Due Mesi Dopo…. SentinelOne e il GDPR

endpoint protection01

Due Mesi Dopo…. SentinelOne e il GDPR

Il General Data Protection Regulation (GDPR) è ormai effettivo e le organizzazioni di tutto il mondo stanno lavorando intensamente per garantire la loro conforomità con la nuova normative. Avendo questo presente, SentinelOne ha invitato Ian Thornton-Trump – aka ‘Phat Hobbit’ – a condividere con noi la sua opinione sul GDPR e su come in cui l’endpoint protection può aiutare le compagnie ad essere compliant.

Endpoint Protection – la prima linea in difesa del GDPR

Dal 25 maggio scorso le organizzazioni di tutto il mondo devono aderire ai requisiti di protezione dei dati posti dal GDPR. Mentre alcune compagnie sono a buon punto sulla strada della compliance, vi sono molti modelli di business che si trovano a dover affrontare alcune sfide nel rapido adeguamento a questa nuova realtà. È un periodo interessante, sia per le une che per le altre.

La protezione degli endpoint è diventata la prima linea di difesa nella battaglia contro i criminali informatici. Non c’è nessun vantaggio a spendere un sacco di denaro in cloud security se non ti sei interessato a proteggere i dispositivi in mano ai tuoi utenti. Sono proprio questi il principale obiettivo dei criminali informatici ed è proprio su questi dispositivi che gli attacchi hanno successo – secondo il SANS Institute – il 75% delle minacce identificate che hanno avuto un impatto hanno avuto inizio da un allegato email.

La Partita Decisiva

Il ransomware – o peggio – è il risultato finale di una falla nella sicurezza di un’organizzazione in cui si ritrovano tre component: un exploit (dovuto ad una vulnerabilità software o umane), un Remote Access Trojan (RAT) ed un payload come ad esempio WannaCry. Una volt ache l’exploit abbia avuto inizio ed il RAT sia stato installato, sei già di fronte ad una violazione al GDPR perché il sistema ha perso la sua integrità ed n attaccante può ora scegliere di fare quello che vuole. In molti casi, si tratta di veicolare un ransomware ma osserviamo che vi è un numero crescente di differenti attività che cominciano a venire intraprese. Gli attaccanti, per esempio, sfruttano movimenti laterali attraverso la rete aziendale, ricercando credeenziali di account privilegiati e informazioni relative alle carte di credito prima di ‘piazzare’ i loro payload.

Che possiamo fare?

Il GDPR è un nuovo regolamento, e l’interpretazione dei regolamenti è simile all’interpretazione delle leggi, ed in questo momento vi è ancora molta incertezza su come mettere in pratica i dettami del GDPR. Ma il punto fondamentale di tutto ciò è di accertarsi di aver implementato un modello di sicurezza multilivello basato sui dati personali e sulle informazioni confidenziali che si sta cercando di proteggere. È anche importante considerare che installare di tutto e di più non ci renderà più compliant di un’organizzazione che si sia data il tempo di determinare il proprio livello di rischio ed abbia applicato soltanto due o tre soluzioni per proteggere i propri sistemi ed i propri dati. La qualità batte la quantità ogni volta che si tratta di difesa della sicurezza.

Dispositivi Personali vs. Dispositivi Aziendali

Nella nostra era di mobile e BYOD, molti impiegati preferiscono utilizzare i propri dispositivi a scopi aziendali. Ma allora, chi è responsabile della sicurezza di un dispositivo e dei dati in esso contenuti?

Se i dati appartengono all’azienda, allora questa ne è certamente responsabile. La compagnia dovrebbe aver effettuato una valutazione dei rischi per confermare di essere soddisfatta del livello di esposizione che i dati hanno sul dispositivo, mantenendo tuttavia la capacità, gli strumenti e le tecniche per localizzare e cancellare da remoto il dispositivo nel caso che venga perso o compromesso. Molte organizzazioni stabiliranno anche un livello minimo di sicurezza richiesto come password e cifratura – ciò DEVE essere imposto. Lo scopo finale è quello di poter dimostrare due diligence nella protezione dei dati. Un problema può sorgere quando il proprietario del dispositivo è incurante della sua protezione, condividendone le password oppure non utilizzando affatto, per esempio. A questo punto, l’individuo può essere ritenuto responsabile, assieme all’organizzazione, in base a casi precedenti di smarrimento o furto di laptop.

Dimostrare la propria Compliance

Considerando ciò di cui abbiamo bisogno per essere totalmente compliant, la nostra organizzazione deve assicurarsi di avere messo in atto le necessarie misure di sicurezza e che queste funzionino. Con il GDPR, si tratta di garantire che i sistemi della compagnia siano integri e che la confidenzialità dei dati sia protetta. Bisogna essere in grado di dimostrare di essere compliant e l’unico modo in cui possiamo fare ciò è possedere delle prove. In mancanza di evidenze, oppure non potendo nemmeno rilevare un attacco, siamo nella non invidiabile posizione di aver violato il GDPR. È probabile che questa violazione della compliance venga portata alla nostra attenzione da una terza parte esterna, e non sempre amichevole.

Molti prodotti di sicurezza hanno delle funzionalità meravigliose, ma ciò non significa nulla se non siamo in grado di dimostrarlo. Qualunque soluzione la nostra organizzazione implementi dovrebbe fornire dei rapporti chiari e concisi su ciò che accade o è accaduto, che cosa è stato trovato e quali componenti sono state aggiornate, se lo sono. Sono questi rapport che dimostreranno la nostra compliance e che potranno essere usati come prova sia di fronte agli stakeholder sia di fronte alle autorità garanti del rispetto del GDPR.

endpoint protection03

Che fare in caso di breach?

Allora, i nostri dispositivi sono dotati di endpoint protection ed abbiamo tutta la documentazione di cui abbiamo per dimostrare di aver lavorato sodo per essere compliant con il GDPR. Ma che cosa accade se cadiamo vittime di un data breach? È praticamente impossibile essere compliant al 100% incessantemente: ci saranno sempre delle crepe nella nostra barriera. Tuttavia la due diligence dimostrerà che abbiamo fatto ogni sforzo per essere compliant e ciò fa la differenza tra il ricevere una sanzione rovinosa, se non fatale, e l’essere ammoniti dall’autorità garante. Al contrario, un breach può avere anche un risvolto positivo: se abbiamo l’evidenza di come la rete è stata violata e di che cosa è stato preso di mira, essa può essere impiegata per valutare quale potrà essere la reale estensione del breach. Può persino essere non rilevante rispetto al GDPR se non sono implicati dati personali.

Alcuni Consigli

Oltre ad utilizzare una soluzione di endpoint protection affidabile, il mio consiglio è quello di accertarsi che i dati siano adeguatamente segmentati e protetti in modo da sapere dove sono conservati e che protezione è attiva. Ciò aiuterà a determinare il livello di rischio che dovrebbe essere applicato ai dati. Di uguale importanza è la gestione delle credenziali privilegiate. Esse costituiscono le chiavi del regno di un’azienda e sono un tesoro veramente importante per un attaccante: la prima cosa che un criminale cercherà saranno i diritti di amministratore locale, seguiti dalle credenziali di amministratore di dominio o di root. Un metodo che non costa nulla per rilevare una compromissione è quello di creare un account dal nome tentatore, tipo ‘global administrator’. L’attaccante non saprà che è stato settato un alert per ogni tentativo di utilizzare quell’account per autenticarsi alle risorse di rete. Questa è una misura a basso costo per rilevare un attore malevolo che sta tentando di penetrare nella tua rete.

Tuttavia, tutti questi consigli sono assolutamente privi di valore se neppure sappiamo quando una persona non autorizzata sta gironzolando nella nostra rete – questo è il motivo per cui implementare una buona soluzione EPP è una cosa ovvia. Grazie all’endpoint protection, sapremo all’istante che qualcuno si intrufola nella rete, notificando la minaccia al nostro SOC e dando loro tutte le informazioni di cui hanno bisogno per bloccare qualunque attaccante.

Ti è piaciuto questo articolo e vuoi sapere come SentinelOne può aiutarti ad essere GDPR-compliant? Leggi quest’altro nostro post:

No Comments
Post a Comment