Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Sicurezza Aziendale: Come Minimizzare i Rischi delle VPN Fornitori

Manuel Roccon : 30 Aprile 2024 07:26

Le VPN sono uno strumento generalmente sicuro per potersi collegare da remoto a un’infrastruttura informatica. Le VPN di cui stiamo parlano non sono quelle che usiamo per “nascondere” la propria identità su internet o per bypassare limitazioni geografiche per accesso a dei servizi internet. Sono quelle utilizzate dalle organizzazioni per accedere alle proprie risorse da remoto.

Le VPN delle organizzazioni

Quando siamo collegati in VPN, effettivamente colleghiamo “un cavo virtuale” tra il nostro dispositivo e la rete remota attraverso un tunnel. Queste VPN generalmente sono fornite dai firewall aziendali, possono essere open source come OPVPN, oppure proprietarie del brand.

In ambito aziendale sono utilizzate sia dai dipendenti per accedere alle risorse aziendali, sia da personale non aziendale, come i fornitori per compiere quelle attività di supporto e manutenzione. Sebbene le VPN siano sicure e il traffico generalmente è cifrato la VPN e protetto da autenticazione, resta sempre un vettore di attacco se non adeguatamente protette.

Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo

Generalmente i dipendenti che le utilizzano, si collegano da un’area sicura. Un dispositivo messo a disposizione del reparto IT con configurate le minime best practice aziendali.

Queste best practice generalmente sono:

  • Utilizzo da parte degli utenti account con diritti limitati che ne impedisce la modifica del sistema operativo e la possibilità di avviare software con diritti elevati.
  • Presenza di un antivirus centralizzato che fornisce avvisi in tempo reale, oltre ad avere funzioni di isolamento del dispositivo se compromesso.
  • Sistemi di patch management che ne garantiscono la presenza degli ultimi aggiornamenti.
  • MDM che permettono un reset da remoto in caso di sospetta compromissione o perdita del dispositivo
  • Sistemi DLP che limitano l’accesso e alle flash USB.

Ma per quanto riguarda i fornitori?

Sappiamo bene che ci dobbiamo fidare e fare delle raccomandazioni sulle giuste best pratice da adottare, ma i dispositivi da dove verranno stabilite le connessioni VPN non sono dispositivi controllati dall’organizzazione.

Quindi quali possono essere i rischi?

  • Il dispositivo non ha le minime best practice conformi allo standard aziendale dell’organizzazione, magari privi di antivirus e dispositivi usati anche per scopi personali.
  • Gli utenti possono collegarsi a qualunque orario.
  • Le VPN una volta collegate hanno accesso a tutta la rete aziendale.
  • Vengono forniti accessi sui sistemi troppo elevati, magari anche quelli di amministratore di dominio.
  • Posso esportare dati e trasferirli nei propri dispositivi.

E se il fornitore venisse compromesso, pensiamo a un malware che infetta il suo dispositivo collegato in VPN collegato alla nostra rete aziendale a orari insoliti. Oppure pensiamo se il nostro fornitore subisse un data breach e venissero rubate le connessioni VPN archiviate sui loro sistemi assieme alle credenziali salvate sul notepad

E’ chiaro che bisogna porre delle limitazioni.

Come potremmo limitare questi rischi?

Innanzi tutto, account nominali, in modo da conoscere sempre chi ha fatto accesso a che ora, in caso di compromissioni o anomalia è più facile capire l’origine del problema. Gli account dovrebbero essere centralizzati in modo che disattivando il sistema, si perda qualunque tipo di accesso nella rete.

Non meno importante MFA, nel caso un aggressore rubasse i dati di accesso come spiegato prima, MFA impone inserimento di un codice di solito “distante” dalle configurazioni VPN e credenziali rubate. Rispettare sempre l’autorizzazione minima. L’autorizzazione minima deve essere data sia sui sistemi in cui il fornitore deve far accesso da remoto, quindi mai un amministratore di dominio ma account locali, sia limitare porte e IP dove queste connessioni possono accedere.

Per esempio, se il l’utente deve accedere al server in RDP, dalla VPN potrà accede solo ed esclusivamente al IP Y alla porta 3389, tutte le altre richieste saranno droppate. L’accesso al server sarà al massimo amministratore locale.

Orari di accesso

Bene questo è un tassello fondamentale. Permettere di far collegare le persone senza un’autorizzazione è rischioso e non fa capire agli IT chi si sta collegando in quel giorno. Mi è capitato di vedere inoltre dipendenti delle aziende fornitrici si colleghino a qualunque ora senza avvisare, quando se succedesse qualcosa lo si scoprirebbe solo la mattina seguente.

E’ importante che gli accessi abbiano delle scadenze, magari limitati alla sola giornata (per esempio in ad Microsoft è possibile impostare la Scadenza). E’ comprensibile che questo genera più complessità e più interazione, ma la sicurezza della infrastruttura da difendere è molto più importante.

Per finire, potrebbe essere buona norma inserire un limite di tentativi di connessione prima della disattivazione dell’account, anche momentaneo. Tutti questi dati come connessioni VPN, tentativi sbagliati accessi RDP ecc.. è utile monitorarli tramite sistemi di audit o SIEM in modo da avere visioni in modo semplificato delle anomalie.

Manuel Roccon
Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence
RUBRICHE
Alla scoperta della Sicurezza Informatica
Alla scoperta dell’Hacking
Interviste ai Threat Actors

RISORSE
Red Hot Cyber Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
COMMUNITY
Scrivi per Red Hot Cyber
Whistleblower
Red Hot Cyber Conference
Report
Contatti

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009

Facebook Twitter Youtube Linkedin Telegram Whatsapp