L’infrastruttura di rete è al centro delle operazioni aziendali nella maggior parte dei settori. Può essere considerato il centro nevralgico dell’intera organizzazione IT perché centralizza i dati, semplifica lo scambio di dati e facilita la comunicazione tra i dipendenti.
Si tratta quindi di uno strumento essenziale per il buon funzionamento delle organizzazioni, che richiede una costante attenzione in termini di sicurezza per proteggersi da attacchi esterni e interni sempre più numerosi e sofisticati.
Infrastruttura di rete: l’obiettivo finale degli attacchi informatici
L’unico problema è che gli attacchi informatici all’infrastruttura di rete continuano ad aumentare in frequenza, scala e impatto. Server esterni e interni, dispositivi e apparecchiature di rete, workstation, sono presi di mira da attaccanti principianti ed esperti perché tutte queste entità hanno ancora troppe vulnerabilità: grande superficie di attacco, mancanza di consapevolezza dei dipendenti, falle di sicurezza, scarsa progettazione, configurazione e implementazione, misure di sicurezza deboli, ecc.
Nessun settore è risparmiato da incidenti di sicurezza, anche se gli aggressori hanno i propri obiettivi preferiti. Ciò è particolarmente vero nel settore sanitario, finanziario e del commercio al dettaglio, indipendentemente dalle dimensioni delle organizzazioni che operano in questi settori.
Per garantire la sicurezza dell’infrastruttura di rete contro questi attacchi, sono necessarie specifiche misure di sicurezza: riduzione della superficie di attacco, segmentazione della rete, crittografia delle comunicazioni, consapevolezza degli utenti degli attacchi di social engineering, principio di privilegio minimo (PoLP), monitoraggio dei log, ecc. Audit di sicurezza o test di penetrazione sono anche un buon modo per rilevare difetti esistenti nella rete di computer al fine di risolverli.
In questo articolo, ci concentreremo sulle vulnerabilità comuni (tecniche e organizzative) più spesso sfruttate durante gli attacchi interni ed esterni all’infrastruttura di rete illustrandole con casi concreti incontrati durante i nostri test di penetrazione. Ci sarà anche dettaglio le migliori pratiche e le misure da attuare per ridurre il rischio o contrastare questi attacchi.
Quali sono le vulnerabilità comuni nell’infrastruttura di rete e come proteggersi?
Gestione della superficie di attacco e esposizione al rischio
Tutti gli attacchi informatici di solito iniziano con una fase di ricognizione per identificare la superficie di attacco di una società bersaglio. In altre parole, gli aggressori raccolgono quante più informazioni possibili sul sistema informativo prima di lanciare attacchi a entità potenzialmente vulnerabili. La superficie di attacco è quindi la somma degli elementi esposti all’interno o all’esterno della rete che possono essere attaccati per causare un incidente di sicurezza: server (interni ed esterni), applicazioni, API, tecnologie, versioni, componenti, dati tecnici o personali, ecc.
Tutti questi hanno potenziali vulnerabilità che una persona non autorizzata potrebbe sfruttare, a seguito di una scansione delle porte o di un’attenta ricerca su Google o sul Dark Web, per penetrare nel tuo sistema informativo.
Ridurre la superficie di attacco è un principio chiave nella sicurezza informatica per proteggersi dagli attacchi interni ed esterni. Per fare ciò, sono necessarie due azioni: da un lato, è essenziale conoscere la propria superficie di attacco e quindi redigerne una mappa completa, che deve anche essere continuamente aggiornata perché un’architettura di sistema è in continua evoluzione. D’altra parte, è necessario implementare misure per indurire i sistemi e le reti al fine di ridurre la superficie di attacco.
Mappare la tua superficie di attacco significa mantenere un elenco aggiornato di tutte le tue risorse, le loro versioni, implementazioni e interblocchi nell’intero sistema informativo. Questa azione non è molto complessa da eseguire. Strumenti come shodan o censys facilitano questo processo. Solo per elementi che non sono elencati o sconosciuti, come strumenti utilizzati dai dipendenti, possibili perdite di documenti sensibili o password , può valere la pena chiamare una terza parte specializzata per effettuare un audit di ricognizione per redigere una mappa esaustiva della tua superficie di attacco con l’obiettivo di ridurla.
Per ridurre la superficie di attacco dopo la sua identificazione, le azioni per l’indurimento dei sistemi e delle reti possono essere le seguenti (elenco non esaustivo):
- Cambiare la password di default di tutti i servizi e i dispositivi connessi alla rete
- Disinstallare o rimuovere le applicazioni inutilizzate, ambienti e servizi
- Tecnici e tecnologici di monitoraggio di nuove versioni e le vulnerabilità scoperte nei componenti di terze parti o servizi utilizzati
- Attuazione del principio del minimo privilegio nella gestione dei diritti di accesso ai server, applicazioni, database, etc.
- la Segmentazione della rete, suddividendo i sistemi critici e applicazioni
- Attuazione di un multi-fattore di autenticazione il sistema con applicazioni e sistemi
Mancanza di Interno Segmentazione della Rete e lo scambio di Attacchi
la Maggior parte delle reti sono impostati come piatto reti, con ogni server e workstation in esecuzione sulla stessa rete locale (LAN), in modo che ogni applicazione e sistema sulla rete è in grado di comunicare e connettersi a tutto il resto.
Dal punto di vista della sicurezza, questo tipo di pratica dovrebbe essere evitato poiché la maggior parte di questi sistemi non ha bisogno di interagire tra loro. Inoltre, se una rete piatta viene attaccata (da un utente malintenzionato o malware) e una macchina viene compromessa, anche l’intero sistema informativo è a rischio. In effetti, questi attacchi utilizzano un metodo chiamato “pivoting”, che consiste nell’utilizzare un’entità compromessa per accedere ad altri elementi e muoversi liberamente nella rete.
Quindi, la segmentazione della rete è una misura di sicurezza essenziale, perché, anche se non consente di evitare attacchi, rimane uno dei principali modi per ridurre l’impatto di un attacco riuscito. Il principio è semplice. Come suggerisce il nome, si tratta di dividere una rete di computer in segmenti di rete più piccoli che sono isolati l’uno dall’altro all’interno di reti locali virtuali (VLAN). Ciò consente ad applicazioni, server, workstation, di essere raggruppati in sottodivisioni di rete in base ai problemi e alle priorità di sicurezza, e in particolare in base alla criticità di questi sistemi. Il filtraggio IP e i firewall facilitano il partizionamento delle aree.
L’uso del Wi-Fi può anche fornire un punto di ingresso per un attacco IT. In primo luogo, è essenziale distinguere le connessioni Wi-Fi dei terminali personali o visitatori da quelle dei terminali dell’organizzazione (generalmente con Wi-Fi ospite) e quindi filtrare e limitare i flussi di stazioni che si connettono alla rete Wi-Fi. Per fare ciò, è possibile configurare diverse reti Wi-Fi (ognuna ovviamente partizionata) all’interno della propria organizzazione al fine di limitare l’accesso a determinate risorse critiche garantendo al contempo l’accesso solo agli elementi necessari da parte dei vari gruppi di utenti all’interno della propria azienda.
Un esempio concreto di test di segmentazione effettuati durante un test di penetrazione di grey box su una rete interna. Come i test sono stati eseguiti in scatola grigia, il pentester responsabile della revisione è stato dato l’accesso al guest Wi-Fi al fine di testare la segmentazione della rete:
- Durante i test, la rete era ben partizionata ad eccezione di una stampante disponibile all’interno della rete: il pentester, come tutti i visitatori del cliente presso i locali dell’azienda, è stato così in grado di stampare documenti
- Tuttavia, l’interfaccia di amministrazione la stampante è anche accessibile tramite credenziali predefinite
- Se questa vulnerabilità era stata sfruttata da un malintenzionato, avrebbe potuto utilizzare la stampante come un vettore di attacco per compromettere la rete interna.
- La raccomandazione di pentester era quindi quella di limitare l’accesso alla stampante al solo personale aziendale e di modificare le credenziali di accesso per l’interfaccia di amministrazione
Pertanto, la segmentazione dell’architettura di rete limita le conseguenze di un’intrusione ad un perimetro delimitato del sistema informativo. In caso di attacco informatico, il movimento laterale dell’attaccante o del malware sarebbe impossibile, impedendo così la propagazione. Inoltre, con più sottoreti che agiscono come piccole reti a sé stanti, consente agli amministratori di controllare meglio il flusso di traffico tra ciascuna di esse e quindi di individuare più facilmente eventi insoliti.
Tuttavia, è importante eseguire test per verificare che la segmentazione impostata per isolare i sistemi e le applicazioni critici l’uno dall’altro sia robusta. Una rete interna pentest è il modo più efficace per farlo. Durante i penetration test, i pentester si concentrano sui controlli di segmentazione, sia dall’esterno della rete che dall’interno della rete, per identificare potenziali vulnerabilità (difetti tecnici, difetti di configurazione o implementazione) che potrebbero consentire l’accesso a sistemi, applicazioni e dati critici.
Un test di penetrazione interna garantisce che i sistemi e le applicazioni critiche non comunichino con reti meno sicure. L’obiettivo di questi test è quello di confermare che la segmentazione funziona come previsto e che non ci sono scappatoie che potrebbero essere sfruttate da un utente malintenzionato o malware.
Mancanza di crittografia delle comunicazioni, sniffing e attacchi Man In The Middle
Alcune reti interne sono configurate in modo che le informazioni vengano trasmesse in chiaro, cioè non crittografate. Queste informazioni possono essere ID account e password associate, dati sensibili (personali, bancari, ecc.), documenti architettonici e altre informazioni critiche, ecc. Tale pratica aumenta notevolmente il rischio che il tuo sistema informativo venga compromesso da aggressori esterni (avendo ottenuto l’accesso alla tua rete) e dipendenti malintenzionati. Il rischio è ancora maggiore per le reti Wi-Fi, poiché le comunicazioni possono essere intercettate lungo tutto il perimetro coperto dal punto di accesso.
Se una macchina sulla rete è compromessa, un utente malintenzionato può recuperare tutte le informazioni di trasmissione utilizzando un software che origlia il traffico di rete, come wireshark. Questo processo è noto come’sniffing’.
Per aumentare l’impatto dello sniffing, l’attaccante si posiziona in un “Man in the Middle” (MitM). Gli attacchi Man in the Middle, noti anche come attacchi di spionaggio, consistono in un utente malintenzionato che irrompe in una transazione di informazioni tra due macchine o server, utilizzando strumenti come Ettercap. Una volta nell’uomo in posizione centrale, l’attaccante lancia Wireshark per ascoltare il traffico per esfiltrare informazioni e dati sensibili.
Un caso concreto riscontrato durante un test di penetrazione della scatola grigia su una rete interna:
- Mappatura della rete, con Nmap
- Scoperta di un file server che comunica con smbv2
- Uomo Nel Mezzo tra questo server e di tutte le macchine sulla rete e quindi utilizzare wireshark per intercettare e analizzare in entrata comunicazioni smb
- in chiaro l’accesso ai file scambiati tra il computer dell’utente e il server (fatture, contratti, buste paga, documenti strategici, etc.)
Data l’entità dei rischi di sniffing e attacchi Man In the Middle, è necessaria la crittografia delle informazioni che circolano sulla rete. Crittografare i dati significa renderli incomprensibili senza una chiave di decrittografia. La misura di sicurezza più comune consiste nell’aggiungere un livello di crittografia ai protocolli esistenti (http, rtp, ftp, ecc.) utilizzando il protocollo SSL (https, sftp, srtp, ecc.). Nel caso specifico sopra descritto, la raccomandazione per la correzione effettuata in seguito ai test è stata l’uso di smbv3, cioè smbv2 accoppiato con il protocollo SSL, che consente la crittografia e quindi garantisce la riservatezza delle comunicazioni.
Access and Identity Management
Per quanto riguarda gli attacchi alla funzionalità di autenticazione, inclusi attacchi di forza bruta o spraying di password e escalation dei privilegi, abbiamo già dettagliato i meccanismi nel nostro precedente articolo sulle vulnerabilità comuni delle applicazioni Web. È quindi possibile fare riferimento ad esso poiché si applica a tutte le entità dell’infrastruttura di rete accessibili tramite un sistema di autenticazione. Inoltre, torneremo agli attacchi di Active Directory in un articolo dedicato.
Mancanza di registrazione e monitoraggio
La mancanza di registrazione e monitoraggio è sia un difetto tecnico che organizzativo che consente agli aggressori di mantenere la loro posizione in una rete il più a lungo possibile.
Come per la segmentazione della rete, è importante specificare che le buone pratiche di registrazione e monitoraggio non garantiscono la massima protezione contro gli attacchi, ma rimangono un buon modo per rilevare eventi e intrusioni insoliti e quindi per ridurne l’impatto. Quali sono i principi e i meccanismi principali?
La maggior parte degli elementi coinvolti nella comunicazione all’interno di una rete (scambio di informazioni, scambio di dati, ecc.) mantenere le informazioni su di esso. Infatti, tutti i sistemi e le applicazioni in esecuzione ” log ” tutti gli eventi che si verificano. Allo stesso modo, router, proxy e firewall e punti di accesso tengono traccia di ciascun pacchetto. Queste informazioni vengono quindi gestite dal sistema delle macchine a cui appartiene ciascuna di queste entità. Viene memorizzato, per un certo periodo di tempo, in file dedicati, comunemente chiamati “log”.
Un attaccante efficiente cancella sempre le sue tracce dopo aver compromesso una o più macchine in una rete. Questo per nascondere la sua presenza agli occhi dell’amministratore della rete compromessa e per mantenere la sua posizione il più a lungo possibile sulle macchine compromesse. Una buona gestione dei log è quindi molto utile per rilevare le intrusioni in modo rapido e reagire in modo efficace.
Per facilitare la gestione e lo sfruttamento dei log, dovrebbero essere centralizzati nell’area server interna per consentire una più facile amministrazione. Quindi, è necessario implementare programmi (agenti) per monitorare e sincronizzare tutti gli eventi elencati nei file di registro su altre macchine.
Questo è importante perché, in caso di compromissione di una macchina, è probabile che i log vengano distrutti dall’attaccante. La centralizzazione, la sincronizzazione e la duplicazione dei registri ti assicureranno di avere sempre una copia.
Difetti umani e attacchi di ingegneria sociale
Al di là di difetti tecnici, problemi di configurazione o implementazione, la vulnerabilità più spesso sfruttata dagli aggressori per compromettere un sistema informativo rimane umana. I dipendenti della tua azienda sono ancora l’anello più debole della tua sicurezza informatica, gli aggressori lo sanno e le notizie di attacchi informatici di successo lo dimostrano!
Un rapporto IBM sulle statistiche degli attacchi di phishing mostra che il costo medio di una violazione dei dati nel 2018 è stato di million 3,9 milioni. E nel loro 2019 Internet Crime Report, l’FBI ha stimato che gli attacchi BEC (Business Email Compromise-attacchi in cui i truffatori si pongono come dirigenti aziendali o fornitori per ingannare i dipendenti nel trasferimento di pagamenti a conti bancari controllati dagli aggressori) sarebbero costati alle aziende di tutto il mondo circa €1,6 miliardi.
Il principio degli attacchi di ingegneria sociale è semplice e la loro implementazione non richiede molte conoscenze tecniche nella maggior parte dei casi. Consiste in un attaccante che si basa su risorse psicologiche umane e quindi utilizza le abilità sociali per ottenere o compromettere informazioni su un’azienda o sui suoi sistemi IT (applicazioni, infrastrutture esterne, rete interna, tutto o parte del sistema informativo da riprendere).
Email rimane il vettore di attacco principale. Usando il phishing, lo spear phishing (phishing su un gruppo ristretto di persone), insieme al vishing (attacchi telefonici), gli aggressori sanno sfruttare la nostra naturale curiosità, il nostro senso del dovere, la nostra coscienza professionale, il nostro affetto per le occasioni, per convincerci a cliccare su un link o scaricare un allegato. Con cloni di interfaccia o malware, riescono ancora a:
- Sottrarre enormi quantità di denaro
- Ottenere ID utente e password
- Rubare, distruggere o alterare i dati critici
- Paralizzare l’intero sistema informativo
Negli ultimi anni, ci sono stati molti esempi di attacchi di ingegneria sociale di successo su piccole, medie e grandi aziende. E le conseguenze sono spesso devastanti e irreversibili. Tuttavia, ci sono modi semplici per limitare l’impatto degli attacchi di ingegneria sociale.
- Innanzitutto, pensa e implementa una strategia di sicurezza adatta alle tue sfide e minacce. Crittografia di tutti i sistemi, segmentazione della rete, gestione rigorosa degli accessi e delle identità, riduzione della superficie di attacco, sono tutti modi per contrastare gli attacchi o ridurne l’impatto.
- E soprattutto, prova la robustezza dei tuoi sistemi con test di penetrazione sulla tua infrastruttura esterna o sulla tua rete interna. I test di penetrazione rimangono il modo migliore per testare la sicurezza dei tuoi sistemi contro gli aggressori esterni e interni. Il principio è semplice: identificare potenziali vulnerabilità e correggerle rapidamente prima che vengano sfruttate dagli aggressori. I test di penetrazione dell’infrastruttura esterna consentono di cercare vulnerabilità nei componenti IS aperti all’esterno. Il pentesting di rete interna consiste nel mappare la rete prima di effettuare test di sicurezza sugli elementi identificati: server, Wi-Fi, apparecchiature di rete, workstation, ecc. Il rapporto rilasciato a seguito dei test consente di comprendere i meccanismi delle vulnerabilità scoperte al fine di riprodurle e risolverle.
- Quindi effettuare test di ingegneria sociale, internamente o tramite una terza parte specializzata. Ciò ti consente di valutare il comportamento dei tuoi dipendenti di fronte a e-mail, chiamate o intrusioni fisiche apparentemente innocue nei tuoi locali (ad esempio per il deposito di chiavi USB intrappolate), ma con un impatto drammatico se sono il risultato di hacker malvagi, al contrario dei buoni hacker che siamo. I risultati di questi test possono essere utilizzati per ottimizzare la consapevolezza dei tuoi team.
- Infine, è necessario aumentare continuamente la consapevolezza e formare tutti i dipendenti, perché la sicurezza informatica deve essere il business di tutti. È possibile organizzare riunioni di gruppo di sensibilizzazione o svolgere corsi di formazione, forniti dai team specializzati in tema di sicurezza informatica. Ci sono anche corsi di formazione di terze parti per aumentare la consapevolezza degli attacchi di ingegneria sociale. Questi corsi di formazione non tecnici rendono più facile comprendere i meccanismi degli attacchi informatici attraverso phishing, vishing, cloni di interfaccia, ransomware e le migliori pratiche e posture da adottare per evitare di abboccare all’esca.
Contattaci per qualsiasi domanda relativa a un progetto di formazione o test di penetrazione sulla tua infrastruttura esterna, sulla tua rete interna o sui test di ingegneria sociale. Discuteremo le vostre esigenze e vi forniremo un intervento adeguato alle vostre sfide di sicurezza e ai vostri vincoli, di bilancio o organizzativi.