Il vostro sistema di sicurezza è sicuro?

La protezione di una console di sicurezza è più critica di quanto si possa pensare. Ecco le informazioni dettagliate sulla compromissione del livello di controllo e su come evitare che accada.

Hardening delle impostazioni della console di gestione della protezione

Le aziende lavorano sistematicamente per ridurre la superficie di attacco. Segmentano le reti, gestiscono le vulnerabilità, implementano EDR/XDR e tentano di automatizzare le attività di reazione. Per quanto paradossale possa sembrare, spesso trascurano un enorme pezzo del puzzle: la sicurezza degli stessi strumenti che gestiscono l’intero sistema di difesa.

Ciò può verificarsi a causa di un punto cieco mentale. È facile presumere che, poiché un’organizzazione ha installato tutte le soluzioni di protezione necessarie, sia sicura. In realtà, qualsiasi software aggiunto (anche gli strumenti di protezione) espande la superficie di attacco. Ciò significa che anche questi strumenti hanno bisogno di protezione e bisogna partire rafforzandoli attraverso le impostazioni corrette.

Perché una console di protezione violata è uno scenario da incubo

Gli strumenti di protezione sono efficaci quanto il sistema che li esegue. Se un utente malintenzionato riesce a introdursi nell’infrastruttura di un’organizzazione e prendere il controllo della console di gestione della protezione, ha praticamente tutte le carte in regola. È la chiave di volta per eccellenza, che consente di accedere direttamente alla gestione centralizzata dei criteri, al monitoraggio degli endpoint, alle integrazioni delle API e a tutto il resto.

In questo scenario, l’utente malintenzionato non deve perdere tempo a trovare modi intelligenti per aggirare le difese: è sufficiente modificare la configurazione. Con l’accesso da console, un hacker può ignorare le parti difficili di una violazione:

  • non è necessario perlustrare la rete; la console offre istantaneamente una visuale dell’intera infrastruttura e dell’architettura di protezione.
  • Non c’è bisogno di nascondere le proprie attività dannose: possono semplicemente modificare i criteri di sicurezza, interrompere strumenti specifici o silenziare alcuni avvisi.
  • Invece di inventare modi per distribuire discretamente il carico utile agli endpoint, possono sfruttare gli strumenti integrati della console per l’installazione di massa di software e aggiornamenti.

Questo è esattamente il motivo per cui la compromissione del livello di controllo è così pericolosa. Una mentalità proattiva alla sicurezza informatica non dipende dal numero di strumenti implementati; si tratta di quanto sia effettivamente resiliente l’architettura di protezione aziendale. Se il livello di controllo è l’anello debole, nessuna quantità di software hi-tech può attenuare tale rischio.

Come proteggere la console di protezione

Sulla carta, la maggior parte dei sistemi di gestione della protezione dispone già di tutti i meccanismi necessari per potenziare la protezione. Il problema? Queste misure di potenziamento (anche elementi di base come l’autenticazione a due fattori) sono spesso disponibili ma non obbligatorie. I consigli per la sicurezza vengono pubblicati, ma non sempre vengono implementati in modo coerente. A volte vengono semplicemente ignorati. Ancora peggio, le impostazioni di protezione critiche attivate per impostazione predefinita spesso possono essere disabilitate con un solo clic, diffondendo istantaneamente la modifica a ogni utente. E siamo onesti: le persone spesso disabilitano queste funzionalità in nome della praticità.

Nel mondo reale, ciò significa che la sicurezza aziendale finisce per fare affidamento sulla disciplina personale di un amministratore. Ma la disciplina non può fungere da meccanismo di difesa architettonica.

L’approccio moderno alla protezione del livello di controllo si sta spostando verso un modello protetto per impostazione predefinita. In questa configurazione, le protezioni critiche sono integrate nella configurazione di base e la possibilità di disattivarle a livello globale è limitata. In sostanza, la protezione smette di essere una funzionalità opzionale.

Si tratta di eliminare le congetture dalla sicurezza degli strumenti difensivi e ridurre la superficie di attacco a livello di gestione.

Come implementare questo approccio in Kaspersky Security Center Linux

I nostri prodotti si stanno orientando in modo coerente verso un modello in cui i meccanismi di protezione critici sono parte dell’architettura di base anziché una funzionalità opzionale. Di recente è stata rilasciata una nuova versione (16.1) di Kaspersky Security Center Linux, in cui questo cambiamento dell’architettura è integrato nei suoi principi fondamentali, principalmente il rafforzamento del controllo degli accessi alla console. Adesso l’autenticazione a due fattori è abilitata per impostazione predefinita e la possibilità di disabilitarla a livello globale è stata rimossa. Prima di eseguire l’upgrade, gli amministratori devono assicurarsi che la 2FA sia abilitata per tutti gli utenti, inclusi quelli che lavorano tramite la console Web o utilizzano l’automazione OpenAPI.

Questo stabilisce una protezione fondamentale per l’accesso privilegiato a livello di console. Riduce il rischio di violazione degli account amministrativi, protegge i canali di automazione, riduce la probabilità di abusi delle API ed elimina le vulnerabilità derivanti dall’utilizzo della protezione opzionale. In questo modo, la potenziale superficie di attacco viene ridotta in particolare a livello di controllo di gestione.

Tuttavia, come accennato in precedenza, il problema con la maggior parte delle console e dei sistemi di gestione non è la mancanza di funzionalità di protezione, ma la mancanza di un controllo sistematico sul modo in cui vengono utilizzate. Ad esempio, vediamo spesso amministratori con privilegi eccessivi o impostazioni di connessione al server di amministrazione non sicure. È già stata fornita una guida per il potenziamento di Kaspersky Security Center che tratta in dettaglio questi problemi, ma purtroppo non tutti si prendono il tempo di leggere approfonditi manuali tecnici.

Ecco perché, per assicurarci che i punti chiave non vengano ignorati, abbiamo creato un elenco di controllo strutturato per l’hardening di Kaspersky Security Center Linux, ver. 16.1. Questo elenco di controllo:

  • consente di verificare che l’autenticazione e i privilegi di accesso siano configurati correttamente
  • Aiuta a identificare i ruoli e gli utenti con privilegi eccessivi
  • Fornisce linee guida per limitare l’accesso della rete alla console
  • Enfatizza la protezione delle API
  • Rafforza i requisiti di criptaggio
  • Assicura che il controllo e la registrazione siano impostati correttamente
  • Riduce il rischio di falle nella configurazione

In sostanza, si tratta di uno strumento per una verifica sistematica del livello di controllo. Garantisce che la console non diventi un punto di ingresso o uno strumento per consentire agli utenti malintenzionati di spostarsi lateralmente nell’infrastruttura. Minore è il numero di impostazioni critiche lasciate a discrezione dell’utente, minore è anche il rischio di errore o compromissione.

L’autenticazione avanzata e l’hardening strutturato di Administration Console non sono solo piccole modifiche; rappresentano un approccio più completo alla gestione della protezione. Abbiamo in programma di continuare a sviluppare questo livello di protezione, riducendo la superficie di attacco non solo a livello di endpoint, ma all’interno del sistema di gestione stesso. È possibile ottenere ulteriori informazioni su Kaspersky Security Center nella pagina della console e la checklist dell’hardening della protezione è disponibile nel sito dell’assistenza tecnica.

Consigli
  • Tutti gli altri paesi