Cyber security monitoring: 6 minacce digitali da tenere d’occhio
Il cyber security monitoring può essere di supporto al team di sicurezza IT nell’individuazione di minacce che si insidiano nella attività in rete. È possibile ricorrere a sistemi automatici di cyber security monitoring per avvisare l’utente quando riconosce una minaccia senza la necessità di una ricerca diretta.
Tuttavia, cosa deve cercare un sistema di monitoraggio? Quali minacce richiedono una vigilanza costante? E soprattutto, come riconoscere i segnali delle cyber minacce?
Ecco le 6 principali cyber minacce da tenere d’occhio!
-
Configurazione errata del cloud
L’errata configurazione del cloud utilizzato da un’azienda può essere una minaccia molto pericolosa. In questi casi, le configurazioni dello storage o del calcolo delle istanze del server cloud li rendono vulnerabili alle violazioni.
Un classico esempio: se un qualsiasi utente può accedere al bucket Amazon S3 di un altro utente, dal proprio browser, c’è un errore di configurazione. Sfortunatamente, questo problema rimane onnipresente tra le imprese in fase di migrazione del cloud. Il cyber security monitoring dovrebbe cercare qualsiasi segno di errata configurazione, sia sul cloud stesso che esaminando i suoi parametri di accesso.
-
Cyber security monitoring sugli accessi non autorizzati
Per prevenire gli accessi non autorizzati occorre dotarsi di un sistema SIEM (security information and event management, ndr) ed individuare, con l’aiuto di un esperto, la giusta modalità di gestione delle identità.
Il personale delle aziende gioca un ruolo fondamentale, per tanto va informato e responsabilizzato sul tema della gestione delle proprie credenziali di accesso a piattaforme e cloud aziendali. Infatti, non importa che tipo di protocolli di sicurezza siano attivi se un hacker ha credenziali rubate.
Se non si sta attenti agli accessi non autorizzati o ai furti di credenziali, gli hacker vincono sempre.
Inoltre, le credenziali rubate e l’accesso non autorizzato possono finire per creare danni duraturi e più devastanti a lungo termine. Potrebbero portare a furti di denaro o furti di proprietà intellettuale. Pertanto, il sistema di cyber security monitoring dovrebbe sempre riconoscere un accesso non autorizzato. In particolare, dovrebbe verificare se ci sono tentativi di accesso non riusciti, tempi o luoghi di richiesta di accesso inusuali e comportamenti insoliti al momento dell’accesso.
Leggi anche: I talloni d’Achille dei dispositivi IoT
-
API non sicure
Fondamentalmente, le API consentono il trasferimento automatico dei dati e l’utilizzo tra servizi diversi. In un ambiente cloud, le API aiutano con la digital scalability e l’efficienza su cloud e ambienti ibridi.
Tuttavia, le API possono risentire dello stesso problema affrontato dai bucket S3: le errate configurazioni. In particolare, un’API erroneamente configurata può determinare il trasferimento del traffico di dati verso aree di rete più vulnerabili, verso utenti non autorizzati o nelle mani degli hacker.
Pertanto, il sistema di cyber security monitoring dovrebbe individuare eventuali discrepanze nel risultato del traffico dati dalle API. Inoltre, dovrebbe cercare l’utente che modifica le regole di configurazione delle API; chiunque lo faccia senza permesso rappresenta una minaccia per la tua organizzazione.
-
Cyber security monitoring sulle azioni pericolose
Ovviamente, le attività degli utenti privilegiati dovrebbero ricevere un rigoroso monitoraggio. Nessuna eccezione. Eventuali discrepanze nei comportamenti o nelle richieste di accesso dovrebbero innescare i protocolli di sicurezza per garantire l’autenticità e le buone intenzioni degli utenti.
Gli account degli utenti privilegiati sono abilitati a compiere molte più azioni degli utenti “normali”. Possono intervenire direttamente nei processi aziendali, accedere a informazioni riservate e potenzialmente effettuare operazioni finanziarie. Immagina cosa potrebbe fare un hacker se riuscisse a rubare uno di questi profili.
Di conseguenza, un buon sistema di cyber security monitoring dovrebbe scovare eventuali tentativi di escalation di privilegi, modifiche ai ruoli e alterazioni dei diritti di accesso. Inoltre, il monitoraggio della sicurezza dovrebbe inviare degli avvisi se rileva la creazione di nuovi utenti, cancellazioni ripetute e modifiche alla configurazione.
In particolare, si noti come le modifiche alla configurazione del cloud e delle piattaforme continuano a riemergere come un segnale di avvertimento importante delle minacce.
-
Accesso ai file e condivisione
La condivisione dei file non si verifica solo tramite le API. Si verifica attraverso i processi aziendali quotidiani e, in aziende di grandi dimensioni, ci sono così tante persone che è complicato tenere traccia di tutti i movimenti di file.
Tuttavia, il sistema di cyber security monitoring deve e può farlo. Si immagini con quanta facilità un hacker può intervenire nei trasferimenti di dati e addirittura avere accesso a beni irrompendo nelle condivisioni di file.
Pertanto, il sistema di sicurezza dovrebbe monitorare eventuali ai criteri principali o minori dell’infrastruttura o dei componenti di rete. Inoltre, dovrebbe controllare le modifiche nell’accesso degli utenti ai file, ai file eliminati e alle eventuali modifiche alla configurazione.
Leggi anche: L’evoluzione del monitoraggio
-
Attori o malware dannosi
Gli attacchi basati sugli accessi non autorizzati continuano ad aumentare ed i malware tradizionali come il ransomware continuano ad essere molto in voga. Inoltre, le cyber minacce meno tradizionali come i malware senza file stanno godendo di un aumento di popolarità. Infine, anche i nuovi hacker usano ancora le tecniche “old school” per violare le reti aziendali.
Il sistema di cyber security monitoring dell’azienda deve tenere d’occhio i segni della presenza di malintenzionati e inviare avvisi immediati in caso di rilievo di eventi pericolosi. Sembra semplice. Eppure le cose più semplici spesso finiscono per essere trascurate.
