No results found
Oggi più che mai, con la massiccia diffusione di Internet e del Cloud, le infrastrutture IT aziendali sono più delicate ed esposte al rischio di attacchi informatici, nonché a varie problematiche capaci di intaccarne l’attività e bloccare così le aziende stesse, ora più che mai dipendenti dalla Rete e dall’informatizzazione. Questo impone di attuare strategie per rendere l’infrastruttura più sicura.
Per capire cosa occorre fare è necessario porsi degli obiettivi e andare poi a eseguire le procedure del caso.
È quindi necessario mettere in sicurezza tutti i client ed uniformare le soluzioni sia hardware che software già presenti, sia per quanto riguarda le disposizioni del GDPR o le prescrizioni per ottenere certificazioni tipo la ISO 27001, sia per motivi di tutela del dato sensibile in caso di furto/smarrimento.
In questo tutorial verrà spiegato come rendere sicuro l’endpoint aziendale partendo dalle linee guida per identificare i punti deboli e valutando poi strumenti e strategie per raggiungere l’obiettivo.
Il primo passo per poter rende sicura un’infrastruttura IT è chiaramente raccogliere informazioni sulla stessa, quindi capire che cos’è presente a livello tecnico e farsi un’idea di quali apparati informatici sono presenti e vengono utilizzati all’interno dell’azienda.
In secondo luogo occorre identificare delle linee guida per partire con le attività ed a riguardo un valido spunto è il report Italian Cybersecurity dell’Univeristà La Sapienza di Roma, il quale contiene informazioni su come rilevare le criticità presenti e sulle misure messe in atto per “tappare” le falle nella sicurezza; il report è disponibile sul web all’indirizzo www.cybersecurityframework.it/sites/default/files/csr2016web.pdf.
All’interno di questo documento sono presenti delle linee guida, che sostanzialmente sono vari passaggi da seguire.
Si tratta quindi di step che vanno eseguiti per mettere in sicurezza tutto l’ambiente e costituiscono un framework di riferimento almeno per iniziare a fare delle best practice da seguire.
Il primo step prevede di reperire le informazioni sugli utenti dell’infrastruttura e il materiale hardware presente. Questo significa desumere sia le caratteristiche dell’hardware dalla targhetta o etichetta identificativa applicata al case (immagine seguente) sia identificativi più precisi come serial number, product number e quant’altro identifichi fisicamente le macchine.
Si va poi a consultare le varie macchine per conoscere come ciascuna è identificata in rete, ossia nome computer (hostname) descrizione, gruppo di lavoro o sottorete ecc. (immagine seguente) oltre a MAC address di rete sia cablata che WiFi
A questo punto si può mettere tutto in un foglio di calcolo come quello mostrato nell’immagine seguente, che riepiloga e classifica tutte le caratteristiche e i parametri suaccennati.
Un passaggio fondamentale è aggiornare le macchine obsolete sia per quel che riguarda le prestazioni hardware, sia per gli aspetti software, prima di tutto nei sistemi operativi; questo perché delle macchine che magari non sono aggiornatissime (soprattutto in termini di patch di sicurezza) possono presentare problemi di sicurezza e quant’altro, quindi costituiscono una falla.
Quindi possono potenzialmente avere dei problemi, anche magari con software abbastanza generici che sono hackerabili; per esempio basta magari una distribuzione di Kali Linux e se magari abbiamo delle macchine che non sono aggiornate qualsiasi persona può accedere e fare qualsiasi attività malevola.
Su alcune macchine può essere necessario passare da disco magnetico a disco allo stato solido (SSD) quantomeno per la partizione di sistema.
Altra cosa importante è implementare su tutte le macchine l’accesso da password al BIOS, nonché prevedere una password di boot (immagine seguente) che impedisce l’avvio del sistema a chi non ne è in possesso.
Chiaramente quando si dispone di macchine con hardware e BIOS differente ci si può trovare di fronte a funzioni differenti con nomi diversi da un BIOS all’altro, ma in linea di massima queste due forme di protezione sono previste; quindi in alcuni casi si può inserire la password del boot di Windows e in altri quella di boot dall’hard disk o altra periferica di memoria di massa. La password di avvio è utilissima anche nel caso dei PC portatili, giacché laddove venissero sottratti sarebbe difficile (ma non impossibile) per un estraneo, tentare di accedere ai dati.
Un discorso analogo si applica ai computer Mac, dove è disponibile l’utility che si chiama Firmware Password Utility (immagine seguente) che esattamente è sempre una password che va inserita durante il POST (Power On Self Test) del sistema.
È quindi una password che impedisce di andare a modificare o di accedere alla partizione di sistema e di recovery senza senza conoscerla.
Una best practice consiste nell’installare sulle macchine Windows 10 Professional perché anche senza avere la versione Enterprise è possibile attivare Bitlocker su Windows (immagine seguente). Questo permette di avere dischi cifrati su tutte le macchine, sia quelle che hanno interamente il chip TPM (Trusted Platform Module) sulla scheda madre, sia le macchine che non ce l’hanno; ovviamente è meglio avere il TPM, ma anche senza si ha un buon grado di protezione, giacché prima di riuscire a decifrare un disco bitlocker ce ne vuole molto. È comunque va detto che anche il TPM, seppure sia estremamente difficile, è violabile ma occorre operare a livello hardware con strumentazione specifica.
Nell’immagine qui sopra vedete il criterio per abilitare Bitlocker su device senza Chip TPM (in modalità compatibilità), ossia le impostazioni da fare in Windows.
Fatto questo, dalle Impostazioni di Windows si va ad attivare Bitlocker e durante la procedura guidata (immagine seguente) verrà chiesto di salvare la chiave di ripristino; a riguardo va ricordato che è necessario effettuare l’archiviazione delle chiavi di ripristino in un ambiente protetto, fuori dalla rete in cui si trovano le macchine da proteggere (magari in Cloud privato).
Eventualmente ciascun utente può attivare Bitlocker per le Pen Drive, però bisogna fare attenzione a un particolare: se si attiva tale protezione, poi non è possibile leggere l’unità su un sistema operativo differente, quindi, ad esempio, Mac. In un caso del genere è possibile decifrare ugualmente la periferica ma occorrono software specifici a pagamento.
Restando in ambiente Mac, esiste un tool corrispondente che si chiama FileVault (immagine seguente) che permette di eseguire la cifratura del disco; alla fine della procedura viene restituita una chiave di cifratura che può essere salvata altrove, ad esempio su computer Windows o in iCloud.
Una volta completata la procedura di cifratura viene chiesto quali utenti sono abilitati all’avvio del computer Mac, quindi si definisce l’utente e anche un amministratore; questi potranno collegarsi a prescindere dalla chiave di cifratura, che sarà invece necessaria se a tentare l’accesso sarà un utente differente.
Va precisato che esistono software che costituiscono un’alternativa a bitlocker, ossia che fanno la stessa cosa, solo che a fronte del costo non indifferente, ciò che offrono in più è la possibilità di salvare la chiave di cifratura e di codificare anche unità di memoria di massa esterne. Peraltro esistono software specifici per la cifratura delle Pen Drive USB, abbastanza economici.
Alcuni software del genere sono Sophos Endpoint Protection, Check Point Endpoint Security e WinMagic Endpoint Encryption; sono tutte soluzioni con gestione centralizzata (console contenente tutte le chiavi) di più utenti e unità di memorie di massa, che consentono di cifrare anche dischi con sistemi operativi più datati di Windows 10 ed obsoleti, mediante chiavi proprietarie. Alcuni permettono la gestione di chiavette USB.
WinMagic Endpoint Encryption lavora con Microsoft per creare un sistema di cifratura aggiornato che fornisca, unitamente a Bitlocker, un sistema a doppia protezione.
Andiamo adesso a vedere come effettuare una protezione della rete cablata attraverso regole e suddivisione della rete WiFi. Una buona pratica per quanto riguarda la rete cablata è creare delle reservation DHCP per tutte le macchine e per dispositivi riconosciuti, creando dei gruppi sul firewall.
Quindi alcune macchine sono autorizzate a navigare in Internet, ad accedere in alcune parti dell’azienda ecc. Inizialmente abbiamo creato delle reservation; tutti gli indirizzi IP poi sono segnati nel documento di Excel (inventario) che abbiamo visto prima, quindi riusciamo riusciamo a risalire, oltre che all’hostname, alla persona che utilizza una certa macchina.
Questa attivazione e gestione delle reservation può essere effettuata attraverso l’interfaccia di Kerio Control, proposta nell’immagine seguente.
Passiamo alla rete WiFi: l’ideale è impostare una rete completamente gestita da UniFi; allo scopo si deve utilizzare la chiavetta Cloud (UniFi Cloud Key), ma è possibile anche installare la console di controllo e di gestione su macchine PC Windows. Prima di iniziare a operare con esse è opportuno fare il backup della configurazione, in caso si verificassero problemi.
Una valida configurazione consiste nel dividere la rete wireless in due aree: una Enterprise e una Guest; tutte e due le aree sono su una differente VLAN, quindi anche lato switch c’è una VLAN e le reti sono gestite in modo completamente separato. In ogni caso UniFi stessa, quando si crea la rete Guest va a dividere completamente questa rispetto alla rete Enterprise, quindi anche senza avere la VLAN, attivando la rete Guest le due reti comunque saranno divise proprio dal software.
La rete Guest permette a chi vi accede di navigare in Internet e di avere pochissimi servizi attivi, giusto quelli che volete siano accessibili da ospiti dell’azienda come consulenti, fornitori e clienti, partecipanti a corsi e stage e via di seguito.
Andiamo a vedere, attraverso l’immagine seguente, come sono state configurate le reti in una tipica situazione aziendale:
Vedete in fondo alla lista nell’area centrale dello schermo la rete Guest che è configurata in modo da utilizzare una rete VLAN; per essa esiste un codice di accesso (Security VPAPSK) e non abbiamo attivato il portale dove gli utenti possono autenticarsi o registrarsi attraverso account di Social Network (Facebook, Twitter ecc.) ma è prevista la digitazione di una password che viene assegnata generalmente agli ospiti. Tenete conto che comunque è una rete separata, quindi non è richiesto un elevato di grado di sicurezza in quanto anche in caso di effrazione chi accede si trova ad avere accesso solo a Internet. Quindi la Guest è una rete già filtrata. La sicurezza attivata è WPA Personal (immagine seguente).
Invece per quanto riguarda la rete Enterprise è stato fatto il lavoro un po’ più complesso, perché è stata attivata la voce VPAEAP (cerchiata in rosso nell’immagine seguente) che permette di attivare un’applicazione differente utilizzando un server Radius.
Quindi tutti gli utenti verranno autenticati con le proprie credenziali di Active Directory secondo le relative policy preimpostate di reset password eccetera, ragion per cui se magari un utente va via, invece cambiare la password per tutti si cambia soltanto la password del singolo utente, che quindi non riuscirà più ad accedere.
La VLAN, in questo caso, è differente, perché è stato implementato un server Radius dedicato, ossia una macchina Windows Server che fa solo questo tipo di attività, dove abbiamo definito le unità che hanno accesso al sistema di autenticazione di Microsoft: quindi abbiamo messo gli hostname di tutti gli Access Point presenti con relativo indirizzo IP (immagine seguente), nonché l’hostname della chiavetta.
Nell’immagine seguente vediamo un esempio di finestra di dialogo della configurazione di un Access Point dobbiamo abbiamo inserito la chiave segreta, che è quella che andrà riportata anche sul pannello di gestione centralizzata di UniFi in modo che poi i due sistemi comunichino tra di loro in modo che il server Radius permetta agli utenti di autenticarsi.
L’immagine seguente propone come è stata implementata la configurazione del server radius nella console centralizzata di UniFi, quindi con relativa definizione di IP address e porta.
Nell’esempio qui proposto è stato anche implementato -sebbene a stretto rigore possa comunque essere utilizzato a scopi malevoli- il filtro MAC address (immagine seguente) per tutte le macchine della rete aziendale; infatti se è vero che può esserci comunque una falla nella sicurezza (non è proprio sicuro al 100%) è sempre meglio attivarlo che non averlo.
Per elevare la sicurezza è possibile implementare ulteriori controlli, magari anche con il certificato TLS installato sui client e sull’Access Point.
Passiamo adesso alla protezione dai malware, che richiede di configurare un sistema antivirus; una valida soluzione è Dr.WEB, che è un prodotto multipiattaforma (quindi disponibile sia per Mac che per Windows ed eventualmente anche Linux) capace di implementare una protezione Real-Time.
Dr.WEB è un antivirus per la protezione dei PC e dei server, che però viene fruito come servizio, quindi non un’applicazione che deve essere installata su server centralizzato all’interno dell’azienda, ma un servizio che viene erogato e gestito a livello centralizzato per tutte le macchine installate, tramite una console centralizzata dalla quale gestire tutti i clienti e i loro prodotti.
Una caratteristica di pregio di Dr.Web è che il relativo server antivirus ottiene aggiornamenti dei componenti degli agenti antivirus e dei database attraverso Internet dai server del “sistema di aggiornamento mondiale” (SAM) e distribuisce tali aggiornamenti agli agenti antivirus praticamente in tempo reale.
La gestione è centralizzata via web tramite una console chiamata AV-Desk; sono inoltre supportate l’analisi dei trasferimenti di dati da unità esterne (ad esempio appena connettiamo delle chiavette ne analizza il contenuto per prefenire le infezioni), la protezione dei file di sistema e dalla modifica file HOST da parte, ad esempio, di un ransomware (in questo caso Dr.WEB se ne accorge e va a reimpostare quello che c’era in origine).
Nell’applicazione è possibile definire una serie di moduli che sono:
Dr. WEB ha una parte di back-end che si trova su un server cui il rivenditore ha accesso tramite delle credenziali digestione e da qui può creare e gestire i vari clienti e le rispettive macchine.
Lato client, invece, viene installato l’agente che viene scaricato direttamente dalla console centralizzata e installato sui PC/Server da proteggere.
Tramite console centralizzata è possibile:
In realtà le console sono due: una commerciale e una tecnica. Con la prima si gestiscono gli acquisti dei clienti, le licenze attive e quelle bloccate, avere la visibilità dei vari clienti e le reportistiche legate alla fatturazione, quindi quanto fatturare al cliente, quanto è stato consumato (si tratta di un servizio a consumo) quanto è stato utilizzato, quando sono state sospese le licenze ecc.
Nella console tecnica possiamo definire gli endpoint protetti e le rispettive regole. Ad ogni cliente vengono associate le postazioni installate, per le quali possiamo anche creare dei gruppi e quindi associare questi gruppi e applicare impostazioni di filtraggio, di operazioni di controllo centralizzato, operazioni di scansione pianificata, a livello sia di cliente, che di gruppo o singola postazione.
Dr.WEB è disponibile in due versioni: Premium e Classic: ciò che cambia tra queste è che la Premium ha in più, oltre a dei controlli extra, il firewall e incluso nel prezzo per ogni singolo endpoint è possibile anche avere la protezione per dispositivi mobili Android, pertanto per ciascuna licenza associata a un computer è possibile avere gratuitamente una licenza per la protezione di un tablet o smartphone Android.
Quando si accede al sito di Dr.WEB, la prima schermata che ci compare è quella relativa agli acquisti: da qui possiamo acquistare licenze per la nostra società, per il nostro ufficio ed anche per clienti cui eventualmente gestiamo il servizio, cosa, questa, rivolta ai Service Provider.
Il pacchetto di installazione che si scarica dal sito di Dr.WEB è legato in maniera univoca a un codice (UID) che viene generato quando si acquistano le licenze, per cui lo stesso pacchetto di installazione che utilizziamo, una volta finiti gli UID acquistati non può più essere utilizzato da un altro computer. Questo perché successivamente all’attivazione il client si collega al server per richiedere uno degli UID disponibili e se sono terminati l’antivirus non si attiva.
Nell’immagine seguente vedete la console di gestione (la AV-Desk) dov’è possibile fare gli acquisti, la gestione delle licenze, la sospensione della creazione degli account, la creazione delle organizzazioni e via di seguito.
La console di gestione che hanno i rivenditori e comunque chi già ha attivato licenze per uso proprio o per la rivendita a propri clienti, è tipo quella proposta dall’immagine seguente e riepiloga le licenze acquistate.
In questo caso specifico c’èun totale di 3 licenze per Dr.Web Premium e altrettante per Dr.Web Android. Se clicchiamo su Dr.Web Premium accediamo alla schermata di dettaglio dove troviamo lo storico di tutte le operazioni effettuate a livello di licenza.
Nell’immagine qui sopra vediamo tre licenze di cui due attive e una bloccata in data 24 Maggio 2017. Qui si trovano numerose informazioni sulle singole macchine e licenze, come la data di installazione ed altro ancora.
Abbiamo anche la configurazione dell’account la cui pagina, mostrata nell’immagine seguente, è composta da alcune tab e riepiloga informazioni importanti come quelle personali e l’accesso al credito.
Quest’ultima funzione è accessibile dalla tab Impostazioni, nella quale vedete lingua del programma e gestione del credito; in particolare, la spunta della voce “Sì, voglio fruire del credito” nel momento in cui viene creato l'account indica l’accettazione del contratto, ossia la volontà di utilizzare un credito per acquistare una licenza di prodotto.
Abbiamo poi la scheda Impostazioni degli avvisi, che permette di personalizzare i messaggi, vale a dire definire quali situazioni debbano determinare l’invio di un avviso, I miei messaggi, che consente di scrivere al provider e infine Log delle azioni, che riporta lo storico delle azioni eseguite.
Vediamo ora la console di gestione tecnica, che è quella da dove gestire tutto il nostro network di macchine installate e gli antivirus, vedere le macchine attive o meno, nonché compiere le varie operazioni di configurazione, task, scansioni, tipologie di moduli installati ecc. La console tecnica è composta da vari pannelli, accessibili dalla toolbar in alto, ovvero cliccando sulle rispettive voci, che sono Amministrazione, Rete antivirus, Report e Relazioni; nell’immagine seguente vedete quella relativa alla rete antivirus (Antivirus Network).
Sotto ciascuna istanza troviamo una struttura ad albero espandendo la quale vedremo i clienti esistenti divisi nelle rispettive organizzazioni e i relativi dettagli (immagine seguente).
Quindi anche a livello di singola macchina possiamo definire permessi, connessioni, livello di traffico e proprietà.
Quando si clicca su una specifica licenza, il menu a sinistra della pagina mostra le funzioni Generali e Configurazione: la prima permette di accedere a grafici di utilizzo, funzioni di protezione e di accedere alle proprietà della macchina corrispondente; la seconda riguarda la gestione dei permessi, dei componenti installabili e delle impostazioni di connessione.
Se invece si clicca su un utente senza espanderlo, ovvero sull’hostname e non sulle licenze associate, il menu a destra diventa come visibile nell’immagine seguente (Proprietà del gruppo utente).
Torniamo al menu per precisare che nella parte Generali troviamo una serie di informazioni di carattere reportistico, quindi componenti in esecuzione, componenti installati, grafici, postazioni non attive, proprietà e tanto altro.
Dalla sezione di menu Statistiche andiamo a una schermata che riporta i Dati complessivi e relativi alle minacce rilevate a livello statistico: per esempio quante volte è avvenuto l’arresto e l’avvio del sistema e via di seguito. Un esempio di statistiche è mostrato nell’immagine seguente, dove i grafici (istogrammi, grafici a torta) elencano le minacce trovate, le azioni poste in essere e via di seguito, compresi i file infetti trovati nelle e-mail. Ogni comando della sezione corrisponde a una di queste funzioni.
Sotto la sezione Configurazione possiamo, per l’account specifico e tramite i comandi raggruppati in questo menu, vedere se sono presenti i permessi, assegnare dei permessi, quindi possiamo definire a livello di ogni singolo sistema operativo (Windows, Novel Netware, Osx, Linux, Android) su cui andiamo a installare il componente quali sono i moduli che possiamo attivare, quali moduli possiamo far gestire direttamente all’utente per l’avvio, l’arresto o la modifica delle impostazioni.
Chiaramente i moduli disponibili dipendono dal sistema operativo e in base a quello selezionato con i vari tab verranno mostrati i moduli a disposizione.
Con il comando di menu Scheduler si possono definire delle pianificazioni relative al gruppo di utenti; per impostazione predefinita ci sono quelle impostate per ereditarietà dal gruppo principale. Dalla stessa schermata (composta da tre schede) è possibile, nella tab Generali, creare una pianificazione e gestire la pianificazione di scansioni degli endpoint.
Cliccando sulla tab Azione si può configurare una scansione ed eseguirla direttamente, ossia on demand invece che pianificata, impostando le azioni da intraprendere sui file infettati dalle minacce (immagine seguente).
Infine aprendo la tab Ora si accede alla finestra dove è possibile stabilire la periodicità delle scansioni schedulate, stabilire il funzionamento per una volta sola o avviare il task secondo l’orario universale (UTC) invece che tenere conto dell’ora di sistema.
L’impostazione così eseguita riguarda tutti gli utenti relativi al gruppo cui appartiene l’utente da cui è stata aperta la sezione di configurazione.
Sempre da questa sezione, si può impostare la limitazione degli aggiornamenti eseguibili dall’utente e si possono definire le impostazioni delle connessioni (per esempio chiavi di crittografia).
Più in basso, sicuramente interessante da esaminare, è la sezione degli agenti Dr.Web, che è divisa per sistema operativo; soffermiamoci su quella per Windows ossia sulle varie opzioni per Windows: possiamo definire cosa fare quando viene rilevato qualcosa (riprodurre un suono) applicare automaticamente le azioni alle minacce rilevate ecc. (immagine seguente).
Questo nella tab Generali; invece nella Azioni possiamo o definire delle azioni specifiche a livello di sistema operativo che fanno eccezione rispetto a quelle che applicate in fase di configurazione (immagine seguente).
Dalla tab Esclusioni si può specificare cosa escludere dalla scansione e dalla scheda Log si attivano i registri di Log semplicemente ponendo la spunta sulla relativa casella.
Poi possiamo eseguire impostazioni a livello di singolo modulo di Dr.Web Antivirus, ossia SpiDer Guard per postazioni e per Server, SpiDer Mail, Parental Control, SpiDer Gate (immagine seguente).
Passiamo al pannello Amministrazione, il quale mostra le sezioni, evidenziate dal titolo verde, quindi Amministrazione, Logs, Configurazione, Avvisi, Repository, come si vede nell’immagine seguente. Per ogni sezione cambia il menu a destra e il contenuto dell’area bianca alla sua destra.
Amministrazione fornisce un’informazione generale nella rete antivirus, ossia sono visualizzate le varie installazioni presenti; sotto la relativa istanza avremo tutti i vari clienti, organizzazioni ecc. Le rispettive voci sono Server Dr.Web che mostra la versione del server antivirus, il sistema operativo e l’ID del server, Gestione licenze che rimanda alla schermata di gestione licenze e Chiavi di crittografia, che riguarda impostazioni di sicurezza.
Nella parte Logs abbiamo la reportistica relativa a periodo, cioè a un intervallo di tempo che vogliamo attivare, riguardante verifica, esecuzione dei link, log del server Dr.Web e log di aggiornamento del repository contenente le signature. Infine nella sezione Report possiamo consultare i resoconti relativi ai clienti e alle rispettive licenze acquistate.
La sicurezza degli endpoint passa anche dalla protezione contro il furto di informazioni; andiamo quindi a vedere come implementare un’efficace protezione dal furto dei dati e dalla perdita di dati sensibili. Nel nostro caso abbiamo utilizzato Endpoint Protector della CoSoSys: è disponibile sia con interfaccia Cloud e quindi completamente Cloud, per una gestione centralizzata degli endpoint, sia in versione con appliance hardware da installare internamente (on premises). In base alla licenza acquistata permette di fare più o meno controlli sugli endpoint; nell’immagine seguente sono proposti, sulla destra ciò che contiene l’applicazione, ossia le relative funzioni.
Content Aware Protection è un controllo che permette di ridurre la fuga di dati all’esterno dell’azienda e che si integra con i sistemi più utilizzati, quindi browser web più diffusi, i servizi di messaggistica istantanea (tipo Skype) e di posta elettronica; ci permette di analizzare i contenuti e di applicare filtri per stabilire quali file possono essere allegati alle e-mail e mandati al di fuori dell'azienda. Oppure è possibile impostarlo per mandarci degli alert e quindi tenere sotto traccia tutto quello che va all'esterno dell’azienda, vale a dire tutto quello che magari gli utenti si scambiano su Skype, che si scambiano via e-mail, gli allegati corrispondenti eccetera.
Device Control implementa il controllo del device, ovvero permette di gestire tutte le unità connesse al computer e tutte le periferiche connesse ai nostri dispositivi sia Mac che Windows, quindi chiavette e in generale dispositivi USB, ma anche altri dispositivi come webcam, stampanti eccetera. Quindi tale funzione rende possibile gestire per ogni singolo endpoint delle Policy di blocco oppure di tracciatura di cosa viene trasferito sulle chiavette ed altre periferiche USB.
Nell’immagine seguente vedete come si presenta il software su client: se un utente inserisce una chiavetta USB o una periferica in generale che non è ammessa, compare il pop-up che notifica di contattare l’amministratore di sistema se si vuole avere accesso a quell’unità.
Nel menu della finestra di dialogo visibile nell’immagine seguente vedete come creare la richiesta di accesso, vedere le periferiche che al momento sono bloccate e come mandare poi la richiesta all’amministratore di sistema, il quale dopo può fornire il codice di sblocco dal pannello, dove poi l’utente in autonomia andrà a inserire il codice, farò clic su “autentica” e poi avrà accesso alla periferica USB momentaneamente oppure illimitatamente, a seconda delle scelte dell’aministratore stesso.
Mobile Device Management permette di implementare un controllo su tutti i dispositivi mobile, quindi magari di impostare una password più sicura, di gestire le applicazioni installate, evitare che siano installate o utilizzate applicazioni non permesse e poi anche l’aggiornamento dei dispositivi mobile. In più, con licenza separata è possibile anche avere un altro software che ci permette di cifrare le Pen Drive sia per Mac che Windows, in modo che se si devono trasferire in altre società dei dati aziendali siano contenuti in un ambiente sicuro perché protetto da password.
Approfondiamo adesso il Content Aware Protection dove possiamo contare su una finestra di lavoro dove impostare dei blocchi per evitare l’invio dei file tramite Skype ho altre chat, ridurre l’utilizzo del file-sharing, DropBox eccetera e applicare un filtro anche per specifici file grafici (JPG, PNG ecc), file Office, di archivio o anche altri dile particolari (sezione in basso dell’immagine seguente).
EndPoint Protector ha come console di gestione una Dashboard, ossia un pannello di gestione che si apre avviando il programma, le cui funzionalità sono accessibili da un menu sulla sinistra della schermata; qui abbiamo a disposizione tutti gli agenti e possiamo eseguire il download degli agenti su tutte le macchine da proteggere, oltre che il setup e la guida per effettuare l’attività su EndPoint Mobile dove ci sono iOS, Android eccetera. Quindi nella Dashboard abbiamo a disposizione un po’ tutti link occorrenti, ad esempio quello per scaricare, eventualmente, EasyLock.
Tramite la voce di menu My account (sotto My Subscription) possiamo vedere le licenze che abbiamo acquistato al momento ed eventualmente andare ad acquistarne ulteriori; quindi dalla dashboard è possibile aggiungere delle licenze (se magari dobbiamo aggiungere un PC) senza dover contattare il produttore.
Sotto Device Control, nella Dashboard vediamo i dispositivi connessi e unità che sono state bloccate di recente, quindi abbiamo una visione d’insieme di tutto quello che sta avvenendo nelle macchine endpoint sotto controllo. In generale Device Control apre una struttura ad albero contenente varie funzioni. Per esempio in Global Settings si effettuano le impostazioni di ciò che di base dev’essere attivo per tutti gli utenti, quindi se le chiavette USB devono essere bloccate o meno, se vogliamo disabilitare il collegamento con gli iPhone eccetera. Quindi da Global Settings andiamo a decidere quello che poi è definito globalmente per tutti i device, ma possiamo anche andare a vedere per ogni singola macchina cosa è attivo, se ci sono delle regole attive, a che gruppo sta facendo affidamento per il blocco di USB o WiFi eccetera. Possiamo definire tutti i device connessi e possiamo mettere in whitelist alcuni device, quindi se magari c’è un dispositivo che vale per tutti, possiamo andare a metterlo in whitelist cosicché tutte le macchine che avranno lo stesso device lo connetteranno e lo vedranno disponibile.
Passiamo sotto Computer, dove possiamo vedere tutti i nostri computer e relativi gruppi associati, gli indirizzi IP eccetera. Stessa cosa per Utenti, però qui il software funziona ad albero per quanto riguarda i diritti, ossia parte dagli utenti e poi se non trova alcuna regola negli utenti va a vedere sotto Computer e poi dopo se non trova nulla neanche quindi va ad attingere alle Global Settings; in altre parole, quando deve verificare se esistono regole di restrizione inizia a cercarle nei singoli utenti, se non ve ne sono applica quelle eventualmente impostate per il computer di appartenenza e se neanche qui ne esistono, applica le Global Settings.
Quindi per ciascun utente e ciascuna macchina possiamo personalizzare i controlli.
Nella voce Groups possiamo definire dei gruppi, quindi USB Full per quelli che hanno accesso alle Pen Drive in lettura e scrittura, soltanto lettura o nessun permesso di utilizzo e perciò bloccare totalmente tutte le chiavette USB. Vediamo le macchine che utilizzano la regola, aggiungere o meno gli utenti, insomma è qualcosa che si può personalizzare a proprio piacimento.
Andiamo ora alla voce di menu Mobile Device Management, dalla quale possiamo andare ad attivare e gestire le funzionalità dei dispositivi mobile protetti.
Dalla voce di menu Reports and analisys possiamo disporre di una sorta di reportistica, attivare anche la tracciatura dei file che vengono scambiati sulle chiavette e inoltre possiamo implementare degli alert (dalla voce di menu Alerts), per esempio se c’è un utente critico che non deve trasferire dei file all’interno delle Pen Drive USB possiamo andare a impostare il prodotto in modo che ci mandi degli alert qualora lo faccia.
Vediamo ora l’applicazione Easy Lock, fornita come funzionalità opzionale di EndPoint Protector dietro una licenza separata, che permette di creare degli ambienti cifrati sulle chiavette USB; questo è molto utile rispetto anche all’abbinamento con Bitlocker o FileVault perché è un software multipiattaforma, quindi all’interno della chiavetta ci sarà l’eseguibile sia Mac che Windows che permetterà, anche mandando dei documenti a un cliente che ha una piattaforma differente, di fargli leggere il contenuto della memoria di massa.
Nella fase di installazione del prodotto si passa da un wizard nella cui finestra introduttiva (immagine seguente) notiamo che la chiave sicurezza è in crittografia AES 256-bit; procedendo nei successivi passaggi inseriremo una password a piacimento, poi eventualmente verrà generato un codice di ripristino che l’utente dovrà conservarsi per utilizzarlo nel caso venga dimenticata la password.
Una volta fatto questo è stato creato un ambiente protetto dentro chiavetta USB; si tratta di un ambiente proprio isolato, quindi se si introduce la Pen Drive nel computer ma non si esegue il prodotto e non si sblocca l’ambiente, non si vede alcunché; magari si vedrà soltanto, nella gestione dischi, uno spazio della partizione utilizzato da qualcosa di non definito e non saprà che è utilizzato dal software di protezione.
In pratica lo spazio di memoria della chiavetta verrà diviso in due sezioni: una accessibile in lettura e scrittura da tutti e invece una sezione che può leggere soltanto chi ha la password funziona; per stabilire cosa va nella sezione protetta, con una semplice drag’n’drop l’utente può trasferire i file presenti nella Pen Drive dalla sezione di sinistra della finestra di dialogo a quella di destra, che rappresenta l’area protetta e viceversa (immagine seguente).
L’ultimo step da compiere per la sicurezza in azienda è impostare criteri per le password utente, ossia inserire nelle impostazioni di Windows delle Policy di sicurezza per quanto riguarda le password di tutti gli utenti (immagine seguente); per esempio stabilire che l’utente non può utilizzare una delle ultime cinque password disponibili, che deve cambiare password ogni tot giorni, la password deve contenere almeno 8 caratteri e deve rispondere ai requisiti di complessità base quindi avere una maiuscola, un simbolo e dei numeri, quindi non può creare una password troppo semplice.
Infine, una cosa importante da fare è rendere partecipi gli utenti ossia formare gli utenti, perché un buon modo per ridurre la possibilità di attacchi o comunque i rischi per quanto riguarda la sicurezza dei dati è fornire al personale le basi della sicurezza informatica: quindi spiegare come utilizzare i mezzi di lavoro forniti, primi fra tutti le Mail Boxes, insegnare a distinguere le e-mail di phishing e andare a vedere l’oggetto, il nome del mittente per vedere se corrisponde (se è un utente attendibile) e valutare il contenuto della e-mail; in definitiva, spiegare come aggirare i malintenzionati, perché possiamo implementare tutti i controlli sicurezza che vogliamo ma se poi il personale non è formato e apre una e-mail di phishing che “buca” il firewall e i sistemi anti-spam, apre un ramsomware che magari l’antivirus non aveva ancora all’interno del database e tutto il lavoro va all’aria.