la nostra azienda dagli attacchi.