Manuel Roccon : 30 Aprile 2024 07:26
Le VPN sono uno strumento generalmente sicuro per potersi collegare da remoto a un’infrastruttura informatica. Le VPN di cui stiamo parlano non sono quelle che usiamo per “nascondere” la propria identità su internet o per bypassare limitazioni geografiche per accesso a dei servizi internet. Sono quelle utilizzate dalle organizzazioni per accedere alle proprie risorse da remoto.
Quando siamo collegati in VPN, effettivamente colleghiamo “un cavo virtuale” tra il nostro dispositivo e la rete remota attraverso un tunnel. Queste VPN generalmente sono fornite dai firewall aziendali, possono essere open source come OPVPN, oppure proprietarie del brand.
In ambito aziendale sono utilizzate sia dai dipendenti per accedere alle risorse aziendali, sia da personale non aziendale, come i fornitori per compiere quelle attività di supporto e manutenzione. Sebbene le VPN siano sicure e il traffico generalmente è cifrato la VPN e protetto da autenticazione, resta sempre un vettore di attacco se non adeguatamente protette.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Generalmente i dipendenti che le utilizzano, si collegano da un’area sicura. Un dispositivo messo a disposizione del reparto IT con configurate le minime best practice aziendali.
Queste best practice generalmente sono:
Ma per quanto riguarda i fornitori?
Sappiamo bene che ci dobbiamo fidare e fare delle raccomandazioni sulle giuste best pratice da adottare, ma i dispositivi da dove verranno stabilite le connessioni VPN non sono dispositivi controllati dall’organizzazione.
E se il fornitore venisse compromesso, pensiamo a un malware che infetta il suo dispositivo collegato in VPN collegato alla nostra rete aziendale a orari insoliti. Oppure pensiamo se il nostro fornitore subisse un data breach e venissero rubate le connessioni VPN archiviate sui loro sistemi assieme alle credenziali salvate sul notepad
E’ chiaro che bisogna porre delle limitazioni.
Innanzi tutto, account nominali, in modo da conoscere sempre chi ha fatto accesso a che ora, in caso di compromissioni o anomalia è più facile capire l’origine del problema. Gli account dovrebbero essere centralizzati in modo che disattivando il sistema, si perda qualunque tipo di accesso nella rete.
Non meno importante MFA, nel caso un aggressore rubasse i dati di accesso come spiegato prima, MFA impone inserimento di un codice di solito “distante” dalle configurazioni VPN e credenziali rubate. Rispettare sempre l’autorizzazione minima. L’autorizzazione minima deve essere data sia sui sistemi in cui il fornitore deve far accesso da remoto, quindi mai un amministratore di dominio ma account locali, sia limitare porte e IP dove queste connessioni possono accedere.
Per esempio, se il l’utente deve accedere al server in RDP, dalla VPN potrà accede solo ed esclusivamente al IP Y alla porta 3389, tutte le altre richieste saranno droppate. L’accesso al server sarà al massimo amministratore locale.
Bene questo è un tassello fondamentale. Permettere di far collegare le persone senza un’autorizzazione è rischioso e non fa capire agli IT chi si sta collegando in quel giorno. Mi è capitato di vedere inoltre dipendenti delle aziende fornitrici si colleghino a qualunque ora senza avvisare, quando se succedesse qualcosa lo si scoprirebbe solo la mattina seguente.
E’ importante che gli accessi abbiano delle scadenze, magari limitati alla sola giornata (per esempio in ad Microsoft è possibile impostare la Scadenza). E’ comprensibile che questo genera più complessità e più interazione, ma la sicurezza della infrastruttura da difendere è molto più importante.
Per finire, potrebbe essere buona norma inserire un limite di tentativi di connessione prima della disattivazione dell’account, anche momentaneo. Tutti questi dati come connessioni VPN, tentativi sbagliati accessi RDP ecc.. è utile monitorarli tramite sistemi di audit o SIEM in modo da avere visioni in modo semplificato delle anomalie.
Il progetto Cyberpandino non è solo un’idea folle, ma una grande avventura su quattro ruote progettata e realizzata da due menti brillanti romane – Matteo Errera e Roberto Zaccardi ...
Un nuovo infostealer emerge dalle underground criminali e il suo nome è “123 | Stealer”. L’autore di questo software è un hacker che si nasconde sotto lo pseudonimo di k...
A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006