È arrivato il momento di farvi un attento esame di coscienza e di chiedervi se state dedicando risorse sufficienti alla protezione della vostra infrastruttura di rete. Risposta breve? Probabilmente non lo state facendo. Se lavorate per un hyperscaler, la vostra organizzazione sta probabilmente facendo tutto il possibile per proteggere la rete. Per quasi tutti gli altri, è invece abbastanza sicuro presumere che la risposta sia no.

Questo non è necessariamente un difetto da biasimare. In molti casi infatti dipende dalle risorse disponibili e dal rischio percepito. Con poche risorse per la sicurezza informatica e troppo poco tempo per affrontare tutti i possibili rischi, il personale della sicurezza informatica della rete tende a concentrarsi meno sugli aspetti rivolti verso l’interno delle loro reti e più su quello che è rivolto verso l’esterno.

Ci sono però due grandi problemi. Rivolto verso l’interno è un concetto traballante e diventa sempre più difficile tracciare una linea netta tra ciò che è “dentro” l’ambiente aziendale e ciò che è “fuori” di esso. Ciò significa che, quando si effettuano valutazioni del rischio, gli addetti IT dovrebbero pensare di proteggere tutta la propria infrastruttura di rete più o meno allo stesso modo in cui pensano di proteggere le parti più ovviamente direttamente esposte su Internet. Gli switch del campus, per fare un esempio, fanno parte della superficie di attacco dell’azienda tanto quanto il router Internet principale o il controller di distribuzione delle applicazioni.

Di conseguenza, le persone che si occupano di sicurezza di rete dovrebbero probabilmente investire più tempo per migliorare la sicurezza nella propria infrastruttura di rete e quindi la sicurezza dell’azienda nel suo insieme. Ci sono quattro modi per farlo, anche se nessuno di essi è gratuito. Tutti coinvolgono infatti il tempo del personale IT e il tempo del personale è prezioso e soprattutto poco. Ma la posta in gioco per la sicurezza informatica continua a crescere, soprattutto nell’era del phishing onnipresente e del ransomware integrato in campagne di attacco ampie, adattive e persistenti.  Alcuni di questi consigli potrebbero sembrare familiari e ovvi, ma non trascurateli solo perché sapete già che dovreste metterli in pratica.

Interrompere la condivisione di credenziali generiche

Non c’è più bisogno di dire a nessuno come questa sia una cattiva idea, ma un numero impressionante di shop IT continua ancora ad avere un account, o talvolta un certo numero di essi, a cui le persone possono accedere secondo necessità per ottenere l’accesso amministrativo a switch e simili.

Questa è una cattiva idea per molte ragioni, ma qui ne evidenziamo tre: rende più difficile, o impossibile, collegare le azioni amministrative a persone specifiche, aumenta notevolmente la possibilità che le credenziali vengano compromesse e aumenta notevolmente le possibilità che qualcuno all’interno che non dovrebbe più avere accesso all’account continui a usarlo. Fondamentalmente, una volta che le cose sono impostate in questo modo, non c’è più modo di sapere chi ha più accesso alla rete. Ogni persona che ha bisogno dell’accesso dovrebbe avere un proprio account… punto e basta!

wi-fi 7

Ridurre il numero di persone con accesso

Un aspetto della protezione dell’infrastruttura che è quasi impossibile senza la gestione dell’accesso tramite account per persona è limitare l’accesso a coloro che ne hanno effettivamente bisogno. Un controllo degli account con accesso all’infrastruttura di rete mostra quasi sempre account per persone che non hanno più bisogno dell’accesso perché il loro lavoro è cambiato e di solito mostra alcuni account ancora attivi associati a ex dipendenti.

L’IT deve controllare regolarmente gli account abilitati. Questo dovrebbe essere un aspetto essenziale per rivedere tutti gli account associati a una posizione ogni volta che viene riempita o lasciata libera e per disabilitare gli account autorizzati ogni volta che una persona lascia l’azienda.

Passare all’autenticazione a più fattori

Nessuno ha davvero più bisogno di essere convinto del fatto che l’autenticazione a più fattori (MFA) sia un enorme miglioramento della sicurezza per la maggior parte dei sistemi, aumentando significativamente la difficoltà di entrare dove non si è desiderati. Questo vale tanto per l’infrastruttura quanto per un’applicazione bancaria. I team di rete dovrebbero puntare i loro switch verso servizi di identità compatibili con MFA, tramite RADIUS o TACACS+.

Perimetro software-defined

L’implementazione di un sistema perimetrale software-defined consentirebbe all’IT di stratificare protezioni aggiuntive attorno all’accesso di una persona/un account con MFA. Ad esempio, il software SDP potrebbe consentire l’accesso dell’amministratore ai nodi di rete solo da laptop o desktop controllati dall’azienda in buone condizioni e/o solo da segmenti specifici della rete fisica e altro ancora.