CIS Control 13: Monitoraggio e difesa della rete

La cybersecurity oggi sembra una corsa agli armamenti: le imprese implementano sempre più strumenti di sicurezza per cercare di difendere le loro reti contro attacchi sempre più frequenti e sofisticati. Ma semplicemente aumentare il numero di strumenti nel proprio arsenale non è una strategia di cybersecurity efficace. Piuttosto, ciò di cui le organizzazioni hanno bisogno è un framework che fornisca linee guida comprovate per la gestione sicura delle loro risorse digitali in modo che possano implementare strumenti e processi che proteggano effettivamente la loro attività, i clienti e i partner.

Il Center for Internet Security (CIS) fornisce proprio un tale quadro: i CIS Critical Security Controls. Implementare questi controlli può aiutarti a proteggere la tua infrastruttura, applicazioni software, servizi e dati, in modo efficace ed efficiente.

Il framework dei CIS Controls viene aggiornato periodicamente per far fronte alle minacce in evoluzione. In particolare, il mondo è cambiato drasticamente dalla pubblicazione della versione 7 nel 2019, grazie all'adozione diffusa del lavoro remoto e ibrido durante la pandemia. Di conseguenza, il CIS ha rilasciato la versione 8 nel 2021. Include un nuovo importante controllo, Network Monitoring and Defense, e ne elimina altri tre, tra cui Boundary Defense. Analizziamo questo cambiamento e cosa significa per la tua strategia di cybersecurity.

CIS Control 13: Monitoraggio e difesa della rete

C'era un tempo in cui una forte difesa perimetrale era la priorità principale in una strategia di cybersecurity. Oggi, tuttavia, il traffico fluisce da e verso una moltitudine di siti esterni al perimetro di rete tradizionale. Pertanto, è essenziale sapere quali dispositivi sono connessi alla tua rete in qualsiasi momento e monitorare continuamente i tentativi di accesso a dati sensibili e altre risorse di alto valore. L'obiettivo è identificare rapidamente schemi di traffico sospetti o eventi in modo da poter rilevare minacce prima che possano risultare in una data breach o interrompere le operazioni.

Il Controllo 13 nella versione 8 dei CIS Control cambia l'approccio strategico da una protezione 'perimetrale' dell'organizzazione verso un approccio 'a rete' per il monitoraggio e la difesa che si adatta ai processi moderni utilizzati nelle connessioni della catena di fornitura, ad esempio lo scambio di dati stabilito con essi.

Per aiutare le organizzazioni a raggiungere questo obiettivo, il CIS Control 13 raccomanda le seguenti 11 misure di salvaguardia:

1. Centralizzare l'allerta degli eventi di sicurezza

Il monitoraggio manuale delle minacce è insufficiente di fronte alle moderne metodologie di attacco. Ad esempio, il ransomware può criptare i dati alla velocità della macchina, e individuare attacchi informatici sofisticati comporta la correlazione di dati tra più sistemi. Fortunatamente, esistono strumenti avanzati che utilizzano l'automazione e l'intelligenza artificiale per analizzare rapidamente i dati attraverso reti ibride complesse. CIS Control 13 raccomanda l'uso di una soluzione SIEM per aggregare, correlare e analizzare i dati dei log degli eventi da più sistemi e allertare il personale giusto sulle minacce in tempo reale.

2. Distribuisci una soluzione di rilevamento delle intrusioni basata su host

Applicazione software che viene installata localmente sull'infrastruttura informatica che analizzerà. Il suo compito è rilevare, registrare e segnalare comportamenti sospetti, traffico maligno e violazioni delle politiche.

3. Implementa una soluzione di rilevamento delle intrusioni nella rete.

Una soluzione di rilevamento delle intrusioni di rete (NID) è un dispositivo di sicurezza che analizza il traffico di rete in entrata e in uscita per identificare anomalie, modelli di traffico sospetti e potenziali minacce ai pacchetti. Un NID può essere un componente con licenza all'interno di un dispositivo firewall di nuova generazione (NGFW), oppure può utilizzare sensori o agenti applicativi posizionati strategicamente in tutta la rete.

4. Eseguire il filtraggio del traffico tra segmenti di rete

Il filtraggio del traffico limita il flusso di traffico tra segmenti di rete in base a origine, destinazione o tipo di traffico. Ad esempio, tutte le macchine delle risorse umane possono essere segmentate dal resto dell'organizzazione per garantire che solo il traffico proveniente da utenti prescritti possa arrivare alle macchine delle risorse umane. È possibile utilizzare router o firewall per segmentare le aree; un router filtrerà utilizzando liste di controllo degli accessi (ACL) mentre un firewall utilizzerà politiche per filtrare.

5. Gestisci il controllo degli accessi per le risorse remote

L'accesso remoto dovrebbe essere concesso solo agli account utente che ne hanno assolutamente bisogno, in conformità con il principle of least privilege. Le politiche di accesso remoto dovrebbero anche essere allineate con eventuali normative industriali o governative richieste.

6. Raccogli i log del flusso di traffico di rete

I log del flusso del traffico di rete possono essere utilizzati per risolvere problemi di connettività e determinare se il flusso del traffico funziona come previsto. Vengono inoltre utilizzati per indagare sul traffico sospetto e l'accesso alle risorse in caso di un incidente di cybersecurity.

7. Implementa una soluzione di prevenzione delle intrusioni basata su host

Una soluzione di prevenzione delle intrusioni (IPS) è simile a un sistema di rilevamento delle intrusioni (IDS) nel senso che entrambi cercano traffico sospetto e codice maligno. Tuttavia, mentre un IDS analizza rigorosamente il traffico e emette un allarme, un IPS locale può attivamente prevenire che i pacchetti identificati accedano al dispositivo locale scartandoli.

8. Distribuisci una soluzione di prevenzione delle intrusioni di rete

Un IPS di rete risiede su un dispositivo di rete e bloccherà il traffico che considera una minaccia prima che possa entrare o uscire da un particolare segmento di rete.

9. Implementare il controllo dell'accesso a livello di porta

Il controllo dell'accesso a livello di porta utilizza protocolli 802.1x o simili per garantire che solo i dispositivi autorizzati possano connettersi alla rete. Ad esempio, può impedire a un visitatore di collegare un computer portatile alla rete tramite un cavo ethernet, costringendolo così ad utilizzare la rete wireless fornita. L'accesso può essere concesso utilizzando certificati, indirizzi MAC o autenticazione dell'utente.

10. Eseguire il filtraggio a livello di applicazione

Il filtraggio a livello di applicazione garantisce che gli utenti non possano comunicare utilizzando applicazioni che non sono conformi alle politiche aziendali. Ad esempio, alcune organizzazioni possono impedire agli utenti di utilizzare determinati social media, media in streaming o applicazioni proxy.

11. Regola le soglie di allerta degli eventi di sicurezza

Se il personale IT o di sicurezza è sommerso da allarmi, inizierà a ignorarli. Un modo per prevenire ciò è assegnare soglie ai vari tipi di eventi in modo che un allarme venga attivato solo quando una soglia è stata superata. Gli eventi possono essere automaticamente cancellati utilizzando le soglie.

Come Netwrix può aiutare

Netwrix offre soluzioni che possono aiutarti a implementare molte delle misure di sicurezza del CIS Control 13, in modo rapido ed efficace. Le soluzioni di sicurezza di Netwrix ti consentono di identificare e correggere le lacune nella tua postura di sicurezza, nonché di rilevare minacce nelle loro fasi iniziali e rispondere prontamente. In particolare, le nostre capacità di rilevamento delle minacce interne ti avvisano di comportamenti anomali in tutto il tuo ambiente in modo che tu possa difendere la tua rete sia contro gli insider malintenzionati sia contro gli attaccanti che prendono il controllo dei loro account.