Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBuone pratiche
Migliori pratiche per la Data Security

Migliori pratiche per la Data Security

L'importanza della Data Security

Oggi, ogni organizzazione, indipendentemente dalle sue dimensioni, deve seguire le migliori pratiche di protezione dei dati per ridurre il rischio derivante da ransomware, phishing e altri attacchi informatici sempre più sofisticati. Inoltre, seguire le linee guida sulla sicurezza dei dati è essenziale per ottenere, mantenere e dimostrare la conformità con le severe leggi moderne sulla protezione dei dati come il GDPR e il CCPA.

Sfortunatamente, il 77% delle organizzazioni non è adeguatamente preparato per gli attacchi informatici, secondo una ricerca del Ponemon Institute. Questo include anche i giganti della tecnologia — nel 2022, gli hacker sono stati in grado di sfruttare una debolezza nella sicurezza del cloud di Microsoft, risultando in una grave violazione dei dati.

Preoccupato per la tua sicurezza? Questo white paper rivela le migliori pratiche di Data Security Posture Management da conoscere oggi per proteggere la tua organizzazione da violazioni e sanzioni relative alla conformità.

Le 14 migliori pratiche per la sicurezza dei dati

1. Comprendere le tecnologie dei dati e i database

Modelli di database

I primi sistemi di database collegavano gli utenti direttamente ai dati tramite applicazioni. In una rete privata, la sicurezza fisica era solitamente sufficiente a proteggere i dati.

Oggi, i database moderni consentono di visualizzare i dati in modi dinamici in base alle esigenze dell'utente o dell'amministratore. I modelli includono:

  • Modello a un livello (singolo livello) — In questo modello, il database e l'applicazione esistono su un unico sistema. Questo è comune nei sistemi desktop che eseguono un database autonomo. Anche le prime implementazioni Unix funzionavano in questo modo; ogni utente si collegava a un terminale e avviava un'applicazione dedicata che accedeva ai dati.
  • Modello a due livelli — In un modello a due livelli, la postazione cliente o il sistema esegue un'applicazione che comunica con un database in esecuzione su un server diverso. Questa è un'implementazione comune che funziona bene per molte applicazioni.
  • Modello a tre livelli — Comunemente utilizzato oggi, il modello a tre livelli isola l'utente finale dal database introducendo un server intermediario. Questo server accetta richieste dai client, le valuta e le invia a un server di database per l'elaborazione. Il server di database rispedisce i dati al server intermediario, che poi li invia al sistema del client. Il server intermediario può anche controllare l'accesso al database e fornire sicurezza aggiuntiva.

SQL vs NoSQL database

Il linguaggio più comunemente utilizzato per comunicare con i database è il Structured Query Language (SQL). SQL consente agli utenti di inviare query ai server di database in tempo reale. La maggior parte dei sistemi di gestione di database relazionali commerciali — inclusi Oracle, Microsoft SQL Server, MySQL e PostGres — utilizzano SQL. (Non confondere il linguaggio SQL con il prodotto per database di Microsoft SQL Server.)

Un database NoSQL non è un database relazionale e non utilizza SQL. Questi database sono meno comuni rispetto ai database relazionali, ma sono spesso utilizzati dove è importante la scalabilità.

Ecco alcune differenze chiave:

Caratteristica

Database NoSQL

Database SQL

Tipo di database

Non relazionale/distribuito

Relazionale

Tipo di schema

Dinamico

Predefinito

Archiviazione dei dati

I record sono memorizzati in un unico documento, spesso in formato XML

I record sono memorizzati come righe nelle tabelle

Benefici

Può gestire grandi volumi di dati strutturati, semi-strutturati e non strutturati

Ampio supporto e facile configurazione per dati strutturati

Modello di scalabilità tipico

Orizzontale (aggiungere più server)

Verticale (aggiorna il server)

Fornitori/implementazioni popolari

MongoDB, CouchDB

Oracle, Microsoft, MySQL

Suscettibile agli attacchi di SQL injection?

No, ma suscettibile a attacchi di tipo iniezione simili

Big Data

Alcune organizzazioni archiviano più dati di quanti ne possano entrare in un singolo server, quindi questi vengono memorizzati in una rete di area di memorizzazione (SAN). Una SAN è una rete separata che viene configurata per apparire come un server alla rete principale. Ad esempio, più server e dispositivi di memorizzazione di rete potrebbero essere configurati come una mini-rete progettata per immagazzinare solo diversi terabyte di dati. È collegata alla rete principale in modo che gli utenti possano accedere ai dati nella SAN in modo rapido e conveniente.

I SAN di solito hanno server ridondanti e sono connessi tramite connessioni in fibra ottica ad alta velocità o iSCSI su rame. Tuttavia, i Big Data possono raggiungere dimensioni tali per cui diventa difficile cercare, memorizzare, condividere, eseguire il backup e gestire.

Sistemi di file

I file system sono un altro modo per memorizzare dati non strutturati e controllare come vengono recuperati. Senza un file system, le informazioni su un supporto di memorizzazione sarebbero un unico grande blocco di dati senza indicazioni su dove finisce un pezzo di informazione e dove ne inizia un altro. Separare i dati in pezzi e dare a ciascun pezzo un nome rende le informazioni molto più facili da isolare e identificare.

I file system possono essere utilizzati su molti tipi di supporti, come SSD, nastri magnetici e dischi ottici. I tipi di file system dipendono dal sistema operativo utilizzato. Ad esempio, Linux utilizza file system come la famiglia ext, xfs e jfs; Windows OS utilizza fat, fat32 e ntfs; e MacOS utilizza apfs e hfs+.

2. Identificare e classificare i dati sensibili

Per proteggere efficacemente i tuoi dati, devi sapere esattamente quali tipi di dati possiedi. La tecnologia di data discovery esegue la scansione dei tuoi repository di dati e riporta i risultati. Da lì, puoi organizzare i dati in categorie utilizzando un processo di data classification. Un motore di data discovery utilizza solitamente espressioni regolari per le sue ricerche, consentendo maggiore flessibilità.

L'utilizzo della tecnologia di scoperta e classificazione dei dati aiuta a controllare se gli utenti possono accedere a dati critici e prevenirne l'archiviazione in luoghi non sicuri, riducendo il rischio di esposizione impropria dei dati e perdita di dati. Tutti i dati critici o sensibili dovrebbero essere chiaramente etichettati con una firma digitale che ne denota la classificazione, così da poterli proteggere in conformità con il loro valore per l'organizzazione. Strumenti di terze parti, come Netwrix Data Classification, possono rendere la scoperta e la classificazione dei dati più semplici e accurate.

I dati dovrebbero essere classificati in base alla loro sensibilità e valore. Ad esempio, i dati possono essere raggruppati nelle seguenti categorie:

  • Dati pubblici — Dati che non necessitano di protezione speciale e possono essere condivisi liberamente.
  • Dati privati — Dati a cui i dipendenti possono accedere ma che dovrebbero essere protetti dal grande pubblico.
  • Dati confidenziali — Informazioni che possono essere condivise solo con utenti selezionati, come informazioni proprietarie e segreti commerciali.
  • Dati riservati — Dati altamente sensibili, come registrazioni mediche e informazioni finanziarie che sono protetti da regolamenti.

Dovrebbero essere implementati dei controlli per impedire agli utenti di modificare impropriamente il livello di classificazione dei dati. In particolare, solo alcuni utenti selezionati dovrebbero essere in grado di declassare una classificazione, poiché ciò renderebbe i dati più ampiamente disponibili.

Segui queste linee guida per creare una solida politica di classificazione dei dati. E non dimenticare di eseguire la scoperta e la classificazione dei dati come parte del tuo processo di valutazione del rischio IT.

3. Crea una politica di utilizzo dei dati

Naturalmente, la classificazione dei dati da sola non è sufficiente; è necessario anche avere una politica che specifichi i tipi di accesso, le condizioni per l'accesso ai dati basate sulla classificazione, chi ha accesso ai dati, cosa costituisce un uso corretto dei dati, e così via. Non dimenticare che tutte le violazioni della politica dovrebbero avere conseguenze chiare.

4. Implementare i controlli di accesso

È necessario applicare anche i controlli di accesso appropriati per limitare l'accesso ai tuoi dati, inclusa la richiesta di autenticazione per accedere a qualsiasi dato che non sia pubblico. I diritti di accesso dovrebbero seguire il principio del privilegio minimo: Ogni utente riceve solo i privilegi essenziali per svolgere le proprie responsabilità assegnate.

I controlli di accesso possono essere fisici, tecnici o amministrativi:

Controlli amministrativi

I controlli di accesso amministrativo sono procedure e politiche che tutti i dipendenti devono seguire. Una politica di sicurezza può elencare azioni che sono considerate accettabili, il livello di rischio che l'azienda è disposta a intraprendere, le penalità in caso di violazione, ecc. La politica è normalmente creata da un esperto che comprende gli obiettivi dell'azienda e le normative di conformità applicabili. Componenti importanti dei controlli amministrativi includono:

  • Struttura di supervisione —Quasi tutte le organizzazioni rendono i manager responsabili delle attività del loro personale: se un dipendente viola un controllo amministrativo, anche il supervisore sarà ritenuto responsabile.
  • Formazione — Tutti gli utenti dovrebbero essere istruiti sulle politiche di utilizzo dei dati dell'azienda e sapere che l'azienda le farà rispettare attivamente. Inoltre, gli utenti dovrebbero essere periodicamente rieducati e testati per rafforzare e verificare la loro comprensione. Gli utenti devono anche essere informati sul loro livello di accesso ai dati e sulle eventuali responsabilità pertinenti.
  • Procedura di cessazione del rapporto di lavoro — Per proteggere i sistemi e i dati, è fondamentale che i dipendenti in partenza perdano l'accesso all'infrastruttura IT. Collaborate con l'HR per sviluppare una procedura efficace di cessazione dell'utente che segua queste best practice di terminazione dell'utente.

Controlli tecnici

Archiviazione dei dati

Nella maggior parte dei casi, agli utenti non dovrebbe essere permesso di copiare o memorizzare dati sensibili localmente. Invece, dovrebbero essere obbligati a manipolare i dati a distanza. La cache sia del client che del server dovrebbe essere completamente pulita dopo che un utente si disconnette o una sessione scade; in caso contrario, dovrebbero essere utilizzati dischi RAM criptati. I dati sensibili non dovrebbero mai essere memorizzati su un sistema portatile di alcun tipo. Tutti i sistemi dovrebbero richiedere un accesso e includere condizioni per bloccare il sistema nel caso in cui venga utilizzato in modo sospetto.

Permessi

Le autorizzazioni utente dovrebbero essere concesse in stretta conformità con il principio del privilegio minimo necessario. Ecco i permessi di base dei file nei sistemi operativi Microsoft:

  • Controllo completo — L'utente può leggere, eseguire, modificare ed eliminare file; assegnare permessi; e prendere possesso.
  • Modifica — L'utente può leggere, scrivere ed eliminare il file.
  • Leggere ed Eseguire — L'utente può leggere ed eseguire il file eseguibile.
  • Leggere — L'utente può leggere il file, ma non modificarlo.
  • Scrivi — L'utente può leggere e modificare il file, ma non eliminarlo.

Le cartelle hanno gli stessi permessi, più il permesso di list folder contents, che consente all'utente di vedere cosa c'è nella cartella ma non di leggere i file.

Liste di controllo degli accessi

Una lista di controllo degli accessi (ACL) è un elenco di chi può accedere a quale risorsa e a quale livello. Può essere una parte interna di un sistema operativo o di un'applicazione. Ad esempio, un'applicazione personalizzata potrebbe includere un'ACL che elenca quali utenti hanno quali permessi in quel sistema.

Le ACL possono essere basate su whitelist o blacklist. Una whitelist è un elenco di elementi consentiti, come un elenco di siti web che gli utenti possono visitare utilizzando i computer aziendali, o un elenco di software di terze parti che è autorizzato ad essere installato sui computer aziendali. Una blacklist è un elenco di cose che sono proibite, come siti web specifici che i dipendenti non sono autorizzati a visitare o software che è vietato installare sui computer dei clienti. 

Nella gestione dei file, le ACL della whitelist sono più comuni. Sono configurate a livello del file system. Ad esempio, in Microsoft Windows, puoi configurare i permessi NTFS e creare liste di controllo degli accessi NTFS da questi. Puoi trovare maggiori informazioni su come configurare correttamente i permessi NTFS in questo elenco di NTFS permissions management best practices. Ricorda che i controlli di accesso dovrebbero essere implementati in ogni applicazione che ha il controllo degli accessi basato sui ruoli (RBAC), come i Active Directory groups e la delegation.

Dispositivi e metodi di sicurezza

Alcuni dispositivi e sistemi ti aiutano a limitare ulteriormente l'accesso ai dati. Ecco i più comunemente implementati:

  • Prevenzione della perdita di dati (DLP) — Questi sistemi monitorano workstation, server e reti per assicurarsi che i dati sensibili non vengano eliminati, rimossi, spostati o copiati. Monitorano anche chi sta utilizzando e trasmettendo i dati per individuare usi non autorizzati.
  • Firewall — Un firewall isola una rete dall'altra. I firewall possono essere sistemi autonomi o possono essere inclusi in altri dispositivi infrastrutturali come router o server. Le soluzioni firewall sono disponibili sia come hardware che come software. I firewall escludono il traffico indesiderato dall'entrare nella rete dell'organizzazione, il che aiuta a prevenire che malware o hacker facciano trapelare dati a server di terze parti non autorizzati. A seconda della politica firewall dell'organizzazione, il firewall potrebbe vietare completamente alcuni o tutti i traffici, oppure potrebbe permettere alcuni o tutti i traffici solo dopo una verifica.
  • Controllo dell'accesso alla rete (NAC) — Il NAC implica la restrizione della disponibilità delle risorse di rete ai dispositivi endpoint che rispettano la tua politica di sicurezza. Il NAC può impedire a dispositivi non autorizzati di accedere direttamente ai tuoi dati dalla tua rete. Alcune soluzioni NAC possono automaticamente correggere un nodo non conforme per assicurarsi che sia sicuro prima di consentire l'accesso. Il NAC è più utile quando l'ambiente utente è abbastanza statico e può essere rigidamente controllato, come nelle imprese e nelle agenzie governative. Può essere meno pratico in ambienti con un insieme diversificato di utenti e dispositivi che cambiano frequentemente.
  • Server proxy — Questi dispositivi agiscono come intermediari quando il software client richiede risorse da altri server. In questo processo, un client si connette al server proxy, chiedendo un certo servizio (ad esempio, un sito web). Il server proxy valuta la richiesta e poi la consente o la nega. I server proxy sono solitamente utilizzati per il filtraggio del traffico e il miglioramento delle prestazioni. I dispositivi proxy possono limitare l'accesso ai tuoi dati sensibili da internet.

Controlli fisici

Anche se la sicurezza fisica è spesso trascurata nelle discussioni sulla sicurezza dei dati, non implementarla potrebbe portare al compromesso totale dei tuoi dati o addirittura della tua rete. Ogni postazione di lavoro dovrebbe essere bloccata in modo che non possa essere rimossa dall'area. Anche il case di ogni computer dovrebbe essere bloccato in modo che i dischi rigidi o altri componenti di archiviazione non possano essere rimossi e compromessi. È anche una buona prassi implementare una password del BIOS per impedire agli attaccanti di avviare altri sistemi operativi utilizzando supporti rimovibili.

Sicurezza di laptop e dispositivi mobili

Se un laptop aziendale viene perso o rubato, parti malevole potrebbero essere in grado di accedere ai dati sul suo disco rigido. Pertanto, si dovrebbe utilizzare la crittografia completa del disco su ogni laptop utilizzato da un'organizzazione. Inoltre, evitare di utilizzare hotspot Wi-Fi pubblici senza prima utilizzare un canale di comunicazione sicuro come una VPN o SSH. Le credenziali degli account possono essere facilmente dirottate attraverso attacchi wireless e possono portare al compromesso di intere reti.

I dispositivi mobili possono trasportare virus o altri malware all'interno della rete di un'organizzazione ed estrarre dati sensibili dai vostri server. A causa di queste minacce, i dispositivi mobili devono essere controllati con particolare rigore. I dispositivi che sono autorizzati a connettersi dovrebbero essere analizzati alla ricerca di virus e i dispositivi rimovibili dovrebbero essere criptati.

È importante concentrare le tue politiche di sicurezza sui dati, non sul tipo di dispositivo su cui sono memorizzati. Gli smartphone spesso contengono informazioni sensibili, ma di solito sono meno protetti dei laptop, anche quando contengono le stesse informazioni. Tutti i dispositivi mobili che possono accedere a dati sensibili dovrebbero richiedere password altrettanto complesse e utilizzare gli stessi controlli di accesso e software di protezione.

Gli smartphone dotati di una fotocamera e microfono di alta qualità sono un'altra fonte comune di perdite di dati. È molto difficile proteggere i tuoi documenti dagli insider con questi dispositivi mobili, o rilevare una persona che scatta una foto a un monitor o una lavagna con dati sensibili. Tuttavia, dovresti comunque avere una politica che vieti l'uso della fotocamera all'interno dell'edificio.

Segregazione di rete

La segmentazione della rete comporta la suddivisione di una rete in zone funzionali. Ogni zona può essere assegnata a diverse regole di Netwrix Data Classification, impostate su un adeguato livello di sicurezza e monitorate di conseguenza.

La segmentazione limita il danno potenziale di un incidente di sicurezza a una singola zona. Essenzialmente, divide un obiettivo in molti, lasciando agli aggressori due scelte: trattare ogni segmento come una rete separata, oppure comprometterne uno e tentare di superare la divisione. Nessuna delle due opzioni è allettante. Trattare ogni segmento come una rete separata crea molto lavoro aggiuntivo, poiché l'attaccante deve compromettere ogni segmento individualmente; questo approccio aumenta anche notevolmente l'esposizione dell'attaccante alla scoperta. Tentare di passare da una zona compromessa ad altre zone è altrettanto difficile, perché se i segmenti sono progettati efficacemente, il traffico di rete tra di essi può essere limitato. Sebbene ci siano sempre eccezioni — come la comunicazione con i server di dominio per la gestione centralizzata degli account — questo traffico limitato è più facile da identificare.

Videosorveglianza

Tutte le strutture critiche della vostra azienda dovrebbero essere monitorate tramite telecamere con sensori di movimento e visione notturna. Questo è essenziale per individuare gli intrusi non autorizzati che tentano di accedere direttamente ai vostri server di file, archivi o backup, e per notare chiunque possa scattare foto di dati sensibili in aree riservate.

Blocco e riciclaggio

L'area del tuo spazio di lavoro e qualsiasi attrezzatura presente dovrebbero essere messe in sicurezza prima di lasciarle incustodite. Ad esempio, controlla porte, cassetti della scrivania e finestre, e non lasciare documenti sulla tua scrivania. Tutte le copie cartacee di dati sensibili dovrebbero essere chiuse a chiave, poi distrutte quando non sono più necessarie. Inoltre, non condividere o duplicare chiavi di accesso, tessere ID, codici di serratura o altri dispositivi di accesso.

Prima di scartare o riciclare un disco rigido, cancellare completamente tutte le informazioni da esso e assicurarsi che i dati non possano più essere recuperati. I vecchi dischi rigidi e altri dispositivi IT che contenevano informazioni critiche dovrebbero essere distrutti fisicamente; assegnare un ingegnere IT specifico per gestire personalmente questo processo.

5. Implementare la gestione dei cambiamenti e l'audit dei database

Un'altra misura di sicurezza importante consiste nel tracciare tutte le attività dei database e dei file server al fine di individuare accessi e modifiche alle informazioni sensibili e ai permessi associati. L'attività di accesso dovrebbe essere mantenuta per almeno un anno per gli audit di sicurezza. Qualsiasi account che superi il numero massimo di tentativi di accesso falliti dovrebbe automaticamente essere segnalato all'amministratore della sicurezza delle informazioni per un'indagine.

Utilizzare informazioni storiche per comprendere quali dati sono sensibili, come vengono utilizzati, chi li sta utilizzando e dove aiuta a costruire politiche accurate ed efficaci e ad anticipare come i cambiamenti nel proprio ambiente possano impattare sulla sicurezza. Questo processo può anche aiutare a identificare rischi precedentemente sconosciuti. Esistono strumenti di terze parti che semplificano la gestione dei cambiamenti e l'audit dell'attività degli utenti, come Netwrix Auditor.

6. Utilizzare la crittografia dei dati

La crittografia è una delle pratiche migliori più fondamentali per la sicurezza dei dati. Tutti i dati aziendali critici dovrebbero essere criptati sia quando sono inattivi che in transito, sia che si trovino su dispositivi portatili o durante il trasferimento sulla rete. I sistemi portatili dovrebbero utilizzare soluzioni di disco criptato se devono memorizzare dati importanti di qualsiasi tipo. Criptare i dischi rigidi dei sistemi desktop che contengono informazioni critiche o proprietarie aiuterà a proteggere le informazioni essenziali anche nel caso in cui i dispositivi fisici vengano rubati.

Encrypting File System (EFS)

Il modo più elementare per cifrare i dati sui tuoi sistemi Windows è la tecnologia Encrypting File System (EFS). Se utilizzi EFS per proteggere i dati, gli utenti non autorizzati non possono visualizzare il contenuto di un file anche se hanno pieno accesso al dispositivo. Quando un utente autorizzato apre un file cifrato, EFS decifra il file in background e fornisce una copia non cifrata all'applicazione. Gli utenti autorizzati possono visualizzare o modificare il file, e EFS salva le modifiche in modo trasparente come dati cifrati. Se gli utenti non autorizzati tentano di fare lo stesso, ricevono un errore di “accesso negato”.

Un altro strumento di crittografia di Microsoft è BitLocker. BitLocker integra EFS fornendo un ulteriore livello di protezione per i dati memorizzati sui dispositivi Windows. BitLocker protegge i dispositivi che vengono persi o rubati dal furto o dalla divulgazione dei dati e offre uno smaltimento sicuro dei dati quando si dismette un dispositivo.

Crittografia basata su hardware

La crittografia basata su hardware può essere applicata in aggiunta a quella basata su software. Nelle impostazioni di configurazione avanzate presenti in alcuni menu di configurazione del BIOS, è possibile scegliere di abilitare o disabilitare un Trusted Platform Module (TPM). Un TPM è un chip che può essere installato su una scheda madre e può memorizzare chiavi crittografiche, password o certificati. Un TPM può essere utilizzato per assistere nella generazione di chiavi hash e per proteggere smartphone e dispositivi diversi dai PC. Può anche essere utilizzato per generare valori per la crittografia di interi dischi, come BitLocker.

7. Eseguire il backup dei propri dati

Gli asset aziendali critici dovrebbero essere duplicati per fornire ridondanza e fungere da backup. Al livello più elementare, la tolleranza ai guasti di un server richiede un backup dei dati. I backup sono l'archiviazione periodica dei dati in modo che tu possa recuperarli in caso di guasto del server. Da un punto di vista della sicurezza, esistono tre tipi principali di backup:

  • Completo — Tutti i dati vengono archiviati. Eseguire un backup completo è molto dispendioso in termini di tempo e risorse, e avrà un impatto significativo sulle prestazioni del server.
  • Differenziale — Tutte le modifiche dall'ultimo backup completo vengono archiviate. Non avranno un impatto significativo come i backup completi, ma rallenteranno comunque la tua rete.
  • Incrementale — Tutte le modifiche dall'ultimo backup di qualsiasi tipo vengono archiviate.

Normalmente, le organizzazioni utilizzano una combinazione di questi tipi di backup. Ad esempio, si potrebbe effettuare un backup completo ogni giorno a mezzanotte e un backup differenziale o incrementale ogni due ore dopo. Se il sistema si blocca poco dopo mezzanotte, è possibile ripristinare dall'ultimo backup completo; se si blocca più tardi nel corso della giornata, è necessario utilizzare una combinazione di backup.

Qualunque strategia di backup tu scelga, devi testarla periodicamente ripristinando i dati di backup su una macchina di test. Un'altra pratica migliore fondamentale è conservare i tuoi backup in diverse località geografiche per garantire che tu possa riprenderti da disastri come uragani, incendi o guasti ai dischi rigidi.

8. Utilizza RAID sui tuoi server

Uno strumento fondamentale per la tolleranza ai guasti, RAID è un array ridondante di dischi indipendenti che consente ai tuoi server di avere più di un disco rigido, garantendo il funzionamento del sistema anche se il disco rigido principale dovesse guastarsi. I livelli RAID principali sono descritti qui:

  • RAID 0 (dischi striping) — I dati sono distribuiti su più dischi in modo da migliorare la velocità (prestazioni di lettura/scrittura), ma non offrono alcuna tolleranza agli errori. Sono necessari almeno due dischi.
  • RAID 1 — Questo livello RAID introduce tolleranza ai guasti attraverso il mirroring: Per ogni disco necessario per le operazioni, esiste un disco speculare identico. Ciò richiede un minimo di due dischi e assegna il 50 percento della capacità totale per i dati e l'altro 50 percento per gli specchi. Quando si utilizza RAID 1, il sistema continua a funzionare sull'unità di backup anche se l'unità primaria fallisce. È possibile aggiungere un altro controller al RAID 1, che viene chiamato “duplexing”.
  • RAID 3 o 4 (dischi striati con parità dedicata) — I dati sono distribuiti su tre o più dischi. Un disco dedicato viene utilizzato per memorizzare le informazioni di parità per ridurre la capacità di archiviazione dell'array di un disco. Di conseguenza, se un disco si guasta, i suoi dati vengono persi solo parzialmente. I dati sugli altri dischi, insieme alle informazioni di parità, consentono di recuperare i dati.
  • RAID 5 (dischi striati con parità distribuita) — Questo livello RAID combina tre o più dischi in modo da proteggere i dati contro la perdita di qualsiasi disco. È simile al RAID 3, ma la parità è distribuita sull'array di dischi. In questo modo, non è necessario allocare un intero disco per lo stoccaggio dei bit di parità.
  • RAID 6 (dischi striati con doppia parità) — Questo livello RAID combina quattro o più dischi aggiungendo un blocco di parità aggiuntivo a RAID 5, proteggendo i dati anche in caso di perdita di qualsiasi due dischi. Ogni blocco di parità è distribuito sull'array di dischi in modo che la parità non sia dedicata a nessun disco specifico.
  • RAID 1+0 (o 10) — Questo livello RAID è un insieme di dati specchiati (RAID 1) che poi viene striato (RAID 0), da qui il nome “1+0”. Pensalo come una “striscia di specchi”. Un array RAID 1+0 richiede un minimo di quattro dischi: due dischi specchiati per contenere metà dei dati striati, più altri due dischi specchiati per l'altra metà dei dati.
  • RAID 0+1 — Questo livello RAID è l'opposto di RAID 1+0. Qui, le strisce sono specchiate. Un array RAID 0+1 richiede un minimo di quattro dischi: due dischi specchiati per replicare i dati sull'array RAID 0.

9. Utilizzare il clustering e il bilanciamento del carico.

RAID svolge un ottimo lavoro nella protezione dei dati sui sistemi, che poi puoi proteggere ulteriormente con backup regolari. Ma a volte è necessario andare oltre i singoli sistemi. Collegare più computer per lavorare insieme come un unico server è noto come “clustering”. I sistemi clusterizzati utilizzano l'elaborazione parallela, che migliora le prestazioni e la disponibilità, e aggiunge ridondanza (così come i costi).

Anche i sistemi possono raggiungere un'elevata disponibilità attraverso il bilanciamento del carico. Questo consente di distribuire il carico di lavoro su più computer — spesso server che rispondono a richieste HTTP (spesso chiamati server farm), che possono trovarsi o meno nella stessa posizione geografica. Se si suddividono le posizioni, diventano un “sito specchio”. Quella copia speculare può aiutare a prevenire tempi di inattività e aggiungere ridondanza geografica per consentire risposte più rapide alle richieste.

10. Rafforza i tuoi sistemi

Qualsiasi tecnologia che possa memorizzare dati sensibili, anche temporaneamente, dovrebbe essere adeguatamente protetta in base al tipo di informazioni a cui quel sistema potrebbe potenzialmente accedere. Ciò include tutti i sistemi esterni che potrebbero accedere in remoto alla tua rete interna con privilegi significativi. Tuttavia, l'usabilità deve ancora essere presa in considerazione, con funzionalità e sicurezza adeguatamente determinate e bilanciate.

Baseline del sistema operativo

Il primo passo per proteggere i tuoi sistemi è assicurarsi che il sistema operativo sia configurato per essere il più sicuro possibile. Di base, la maggior parte dei sistemi operativi esegue servizi non necessari che offrono agli aggressori ulteriori vie per compromettere il tuo sistema. Gli unici programmi e servizi in ascolto che dovrebbero essere abilitati sono quelli essenziali affinché i tuoi dipendenti possano svolgere il loro lavoro. Se qualcosa non ha uno scopo aziendale, dovrebbe essere disabilitato. Potrebbe anche essere utile creare un'immagine OS di base sicura per i dipendenti tipici. Se qualcuno necessita di funzionalità aggiuntive, quei servizi o programmi possono essere abilitati su base caso per caso.

I sistemi operativi Windows e Linux hanno ciascuno le loro uniche configurazioni di hardening.

Windows

Windows è di gran lunga il sistema operativo più popolare sia per i consumatori che per le aziende. Ma proprio per questo, è anche il sistema operativo più preso di mira, con nuove vulnerabilità annunciate quasi ogni settimana. Esistono diverse versioni di Windows utilizzate nelle organizzazioni, quindi alcune configurazioni menzionate qui potrebbero non essere applicabili a tutte. Ecco alcune procedure che dovrebbero essere eseguite per migliorare la sicurezza:

  • Disabilita l'autenticazione LanMan.
  • Assicurati che tutti gli account abbiano una password, indipendentemente dal fatto che l'account sia abilitato o disabilitato.
  • Disabilita o limita i permessi sulle condivisioni di rete.
  • Rimuovi tutti i servizi non necessari, specialmente i protocolli in chiaro telnet e ftp.
  • Abilita la registrazione per gli eventi importanti del sistema.

Puoi trovare altre migliori pratiche per il rafforzamento di Windows in questa Windows Server hardening checklist.

Linux

Il sistema operativo Linux è diventato più popolare negli ultimi anni. Anche se alcuni sostengono che sia più sicuro di Windows, ci sono ancora alcune cose che devono essere fatte per rafforzarlo correttamente:

  • Disabilita i servizi e le porte non necessari.
  • Disabilita l'autenticazione di fiducia utilizzata dai “comandi r”.
  • Disabilita i programmi setuid e setgid non necessari.
  • Riconfigura gli account utente solo per gli utenti necessari.

Server web

Grazie alla loro ampia rete di connessioni, i server web sono un'area prediletta dagli aggressori per essere sfruttata. Se un aggressore ottiene l'accesso a un server web popolare e sfrutta una vulnerabilità, può raggiungere migliaia (se non centinaia di migliaia) di visitatori del sito e i loro dati. Attaccando un server web, un aggressore può influenzare tutte le connessioni dai browser web degli utenti e arrecare danni ben oltre la singola macchina compromessa.

I server web erano originariamente semplici nella progettazione, utilizzati principalmente per fornire contenuti di testo HTML e grafici. I moderni server web, invece, consentono l'accesso a database, funzionalità di chat, media in streaming e molti altri servizi. Ma ogni servizio e capacità supportato su un sito web è un potenziale bersaglio. Assicurati che siano mantenuti aggiornati agli ultimi standard software. Devi anche assicurarti di dare agli utenti solo i permessi necessari per portare a termine i loro compiti. Se gli utenti accedono al tuo server tramite account anonimi, allora devi assicurarti che abbiano i permessi necessari per visualizzare le pagine web e nient'altro.

Due aree di particolare interesse per i server web sono i filtri e il controllo dell'accesso agli script eseguibili:

  • I filtri ti permettono di limitare il traffico consentito. Limitare il traffico solo a ciò che è necessario per la tua attività può aiutare a prevenire attacchi. I filtri possono anche essere applicati alla tua rete per impedire agli utenti di accedere a siti inappropriati o non legati al lavoro. Questo non solo aumenta la produttività, ma riduce anche la probabilità che gli utenti scarichino un virus da un sito discutibile.
  • Gli script eseguibili, come quelli scritti in PHP, Python, varie versioni di Java e script Common Gateway Interface (CGI), spesso vengono eseguiti con livelli di permesso elevati. Nella maggior parte dei casi, ciò non rappresenta un problema perché l'utente ritorna al suo livello di permesso regolare dopo l'esecuzione dello script. I problemi sorgono, tuttavia, se l'utente riesce a uscire dallo script mentre si trova al livello elevato. Per gli amministratori, il miglior corso d'azione è verificare che tutti gli script sul proprio server siano stati accuratamente testati, corretti e approvati per l'uso.

Server di posta elettronica

I server di posta elettronica costituiscono la colonna vertebrale delle comunicazioni per molte aziende. Tipicamente, funzionano come un servizio aggiuntivo su un server o come sistemi dedicati. Aggiungere uno scanner antivirus attivo ai server di posta elettronica può ridurre il numero di virus introdotti nella tua rete e prevenire la diffusione di virus tramite il tuo server di posta elettronica. È importante notare, tuttavia, che la maggior parte degli scanner non può leggere i file aperti di Microsoft; per analizzare i magazzini di posta di Exchange, hai bisogno di uno scanner AV specifico per le email, alcuni dei quali possono persino rilevare il phishing e altri attacchi di ingegneria sociale tramite l'apprendimento automatico.

I server di posta elettronica sono comunemente sommersi da sistemi automatizzati che tentano di utilizzarli per inviare spam. Sebbene la maggior parte dei server di posta elettronica abbia implementato misure contro queste minacce, esse stanno diventando sempre più sofisticate. Potresti essere in grado di ridurre questi tentativi di accesso al tuo sistema inserendo gli indirizzi TCP/IP degli attaccanti nella lista di negazione ACL del tuo router. Facendo ciò, il tuo router ignorerà le richieste di connessione da questi indirizzi IP, migliorando efficacemente la tua sicurezza. Puoi anche impostare questa politica con i filtri antispam.

Server FTP

I server File Transfer Protocol (FTP) non sono destinati ad applicazioni ad alta sicurezza a causa delle loro intrinseche debolezze. Sebbene la maggior parte dei server FTP ti permetta di creare aree di file su qualsiasi unità di sistema, è molto più sicuro creare un'unità separata o una sottodirectory per i trasferimenti di file. Se possibile, utilizza connessioni di rete privata virtuale (VPN) o Secure Shell (SSH) per attività relative a FTP. FTP è notoriamente insicuro e sfruttabile; molti sistemi FTP inviano informazioni di account e password attraverso la rete non criptate.

Per garantire la massima sicurezza operativa, utilizzare account e password di accesso separati per l'FTP. Ciò impedirà la divulgazione degli account di sistema a persone non autorizzate. Inoltre, eseguire regolarmente la scansione di tutti i file sui server FTP alla ricerca di virus.

Per rendere l'FTP più facile da usare, la maggior parte dei server consente l'accesso anonimo come impostazione predefinita. Tuttavia, questi account anonimi dovrebbero sempre essere disabilitati. Da un punto di vista della sicurezza, l'ultima cosa che si desidera è permettere agli utenti anonimi di copiare file da e verso i propri server. Una volta disabilitato l'accesso anonimo, il sistema richiederà che l'utente sia un utente conosciuto e autenticato per poterlo accedere.

Ma il modo migliore per proteggere un server FTP è sostituirlo completamente. La stessa funzionalità può essere trovata in servizi più sicuri come il Secure File Transfer Protocol (SFTP).

11. Implementare una corretta strategia di gestione delle patch

È necessario avere una strategia di patching sia per i sistemi operativi che per le applicazioni. Può essere noioso assicurarsi che tutte le versioni delle applicazioni dell'ambiente IT siano aggiornate, ma è essenziale per la protezione dei dati. Uno dei migliori modi per garantire la sicurezza è abilitare gli aggiornamenti automatici dell'antivirus e del sistema. Per le infrastrutture critiche, le patch devono essere testate accuratamente per assicurarsi che non influenzino la funzionalità e non introducano vulnerabilità.

Gestione delle patch del sistema operativo

Ci sono tre tipi di patch per sistemi operativi, ognuna con un diverso livello di urgenza:

  • Hotfix — Un hotfix è una correzione immediata e urgente. Generalmente, questi rappresentano problemi di sicurezza gravi e non sono opzionali.
  • Patch — Una patch fornisce alcune funzionalità aggiuntive o una correzione non urgente. Queste sono a volte opzionali.
  • Pacchetto di servizio — Un pacchetto di servizio è l'insieme completo degli aggiornamenti e delle patch fino alla data attuale. Questi dovrebbero essere sempre applicati.

Testate tutti gli aggiornamenti prima di applicarli in produzione per essere sicuri che l'aggiornamento non causi problemi.

Gestione delle patch delle applicazioni

È inoltre necessario aggiornare e applicare regolarmente le patch alle applicazioni. Una volta scoperta una vulnerabilità in un'applicazione, un attaccante può sfruttarla per accedere o danneggiare un sistema. La maggior parte dei fornitori pubblica patch regolarmente e si dovrebbe controllare routinariamente la disponibilità di nuove. Molti attacchi oggi prendono di mira i sistemi client per il semplice motivo che i clienti non gestiscono sempre efficacemente l'applicazione delle patch. Stabilire giorni di manutenzione dedicati alla patching e al test di tutte le applicazioni critiche.

12. Proteggi i tuoi dati dalle minacce interne

Sebbene le organizzazioni continuino a spendere una quantità eccezionale di tempo e denaro per proteggere le loro reti dagli attacchi esterni, le minacce interne sono una causa principale di esposizione dei dati. Un sondaggio di Netwrix ha rilevato che gli incidenti interni rappresentano più del 60 percento di tutti gli attacchi; tuttavia, molti attacchi interni non vengono segnalati per paura di perdite aziendali e danni alla reputazione dell'azienda.

Le minacce interne si presentano in due forme. Una minaccia interna autorizzata è qualcuno che abusa dei propri diritti e privilegi, sia accidentalmente, intenzionalmente o perché le proprie credenziali sono state rubate. Un insider non autorizzato è qualcuno che si è connesso alla rete superando le difese esterne. Potrebbe trattarsi di qualcuno che si è collegato a una presa nella hall o in una sala conferenze, o di qualcuno che accede a una rete wireless non protetta collegata alla rete interna. Gli attacchi interni possono portare a perdita di dati o a interruzioni di servizio, quindi è altrettanto importante monitorare l'attività nella propria rete quanto l'attività al perimetro.

Insider che utilizzano l'accesso remoto

Con gli utenti che lavorano sempre più da casa, l'accesso remoto alle reti aziendali sta diventando altrettanto comune, quindi è fondamentale proteggere anche le connessioni remote. Processi di autenticazione robusti sono essenziali quando ci si connette da remoto. È anche importante che i dispositivi utilizzati per l'accesso remoto alla rete siano adeguatamente protetti. Inoltre, le sessioni remote dovrebbero essere correttamente registrate, o addirittura videoregistrate.

13. Utilizzare sistemi di Endpoint Security per proteggere i propri dati

I terminali della rete sono sotto attacco costante, quindi l'infrastruttura di sicurezza dei terminali è fondamentale per proteggere contro violazioni dei dati, programmi non autorizzati e malware avanzati come i rootkit. Con l'uso crescente di dispositivi mobili, i terminali di rete si stanno espandendo e diventando sempre più indefiniti. Strumenti automatizzati che risiedono nei terminali di sistema sono essenziali per mitigare i danni causati da malware. Come minimo, dovresti utilizzare le seguenti tecnologie:

Software antivirus

È necessario installare un software antivirus e mantenerlo aggiornato su tutti i server e le postazioni di lavoro. Oltre a monitorare attivamente i file in entrata, il software dovrebbe eseguire regolarmente delle scansioni per individuare eventuali infezioni sfuggite, come il ransomware.

Antispyware

Gli strumenti anti-spyware e anti-adware sono progettati per bloccare o rimuovere lo spyware. Lo spyware è un software installato sul computer senza la conoscenza dell'utente. Di solito, il suo obiettivo è scoprire più informazioni sul comportamento dell'utente e raccogliere informazioni personali.

Gli strumenti anti-spyware funzionano molto simili agli strumenti antivirus, e molte delle loro funzioni si sovrappongono. Alcuni software anti-spyware sono combinati con pacchetti antivirus, mentre altri programmi sono disponibili come soluzioni standalone. Indipendentemente dal tipo di protezione che utilizzi, devi cercare regolarmente spyware, ad esempio identificando e rimuovendo i cookie di tracciamento sui host.

Blocco dei pop-up

I pop-up sono più che semplicemente fastidiosi; rappresentano una minaccia per la sicurezza. I pop-up (inclusi i pop-under) rappresentano programmi indesiderati in esecuzione sul sistema, quindi possono metterne a rischio il benessere.

Firewall basati sull'host

I firewall personali sono firewall basati su software installati su ogni computer della rete. Funzionano in modo molto simile ai più grandi firewall di confine: filtrando determinati pacchetti per impedirne l'uscita o l'arrivo al sistema. Molti potrebbero non vedere la necessità di firewall personali, specialmente nelle reti aziendali con grandi firewall dedicati. Tuttavia, quei grandi firewall non possono fare nulla per prevenire attacchi interni, che, a differenza di quelli provenienti da internet, sono solitamente portati avanti da virus. Invece di disabilitare i firewall personali, è sufficiente configurare un firewall personale standard secondo le necessità della propria organizzazione, esportando quelle impostazioni anche agli altri firewall personali.

Sistemi di rilevamento delle intrusioni basati sull'host (IDS)

Gli IDS host monitorano lo stato del sistema e verificano che sia come previsto. La maggior parte degli IDS basati su host utilizza la verifica dell'integrità, che si basa sul principio secondo cui il malware cercherà tipicamente di modificare programmi o file dell'host durante la sua diffusione. La verifica dell'integrità cerca di determinare quali file di sistema sono stati modificati inaspettatamente calcolando le “impronte digitali” (rilevabili come hash crittografici) dei file che devono essere monitorati in uno stato noto e pulito. Successivamente, effettua una scansione, emettendo un allarme quando l'impronta di un file monitorato cambia.

Tuttavia, la verifica dell'integrità rileva l'infezione da malware solo dopo il fatto e non la preverrà.

14. Eseguire valutazioni delle vulnerabilità e test di penetrazione della sicurezza informatica

Le valutazioni delle vulnerabilità di solito consistono in scanner di porte e strumenti di scansione delle vulnerabilità come nmap, OpenVas e Nessus. Questi strumenti scandiscono l'ambiente da una macchina esterna, cercando porte aperte e i numeri di versione di quei servizi. I risultati del test possono essere confrontati con i servizi noti e i livelli di patch che dovrebbero essere sui sistemi endpoint, permettendo all'amministratore di assicurarsi che i sistemi aderiscano alle politiche di sicurezza degli endpoint.

Il penetration testing è la pratica di testare un sistema, rete o applicazione per trovare vulnerabilità di sicurezza. Può anche essere utilizzato per testare una politica di sicurezza, l'aderenza ai requisiti di conformità, la consapevolezza della sicurezza dei dipendenti e il rilevamento e la risposta agli incidenti di sicurezza. Il processo può essere automatizzato o condotto manualmente. In entrambi i casi, le organizzazioni dovrebbero eseguire il penetration testing regolarmente — idealmente, una volta all'anno — per garantire una sicurezza della rete e una gestione IT più consistenti.

Ecco le principali strategie di penetration test utilizzate dai professionisti della sicurezza:

  • I test mirati vengono eseguiti in collaborazione dal team IT dell'organizzazione e dal team di penetration testing. A volte viene definito un approccio "con le luci accese" perché tutti possono vedere il test mentre viene effettuato.
  • I test esterni mirano ai server o ai dispositivi visibili esternamente di un'azienda, inclusi i server di dominio, i server di posta elettronica, i server web e i firewall. L'obiettivo è scoprire se un attaccante esterno può entrare e fino a che punto potrebbe arrivare.
  • Il testing interno esegue un attacco interno dietro il firewall da parte di un utente autorizzato con privilegi di accesso standard. Questo tipo di test è utile per stimare quanto danno potrebbe causare un normale dipendente.
  • I test ciechi simulano le azioni e le procedure di un vero attaccante limitando fortemente le informazioni fornite alla persona o al team che esegue il test. Tipicamente, ai penetration tester viene dato solo il nome dell'azienda.
  • Il test in doppio cieco porta il test cieco ad un livello superiore: Solo una o due persone all'interno dell'organizzazione sono a conoscenza che un test è in corso.
  • Il black box testing è sostanzialmente lo stesso del blind testing, ma i penetration tester non ricevono informazioni prima che il test abbia luogo; devono trovare da soli un modo per entrare nel sistema.
  • Il test della scatola bianca (scatola di cristallo) fornisce ai tester di penetrazione informazioni sulla rete target prima che inizino il loro lavoro. Queste informazioni possono includere indirizzi IP, schemi dell'infrastruttura di rete, i protocolli utilizzati e così via.

Come Netwrix può aiutare

Come abbiamo visto, la protezione dei dati comprende molti argomenti e controlli, il che può rappresentare una sfida scoraggiante per qualsiasi team di sicurezza. Lavorare con un'azienda leader nel settore della sicurezza come Netwrix può fare la differenza tra il successo e il fallimento.

Netwrix offre un insieme completo di soluzioni per la protezione dei dati, che includono strumenti per la governance dell'accesso ai dati, la governance delle informazioni e la protezione da ransomware. Mettiti in contatto oggi per scoprire come Netwrix può aiutarti a garantire che i tuoi dati sensibili siano adeguatamente protetti.

Soluzione Netwrix DAG

Minimizza la probabilità di una violazione dei dati identificando i tuoi dati più critici, limitando il numero di account con diritti di accesso a tali dati e mantenendo questo stato per la sicurezza delle informazioni continua

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management