Perché il monitoraggio dei dispositivi di rete è fondamentale per la sicurezza della rete

Un'infrastruttura di rete sicura è fondamentale per le organizzazioni e ciò richiede di tenere sotto stretto controllo ciò che accade con router, switch e altri network devices. È necessario essere in grado di rilevare e indagare rapidamente le minacce alla sicurezza del perimetro, come modifiche non autorizzate alle configurazioni, tentativi di accesso sospetti e minacce di scansione. Ad esempio, non riuscire a rilevare in modo tempestivo modifiche improprie alle configurazioni del tuo network device lascerà la tua rete suscettibile agli attacchi di intrusi che potrebbero penetrare nella tua rete e persino prenderne il controllo.

In questo post del blog, condivido i primi 4 problemi che l'audit dei dispositivi di rete può aiutare a risolvere e offro una procedura in 3 passaggi per iniziare efficacemente con l'audit dei tuoi dispositivi di rete.

I 4 problemi di sicurezza principali per i dispositivi di rete

Problema # 1: Dispositivi configurati in modo errato

Le modifiche improprie alla configurazione rappresentano una delle principali minacce associate ai dispositivi di rete. Un singolo cambiamento improprio può indebolire la sicurezza del perimetro, sollevare preoccupazioni durante le verifiche normative e persino causare costosi disservizi che possono fermare la tua attività. Ad esempio, un firewall configurato in modo errato può dare agli attaccanti un facile accesso alla tua rete, il che potrebbe portare a danni duraturi per la tua organizzazione.

L'audit dei dispositivi di rete combinato con le capacità di allerta ti fornirà l'intuizione e il controllo di cui hai bisogno. Abilitandoti a individuare rapidamente modifiche improprie alla configurazione e a comprendere chi ha cambiato cosa, l'audit favorisce una migliore responsabilità degli utenti e ti aiuta a rilevare potenziali incidenti di sicurezza prima che causino veri problemi.

Problema # 2: Accessi non autorizzati

La maggior parte dei tentativi di accesso a un dispositivo di rete sono azioni valide da parte degli amministratori di rete — ma alcuni non lo sono. L'incapacità di rilevare tempestivamente tentativi di accesso sospetti lascia la vostra organizzazione vulnerabile agli attaccanti che cercano di hackerare la vostra rete. Pertanto, è necessario essere allertati immediatamente su eventi insoliti, come un dispositivo che viene accesso da un amministratore durante una festività o al di fuori dell'orario lavorativo, tentativi di accesso falliti e la modifica dei diritti di accesso, così che il personale IT possa intervenire per prevenire un compromesso della sicurezza.

Having network device monitoring and alerting in place is also essential for compliance audits, so you can provide evidence that you keep a close watch on privileged users and their activities on your devices (e.g., who is logging in and how often).

Problema # 3: accessi VPN

Molte organizzazioni implementano l'accesso a reti private virtuali (VPN) per migliorare la sicurezza delle connessioni remote, ma non bisogna trascurare i numerosi rischi associati. La pratica dimostra che le VPN non sono sicure al 100% e ogni connessione VPN rappresenta un rischio. Idealmente, i diritti di accesso alle risorse di rete tramite VPN vengono concessi solo dopo le dovute approvazioni e gli utenti possono accedere solo a quelle risorse di cui hanno bisogno per svolgere il loro lavoro. Nella realtà, le connessioni VPN possono solitamente essere utilizzate da chiunque nell'organizzazione senza alcuna approvazione.

Pertanto, è necessario essere in grado di rilevare minacce, come un utente che si connette tramite Wi-Fi pubblico (poiché qualcuno potrebbe rubare le sue credenziali) e un utente che normalmente non lavora con VPN che improvvisamente inizia a utilizzarla (ciò può essere un segnale che un utente ha perso il suo dispositivo e qualcun altro sta cercando di accedere utilizzandolo). Monitorare attentamente i dispositivi di rete e tenere traccia di ogni tentativo di accesso VPN vi aiuterà a capire rapidamente chi ha provato ad accedere ai vostri dispositivi di rete, l'indirizzo IP da cui è stato effettuato ogni tentativo di autenticazione e la causa di ogni fallimento nell'accesso VPN.

Problema #4: Scansione delle minacce

La scansione di rete non è di per sé un processo ostile, ma gli hacker la utilizzano spesso per conoscere la struttura e il comportamento di una rete per eseguire attacchi sulla rete. Se non monitori i tuoi dispositivi di rete per le minacce di scansione, potresti non notare attività improprie fino a quando non si verifica una data breach e i tuoi dati sensibili vengono compromessi.

Il monitoraggio e l'allerta dei dispositivi di rete ti aiuteranno a difendere proattivamente la tua rete contro le minacce di scansione rispondendo a domande come quale host e subnet sono stati scansionati, da quale indirizzo IP è stata avviata la scansione e quante tentativi di scansione sono stati effettuati.

Studio di caso: Difetti di sicurezza nei dispositivi di rete D-Link lasciano gli utenti esposti ad attacchi

L'esperienza dimostra che molti incidenti di sicurezza iniziano con attacchi a dispositivi di rete. Pertanto, qualsiasi vulnerabilità in questi dispositivi rappresenta un rischio significativo per i sistemi e i dati di un'organizzazione. Un esempio è un importante difetto di sicurezza nei dispositivi D-Link scoperto nel 2016 da ricercatori della startup di sicurezza Senrio. Hanno riferito che un problema di stack overflow in una telecamera Wi-Fi, D-Link DCS-930L, permetteva loro di cambiare silenziosamente la password dell'amministratore per l'interfaccia di gestione basata sul web. Questa vulnerabilità avrebbe potuto essere sfruttata dagli aggressori per sovrascrivere le password degli amministratori e installare malware sui dispositivi. In risposta al rapporto, D-Link ha promesso di rilasciare un aggiornamento firmware per DCS-930L per correggere la vulnerabilità e ha iniziato a testare l'impatto del difetto sugli altri suoi modelli.

Questa non è stata l'ultima volta che D-Link non è riuscita a scoprire da sola gravi vulnerabilità nei suoi dispositivi. Nel 2018, un ricercatore dell'Università di Tecnologia della Slesia in Polonia reported che otto modelli di router D-Link della gamma per piccoli uffici/domestici “DWR” erano vulnerabili a una completa presa di controllo. Questa volta, D-link ha dichiarato che avrebbero provveduto alla patch solo per due degli otto dispositivi interessati; gli altri non saranno più supportati.

Iniziare con l'auditing dei dispositivi di rete

Tre passaggi fondamentali ti aiuteranno ad avviare un corretto monitoraggio dell'infrastruttura di rete. Queste sono raccomandazioni generali che dovrebbero essere adattate alle esigenze della tua organizzazione; devi conoscere bene il tuo ambiente IT e i processi aziendali per eseguire l'audit dei tuoi dispositivi di rete nel modo più efficace.

• Valutare regolarmente i rischi ed eseguire test di penetrazione.

È necessario comprendere la propria superficie di attacco e rilevare le vulnerabilità che potrebbero mettervi a rischio. Le valutazioni regolari del rischio possono essere molto utili in questo, ma, idealmente, si dovrebbe anche eseguire test di penetrazione regolari per identificare i difetti nei dispositivi di rete prima che gli hacker possano scoprirli e sfruttarli.

• Determina quali dispositivi devi sottoporre a revisione.

Non esiste un elenco definitivo di dispositivi di rete che è necessario verificare; dipenderà dalle specifiche della tua azienda, dal tuo settore e dalle dimensioni e dall'architettura della tua rete. Ti consiglio vivamente di monitorare i dispositivi responsabili per le risorse più critiche della tua organizzazione, così come tutti i dispositivi connessi a Internet.

• Determina la frequenza dell'audit.

Una delle domande comuni è quanto spesso è necessario eseguire l'audit dei dispositivi di rete. Nessuno standard di conformità definisce un lasso di tempo specifico per l'audit dei dispositivi di rete, e la pratica mostra che dipende dalla natura della tua attività e dalla complessità dell'infrastruttura di rete. Una linea guida comune è effettuare controlli mensili sullo stato generale dei dispositivi di rete e assicurarsi di ricevere allarmi immediati su attività sospette che potrebbero rappresentare una minaccia per l'ambiente di rete, come una modifica alla configurazione di un dispositivo.