Gli errori di configurazione più comuni nelle reti

Nov 06, 2023 Approfondimenti, Hacking, In evidenza, RSS, Vulnerabilità

Spesso i cybercriminali sfruttano gli errori di configurazione nelle reti e nei dispositivi per ottenere l’accesso iniziale ai sistemi delle organizzazioni e distribuire malware o sottrarre dati.

Nell’ottica di aiutare le aziende a ridurre la superficie di attacco e aumentare le difese, l’Agenzia di Cybersicurezza nazionale (CSA) di Singapore ha condiviso un elenco degli errori più comuni presenti nelle configurazioni di rete e le misure per mitigarle.

Password deboli ed errori nelle configurazioni d’autenticazione

Uno degli errori più comuni delle organizzazioni è avere policy inadeguate per la gestione delle credenziali: sono ancora troppi gli utenti che utilizzano password deboli e semplici da indovinare. Introdurre regole più stringenti per la creazione delle password, come la lunghezza minima di 12 caratteri e l’uso di simboli speciali, aiuta a migliorare le difese e rendere gli utenti dei sistemi più consapevoli dei rischi.

L’autenticazione multi-fattore (MFA) offre un livello di sicurezza molto superiore rispetto alle password, ma non è comunque immune da attacchi, soprattutto se si utilizzano metodi vulnerabili agli attacchi di phishing, come l’MFA con SMS. L’uso di smart card e token è sempre consigliato, ma è necessario che siano configurati correttamente.

Impostazioni di default

Un altro errore molto comune consiste nel lasciare invariate le impostazioni di default nei software e nelle applicazioni in uso. Le configurazioni predefinite sono conosciute e ben documentate, quindi facilmente sfruttabili dagli attaccanti. È fondamentale che le imprese modifichino subito le impostazioni di default e rafforzino le policy per tutti i software in rete.

Appliance di sicurezza con configurazioni errate

Le appliance di sicurezza sono uno degli elementi fondamentali per garantire la protezione della rete. L’assenza di firewall o l’uso di regole sbagliate o imprecise consente anche al traffico non autorizzato di passare, mettendo in pericolo l’intero sistema; inoltre, in molti casi le imprese ignorano l’importanza di configurare soluzioni di alerting per il monitoraggio e l’individuazione delle minacce.

Il CSA di Singapore consiglia alle organizzazioni di aggiornare regolarmente le policy e di implementare sistemi di monitoring per rilevare e rispondere il prima possibile alle attività sospette all’interno della rete, bloccandole prima che compromettano il funzionamento dell’intero sistema.

Servizi non necessari e porte inutilizzate

Accade spesso che nelle reti aziendali ci siano servizi, dispositivi e porte inutilizzati che aumentano la superficie di attacco. Ogni software in esecuzione o dispositivo connesso, soprattutto se ci sono vulnerabilità conosciute non patchate, rappresenta un potenziale punto di accesso sfruttabile dagli attaccanti.

Per ridurre il rischio di minacce è consigliabile disattivare porte e servizi non utilizzati e applicare regole di accesso più stringenti seguendo il principio del Zero Trust.

Accessi remoti e dispositivi IoT insicuri

Gli attaccanti possono sfruttare i servizi e protocolli insicuri per l’accesso remoto, come il Remote Desktop Protocol, o le configurazioni VPN errate per accedere a reti e sistemi e prendere il controllo di più dispositivi o distribuire payload malevoli. Per garantire la sicurezza degli accessi remoti le organizzazioni devono investire su metodi sicuri di autenticazione, sistemi di monitoraggio degli accessi e aggiornare regolarmente i software in uso.

Un altro problema molto diffuso riguarda l’utilizzo di dispositivi IoT non configurati correttamente. Questi device sono ampiamente utilizzati per la costruzione di botnet per lanciare attacchi DDoS o come punto di accesso alla rete. Anche in questo caso è fondamentale proteggere i dispositivi aggiornando regolarmente il firmware e utilizzare password robuste.

Servizi cloud mal configurati

La diffusione del cloud pubblico sta esponendo le aziende a nuove categorie di attacchi e la situazione è esacerbata anche dalle configurazioni errate dei sistemi. Gli attaccanti sfruttano gli errori nelle impostazioni dei bucket o nel controllo degli accessi per infiltrarsi nei sistemi e accedere a dati sensibili ed eseguire software malevoli.

Oltre a controllare e aggiornare periodicamente le configurazioni degli ambienti cloud, le organizzazioni dovrebbero potenziare i sistemi di sicurezza e monitoraggio per proteggere le risorse e agire non appena si presenta una minaccia.

Esecuzione di codice senza restrizioni

Se gli attaccanti riescono ad accedere ai sistemi, è molto probabile che cerchino di eseguire codice o file malevoli per compromettere l’intera rete. Per proteggersi da questa eventualità è necessario configurare i dispositivi in modo che venga bloccata l’esecuzione di qualsiasi applicazione scaricata da sorgenti sconosciute o non attendibili.

Gestione inadeguata delle patch

In molti casi le imprese non gestiscono le patch e ignorano l’importanza di applicare gli aggiornamenti condivisi dal vendor per proteggere i sistemi.

Aggiornare regolarmente i sistemi è fondamentale per garantire la sicurezza di dispositivi e applicazioni; ciò significa sostituire software e device non più supportati con le versioni più recenti e definire un piano per l’applicazione delle patch che tenga conto della priorità delle vulnerabilità per agire prima su quelle più urgenti.

Elenchi di controllo degli accessi insufficienti sulle condivisioni e sui servizi di rete

Spesso gli amministratori dei sistemi configurano in modo errato le Access Control List (ACL), ovvero gli elenchi per filtrare il traffico di rete e le azioni eseguibili per limitare l’accesso ai dati sensibili.

Per esempio le regole possono essere troppo o troppo poco permissive, oppure possono esserci regole incoerenti od obsolete che consentono agli attaccanti di accedere ai sistemi per esfiltrare i dati o eseguire altri attacchi.

Il consiglio di CSA Singapore è applicare il  alle organizzazioni di applicare il principio del privilegio minimo (PoLP – Principle of Least Privilege) per limitare l’accesso informazioni importanti e di usare controlli severi per l’accesso basato sui ruoli (RBAC – Roled Based Access Control).

Elusione dei System Access Controls

Gli attaccanti possono aggirare i controlli di accesso compromettendo i metodi di autenticazione; per esempio, se riescono a recuperare gli hash, possono utilizzarli per autenticarsi utilizzando la tecnica del Pass-the-Hash. Le imprese dovrebbero limitare la sovrapposizione di credenziali nella rete, ovvero il riutilizzo delle stesse credenziali per più account, per ridurre al minimo i problemi di sicurezza.

Mancata segmentazione di rete

La segmentazione della rete consente di isolare le diverse parti del sistema per fare in modo che il traffico rimanga all’interno del segmento e non si propaghi all’esterno; ciò è particolarmente utile per limitare gli spostamenti laterali degli attaccanti dopo l’accesso iniziale.

La mancata segmentazione delle reti espone gli ambienti alle minacce poiché favorisce la diffusione di malware e consente agli aggressori di accedere ad altri sistemi. Il consiglio è di creare delle “zone sicure” per ridurre la circolazione del traffico e monitorare le comunicazioni per individuare attività sospette.

Dati non cifrati

Uno degli errori più gravi delle aziende è trasmettere e memorizzare dati non cifrati, rendendoli vulnerabili a furti o compromissioni. Gli attaccanti possono intercettare le informazioni per sottrarle o manometterle in modo da eseguire altri attacchi. È fondamentale che le imprese usino la crittografia per proteggere i dati sia in “movimento” che “a riposo”, impedendo gli accessi non autorizzati.

• accesso remoto, Cloud, configurazione, errore umano, IoT, RDP, reti, vulnerabilità