Passa ai contenuti principali

Cybersecurity: il monitoraggio degli utenti privilegiati

Tra le minacce informatiche più pericolose ma anche spesso più sottovalutate dalle aziende vi è quella relativa agli utenti privilegiati. Le violazioni degli account relativi ad utenti privilegiati, amministratori di sistema, amministratori di base di dati, amministratori di rete sono potenzialmente molto più pericolose rispetto ad altre categorie di utenti in quanto il loro profilo autorizzativo e l'accesso alle risorse del sistema informatico aziendale potrebbe essere sostanzialmente illimitato comprendendo quindi i dati più importanti relativi ai dati personali, al know-how, etc.

Per questo motivo è importante introdurre all'interno del sistema di cybersecurity aziendale delle policy relative agli utenti privilegiati. Generalmente non si ritiene infatti che gli amministratori di sistema, volontariamente o involontariamente, possano essere una minaccia per l'azienda, in quanto si tratta di figure professionali spesso caratterizzate da un rapporto fiduciario consolidato nel tempo, eppure recenti studi compiuti analizzando le cause degli attacchi cibernetici degli ultimi anni dimostrano come la violazione degli account degli utenti privilegiati costituisca una delle principali cause di data-breach. Quando la minaccia risiede all'interno a nulla servono le tradizionali tecniche di difesa perimetrale quali firewall, antivirus, antispam, pur sofisticate che siano. I criminali informatici lo sanno e per questo hanno sviluppato tecniche sempre più sofisticate per impossessarsi di questo tipo di account.

Dal punto di vista legale il Garante della Privacy con la nota delibera del 27 novembre 2008 era intervenuto sugli amministratori di sistema stabilendo dei criteri di valutazione e di verifica per questo tipo di utenti, ma soprattutto con la registrazione degli accessi logici (log) degli amministratori da conservarsi per un periodo di tempo non inferiore a sei mesi laddove i dati trattati fossero di particolare criticità. Anche il nuovo regolamento europeo prevede la realizzazione di software progettati secondo le specifiche di "Privacy by Design" quindi anche con tecniche che prevedono il tracciamento degli accessi di tutti gli utenti.

Il problema è che solo il monitoraggio dei log di accesso degli utenti privilegiati oggi non è più sufficiente: è necessario un sistema più evoluto che combini un sistema di autenticazione avanzata utilizzando anche tecniche di machine learning, in modo da creare un profilo davvero univoco per ogni utente, con sistemi di registrazione delle sessioni per poter tenere traccia di tutta l'attività svolta dagli utenti. In questo modo verrebbero drasticamente ridotti i tempi di risposta in caso di attacco informatico. Qui potrebbe nascere però, almeno in Italia, una possibile fonte di violazione delle norme sul controllo a distanza dell'attività lavorativa (Legge 300/1970) a meno di non concordare l'utilizzo di questi sistemi di sorveglianza con le rappresentanze sindacali dei lavoratori e di introdurne la notifica nella lettera di incarico al trattamento dei dati come policy aziendale di sicurezza informatica solo in casi eccezionali dovuti ad attacchi cibernetici con lo scopo di difendere il patrimonio aziendale, patrimonio che adesso può includere anche il know-how tecnologico.

Gli algoritmi di "behavioral analytics" tracciano un profilo comportamentale legato alle credenziali di accesso dell'utente che coinvolgono tutta una serie di parametri: anche se non ce ne accorgiamo ognuno di noi ha un suo modo di utilizzare il computer, una tempistica nel fare l'accesso, una serie di azioni fatte sulle applicazioni e sui dati, orari di accesso che possono essere registrati ed inventariati dalla macchina che crea un'impronta caratteristica per ogni utente. A questo punto ogni attività classificabile come anomala per quel determinato utente può essere bloccata dal sistema e segnalata all'amministratore di sistema per la verifica, se dal controllo risulta che l'azione è regolare allora può essere autorizzata con l'immissione di un codice di controllo.

Rilevamento di attività sospetta in base all'orario

Commenti

Post popolari in questo blog

Whistleblower: storia e quadro giuridico di riferimento

Disegno tutorial di Edward Snowden È uscita in queste settimane l'autobiografia di Chelsea Manning dal titolo README.txt , il nome che l'analista junior dell'intelligence dell'esercito americano aveva dato al file di testo che accompagnava il materiale di quello che diventerà il più grande leak nella storia degli Stati Uniti. Per chi non conoscesse i suo caso giudiziario, Chelsea Manning è stata la più grande whistleblower della storia, durante il suo servizio in Iraq rilasciò attraverso la piattaforma  WikiLeaks circa 750.000 documenti classificati contribuendo ad influenzare in maniera determinante la percezione dell'opinione pubblica sull'andamento della guerra in Iraq. Per questo atto Chelsea fu condannata a 35 anni di reclusione essendo stata ritenuta colpevole di reati connessi alla diffusione di notizie coperte da segreto e al possesso di software non autorizzati, pena poi commutata dal presidente Obama alla fine del suo mandato. In quattrocento pagine

Cancellazione sicura: la sanificazione dei dati informatici

La sanificazione è un punto importante del ciclo di vita del dato: quando il dato giunge al termine del suo ciclo vitale ovvero quando è diventato inutile, obsoleto o ridondante è essenziale poterlo dismettere in modo sicuro facendo in modo che non sia possibile per nessuno poterlo ricostruire in alcun modo. Formattare i dischi da smaltire non basta, è come buttare nel cassonetto un libro strappando solo la pagina dell'indice, il primo che passa potrebbe recuperarlo e leggerlo. I vostri dati sono tutti al loro posto pronti per essere ripristinati. Secondo un'indagine condotta da uno dei maggiori produttori mondiali di HD sulla vendita online di supporti di memorizzazione usati è stato possibile recuperare integralmente il contenuto di questi hard disk ben 7 volte su 10. Molti dati personali vengono recuperati da supporti digitali smaltiti in modo superficiale. In cosa consiste la sanificazione dei dati? Si definisce sanificazione dei dati quel processo attraverso il qua

Chiamate vocali a prova di intercettazione con Signal

Di tanto in tanto mi capita di scorrere la lista di coloro tra  miei contatti che sono iscritti a Signal, l'applicazione voip gratuita e open source basata sulla crittografia end-to-end lanciata nel 2014 dall'organizzazione no profit Open Whisper Systems, e mi dolgo davvero di quanto pochi essi siano soprattutto se paragonati con quelli iscritti alla più popolare app di messagistica di Meta, ovvero la maggior parte di loro. Anarchico, hacker, crittografo, maestro d'ascia, skipper, Moxie Marlinspike, il fondatore del servizio Signal, è convinto che il progresso tecnologico debba andare di pari passo con la sicurezza degli utenti. Così intorno alla sua "creatura" è nata una community di persone che mettono la privacy al primo posto. Tra questi anche Edward Snowden il whistleblower ex consulente dell'NSA, l'agenzia per la sicurezza nazionale degli Stati Uniti, che nella primavera del 2013 divulgò una serie di informazioni classificate sui piani di sorveglian