“Non possiamo più pensare di poter tenere gli hacker fuori dai nostri sistemi,” così scriveva un anno fa Mike Gault di WIRED Magazine. “Dobbiamo lavorare per poterli prendere quando sono dentro!”
E’ proprio così. Le reti devono essere monitorate costantemente non solo per scovare gli hacker, ma anche per capire le loro tattiche.
Ma se sappiamo che gli hacker entreranno nella nostra rete, non dovremmo fare di più per evitare che arrechino danni una volta che sono entrati?
Prevenzione, rilevazione e recupero sono tutti aspetti fondamentali di una strategia di sicurezza. Ma se ti focalizzi solo su questi aspetti potresti dimenticare di limitare il danno che i tuoi utenti possono fare attraverso errori umani che sono inevitabili.
“Creare confini e limiti a ciò che un utente o un sistema può fare e a quali dati può accedere significa porre quegli stessi limiti a qualsiasi attaccante,” spiega Erka.
Cosa significa in pratica?
“Un notebook in un ufficio a Londra non dovrebbe essere in grado di accedere a un altro notebook in un ufficio a Tokyo,” spiega Erka. “La rete non dovrebbe nemmeno dare al computer l’opportunità di provare ad accedere. E non dovrebbe nemmeno essere in grado di accedere a un altro notebook nella stessa Londra!”
“Dovrebbe solo fare il suo lavoro, che è stare in attesa di tentativi di connessioni in entrata – e renderle possibili” sostiene Erka.
E con questo principio non si vuole solo limitare l’accesso che hanno le macchine.
“Un utente admin non dovrebbe avere accesso alle caselle di posta di nessun altro e viceversa.”
“Privilegi utenti non troppo stringenti e una topologia ‘flat’ della rete — cioè, chiunque può accedere a qualsiasi asset nella rete da qualsiasi punto nella rete — sono spesso fattori fondamentali che contribuiscono al successo di un’infezione con conseguente sottrazione di dati.”
Ma allora come iniziare il processo di contenimento?
Erka suggerisce di iniziare con la “vecchia scuola”:
“Suggerirei vecchi trucchi che sono sfortunatamente meno usati oggigiorno: ‘separazione dei compiti’, ‘principio del minimo privilegio ’ e ‘accesso limitato dell’utente’. Ciò significherebbe dare a sistemi, applicazioni e account del servizio e dell’utente il più piccolo set di permessi e diritti di accesso possibile e che compiti completamente distinti debbano sempre essere portati avanti usando differenti set di credenziali e sistemi separati.”
Questo modo di pensare non deve valere solo quando stai pensando a come minimizzare il danno al prossimo attacco.