Passa ai contenuti principali

Cybersecurity: il monitoraggio degli utenti privilegiati

Tra le minacce informatiche più pericolose ma anche spesso più sottovalutate dalle aziende vi è quella relativa agli utenti privilegiati. Le violazioni degli account relativi ad utenti privilegiati, amministratori di sistema, amministratori di base di dati, amministratori di rete sono potenzialmente molto più pericolose rispetto ad altre categorie di utenti in quanto il loro profilo autorizzativo e l'accesso alle risorse del sistema informatico aziendale potrebbe essere sostanzialmente illimitato comprendendo quindi i dati più importanti relativi ai dati personali, al know-how, etc.

Per questo motivo è importante introdurre all'interno del sistema di cybersecurity aziendale delle policy relative agli utenti privilegiati. Generalmente non si ritiene infatti che gli amministratori di sistema, volontariamente o involontariamente, possano essere una minaccia per l'azienda, in quanto si tratta di figure professionali spesso caratterizzate da un rapporto fiduciario consolidato nel tempo, eppure recenti studi compiuti analizzando le cause degli attacchi cibernetici degli ultimi anni dimostrano come la violazione degli account degli utenti privilegiati costituisca una delle principali cause di data-breach. Quando la minaccia risiede all'interno a nulla servono le tradizionali tecniche di difesa perimetrale quali firewall, antivirus, antispam, pur sofisticate che siano. I criminali informatici lo sanno e per questo hanno sviluppato tecniche sempre più sofisticate per impossessarsi di questo tipo di account.

Dal punto di vista legale il Garante della Privacy con la nota delibera del 27 novembre 2008 era intervenuto sugli amministratori di sistema stabilendo dei criteri di valutazione e di verifica per questo tipo di utenti, ma soprattutto con la registrazione degli accessi logici (log) degli amministratori da conservarsi per un periodo di tempo non inferiore a sei mesi laddove i dati trattati fossero di particolare criticità. Anche il nuovo regolamento europeo prevede la realizzazione di software progettati secondo le specifiche di "Privacy by Design" quindi anche con tecniche che prevedono il tracciamento degli accessi di tutti gli utenti.

Il problema è che solo il monitoraggio dei log di accesso degli utenti privilegiati oggi non è più sufficiente: è necessario un sistema più evoluto che combini un sistema di autenticazione avanzata utilizzando anche tecniche di machine learning, in modo da creare un profilo davvero univoco per ogni utente, con sistemi di registrazione delle sessioni per poter tenere traccia di tutta l'attività svolta dagli utenti. In questo modo verrebbero drasticamente ridotti i tempi di risposta in caso di attacco informatico. Qui potrebbe nascere però, almeno in Italia, una possibile fonte di violazione delle norme sul controllo a distanza dell'attività lavorativa (Legge 300/1970) a meno di non concordare l'utilizzo di questi sistemi di sorveglianza con le rappresentanze sindacali dei lavoratori e di introdurne la notifica nella lettera di incarico al trattamento dei dati come policy aziendale di sicurezza informatica solo in casi eccezionali dovuti ad attacchi cibernetici con lo scopo di difendere il patrimonio aziendale, patrimonio che adesso può includere anche il know-how tecnologico.

Gli algoritmi di "behavioral analytics" tracciano un profilo comportamentale legato alle credenziali di accesso dell'utente che coinvolgono tutta una serie di parametri: anche se non ce ne accorgiamo ognuno di noi ha un suo modo di utilizzare il computer, una tempistica nel fare l'accesso, una serie di azioni fatte sulle applicazioni e sui dati, orari di accesso che possono essere registrati ed inventariati dalla macchina che crea un'impronta caratteristica per ogni utente. A questo punto ogni attività classificabile come anomala per quel determinato utente può essere bloccata dal sistema e segnalata all'amministratore di sistema per la verifica, se dal controllo risulta che l'azione è regolare allora può essere autorizzata con l'immissione di un codice di controllo.

Rilevamento di attività sospetta in base all'orario

Commenti

Post popolari in questo blog

CISO e DPO: interazione e compatibilità tra due figure strategiche nella difesa dei dati

Col recepimento della NIS2 in attuazione della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di sicurezza informatica nell'Unione, sentiremo sempre più spesso parlare della figura professionale del CISO che è l'acronimo inglese di Chief Information Security Officer. In questo articolo esaminiamo il rapporto tra questa figura attinente alla sicurezza informatica e quella del Responsabile della protezione dei dati RPD conosciuto anche con l'acronimo di DPO (Data Protection Officer) come disciplinato dal Regolamento europeo sulla protezione dei dati personali (UE) 2016/679. Diciamo subito che entrambe sono figure che operano nell'ambito della sicurezza dei dati, con ruoli distinti ma complementari. Ecco una panoramica di ciascun ruolo e delle loro possibili interazioni. Ruolo del CISO: Il CISO è responsabile della sicurezza delle informazioni e dei sistemi aziendali. Si occupa della gestione dei rischi legati alla sicurezza informatica, della...

La natura del dato genetico, cosa sappiamo del data breach di 23andMe

Ormai non passa giorno che non si abbia notizia dalla stampa di settore e perfino dalle cronache cittadine di nuovi data breach, notizia recente quella della vendita nel dark web di dati di un noto istituto di analisi fiorentino e fa certo scalpore che in queste violazioni siano coinvolte organizzazioni anche ben strutturate, ma certo il data breach di 23andMe , azienda leader del settore dei test genetici fai da te, lascia davvero stupefatti soprattutto per la facilità con la quale è stato perpetrato: l'attaccante non ha dovuto scrivere neanche una riga di codice! Cosa sappiamo? In una recente comunicazione agli iscritti è l'azienda stessa a fare luce sui fatti e a dare le prime indicazioni agli utenti, leggiamo insieme la traduzione in italiano del comunicato di 23andMe: Di recente abbiamo appreso che alcune informazioni del profilo, che un cliente crea e sceglie di condividere con i propri parenti genetici nella funzione DNA Relatives, sono state accessibili da singoli acco...

Come smaltire in sicurezza i documenti cartacei.

Aziende, enti, liberi professionisti e privati cittadini spesso trascurano di smaltire in maniera corretta i documenti cartacei, eppure tante attività di HUMINT (acronimo di HUman INTelligence) si basano proprio sul recupero di materiale cartaceo smaltito in maniera scorretta, non avete idea di quante informazioni interessanti si possono ottenere rovistando nella spazzatura della persone e in effetti questa è una delle prime attività che viene assegnata alle reclute delle agenzie di intelligence.  Per questo occorre adottare una procedura per il corretto smaltimento dei documenti cartacei. I rischi sono che dati personali di natura particolare, numeri di carte di credito, password appuntate, dati giudiziari possano essere facilmente recuperati e utilizzati da soggetti non autorizzati al trattamento per scopi fraudolenti o illegali. Inoltre lo smaltimento o il recupero non deve recare pregiudizio all'ambiente, in Italia la materia è disciplinata dal D. Lgs. 152/2006. Ecco alcuni sug...