Con l'introduzione dell'home office, i rischi per i dispositivi terminali dei dipendenti sono aumentati in molte aziende. È ora di proteggere meglio gli endpoint, ovunque si trovi.
Al di fuori dell'infrastruttura di sicurezza protettiva della rete aziendale, gli endpoint sono spesso un facile bersaglio per i criminali informatici.L'esperto di sicurezza CyberArk fornisce suggerimenti su come proteggere i computer e ridurre al minimo gli effetti degli attacchi.
I criminali informatici prendono di mira gli endpoint
I computer desktop dei dipendenti sono oggi uno dei gateway più popolari per i criminali informatici. Poiché i sistemi sono spesso insufficientemente protetti, rendono facile per gli aggressori lanciare attacchi ransomware, rubare dati di accesso privilegiato o farsi strada ulteriormente nella rete aziendale verso sistemi importanti. Ci sono alcune misure per rendere la vita difficile agli intrusi. I più efficaci sono:
Rimuovi i diritti di amministratore locale
Gli account amministratore sono necessari su Windows, MacOS e Linux per installare e aggiornare il software, regolare le impostazioni di sistema e gestire gli account utente. Gli aggressori prendono di mira questi accessi privilegiati perché possono utilizzare i diritti di vasta portata per disabilitare il software antivirus o gli strumenti di ripristino di emergenza e installare malware, ad esempio. Il modo più rapido e semplice per rafforzare i sistemi dei dipendenti è rimuovere i diritti di amministratore locale e metterli in un deposito digitale sicuro con credenziali a rotazione. Ciò limita enormemente le opzioni di azione di un utente malintenzionato e allo stesso tempo riduce al minimo gli effetti di errori, come il clic accidentale su un collegamento di phishing.
Imponi il privilegio minimo
I dipendenti desiderano regolarmente eseguire azioni che richiedono diritti di amministratore. L'assegnazione just-in-time basata su policy dei diritti di accesso privilegiato consente loro di svolgere queste attività, a condizione che abbiano un interesse legittimo e il momento giusto. E senza prima dover faticosamente fare una richiesta e attendere una risposta dall'helpdesk, in modo che la loro produttività non venga ostacolata.
Implementare i criteri di controllo delle applicazioni
Bloccare o consentire le applicazioni note non è sufficiente per prevenire ransomware e altri attacchi. Le aziende devono essere in grado di:
- gestire applicazioni sconosciute. Ad esempio, puoi eseguire il sandbox per eseguirli ma negare loro l'accesso a Internet. Ciò riduce i rischi posti da ransomware e altri malware.
- Implementa criteri di accesso condizionale avanzati. Queste "Politiche condizionali avanzate" consentono ai dipendenti di utilizzare applicazioni attendibili in modo sicuro. In questo modo, le aziende possono, ad esempio, consentire l'esecuzione di Excel ma impedire al programma di chiamare PowerShell per respingere malware come BazarBackdoor.
- stabilire regole complete per specifici eseguibili e gruppi di eseguibili. Valori hash, nomi di file e percorsi di file, tra le altre cose, dovrebbero essere presi in considerazione quando si classificano i file.Nel caso di gruppi, ad esempio, le aziende potrebbero consentire le applicazioni firmate da un provider specifico o da una fonte di aggiornamento affidabile per impostazione predefinita.
Proteggi le credenziali memorizzate nella cache
Il furto di credenziali è il rischio numero uno per la sicurezza che le organizzazioni devono affrontare oggi.Molte applicazioni aziendali popolari consentono di archiviare le informazioni di accesso in memoria e molti browser e gestori di password nascondono gli accessi alle applicazioni e ai siti Web. Poiché gli aggressori possono spesso leggere i dati lì senza avere diritti di amministratore, le aziende devono rilevare e bloccare automaticamente i tentativi di raccogliere i dati di accesso. In caso contrario, gli aggressori non solo possono accedere alle singole applicazioni, ma possono anche tentare di aggirare le soluzioni Single Sign-On.
Inganno: creare trappole, come gli honeypot
Le soluzioni di protezione degli endpoint, che includono le cosiddette funzioni di inganno, aiutano a rilevare gli attacchi. Questi includono, ad esempio, "honeypot" che ingannano gli aggressori con falsi account privilegiati facendogli credere di avere un obiettivo semplice e rivelando le loro attività.
Monitorare le attività privilegiate
Agli aggressori piace stare sotto il radar e sondare attentamente le difese prima di pianificare i passi successivi. Monitorando in modo proattivo le azioni intraprese con gli account privilegiati sugli endpoint, le organizzazioni possono identificare e fermare gli intrusi prima che si spostino lateralmente nella rete, assicurando privilegi aggiuntivi e causando gravi danni. Un registro completo delle attività privilegiate è anche di grande aiuto negli audit di conformità e nelle indagini forensi.
Altro su CyberArk.com
A proposito di CyberArk CyberArk è il leader globale nella sicurezza delle identità. Con Privileged Access Management come componente principale, CyberArk fornisce una sicurezza completa per qualsiasi identità, umana o non umana, in applicazioni aziendali, ambienti di lavoro distribuiti, carichi di lavoro cloud ibridi e cicli di vita DevOps. Le aziende leader a livello mondiale si affidano a CyberArk per proteggere i dati, le infrastrutture e le applicazioni più importanti. Circa un terzo delle società DAX 30 e 20 delle società Euro Stoxx 50 utilizzano le soluzioni di CyberArk.