Vai al contenuto
Avanet
Raccomandazioni Sophos - Cybersecurity Best Practices

Raccomandazioni Sophos - Cybersecurity Best Practices

Sophos ha pubblicato un elenco di nove Cybersecurity Best Practices pensate per ricordare alle aziende che la sicurezza IT può essere aumentata in modo significativo con misure semplici ma efficaci.

Per garantire una protezione ottimale dagli attacchi informatici non basta implementare soluzioni di sicurezza all’avanguardia. Un aspetto essenziale, e spesso trascurato, è la corretta configurazione di questi sistemi. Notiamo regolarmente che nelle aziende che iniziamo a seguire è sì installato un Sophos Firewall, ma non tutte le funzioni di sicurezza sono attivate o configurate correttamente. Questo può creare lacune di sicurezza significative.

È quindi fondamentale non solo affidarsi a soluzioni di cybersecurity di alta qualità, ma anche installarle e configurarle in modo professionale. Inoltre, un comportamento responsabile e informato è indispensabile per ridurre al minimo i potenziali rischi.

Di seguito vengono presentate una serie di Cybersecurity Best Practices che possono contribuire a migliorare in modo sostenibile la postura di sicurezza e a creare una base solida per la sicurezza dell’azienda:

Elenco delle misure

Patching: regolare e immediato!

Nel 2021, le vulnerabilità non patchate sono state la causa di quasi la metà di tutti gli incidenti informatici analizzati da Sophos. È evidente che applicare patch rapidamente e con regolarità aumenta in modo significativo la sicurezza dei sistemi e riduce il rischio che queste vulnerabilità vengano sfruttate.

Nessun software è completamente sicuro; in ognuno possono esserci potenziali vulnerabilità. Gli aggiornamenti regolari sono quindi indispensabili, anche se a volte vengono percepiti come fastidiosi. Non introducono sempre soltanto nuove funzioni, ma spesso risolvono anche problemi di sicurezza critici che non sono necessariamente elencati nelle release notes.

Sebbene un aggiornamento possa occasionalmente portare a problemi, il rischio di saltare un aggiornamento è di gran lunga maggiore. È quindi consigliabile rimanere proattivi e applicare le patch in modo continuo e immediato.

Backup: Automatizzati e non in ufficio

Secondo il Sophos Ransomware Report 2022, il 73% dei manager IT intervistati è riuscito a recuperare i dati crittografati tramite i propri backup dopo un attacco informatico.

Si raccomanda vivamente di crittografare i backup. Ciò serve non solo a proteggere dagli attacchi Ransomware, in cui i dati vengono crittografati per estorcere un riscatto, ma anche a proteggere dal furto di dati. Gli aggressori potrebbero tentare di rubare dati sensibili per ricattare l’azienda in seguito con la minaccia di pubblicare tali dati. La crittografia dei backup rappresenta quindi una barriera importante che rende l’accesso ai dati notevolmente più difficile.

Altrettanto importante è archiviare i backup offline e fuori sede. Ciò protegge da danni fisici dovuti a calamità naturali o furti e garantisce che in situazioni di crisi sia sempre possibile accedere ai dati necessari.

Inoltre, il ripristino dei dati dovrebbe essere testato regolarmente. In questo modo, in caso di perdita di dati, è possibile reagire in modo rapido ed efficace e la funzionalità dei backup è garantita in caso di emergenza.

Mostra tipo di file

Nei sistemi operativi Windows e macOS, le estensioni dei file non vengono visualizzate per impostazione predefinita. Si consiglia tuttavia di renderle visibili, così da riconoscere tipi di file potenzialmente pericolosi, ad esempio i file JavaScript. Naturalmente, queste estensioni non dovrebbero comunque arrivare via e-mail. Con una soluzione come Sophos Central Email, tra le altre cose, è possibile bloccarle, così che l’utente non riceva nemmeno tali file.

Elenco di Sophos delle estensioni di file che dovrebbero essere bloccate.

In passato, abbiamo condotto un test e abbiamo sfruttato esattamente questo. Abbiamo inviato chiavette USB con un file HTML mascherato da candidatura a varie aziende. Molti probabilmente pensavano che si trattasse di un documento PDF o Word, ma all’apertura del file, sono stati reindirizzati a un sito web. Maggiori dettagli su questo esperimento: Esperimento – Perché non avresti dovuto inserire questa chiavetta USB.

Nonostante la possibilità di identificare le estensioni dei file, è essenziale formare il personale di conseguenza. Solo così si può garantire che siano in grado di identificare efficacemente i file sospetti e di agire con la dovuta cautela.

Apri script con editor di testo

L’apertura di un file JavaScript in un editor di testo impedisce l’esecuzione di script potenzialmente dannosi e consente una revisione sicura del contenuto del file. A condizione, ovviamente, di possedere il know-how necessario.

È consigliabile maneggiare con cautela i file eseguibili, perché vengono spesso utilizzati per distribuire malware. Va ricordato che non solo i file JavaScript, ma anche allegati con estensioni come .exe, .bat, .scr e .vbs possono essere potenzialmente pericolosi ed eseguire script in grado di causare danni significativi. Naturalmente questo riguarda anche i file Office, tema macro, ma ci arriviamo tra poco.

Pertanto, gli allegati dovrebbero essere aperti solo da fonti affidabili e, in caso di dubbio, il contenuto dovrebbe essere prima verificato in un editor di testo.

In ultima istanza aiuta una buona soluzione di Endpoint Protection o, nel peggiore dei casi, il backup menzionato sopra. 😋

Macro: No

Già alcuni anni fa, Microsoft ha disattivato l’esecuzione automatica delle macro per motivi di sicurezza. Numerose infezioni sono possibili solo se si attivano le macro. Pertanto, è necessario evitare di attivare le macro!

Allegati e-mail: Attenzione anche ai mittenti conosciuti

I cybercriminali sfruttano spesso un vecchio problema: in realtà si dovrebbe aprire un documento solo se si è certi che sia innocuo. Per ottenere questa certezza, però, bisogna prima aprirlo. In queste situazioni, è consigliabile non aprire un allegato sospetto in caso di dubbio.

Va ricordato che i server di posta compromessi vengono spesso abusati per inviare allegati dannosi. L’aggressore che controlla il server di posta può non solo inviare da un dominio legittimo, ma anche leggere le conversazioni e rispondere in modo contestuale usando tecniche di intelligenza artificiale. Questo rende tali e-mail estremamente difficili da riconoscere, perché sono molto specifiche e adattate alla conversazione precedente.

Diritti di amministratore: Meno è meglio

Si dovrebbe verificare periodicamente chi possiede i diritti di amministratore locale e i diritti di amministratore di dominio nella rete. È consigliabile controllare attentamente chi ha questi diritti e revocarli se non sono necessari. Inoltre, si dovrebbe effettuare l’accesso come amministratore solo per il tempo strettamente necessario.

È altrettanto importante garantire la sicurezza della rete con precauzioni adeguate. Una di queste misure dovrebbe essere quella di assicurarsi che nessuna porta venga lasciata aperta inutilmente, al fine di evitare potenziali vulnerabilità di sicurezza. L’accesso RDP e altri protocolli di gestione remota dell’azienda dovrebbero essere sistematicamente bloccati per impedire accessi non autorizzati. In breve, un firewall correttamente configurato.

Inoltre, è consigliabile implementare l’autenticazione a due fattori, che fornisce un ulteriore livello di sicurezza confermando l’identità dell’utente tramite un secondo componente. Accanto a ciò, dovrebbe essere garantito che gli utenti remoti si autentichino sempre tramite una VPN per garantire una connessione sicura e crittografata che protegga l’integrità e la riservatezza dei dati. Naturalmente, Zero Trust sarebbe l’approccio migliore.

Usa password sicure

Infine, un argomento che avrebbe meritato un blogpost a sé stante. Esiste anche la Giornata Mondiale della Password, che si tiene sempre il primo giovedì di maggio, per richiamare costantemente l’attenzione sull’argomento. Ecco quindi i punti più importanti in breve.

Se guardate la password per 3 secondi e riuscite a ricordarla, con ogni probabilità fa schifo 💩. Qui non c’è modo di addolcire la cosa. Per i furbi che ora pensano che 5 secondi cambino tutto: sì, ma in realtà anche no.

  • Lunghezza: Qui la lunghezza conta. Dovrebbe essere composta da almeno 12 caratteri.
  • Complessità: Dovrebbe contenere un mix di lettere maiuscole e minuscole, numeri e caratteri speciali.
  • Nessun riferimento a informazioni personali: Evita di usare informazioni facilmente accessibili come date di nascita, nomi o indirizzi.
  • Imprevedibilità: Non dovrebbe consistere in combinazioni di parole facilmente intuibili o frasi comuni.
  • Unicità: Ogni password dovrebbe essere unica e non utilizzata per più account.
  • Aggiornamento regolare: È consigliabile cambiare le password regolarmente per aumentare la sicurezza.
  • Casuale: Utilizza password generate casualmente che non si basino su parole trovate nel dizionario. Esistono generatori di password.
  • Utilizzo di passphrase: A volte è più sicuro utilizzare una passphrase composta da più parole separate da caratteri speciali.
  • Autenticazione a due fattori (2FA): Ove possibile, l’autenticazione a due fattori dovrebbe essere abilitata per fornire un ulteriore livello di sicurezza.
  • Evita le ripetizioni: Evita di usare password simili o identiche per servizi diversi.

🙏 Amen! O per tutti i non religiosi 🖐️🎤

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.