Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

MISURE DI SICUREZZA

Cyber security e data breach: soluzioni “right cost” per gestire una violazione di dati

Il GDPR impone alle aziende di adottare misure appropriate per rilevare e segnalare un data breach. Senza le giuste competenze e risorse, però, la rilevazione di violazioni dei dati e la loro tempestiva segnalazione rappresentano una seria sfida. Ecco i consigli e le soluzioni per prevenire e gestire al meglio un data breach

11 Apr 2019
L

Fortunato Lodari

Cybersecurity Specialist


Con l’entrata in vigore del GDPR, cyber security e data breach sono diventati di fatto due facce della stessa medaglia. Non si può pensare di evitare una violazione di dati personali se non si mette in atto un corretto piano di cyber security aziendale.

Tra i nuovi requisiti di protezione dei dati introdotti dal GDPR, infatti, vi è la necessità di adottare misure appropriate per rilevare e segnalare violazioni dei dati che conducono alla “distruzione, perdita, alterazione, divulgazione o accesso non autorizzato accidentale, ai dati personali trasmessi, archiviati o altrimenti trasformati.”

Se non viene affrontata in modo appropriato e tempestivo, una violazione di dati (il cosiddetto data breach) può potenzialmente causare danni alle persone, sia finanziari che reputazionali.

Servono le giuste competenze

Il GDPR – lo ripetiamo, anche se lo sentiamo ripetere spesso ultimamente – riconosce la necessità per le organizzazioni di essere più trasparenti in merito alla compromissione dei dati e, a tal fine, impone a tutti i responsabili del trattamento di attuare procedure adeguate a rilevare le violazioni, e di segnalarle al un’autorità di controllo competente entro 72 ore (art. 33 par. 1 GDPR). Nei casi in cui vi è un alto rischio per i diritti e le libertà delle persone, anche gli interessati devono essere informati direttamente.

Senza la giusta combinazione di competenze e risorse, la rilevazione di violazioni dei dati e la loro tempestiva segnalazione all’autorità competente, rappresentano una seria sfida. Per evitare il rilevamento, i criminali informatici odierni sono estremamente pazienti e, nel compromettere un’azienda, prenderanno provvedimenti per assicurarsi che lascino il minor numero possibile di tracce. Gli hacker possono spesso risiedere inosservati sulle reti per mesi.

Sapere come rispondere con successo agli attacchi è un’area in cui molte aziende possono anche scivolare, con un’azione lenta o scorretta che porta a danni maggiori.

Tra i requisiti di segnalazione delle violazioni di GDPR vi è la necessità di fornire una descrizione dettagliata di ogni violazione sostenuta. Ciò comprende:

  • il tipo e la quantità di dati compromessi;
  • una descrizione delle probabili conseguenze dell’attacco;
  • piani su come affrontare i suoi effetti.

Possedere una comprensione di come gli hacker operano, come utilizzare e ottimizzare le più recenti tecnologie di rilevamento, e condurre le indagini approfondite necessarie per segnalare e aiutare a contrastare gli attacchi, sono tutte le competenze vitali che a molte aziende possono mancare.

Cyber security e data breach: lo stato dell’arte

Per lavoro, analizzo quotidianamente interi data center e mi rendo conto che il concetto di sicurezza informatica è sempre molto lontano dai canoni minimi richiesti. Da una parte per le competenze di coloro i quali dovrebbero sovrintendere, dall’altra per i costi aziendali da sostenere per l’adeguamento minimo.

La sicurezza in generale, e quella informatica in particolare, non vengono fuori da un software oppure da un sistema hardware, bensì dall’atteggiamento e dalla collaborazione di tutti gli attori coinvolti nel processo; tale atteggiamento è importante non solo nel contesto lavorativo, ma soprattutto nella vita quotidiana.

Ognuno di noi è un varco verso un sistema informatico e questo varco può essere utilizzato come “rimbalzo” per raggiungere un obiettivo.

Un esempio può essere la segretaria di uno studio legale, i cui avvocati difendono un’azienda da un’altra, al fine di evitare un risarcimento danni milionario: a quale avvocato non farebbe gola avere le memorie della controparte un giorno prima del processo? Analizzando la vita della segretaria e le sue abitudini mediante l’ingegneria sociale, diventa facile per un hacker esperto utilizzarla come varco per entrare nei sistemi in cui è memorizzata l’informazione desiderata.

Una possibile soluzione open source

Per semplificare la vita ai responsabili della sicurezza e, soprattutto, per aggirare l’ostacolo degli attori che compongono l’anello debole, è necessario dotarsi anche di sistemi dedicati.

Esistono sul mercato molti sistemi che consentono un monitoraggio più o meno efficiente e per installarli, configurarli e utilizzarli sono richieste competenze trasversali, ma in realtà non eccessive e che un esperto di cyber security dovrebbe avere.

Effettuare il monitoraggio del traffico, senza mai entrare nel merito del dato, richiede poche risorse ed un sistema trasparente ai dispositivi di rete da monitorare, che seguendo politiche standardizzate e centralizzate, riesca a notificare tentativi illeciti di accesso da e verso un dispositivo.

A tale scopo mi sento di consigliare un sistema molto potente e dal costo minimale, che fa al caso di tutti i consulenti del settore; un sistema semplice, ma funzionale come quelli più costosi del segmento. In aggiunta, e per conformità alle misure minime di sicurezza imposte alle pubbliche amministrazioni – che in realtà dovrebbe adottare chiunque abbia un calcolatore collegato alla rete – il sistema è dotato di un tool avanzato di penetration test integrato e di un software per realizzare un inventario delle risorse tecnologiche che enumera ogni singolo componente hardware o software dei sistemi rilevati in rete.

L’hardware necessario ed ampiamente sufficiente consiste in un Raspberry ed una scheda di rete secondaria USB, che lo farà diventare un bridge trasparente e non invasivo.

Oltre al sistema operativo Raspbian, che svolge tutte le funzioni richieste, e si predispone per l’aggiunta di qualsivoglia servizio aggiuntivo, ho scelto una lista di software che riporto di seguito:

  • SNORT: è un software leggero e performante basato sulle librerie libpcap. Esegue in tempo reale l’analisi del traffico delle reti IP e riesce ad individuare potenziali minacce ed intrusioni. Tali tentativi, a secondo dell’emergenza, vengono notificati tempestivamente all’amministratori.
    Il controllo del traffico di rete avviene a diversi livelli quali:
  1. analisi del protocollo
  2. analisi del contenuto
  3. confronto dei contenutiAlcune tra le molteplici minacce che possono essere intercettate, bloccate e notificate sono:
  1. Buffer overflow
  2. Server message block
  3. Port scanningIl suo funzionamento avviene impostando il programma in una delle sue modalità principali, che sono dal semplice Sniffer, a Packet Logger, per diventare un NIDS (Network Intrusion Detection System) oppure può essere utilizzato come strumento di Analisi forense per la verifica di DUMP esterni.
  • BARNYARD 2: è un interprete per i file di output binari SNORT unified2. Il suo uso principale è quello di convertire i file di SNORT e di memorizzarne il contenuto in un DBMS come MySQL o simili, lasciando a SNORT la serenità ed il tempo necessario per analizzare il traffico di rete.
  • PullledPork: Le tre “l” nel nome non sono un errore: è un’applicazione per la gestione delle regole di SNORT.
  • Snorby: il front end visivo dei dati elaborati da SNORT, e convertiti da BARNYARD2.
  • OCS INVENTORY: è una soluzione di gestione e distribuzione delle risorse, attraverso un meccanismo autonomo di network Discovery, e/o mediante l‘ausilio di Plugins gratuiti; consente di mantenere sempre aggiornato il parco tecnologico a livello atomico dell’informazione.
  • OpenVAS – (Open Vulnerability Assessment System): precedentemente noto come GNessUs, è un fork del famoso security scanner Nessus. Il software si mantiene sempre aggiornato con i database dei CVE (Common Vulnerabilities and Exposures) ovvero i sistemi centralizzati delle vulnerabilità note, e consente da una parte di conoscere le vulnerabilità di un dato sistema, dall’altra rivela i giusti consigli per risolvere il problema rilevato su qualsiasi sistema operativo, semplificando la vita ai system administrators.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5