3 modi per rendere sicuri sistemi legacy senza patch

Sicurezza

Sei tra le aziende che usano software che ha già raggiunto l’end-of-life?

Da ciò che emerge sul campo, la maggior parte delle organizzazioni ha server o applicazioni client che non sono aggiornati da tempo – e che non lo saranno nemmeno nel prossimo futuro. Spesso si tratta di software aziendale di importanza critica, come ERP o CRM, e di sistemi di contabilità e fatturazione che secondo le stesse aziende dovrebbero essere sottoposti a maggior sicurezza.

Ma i sistemi sono troppo vecchi, troppo importanti per metterci mano e rischiare così di creare confusione. Dunque, questi sistemi vengono lasciati senza patch, fornendo così ai criminali una porta d’accesso alla rete aziendale.

Alla conferenza RSA dello scorso anno, Mario Nunez, CEO di Onapsis ha dichiarato:

“Oltre il 95 % dei sistemi ERP analizzati sono stati esposti a vulnerabilità permettendo ai criminali informatici di assumere il pieno controllo dell’azienda. Nel 100% dei casi, le informazioni relative a quelle vulnerabilità erano di dominio pubblico da più di 5 anni.”

A peggiorare le cose, il vendor o il service provider che ha portato il sistema nella tua rete cerca di dissuaderti dal migliorare la sicurezza. Clausole di garanzia, SLA, servizi di assistenza tecnica e di manutenzione in remoto verranno rescissi se si sceglie di andare a modificare unilateralmente un sistema obsoleto collocato all’interno della tua rete.

Le organizzazioni spesso ‘nascondono’ queste soluzioni nella loro rete interna, confidando che nessuno potrà entrare. Tuttavia, una volta che la rete è stata violata, gli attaccanti possono cercare diversi modi per arrivare a queste soluzioni legacy. Magari anche attraverso l’accesso remoto che il tuo vendor ha abilitato per sé.

Quindi, cosa puoi fare?

Nonostante sia meglio aggiornare queste soluzioni, per le motivazioni che abbiamo elencato, non sempre è possibile farlo. Perciò, devi trovare altre vie per mantenere i tuoi sistemi più al sicuro possibile. E ci sono modi differenti per farlo, da una decisione più strategica di spostarsi verso soluzioni cloud, all’isolare totalmente i sistemi obsoleti e restringere l’accesso a un numero minimo di persone.

Erka Koivunen, security advisor di F-Secure, dà 3 consigli:

  1. Togli dalla tua rete sistemi superati. Molti sistemi moderni di ERP, CRM e di fatturazione hanno una versione basata su cloud (cioè basata su web) del sistema on-site che possiedi. Non sto dicendo che il cloud risolverà magicamente i tuoi problemi, cambia solamente la forma. Invece di doverti preoccupare di un insieme di server senza patch, ti dovrai preoccupare di come il cloud archivia i tuoi dati e di come rendere sicuri i tuoi endpoint, incluso il browser. Fai una transizione a un sistema più moderno o inizia a pianificare un progetto di lock-down. Entrambi iniziano con una rinegoziazione della tua sottoscrizione al servizio.
  2. Isola i server, limita l’accesso, e traccia l’utilizzo. Assicurati che i server senza patch ed esposti eccessivamente siano posti su una rete isolata. Nessun traffico deve entrare o uscire dal sistema a meno che non ci sia un motivo valido e l’altra parte che comunica è legittimata a farlo. Imponi l’audit logging su ogni livello, dai nodi client e server fino al core della rete e al perimetro. Assicurati che i log siano conservati, archiviati da qualche altra parte eccetto che nel sistema potenzialmente compromesso, e che siano attivamente monitorati per segnali di attività anomala.
  3. Identifica gli utenti che hanno esigenze legate al business e nega l’accesso a tutti gli altri. Rimuovi la minaccia rappresentata dalla “rete aziendale” e altri server segmentando la rete d’accesso e spostando gli utenti con privilegi che hanno esigenze di accesso legittime su LAN separate. I tirocinanti dei mesi estivi probabilmente non hanno bisogno di accesso al database del sistema di fatturazione, e non tutti devono poter accedere al sistema di gestione del personale e degli stipendi! Prendi in considerazione di introdurre una VPN interna per gli utenti chiave se la topologia della rete aziendale è troppo flat per ospitare una rigorosa segmentazione. Se spostare gli endpoint su una rete isolata può essere una scocciatura, considera di limitare l’accesso del client a servizi vulnerabili introducendo un servizio a temine come Terminal Service o Citrix, che è isolato dall’ambiente aziendale. Qui puoi ‘pubblicare’ applicazioni client ai tuoi utenti nella rete aziendale anche se l’applicazione sta in realtà funzionando in uno spazio isolato. Questo risolverà il problema di dover supportare vecchi browser o plug-in obsoleti di cui l’applicazione potrebbe essere dipendente. La maggior parte dell’infrastruttura endpoint riceverà tutti gli aggiornamenti più recenti senza doverti preoccupare della compatibilità con i tuoi sistemi legacy.

Foto originale di Miguel Virkkunen Carvalho.

Tratto dall’articolo “3 ways to secure unpatched legacy systems” scritti da Eija Paajanen, Product Marketing Manager, F-Secure Corp.

Valuta questo articolo

0 voti

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: