Le 5 minacce al tuo server aziendale più pericolose
TOPICS
I server sono il cuore pulsante dei sistemi informativi, costituiscono il motore dell’intera operatività aziendale e qualsiasi servizio mettano a disposizione questo assume un’importanza elevata.
Molto di ciò che facciamo dal punto di vista IT ha lo scopo di proteggere, manutere o efficentare qualche componente della server farm e poiché gran parte delle operazioni svolte dagli utenti dipende dai servizi messi a disposizione da un server, lo stesso parco client assume un’importanza secondaria, addirittura spesso alcune strategie di sicurezza eleggono i client a merce sacrificabile per il bene superiore della server farm.
Sono 5 le minacce più pericolose che minano la sicurezza di un server aziendale, vediamole insieme:
- Intrusione
Un accesso abusivo può essere di due tipi in base alla sua provenienza, dall’esterno della rete aziendale oppure dall’interno, parliamo per sommi capi di un cyber-attacco nel primo caso e di un utente non autorizzato nel secondo. Dal punto di vista dell’intrusione la prima cosa da fare su ogni server è bonificare i permessi utente, un tipo di manutenzione noiosa ma molto importante, perché ha lo scopo di mantenere solo quelli strettamente necessari e legati alla mansione svolta. Parliamo di accessi alle macchine, alle diverse cartelle, di permessi di scrittura e di lettura. Con questo primo passaggio non solo si negano gli accessi agli utenti non autorizzati ma è possibile anche arginare molti casi di infezione da ransomware o altri tipi di virus che si presentano con l’utente loggato sul client infetto.
Mentre per le violazioni vere e proprie parliamo di firewall e più in particolare di IPS, uno strumento utilissimo è straordinariamente poco usato, semplicemente perché deve essere tarato.
Tipicamente è attivato sul perimetro della rete il che è giustissimo ma se vogliamo aumentare il grado di protezione dei server dobbiamo segmentarla, dividendola almeno in due zone, una client e una server. Il modo più semplice ed economico è gestire due zone sul firewall perimetrale ed attivare la scansione tra queste ma così facendo un eventuale attacco DDoS al firewall paralizzerebbe comunque tutta l’azienda. Per questo una strategia migliore consiste nell’inserire un’appliance aggiuntiva posizionandola fisicamente tra la rete client e server e su questa scansionare e gestire gli accessi alla server farm, tenere i log ecc.
- Cifratura da Ransomware
Questo evento merita una categoria dedicata perché trattandosi di un server è ragionevole pensare che vi risiedano dati molto più importanti di quelli che comunemente lasciamo sui client.
Dato che le infezioni da Ransomware arrivano dalla posta elettronica, se arrivano a cifrare un server significa che hanno prima infettato un client dal quale era possibile raggiungere tale server.
Molti di questi casi possono già essere sfatati con quanto consigliato nel punto precedente perché siamo andati a restringere il campo lasciando passare solo ciò che è strettamente necessario, in altre parole il Ransomware potrà raggiungere solamente i server ai quali il client infetto deve avere necessariamente accesso e non tutti gli altri.
Il nostro scopo però è evitare anche questa ultima evenienza ed esiste un escamotage molto potente la cui implementazione dipende dal sistema operativo del server.
In sostanza si tratta di definire i formati dei file permessi in scrittura nelle varie cartelle, così facendo il malware non potrà scrivere il file con estensione cifrata e di conseguenza concludere la procedura. Oltretutto in presenza di un evento di questo tipo è possibile mandare una notifica via mail e chiudere le connessioni di rete del server.
- Infezione
I Ransomware ne sono un esempio lampante e attuale ma ce ne sono molti altri meno diffusi dei quali non possiamo dimenticarci. La protezione antivirus sui server deve essere assoluta e gli aggiornamenti di versione gestiti in modo più che stringente ma poi si aggiunge lo Zero-Day.
Creare un nuovo virus che non verrebbe rilevato è diventato talmente semplice e veloce, meno di 2 secondi, che ora il Cybercrime sta spingendo solo li. Questo ha introdotto la necessità di un nuovo prodotto in quella che possiamo definire la base della sicurezza, ovvero la Sandbox.
- Crash Software
Anche al di là di attacchi e infezioni qualcosa può sempre incepparsi, per un aggiornamento, un sovraccarico, un errore, un bug.
Molto spesso casi di questo tipo si risolvono con il riavvio della macchina, una manciata di minuti di attesa in molti casi possono essere tollerabili ma in alcuni no, se sono un esempio le macchine di controllo della produzione.
Salvaguardare un server ha lo scopo di salvaguardare il servizio fornito, che è il motivo della presenza stessa di quel server, a questo scopo invece parliamo di business continuity, sistemi paralleli sempre allineati in grado di attivarsi automaticamente se un servizio primario viene a mancare.
- Guasto hardware
Un servizio può venire a mancare anche a causa di un guasto hardware, evento che impatta poco nel costo del ripristino ma molto costoso per l’operatività aziendale, perché il rimedio è soggetto alle tempistiche necessarie per reperire le componenti di ricambio. In questo caso un sistema di business continuity col senno del poi sarebbe molto, molto apprezzato.
Ipotizzando di tollerare un evento di questo tipo è comunque necessario gestire preventivamente l’eventualità del guasto dei dischi, effettuando dei backup sia dei dati che dell’immagine di sistema. Così facendo possiamo ripristinare la macchina allo stato dell’immagine più recente e durante l’operazione avere comunque a disposizione i files che eventualmente possono servire agli utenti per lavorare.
Non sono temi nuovi ma di tanto in tanto è comunque utile fare un quadro della situazione, ripensare quello che stiamo facendo e su cosa siamo ancora scoperti, se non per adeguarci totalmente almeno per poter prevedere potenziali situazioni problematiche da gestire.
Invece per quanto riguarda il rischio della cifratura dei file ti consiglio questa guida, nella quale abbiamo spiegato passo a passo come fare per attivare e configurare lo “Screening dei file”, una funzionalità di Windows Server capace di negare ai Ransomware la scrittura dei file cifrati.