Cybersecurity: il monitoraggio degli utenti privilegiati

Tra le minacce informatiche più pericolose ma anche spesso più sottovalutate dalle aziende vi è quella relativa agli utenti privilegiati. Le violazioni degli account relativi ad utenti privilegiati, amministratori di sistema, amministratori di base di dati, amministratori di rete sono potenzialmente molto più pericolose rispetto ad altre categorie di utenti in quanto il loro profilo autorizzativo e l'accesso alle risorse del sistema informatico aziendale potrebbe essere sostanzialmente illimitato comprendendo quindi i dati più importanti relativi ai dati personali, al know-how, etc.

Per questo motivo è importante introdurre all'interno del sistema di cybersecurity aziendale delle policy relative agli utenti privilegiati. Generalmente non si ritiene infatti che gli amministratori di sistema, volontariamente o involontariamente, possano essere una minaccia per l'azienda, in quanto si tratta di figure professionali spesso caratterizzate da un rapporto fiduciario consolidato nel tempo, eppure recenti studi compiuti analizzando le cause degli attacchi cibernetici degli ultimi anni dimostrano come la violazione degli account degli utenti privilegiati costituisca una delle principali cause di data-breach. Quando la minaccia risiede all'interno a nulla servono le tradizionali tecniche di difesa perimetrale quali firewall, antivirus, antispam, pur sofisticate che siano. I criminali informatici lo sanno e per questo hanno sviluppato tecniche sempre più sofisticate per impossessarsi di questo tipo di account, in questo video di IBM Security vediamo una simulazione di come viene compiuto uno di questi attacchi che prende di mira proprio un utente privilegiato violando il suo tablet in una caffetteria.


Dal punto di vista legale il Garante della Privacy con la nota delibera del 27 novembre 2008 era intervenuto sugli amministratori di sistema stabilendo dei criteri di valutazione e di verifica per questo tipo di utenti, ma soprattutto con la registrazione degli accessi logici (log) degli amministratori da conservarsi per un periodo di tempo non inferiore a sei mesi laddove i dati trattati fossero di particolare criticità. Anche il nuovo regolamento europeo prevede la realizzazione di software progettati secondo le specifiche di "Privacy by Design" quindi anche con tecniche che prevedono il tracciamento degli accessi di tutti gli utenti.

Il problema è che solo il monitoraggio dei log di accesso degli utenti privilegiati oggi non è più sufficiente: è necessario un sistema più evoluto che combini un sistema di autenticazione avanzata utilizzando anche tecniche di machine learning, in modo da creare un profilo davvero univoco per ogni utente, con sistemi di registrazione delle sessioni per poter tenere traccia di tutta l'attività svolta dagli utenti. In questo modo verrebbero drasticamente ridotti i tempi di risposta in caso di attacco informatico. Qui potrebbe nascere però, almeno in Italia, una possibile fonte di violazione delle norme sul controllo a distanza dell'attività lavorativa (Legge 300/1970) a meno di non concordare l'utilizzo di questi sistemi di sorveglianza con le rappresentanze sindacali dei lavoratori e di introdurne la notifica nella lettera di incarico al trattamento dei dati come policy aziendale di sicurezza informatica solo in casi eccezionali dovuti ad attacchi cibernetici con lo scopo di difendere il patrimonio aziendale, patrimonio che adesso può includere anche il know-how tecnologico.

Gli algoritmi di "behavioral analytics" tracciano un profilo comportamentale legato alle credenziali di accesso dell'utente che coinvolgono tutta una serie di parametri: anche se non ce ne accorgiamo ognuno di noi ha un suo modo di utilizzare il computer, una tempistica nel fare l'accesso, una serie di azioni fatte sulle applicazioni e sui dati, orari di accesso che possono essere registrati ed inventariati dalla macchina che crea un'impronta caratteristica per ogni utente. A questo punto ogni attività classificabile come anomala per quel determinato utente può essere bloccata dal sistema e segnalata all'amministratore di sistema per la verifica, se dal controllo risulta che l'azione è regolare allora può essere autorizzata con l'immissione di un codice di controllo.

Rilevamento di attività sospetta in base all'orario

Commenti