Il contributo dei nostri specialisti di sicurezza

Nel corso delle ultime settimane il numero di dispositivi esposti direttamente su internet tramite RDP (Remote Desktop Protocol) è triplicato. Al 18 marzo se ne contavano 33.068 in tutta Italia. Un numero emblematico che racconta di come le aziende italiane, per rispondere all’emergenza da COVID-19 e non perdere operatività, abbiano corso facendo appello ad una delle modalità più veloci, ma anche più rischiose per mettere in condizione i propri collaboratori di accedere ai loro workspace. Lo smart working è la scoperta positiva di questi giorni e le soluzioni individuate oggi continueranno a portare benefici alle aziende anche al termine dell’emergenza. Per questo è bene sapere cosa fare perché possa essere svolto in sicurezza, e risultare un beneficio senza rischi per le aziende.

Ecco le cose da sapere secondo i nostri specialisti di sicurezza, in un video e in un approfondimento scritto.

 

Servizi di controllo da remoto: tra rischi e necessità

RDP è l’acronimo di Remote Desktop Protocol, il protocollo inventato da Microsoft anni fa per l’amministrazione remota di un sistema Windows mediante una comoda interfaccia grafica. Conosciuto anche come Microsoft Remote Desktop, l’RDP è tra le modalità più veloci per accedere da remoto a macchine Windows Server o anche solo per il semplice processo di help desk. Ma è anche tra i canali più utilizzati dagli hacker negli ultimi anni per attacchi di cyber security: gli aggressori, sfruttando gli  RDP per collegarsi da remoto a un server Windows, effettuano il log in come amministratori del computer e, una volta all’interno dei server aziendali, agiscono in tranquillità per installare ransomware e programmi di cripto mining necessari a portare a termine i furti o danneggiamenti pianificati. Affinché uno smart working che utilizza il sistema di controllo da remoto possa essere svolto senza il rischio di danneggiare le proprie aziende è  quindi necessario seguire una procedura di messa in sicurezza. Guardando la crescita degli RDP aperti in Italia negli ultimi tre mesi, triplicata rispetto a fine 2019 (fonte: Shodan, motore di ricerca che permette di trovare i dispositivi collegati alla rete Internet amministrabili da remoto) è invece probabile che molte aziende stiano approcciando lo smart working in un modo del tutto sbagliato, aprendo direttamente il Desktop Remoto (RDP) dei PC aziendali all’accesso da Internet senza alcuna misura di protezione.

 

Gli RDP aperti in Italia al 18 marzo erano 33.068, dato tre volte superiore all’ultimo registrato a fine 2019.

 

Cosa fare allora per un RDP sicuro?

La storia ci insegna che la sovraesposizione di protocolli non sicuri ha sempre causato grosse falle di sicurezza: cerchiamo di non ripetere quello che successe il 12 maggio 2017 quando numerose aziende e organizzazioni in tutto il mondo vennero colpite dal malware Wannacry e vediamo cosa è possibile fare per adottare un RDP sicuro. Il processo di messa in sicurezza prevede una serie di step tecnici che riguardano: patch, password, vpn, la sostituzione di macchine obsolete e non aggiornabili, i security testing. Prima di iniziare, è bene sempre effettuare un Cyber Risk Assessment, che renda consapevoli gli IT manager dello stato di sicurezza della propria infrastruttura.

Ecco quindi cosa fare.

PATCH

Distribuite al più presto patch per la vulnerabilità CVE-2019-0708 (BlueKeep) e abilitate la Network Level Authentication il più rapidamente possibile. Operazioni che si possono eseguire manualmente o con appositi software per la distribuzione delle patch in autonomia.

PASSWORD

Per tutti gli account che possono essere registrati tramite RDP sono necessarie password complesse (è obbligatoria una lunga passphrase contenente almeno 15 caratteri senza frasi relative all’azienda, al nome del prodotto o all’utente). Adottate, magari, l’autenticazione a due fattori (2FA) e richiedetela almeno su tutti gli account che possono essere collegati tramite RDP, può essere decisivo per scongiurare gli attacchi di credential stuffing.

VPN

Installate un gateway VPN per effettuare il brokeraggio di tutte le connessioni RDP dall’esterno della rete locale. Se correttamente configurato, questo impedisce le connessioni RDP tra Internet e la rete locale. Inoltre, consente di applicare requisiti di identificazione e autenticazione più rigorosi per l’accesso remoto ai computer.

MACCHINE OBSOLETE E NON AGGIORNABILI

Se un computer non può essere messo in sicurezza, sostituitelo.

SECURITY TESTING

Effettuate le attività di vulnerability assessment e penetration test del perimetro aziendale al fine di identificare e verificare la presenza delle possibili vulnerabilità del perimetro esterno.

 

Virtualizzazione dei desktop e BYOD per un remote working ancora più sicuro

Ma se davvero volete adottare una procedura e un sistema di smart working sicuri e strutturati, allora dovreste sposare una tecnologia che consenta a larga scala l’accesso remoto pur salvaguardando l’infrastruttura aziendale. Dal punto di vista tecnologico esistono varie soluzioni che permettono di lavorare in sicurezza: prima tra tutte la virtualizzazione dei desktop, che consente la piena operatività con qualsiasi endpoint e permette di mantenere il controllo sugli accessi ai dati e alle applicazioni. In pratica, il workspace diventa disponibile sempre e ovunque e il reparto IT ha il controllo centralizzato sulla distribuzione virtuale dei desktop sui dispositivi di un’organizzazione. Anziché impostare manualmente un nuovo desktop per ciascun utente, infatti, il reparto IT può distribuire con semplicità sul dispositivo dell’utente un desktop virtuale pronto all’uso.

La tecnologia di virtualizzazione del desktop agevola anche l’adozione del BYOD (Bring Your Own Device), una necessità che si è fatta incalzante con l’emergenza sanitaria in corso e la conseguente difficoltà di reperire notebook aziendali causata dalla concomitanza di un’elevata domanda, da una parte, e di un calo della produzione dall’altra. Grazie alla virtualizzazione dei desktop si agevola l’utente nell’utilizzo di dispositivi privati per gestire il lavoro da remoto senza che l’IT debba preoccuparsi di prenderli in gestione, installare aggiornamenti o altri agenti per rendere la sicurezza di quei dispositivi accettabile. Con questa soluzione, infatti, si crea una “bolla” che, da una parte, mantiene il dispositivo del dipendente completamente separato da tutto il network aziendale e, dall’altra, permette all’utente di lavorare comodamente con le applicazioni aziendali utilizzando uno dei browser Internet presenti nel suo dispositivo. Altro vantaggio di questo tipo di soluzioni è che possono essere configurate e rese operative in poche ore per tutti i dipendenti dell’azienda.

La scelta di adottare la virtualizzazione dei desktop comporta una pianificazione e una progettazione di medio periodo. Occorre analizzare il workspace di tutti i dipendenti (dispositivi, applicativi, accessi alle risorse aziendali, ecc.) e ricostruirli all’interno di uno spazio centralizzato e virtualizzato utilizzando risorse informatiche adeguate. Ma i benefici sono tanti ed evidenti, vanno oltre la gestione delle emergenze e rafforzano la capacità aziendale di avere una continuità operativa reale ed efficiente.

 

Storie Clienti

Molte le aziende clienti che in queste settimane ci hanno chiesto supporto per attivare, più o meno velocemente, le misure necessarie a mantenere il business operativo consentendo ai propri collaboratori di lavorare fuori dall’ufficio su PC aziendali o personali. Quelle che hanno dimostrato una capacità di reazione più alta sono state proprio imprese che già da tempo si erano strutturate con tecnologie di virtualizzazione dei desktop, che hanno fatto sì che il passaggio da una modalità di lavoro onsite in ufficio ad una di remote working generasse un impatto quasi nullo per il business. Tra queste, una nota azienda di servizi del trevigiano, con circa una decina di sedi in Veneto e 150 utenti che aveva già da tempo adottato la virtualizzazione dei client: in questo caso la migrazione di 102 utenti dalla modalità onsite a quella di remote working ha richiesto solo 2 giorni di lavoro e nessuna incertezza, permettendo all’azienda di non fermare mai del tutto i servizi erogati ai propri clienti.

 

Come riuscire quindi a fare smart working in totale sicurezza?

La soluzione non è mai unica e uguale per tutti. Occorre fare un’analisi della situazione di partenza per individuare la soluzione tecnica più adatta all’obiettivo nel rispetto della sicurezza e delle tempistiche. Tenendo sempre conto che la causa principale degli incidenti di sicurezza, che si tratti di smart working o no, è il fattore umano. La prevenzione principale, ancor prima dell’aspetto tecnologico, è la security awareness che rende consapevoli gli utenti delle minacce che inconsapevolmente essi stessi portano in azienda.  Avere quindi sempre consapevolezza dei rischi che comportano la gestione delle password, l’uso dei dispositivi mobili, il phishing, l’autenticazione semplice, il patching. E non farsi trovare mai impreparati.

 

 

Vuoi avviare un progetto di smart working o verificare lo stato di sicurezza del tuo IT?

Contattaci
Condividi

Lavoriamo con

I nostri partner a garanzia della vostra libertà di scelta

Vi servono più informazioni?

La nostra esperienza è a vostra disposizione: saremo felici di contribuire al successo della vostra azienda. Dovete solo raccontarci come possiamo esservi utili.

Volete restare aggiornati?

Vi racconteremo in una mail la tecnologia che cambia le imprese, in meglio e dal nostro punto di vista. Riceverete aggiornamenti su eventi, novità di prodotto e i nostri approfondimenti.

Novità

Eurosystem a StageIT 2020

Tutte le novità

Incontriamo online i nostri futuri talenti  Troviamo nella tecnologia e negli strumenti a nostra disposizione l’ispirazione per non fermarci nemmeno in questo periodo. Per questo motivo abbiamo deciso di confermare la nostra partecipazione a StageIT, un’opportunità nata dalla collaborazione tra Assindustria e Università degli Studi di Padova, volta a favorire l’incontro tra le aziende e gli studenti […]

Referenze