top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Protezione degli utenti VIP


“The more you move away from the prison concept of security, the more you require the cooperation and good intentions from the people you are securing.” – OSSTMM 3.0

 

Lavorando nel settore della sicurezza informatica può accadere di imbattersi in situazioni paradossali. Per quanto possa apparire strano, ad esempio, spesso il livello di sicurezza di cui godono i Top Manager delle grandi multinazionali è inferiore a quello dei comuni utenti aziendali. Nonostante i cosiddetti “utenti VIP” abbiano accesso ad informazioni di vitale importanza ai fini del business, infatti, di frequente risultano particolarmente esposti agli attacchi. Le motivazioni sono molteplici:

 

  • L’azienda non adotta politiche e procedure di sicurezza specifiche per gli utenti VIP. Di norma, inoltre, i Top Manager non sono assegnati ad un’unità organizzativa dedicata, ma vengono trattati come utenti comuni.
  • I Top Manager hanno generalmente una competenza tecnologica limitata e a differenza degli altri utenti condividono regolarmente informazioni critiche ai fini della sicurezza (es. credenziali di accesso alla posta elettronica) con i propri assistenti.
  • In qualità di personaggi spesso in vista ed esposti a livello mediatico, gli utenti VIP possono costituire un bersaglio più facile degli utenti comuni.
  • Ad aggravare ulteriormente la situazione, tipicamente i Top Manager richiedono l’impostazione di eccezioni che concorrono ad indebolire i controlli di sicurezza a loro applicati. Ad esempio, accade spesso che abbiano libero accesso alla navigazione Internet, possano utilizzare password più semplici di quelle richieste dalle politiche aziendali (o non le utilizzino affatto), facciano uso di strumenti tecnologici non previsti dagli standard aziendali (es. notebook Apple non attestati al dominio Microsoft Active Directory) e siano sottoposti ad un monitoraggio meno stretto rispetto a quello riservato agli altri utenti.

 

Fortunatamente, una volta raggiunta la consapevolezza dell’effettivo stato di sicurezza degli utenti VIP, il loro numero ristretto ne semplifica la protezione. E’ infatti generalmente possibile ottenere e mantenere una postura di sicurezza soddisfacente tramite l‘adeguamento degli strumenti procedurali e tecnologici già presenti in azienda, senza particolari oneri aggiuntivi.

Al fine di raggiungere questa consapevolezza e di promuovere la volontà di cambiamento da parte della stessa direzione aziendale, è opportuno condurre un’attività di verifica che comprenda l’analisi dei processi e delle piattaforme tecnologiche che impattano sulla sicurezza dei Top Manager e in particolare sulla riservatezza delle informazioni critiche di loro competenza (es. piani strategici). Tale attività dovrebbe prevedere almeno le seguenti fasi:

  • Interviste al personale coinvolto nella gestione della sicurezza e nell’amministrazione degli asset assegnati agli utenti VIP, finalizzate al recepimento dei flussi informativi ed all’approfondimento delle tematiche relative ai processi di governance, operations e support.
  • Analisi documentale delle normative interne, delle procedure, delle istruzioni di lavoro e degli altri documenti rilevanti relativi a: governo della sicurezza e dei rischi; classificazione delle informazioni; installazione, configurazione, consegna, dismissione, assistenza e manutenzione degli asset assegnati agli utenti VIP.
  • Analisi di laboratorio condotta al fine di valutare la possibilità di sfruttare falle di configurazione sui dispositivi aziendali in uso agli utenti VIP (es. notebook, smartphone, tablet, computer desktop, apparati di videoconferenza, stampanti multifunzione, etc.), con finalità di accesso non autorizzato e furto di informazioni.
  • Verifica di sicurezza logica in modalità Vulnerability Assessment e/o Penetration Test condotta al fine di rilevare sul campo la presenza di vulnerabilità delle piattaforme tecnologiche aziendali a supporto dell’operatività degli utenti VIP, quali ad esempio: servizi di posta elettronica, BlackBerry Enterprise Server, piattaforme di Mobile Device Management (MDM), infrastruttura telefonica, di videoconferenza e VoIP, stampanti multifunzione, domini Active Directory, NAS e file server, accessi remoti tramite VPN, etc.
  • Verifica di sicurezza fisica condotta al fine di valutare sul campo il grado di robustezza dei controlli implementati per la protezione delle sedi aziendali e delle altre aree fisiche in uso agli utenti VIP. Tale verifica dovrebbe comprendere: analisi dei varchi di accesso fisici, analisi dei sistemi di videosorveglianza, esecuzione di bonifiche per il rilevamento di apparati di intercettazione ambientali.

 

Mettendo a frutto la propria esperienza quindicennale, il Security Advisory Team di @ Mediaservice.net ha sviluppato un servizio consulenziale per la protezione degli utenti VIP, con un approccio personalizzabile in base alle esigenze dei singoli Clienti. Nell’ambito dell’erogazione di tale servizio, è possibile rilevare numerose classi di vulnerabilità tecnologiche, procedurali e fisiche, quali ad esempio:

  • Assenza di adeguata separazione e differenziazione tra utenti VIP e utenti comuni, mancata applicazione di accorgimenti di sicurezza specifici sui computer e sui dispositivi mobili assegnati ai Top Manager e mancata formalizzazione di procedure di gestione dei dispositivi non aziendali.
  • Carenze nella protezione dei dati critici ai fini del business, a riposo su disco e/o in transito sulla rete.
  • Carenze nel controllo degli accessi e nella configurazione delle piattaforme tecnologiche utilizzate dai Top Manager.
  • Carenze nelle protezioni perimetrali, nella segmentazione di rete e nella gestione degli accessi remoti (tramite VPN, rete telefonica pubblica e simili tecnologie).
  • Carenze nei meccanismi di tracciamento delle operazioni eseguite dagli utenti.
  • Possibilità di aggirare le misure di sicurezza per il controllo ed il monitoraggio degli accessi fisici.

 

A seguito del rilevamento dell e vulnerabilità presenti all’interno del contesto oggetto di analisi, emerge tipicamente l’esigenza di un controllo più serrato sugli strumenti tecnologici e procedurali che possono impattare sulla sicurezza dei Top Manager. Si rende pertanto necessario predisporre un piano correttivo di rientro che comprenda specifiche contromisure per la messa in sicurezza di rete, sistemi, applicazioni, processi e sedi fisiche, quali ad esempio:

  • Messa in sicurezza delle utenze associate ai Top Manager, tramite l’impiego di un’infrastruttura informatica dedicata e l’implementazione di protezioni addizionali sugli asset in uso agli utenti VIP (es. controllo preventivo sul software installato, cifratura del disco, protezione dei dati in transito, protezione del BIOS, etc.).
  • Formalizzazione di procedure di assistenza dedicate ai Top Manager, che tengano conto delle specifiche esigenze di questa particolare tipologia di utenza (es. utilizzo di dispositivi non standard, personale di supporto dedicato, cancellazione sicura dei dispositivi di memorizzazione, creazione di un canale preferenziale per la segnalazione di incidenti di sicurezza che coinvolgono utenti VIP, etc.).
  • Applicazione di una politica omogenea di generazione, utilizzo e memorizzazione delle credenziali di accesso e pianificazione di verifiche periodiche della robustezza delle password. Installazione delle patch di sicurezza, attivazione dei meccanismi di aggiornamento automatico del software di base e di terze parti, adozione di soluzioni anti-malware e applicazione di procedure di hardening per le piattaforme tecnologiche critiche utilizzate dai Top Manager.
  • Revisione architetturale della rete pubblica e privata, al fine di garantire una robusta segmentazione per la protezione da attacchi ad opera di agenti di minaccia esterni o interni, e bonifica dei punti di accesso non presidiati raggiungibili tramite la rete telefonica pubblica.
  • Applicazione di opportune impostazioni per il tracciamento delle operazioni eseguite dagli utenti, che garantiscano la centralizzazione dei log e la generazione di allarmi a seguito di eventi rilevanti.
  • Revisione delle misure di sicurezza per il controllo ed il monitoraggio degli accessi fisici.

 

L’approccio consulenziale che abbiamo brevemente presentato consente di valutare oggettivamente sul campo il grado di efficacia, efficienza e robustezza delle misure adottate per la protezione delle informazioni e dei processi più critici ai fini del business, al fine di sensibilizzare la direzione aziendale e fornire le indicazioni necessarie alla formulazione del piano correttivo di rientro per la messa in sicurezza degli utenti VIP.

 

 

30/05/2014 - Marco Ivaldi, Security Advisory Team @ Mediaservice.net