INTERNET
Articolo

Sentinet3 come cybersecurity tool

24/04/13

Come utilizzare uno strumento di monitoraggio proattivo per esigenze di cybersecurity.

Per Cybersecurity si intende quell'insieme di tecniche che consentono alle rganizzazioni di minimizzare il numero di attacchi con esito positivo al proprio sistema informativo.

Questo permette la protezione delle informazioni da furto, distruzione, corruzione consentendo nel contempo che siano accessibili ai destinatari.

La Cybersecurity ha il principale obiettivo di ridurre le vulnerabilità di un sistema ovvero tutti i difetti o debolezze che possono essere sfruttate per violarne la politica di sicurezza.

Per ridurre le vulnerabilità di eseguono tecniche definite di hardening.

Queste tecniche prevedono due step, il primo volto alla riduzione della superficie di attacco ed il secondo al miglioramento della robustezza dei sistemi.

La riduzione della superficie di attacco prevede di rimuovere tutto il software non necessario, disabilitare tutti i servizi, moduli kernel e porte non necessarie. Il concetto alla base di questa operazione è che ogni software porta con sé delle vulnerabilità intrinseche, ogni porta aperta può essere soggetta ad attacco quindi se non servono devono essere disabilitati.

Una volta ridotta la superficie di attacco bisogna concentrarsi su tutti i servizi attivi (e quindi necessari) e più in generale sui sistemi ed essere irrobustiti.

Come? Abilitando policy di complessità delle password, aggiornando le patch di sicurezza, rimuovendo tutti gli utenti non necessari, riducendo i diritti degli utenti a quelli strettamente indispensabili.

Bisogna considerare che una volta eseguito l’hardening dei sistemi al tempo T0, è solo in quel momento abbiamo la certezza dello stato della nostra infrastruttura.

Al tempo T0+1 la nostra infrastruttura potrebbe essere mutata perché si potrebbero essere verificati eventi come:

• Installazione di nuovo software

• Creazione di nuovi utenti

• Migrazione di utenti nel gruppo Amministratori

• Mancata installazione di una nuova patch di sicurezza


Questo indica che il processo di riduzione delle vulnerabilità deve essere un processo continuo e non può eseguito unicamente al tempo T0.

Controllare la superficie di attacco


Una volta eseguito l’hardening dell’infrastruttura bisogna iniziare a controllare che la fotografia al tempo T0 della stessa non vari.

La prima cosa da fare è monitorare costantemente che la superficie di attacco non si estenda.

Questo avviene quando si verificano i seguenti eventi:

• quando si installa nuovo software, infatti, come specificato in precedenza, ogni software ha delle vulnerabilità intrinseche che possono essere più o meno
pericolose.

• Quando si attivano nuovi servizi

• Quando si aprono nuove porte tcp e udp


Sentinet3® dispone di check che permettono di:

• Controllare che non vari la configurazione software di un server segnalando ogniqualvolta un nuovo software viene installato

• Controllare che non vi sia nessuna variazione sui servizi attivi, ogniqualvolta un nuovo servizio viene avviato questo viene segnalato

• Controllare che non vengano aperte nuove porte di rete


Naturalmente il vantaggio apportato da questo prodotto è che il controllo sarà continuo e duraturo.

Controllare la robustezza dei sistemi


Una volta controllata l’evoluzione della superficie di attacco bisogna controllare che i sistemi mantengano la stessa robustezza raggiunta dopo le operazioni di hardening.

Le operazioni da eseguire ciclicamente sono fondamentalmente due:

a) IT security patch monitoring

b) User policy monitoring

IT security patch monitoring


Permette di controllare che i sistemi siano aggiornati alle ultime patch di sicurezza disponibili.

Questo è possibile grazie a controlli che sono in grado di eseguire questi controlli su server Windows, Debian, Ubuntu, Red Hat, Aix e Solaris, su router e switch della famiglia Cisco e sui principali antivirus in commercio

User policy monitoring


Permette:

a) Abilitazione delle policy di sicurezza delle password

b) Controllo sull’inserimento di nuovi utenti

c) Controllo sul passaggio di utenti nel gruppo amministratori

Controllare i sistemi di protezione


In una infrastruttura che si rispetti e che ha una attenzione alla sicurezza sono presenti sistemi come Firewall, IDS, IPS, SIEM, Antivirus.

Tutti questi sistemi hanno il compito di aumentare la sicurezza dell’infrastruttura e ridurre le possibilità di attacchi con esito positivo.

Ma cosa succede se uno di questi sistemi non funziona correttamente o non funziona affatto?

La risposta alla domanda è scontata!

E' necessario uno strumento in grado mettere sotto monitoraggio questi sistemi ed avvertire prontamente se uno di questi ha dei problemi.

Controllare gli attacchi in corso


Oltre al controllo della superficie di attacco e sulla sicurezza dei sistemi è necessario poi monitorare che l’infrastruttura IT non sia sottoposta agli attacchi più comuni:

a) Dns Redirection

b) Web site defacement

c) Denial of Service

DNS Redirection


In questo caso viene monitorato il database del DNS per controllare se ci sono tentativi di “avvelenamento”. Nel caso in cui il DB del DNS viene modificato Sentinet3® avviserà prontamente gli amministratori di sistema

Website Defacement


Questo è l’attacco classico apportato per minare la reputazione di una organizzazione e consiste nel modificare una home page sostituendola con un’altra che ha l’obiettivo di lanciare un messaggio denigratorio.

Grazie a Sentinet3® è possibile monitorare costantemente una home page di un sito per controllare se la stessa viene modificata. Nel caso in
cui questo dovesse avvenire Sentinet3® invia un messaggio agli amministratori e può eseguire azioni proattive come mettere il sito in manutenzione o sostituire l’homepage incriminata.

DOS


Questo attacco ha l’obiettivo di “far piantare un servizio”. In pratica aumentano enormemente le richieste di questo servizio (es. http) e fanno in maniera tale che il servizio o addirittura il server vengano bloccati. Uno dei più conosciuti è l’attacco Syn-Flood.

Grazie alla capacità di eseguire statistiche sulla rete con il modulo Network Monitoring, Sentinet3® può vedere se ci sono picchi di traffico da o verso alcuni indirizzi IP ed avvisare di conseguenza

Altro


Sentinet3® può fare molto altro. Grazie a questo dispositivo è possibile controllare sistemi di protezione perimetrale come telecamere ip, sensori di apertura e chiusura porte, sensori di temperatura, luminosità, allagamento.

In pratica è possibile eseguire un monitoraggio fisico.



Licenza di distribuzione:
INFORMAZIONI SULLA PUBBLICAZIONE
Sentinet3
Responsabile account:
 Antonio Capobianco (Founder and CEO)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
RSS di questo utente
© Pensi che questo testo violi qualche norma sul copyright, contenga abusi di qualche tipo? Contatta il responsabile o Leggi come procedere
Tutte le categorie
Internet Nuovi Siti Motori Ricerca Software Linux Sic. Informatica Hi-Tech Corsi
 
Editoria Attualità Medicina Eventi Sport Musica Spettacolo Arte e Cultura
 
Turismo Gastronomia Economia Aziendali Accordi Commercio Servizi Altro