Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Sicurezza Aziendale: Come Minimizzare i Rischi delle VPN Fornitori

Manuel Roccon : 30 Aprile 2024 07:26

Le VPN sono uno strumento generalmente sicuro per potersi collegare da remoto a un’infrastruttura informatica. Le VPN di cui stiamo parlano non sono quelle che usiamo per “nascondere” la propria identità su internet o per bypassare limitazioni geografiche per accesso a dei servizi internet. Sono quelle utilizzate dalle organizzazioni per accedere alle proprie risorse da remoto.

Le VPN delle organizzazioni

Quando siamo collegati in VPN, effettivamente colleghiamo “un cavo virtuale” tra il nostro dispositivo e la rete remota attraverso un tunnel. Queste VPN generalmente sono fornite dai firewall aziendali, possono essere open source come OPVPN, oppure proprietarie del brand.

In ambito aziendale sono utilizzate sia dai dipendenti per accedere alle risorse aziendali, sia da personale non aziendale, come i fornitori per compiere quelle attività di supporto e manutenzione. Sebbene le VPN siano sicure e il traffico generalmente è cifrato la VPN e protetto da autenticazione, resta sempre un vettore di attacco se non adeguatamente protette.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Generalmente i dipendenti che le utilizzano, si collegano da un’area sicura. Un dispositivo messo a disposizione del reparto IT con configurate le minime best practice aziendali.

Queste best practice generalmente sono:

  • Utilizzo da parte degli utenti account con diritti limitati che ne impedisce la modifica del sistema operativo e la possibilità di avviare software con diritti elevati.
  • Presenza di un antivirus centralizzato che fornisce avvisi in tempo reale, oltre ad avere funzioni di isolamento del dispositivo se compromesso.
  • Sistemi di patch management che ne garantiscono la presenza degli ultimi aggiornamenti.
  • MDM che permettono un reset da remoto in caso di sospetta compromissione o perdita del dispositivo
  • Sistemi DLP che limitano l’accesso e alle flash USB.

Ma per quanto riguarda i fornitori?

Sappiamo bene che ci dobbiamo fidare e fare delle raccomandazioni sulle giuste best pratice da adottare, ma i dispositivi da dove verranno stabilite le connessioni VPN non sono dispositivi controllati dall’organizzazione.

Quindi quali possono essere i rischi?

  • Il dispositivo non ha le minime best practice conformi allo standard aziendale dell’organizzazione, magari privi di antivirus e dispositivi usati anche per scopi personali.
  • Gli utenti possono collegarsi a qualunque orario.
  • Le VPN una volta collegate hanno accesso a tutta la rete aziendale.
  • Vengono forniti accessi sui sistemi troppo elevati, magari anche quelli di amministratore di dominio.
  • Posso esportare dati e trasferirli nei propri dispositivi.

E se il fornitore venisse compromesso, pensiamo a un malware che infetta il suo dispositivo collegato in VPN collegato alla nostra rete aziendale a orari insoliti. Oppure pensiamo se il nostro fornitore subisse un data breach e venissero rubate le connessioni VPN archiviate sui loro sistemi assieme alle credenziali salvate sul notepad

E’ chiaro che bisogna porre delle limitazioni.

Come potremmo limitare questi rischi?

Innanzi tutto, account nominali, in modo da conoscere sempre chi ha fatto accesso a che ora, in caso di compromissioni o anomalia è più facile capire l’origine del problema. Gli account dovrebbero essere centralizzati in modo che disattivando il sistema, si perda qualunque tipo di accesso nella rete.

Non meno importante MFA, nel caso un aggressore rubasse i dati di accesso come spiegato prima, MFA impone inserimento di un codice di solito “distante” dalle configurazioni VPN e credenziali rubate. Rispettare sempre l’autorizzazione minima. L’autorizzazione minima deve essere data sia sui sistemi in cui il fornitore deve far accesso da remoto, quindi mai un amministratore di dominio ma account locali, sia limitare porte e IP dove queste connessioni possono accedere.

Per esempio, se il l’utente deve accedere al server in RDP, dalla VPN potrà accede solo ed esclusivamente al IP Y alla porta 3389, tutte le altre richieste saranno droppate. L’accesso al server sarà al massimo amministratore locale.

Orari di accesso

Bene questo è un tassello fondamentale. Permettere di far collegare le persone senza un’autorizzazione è rischioso e non fa capire agli IT chi si sta collegando in quel giorno. Mi è capitato di vedere inoltre dipendenti delle aziende fornitrici si colleghino a qualunque ora senza avvisare, quando se succedesse qualcosa lo si scoprirebbe solo la mattina seguente.

E’ importante che gli accessi abbiano delle scadenze, magari limitati alla sola giornata (per esempio in ad Microsoft è possibile impostare la Scadenza). E’ comprensibile che questo genera più complessità e più interazione, ma la sicurezza della infrastruttura da difendere è molto più importante.

Per finire, potrebbe essere buona norma inserire un limite di tentativi di connessione prima della disattivazione dell’account, anche momentaneo. Tutti questi dati come connessioni VPN, tentativi sbagliati accessi RDP ecc.. è utile monitorarli tramite sistemi di audit o SIEM in modo da avere visioni in modo semplificato delle anomalie.

Manuel Roccon
Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Lista degli articoli

Articoli in evidenza

Il Cyberpandino è pronto per il Mongol Rally 2025: RHC tifa per voi ragazzi! A tutto GAS digitale!

Il progetto Cyberpandino non è solo un’idea folle, ma una grande avventura su quattro ruote progettata e realizzata da due menti brillanti romane – Matteo Errera e Roberto Zaccardi ...

Arriva 123 Stealer! 120 dollari al mese in abbonamento, per rubare qualsiasi dato riservato

Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...

Ha 13 anni e ha hackerato Microsoft Teams! La storia di Dylan, uno tra i più giovani bug hunter

A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...

Truffe e Schiavitù Digitali: La Cambogia è la Capitale Mondiale della Frode Online

Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...

Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...