venerdì, 29 marzo 2024

Articoli

Sicurezza fisica e logica: hardening di sistema

28/02/2017

dalla Redazione

La continua evoluzione della rete, dei mezzi di comunicazione di internet; il cosiddetto cyberspace e tutta la tecnologia atta a permettere un interscambio sempre più veloce di dati e informazioni, il concetto di big data e i social media, hanno fornito un notevole beneficio nella gestione, memorizzazione e condivisione dei dati, ma hanno portato anche delle vulnerabilità relative alle informazioni sensibili e ai dati in esse presenti, che fino a pochi anni fa non esistevano. L’utilizzo sempre più spinto del cyberspace porta sicuramente a delle interessanti opportunità da poter sfruttare, ma anche a nuove minacce che bisogna conoscere.

L’articolo esamina alcuni dei punti fondamentali per realizzare e mantenere un sistema aggiornato e sicuro. Ma la sicurezza al 100% è un obiettivo raggiungibile?

Risponde Alberto Bruschi, Country Manager Italia di Milestone Systems - www.milestonesys.com

Realizzare un sistema sicuro al 100% è probabilmente un obiettivo irraggiungibile. Si può però minimizzare il rischio. È fondamentale in tal senso ricordare che anche un impianto realizzato ad opera d’arte, con il tempo, se non appositamente aggiornato e manutenuto, rischia di diventare inaffidabile e può rappresentare una vulnerabilità importante. Un sistema affidabile richiede quindi investimenti economici, di tempo e di risorse perché un sistema che oggi è sicuro, domani potrebbe non esserlo più. A titolo informativo, le seguenti organizzazioni forniscono risorse e aggiornamenti sulle migliori pratiche per la sicurezza: International Standards Organization (ISO), United States (US) National Institute of Standards and Technology (NIST); Security Technical Implementation Guidelines (STIGs) from the US Defense Information Systems Administration (DISA); Center for Internet Security SANS Institute; Cloud Security Alliance (CSA); Internet Engineering Task Force (IETF); British Standards.

Quando si parla di Cyber Security si pensa che sia un argomento legato solo al software, mentre include tutto ciò che è connesso alla rete - inclusi frigoriferi, lavatrici e qualsiasi apparato di ultima generazione che utilizza la rete per scambiare informazioni. Le vulnerabilità si trovano quindi in molti componenti sia software che hardware. Negli ultimi anni stiamo inoltre assistendo ad una convergenza tra il mondo della sicurezza fisica e il mondo dell’IT – realtà che fino a pochi anni fa utilizzavano infrastrutture di collegamento e comunicazione differenti e isolate tra loro. Oggi la situazione è cambiata drasticamente e la maggior parte dei sistemi di sicurezza si appoggia in toto o in parte ad un’infrastruttura IT e a internet.

L’IT NELLA SECURITY FISICA

Un sistema di sicurezza fisica che utilizzi un’infrastruttura IT accessibile anche dall’esterno, anche solo in parte, deve tenere in considerazione il fatto che può essere preso come bersaglio per fare breccia nel sistema non solo dall’interno ma anche dall’esterno: chi lo realizza deve quindi conoscere delle modalità di realizzazione adeguate a minimizzare i rischi. Pur considerando che non è possibile creare un sistema sicuro al 100%, siamo convinti che, seguendo le adeguate indicazioni, sia possibile renderlo più sicuro riducendo al minimo le potenziali aree di rischio.

UN ESEMPIO

Se ci focalizziamo nel settore della sicurezza fisica, ove è presente un VMS, oltre al software, i componenti di un impianto includono tipicamente dispositivi hardware, quali: telecamere; encoder; prodotti networking; sistemi di storage; server e computer client (macchine fisiche o virtuali); dispositivi mobili, come smartphone e tablet. E’ importante includere dispositivi hardware nei vostri sforzi per realizzare l’installazione del VMS in modo sicuro. Ad esempio, le telecamere presentano spesso delle password di default che alcuni produttori pubblicano on-line in modo che siano facili da trovare per i clienti. Sfortunatamente questo significa anche che le password possono essere a disposizione anche dei malintenzionati, rischiando di diventare un potente strumento per chi voglia fare breccia nel sistema.

HARDENING

Chi deve mantenere in sicurezza un sistema avrà sentito più volte o sentirà parlare di Hardening. Cosa significa la parola “Hardening”? Lo sviluppo e l’attuazione di misure di sicurezza, utilizzando le best practices, è conosciuto come “hardening” di sistema. È un processo continuo atto ad identificare e comprendere rischi per la sicurezza e ad implementare le misure appropriate per contrastarle. Il processo è dinamico in quanto le minacce, e i sistemi che hanno come target, sono in continua evoluzione. I tentativi di compromettere le infrastrutture IT critiche sono sempre più frequenti, tanto che tutti dovrebbero prendere l’hardening e la sicurezza sul serio, senza lasciare nulla al caso. Ci sono molte fonti di minacce per un VMS includendo business, tecnologia, processi, attacchi umani e guasti. Le minacce si svolgono durante un ciclo di vita. Il ciclo di vita delle minacce viene chiamato “cyber kill” o “catena di minaccia cibernetica” ed è stato sviluppato per descrivere le fasi delle minacce informatiche avanzate. Il ciclo di vita delle minacce è importante per la valutazione del rischio, in quanto mostra dove si possono mitigare le minacce. L’obiettivo è quello di ridurre il numero delle vulnerabilità e dare strumenti per poterle affrontare nel modo più veloce ed efficace possibile. Ad esempio, scoraggiare un attaccante che sta sondando un sistema per la vulnerabilità significa eliminare una possibile minaccia futura. L’Hardening di sistema serve per poter mettere in atto azioni che mitigano le minacce per ogni fase del ciclo di vita delle minacce stesse. Ad esempio, durante la fase di ricognizione un attaccante esegue la scansione per trovare le porte aperte e determinare lo stato di servizi che sono collegati alla rete e al VMS. In questo caso la guida consiglia di chiudere le porte del sistema non necessarie nelle configurazioni di XProtect VMS Advanced e Windows.

AGGIORNAMENTO CONTINUO

L’Hardening di sistema, per poter essere efficace, richiede di mantenere aggiornata la conoscenza sulla sicurezza e su tutte le sue novità. Si tratta di: a. essere consapevoli dei problemi che riguardano il software e l’hardware, inclusi i sistemi operativi, dispositivi mobili, telecamere, encoder, dispositivi di storage e dispositivi di rete. Stabilire un punto di contatto per tutti i componenti del sistema. Idealmente, utilizzare procedure di segnalazione per tenere traccia di bug e vulnerabilità di tutti i componenti. b. Tenersi al corrente sul Common Vulnerabilities and Exposures (CVE https://cve.mitre.org/) (descritte nel Common Vulnerabilities and Exposures) per tutti i componenti del sistema. Questi possono riguardare i sistemi operativi, dispositivi che hanno password di manutenzione hard-coded, ecc. c. Rivedere gli articoli scientifici(1) e riesaminare periodicamente i registri per cercare segni di attività sospette.(2) d. Mantenere la configurazione e la documentazione di sistema aggiornata. Utilizzare le procedure di controllo delle modifiche per il lavoro che si esegue e seguire le best practice per la gestione della configurazione, sempre seguendo le ultime indicazioni del produttore. Molti produttori hanno realizzato e mantengono aggiornato una guida di hardening di sistema che permette a chi realizza impianti di farli in modo sempre più sicuro(3).  

Note:
(1) Milestone Knowledge Base (KB)
(2) Per ulteriori informazioni, consultare il Milestone Knowledge Base. https://force.milestonesys.com/support/MccKnowledgeBase.
(3) Da questo link potete scaricare il manuale di Hardening di sistema di Milestone Systems: HYPERLINK “https://milestonedownload.blob.core.windows. net/files/XProtect Corporate 2016_R3_102a/Manuals/Hardening Guide/Milestone_HardeningGuide_enUS.pdf”https://milestonedownload.blob. core.windows.net/files/XProtect%20Corporate%202016_R3_102a/Manuals/Hardening%20Guide/Milestone_HardeningGuide_en-US.pdf



Tutti gli articoli