Padroneggiare il modello di maturità degli otto essenziali

Gli Essential Eight (E8) sono un insieme di strategie di mitigazione prioritarie sviluppate dall'Australian Cyber Security Centre (ACSC) per aiutare le organizzazioni a proteggere le proprie reti IT connesse a internet da diverse minacce informatiche. Questi controlli di sicurezza fanno parte delle Strategie per mitigare gli incidenti di sicurezza informatica dell'Australian Signals Directorate (ASD), un quadro più ampio di best practice.

Le strategie degli Essential Eight includono:

1. Applicazioni di patch
2. Patch dei sistemi operativi
3. Autenticazione multifattoriale (Multi-Factor Authentication o MFA)
4. Limitazione dei privilegi amministrativi
5. Controllo dell'applicazione
6. Limitazione delle macro di Microsoft Office
7. Rafforzamento dell'applicazione utente 
8. Backup regolari

Perché gli Essential Eight sono importanti?

La strategia degli Essential Eight è fondamentale perché si occupa degli aspetti più efficaci della mitigazione della sicurezza informatica, aiutando le organizzazioni a prevenire, rilevare e rispondere alle minacce informatiche. Attuando queste strategie, le aziende australiane possono ridurre significativamente il rischio di incidenti informatici, proteggere i dati sensibili e garantire l'integrità e la disponibilità dei loro sistemi.

Inoltre, secondo il governo australiano, concentrarsi proattivamente su queste tattiche è "più conveniente in termini di tempo, denaro e sforzi rispetto a dover rispondere a un incidente di sicurezza informatica su larga scala". Considerando che il costo medio di una violazione dei dati è di 4,88 milioni di dollari, il più alto mai registrato, è molto meglio per le organizzazioni adottare misure preventive piuttosto che inseguire le minacce dopo il fatto.

A chi si applica la conformità E8?

Gli Essential Eight non sono universalmente richiesti. Tuttavia, per alcune agenzie e dipartimenti governativi australiani, i controlli di sicurezza E8 possono essere imposti da direttive, politiche o requisiti normativi del governo.

In questi casi, è necessario rispettare gli Essential Eight per soddisfare specifici standard e normative di sicurezza informatica. Le organizzazioni al di fuori dell'ambito obbligatorio sono incoraggiate ad adottare l'E8 come best practice per proteggersi dalle minacce informatiche, ma non sono legalmente obbligate a farlo.

Il modello Essential Eight Maturity Model (E8MM) di ASD fornisce un approccio strutturato alle organizzazioni per implementare progressivamente strategie E8, puntando a raggiungere un livello adeguato di maturità nelle loro prassi di sicurezza informatica. In parole semplici, si tratta di un quadro di riferimento per migliorare i controlli di sicurezza.

Il modello classifica la maturità in quattro livelli, ognuno basato sulla mitigazione di crescenti gradi del "mestiere". Secondo l'Australian Signals Directorate, "gli attori malintenzionati possono esibire diversi livelli di abilità tecnica per diverse operazioni contro diversi obiettivi".

Ad esempio, un criminale informatico in grado di utilizzare tattiche avanzate potrebbe utilizzarle contro un obiettivo mentre sfrutta strategie di base contro un altro. A loro volta, le organizzazioni australiane devono considerare quale livello di maturità degli Essential Eight corrisponde al loro specifico ambiente di rischio, ovvero la probabilità di un attacco e il suo potenziale danno.

Ecco una ripartizione di ogni livello e ciò che comporta:

• Livello di maturità zero: Indica punti deboli nella strategia generale di sicurezza informatica, rendendo l'organizzazione vulnerabile agli attacchi. In parole semplici, le organizzazioni a questo livello non dispongono di protezioni adeguate per salvaguardare i dati sensibili da accessi e sfruttamenti non autorizzati.
• Livello di maturità uno: Si concentra sulla mitigazione delle minacce provenienti da attori malintenzionati utilizzando tecniche e strumenti di base ampiamente disponibili. Questo livello presuppone che gli autori della minaccia siano soddisfatti di sfruttare exploit noti, come vulnerabilità che non sono state corrette.
• Livello di maturità due: Risponde alle minacce provenienti dai criminali informatici più sofisticati, disposti a investire tempo e sforzi aggiuntivi per aggirare i controlli di sicurezza. Ad esempio, possono attaccare attivamente le credenziali di accesso utilizzando tecniche di phishing e di ingegneria sociale per aggirare strumenti MFA (Multi-Factor Authentication) poco sicuri. Questo livello presuppone anche che gli autori di attacchi siano probabilmente più selettivi nella scelta delle vittime, preferendo gli utenti con accesso privilegiato perché possono raccogliere informazioni più sensibili.
• Livello di maturità tre: Ha lo scopo di difendersi da avversari altamente adattabili e abili, utilizzando tecniche e metodi avanzati per compromettere i sistemi. In genere, questo include i criminali informatici che sono disposti e sono in grado di investire tempo, denaro e sforzi per eludere protezioni più efficaci. Ad esempio, potrebbero provare a eludere i sofisticati meccanismi di autenticazione multifattoriale rubando i token di autenticazione.

Quindi, mentre il livello di maturità zero indica il livello di sicurezza più basso, il livello di maturità tre rappresenta il più alto.

Migliora il tuo livello di maturità Essential Eight

Indipendentemente dal punto di partenza, per salvaguardare i dati sensibili è fondamentale raggiungere un adeguato livello di maturità informatica. Ecco alcuni passaggi fondamentali per iniziare:

1. Pianificazione: Stabilisci un livello di maturità target e identifica cosa è necessario per raggiungerlo. Considera i tipi di informazioni sensibili che la tua organizzazione elabora e la probabilità che gli autori delle minacce investano risorse per attaccare i tuoi sistemi. Sulla base di ciò, consulta il modello di maturità di ASD per comprendere i requisiti di controllo.
2. Valutazioni dei rischi Esegui un'analisi delle lacune per identificare le aree di miglioramento. Questo aiuterà a stabilire quanto la tua posizione di sicurezza informatica sia lontana dalla linea di base del livello target.
3. Implementazione: Implementa progressivamente ciascuna strategia di mitigazione, assicurandoti che le eccezioni siano ridotte al minimo e documentate.
4. Monitoraggio e revisione: Rivedi e aggiorna regolarmente le tue strategie di mitigazione per mantenere la conformità e adattarti alle nuove minacce. Se il tuo panorama di rischio si modifica, valuta se l'attuale livello di maturità è sufficiente.
5. Miglioramento continuo: Provare a raggiungere livelli di maturità più elevati perfezionando e potenziando le strategie nel tempo.

L'Australian Cyber Security Centre non suggerisce una soluzione specifica per raggiungere il livello di maturità tre, ma piuttosto una serie di strategie di mitigazione e controlli di sicurezza. Perché? Perché è necessaria una combinazione di processi e strumenti per proteggersi da minacce sempre più avanzate.

Analizziamo più nel dettaglio ciascuna strategia di mitigazione:

1. Controllo delle applicazioni
   Questa misura di sicurezza limita l'esecuzione di software non autorizzato o non approvato, impedendo l'esecuzione di malware e applicazioni potenzialmente dannose sui sistemi di un'organizzazione. Comporta la creazione e l'applicazione di una whitelist di applicazioni approvate, garantendo che unicamente il software verificato e necessario può essere eseguito.
   Il controllo delle applicazioni è fondamentale perché aiuta a bloccare l'esecuzione di codice dannoso, riducendo il rischio di danni da malware e limitando la potenziale superficie di attacco. I controlli di sicurezza possono includere l'inserimento di software nella whitelist, l'implementazione di regole eseguibili e il monitoraggio continuo dell'attività delle applicazioni.
2. Applicazioni di patch
   Nel corso del tempo, nuove applicazioni potrebbero rendere le applicazioni più vulnerabili di prima. Questa strategia di mitigazione affronta tale rischio garantendo che tutto il software venga aggiornato frequentemente con le patch di sicurezza più recenti. La regolare applicazione delle patch può comportare la scansione delle vulnerabilità per identificare le configurazioni errate e la gestione automatica delle patch per aggiornare tempestivamente i sistemi.
3. Configurazione delle impostazioni macro di Microsoft Office
   Le macro di Microsoft Office consentono agli utenti di configurare il funzionamento delle proprie applicazioni. Essenzialmente si tratta di istruzioni di programmazione che possono automatizzare attività ripetitive. Nonostante siano utili per aumentare la produttività, i malintenzionati sfruttano le macro anche come veicoli per malware. Ad esempio, potrebbero nascondere codice dannoso in un file Excel.
   Disabilitare o limitare le macro provenienti da fonti non attendibili può impedire alle minacce di prendere piede nel suo ambiente, proteggendo così le risorse critiche da accessi non autorizzati.
4. Rafforzamento delle applicazioni utente
   Il rafforzamento delle applicazioni utente riduce la superficie di attacco disabilitando o limitando le funzionalità non necessarie in determinate applicazioni, come Flash, Java e annunci web, che gli aggressori spesso sfruttano. Il rafforzamento è fondamentale perché rimuove o limita le funzionalità che possono essere sfruttate per ottenere l'accesso o eseguire codice dannoso.
   In modo critico, questa misura di sicurezza supporta anche un'efficace gestione delle chiavi e dell'infrastruttura a chiave pubblica (PKI). Proteggere le applicazioni che utilizzano chiavi crittografiche può contribuire a impedirne l'esposizione o l'uso improprio. Ciò comporta la disattivazione delle funzionalità non necessarie e l'applicazione di standard di crittografia rigorosi all'interno delle applicazioni.
5. Limitare i privilegi amministrativi
   I privilegi amministrativi si riferiscono ai diritti e alle autorizzazioni elevate concesse a determinati account di utenti, che consentono loro di apportare modifiche a livello di sistema, installare software, accedere a dati sensibili e configurare le impostazioni di sicurezza. Se da un lato l'accesso privilegiato è necessario per gestire i sistemi IT, dall'altro presenta un notevole rischio per la sicurezza se non viene controllato adeguatamente.
   Se un criminale informatico riesce ad accedere a un account privilegiato, può sfruttare le autorizzazioni per installare malware, sottrarre dati sensibili, creare backdoor e disabilitare i controlli di sicurezza, assumendo di fatto il controllo dell'intero sistema. Limitare e gestire i privilegi amministrativi è quindi fondamentale per limitare il potenziale impatto di tali attacchi.
   Un modulo di sicurezza hardware (HSM) utilizzato insieme a un'applicazione di gestione degli accessi privilegiati può migliorare significativamente questa strategia gestendo e proteggendo in modo sicuro le chiavi crittografiche e le operazioni sensibili. I moduli di sicurezza hardware nShield operano insieme alle applicazioni PAM per prevenire il dirottamento degli account con la migliore protezione delle credenziali privilegiate come le chiavi API, le chiavi SSH, i segreti DevOps e gli account di amministrazione cloud e la protezione delle chiavi crittografiche che sono alla base della sicurezza della tua infrastruttura.
6. Applicazione di patch ai sistemi operativi
   L'aplicazione di patch ai sistemi operativi (SO) significa mantenere il sistema operativo aggiornato con gli ultimi aggiornamenti di sicurezza per correggere le vulnerabilità note. Come per le applicazioni di patch, questa strategia è essenziale per proteggersi dagli exploit che prendono di mira debolezze e configurazioni errate note. L'applicazione regolare di patch al sistema operativo è fondamentale, poiché il sistema operativo è la spina dorsale dell'infrastruttura IT e qualsiasi vulnerabilità può portare a violazioni della sicurezza su larga scala.
7. Utilizzo l'autenticazione multifattoriale
   L'MFA rafforza i processi di autenticazione utente richiedendo più forme di verifica, ad esempio qualcosa che l'utente conosce (password) e qualcosa che l'utente possiede (token di sicurezza). Può anche richiedere qualcosa, utilizzando il riconoscimento facciale o l'impronta digitale per confermare gli identificatori biometrici.
   Questa strategia è fondamentale perché aggiunge un ulteriore livello di sicurezza, rendendo molto più difficile per gli aggressori ottenere un accesso non autorizzato anche se le credenziali sono compromesse. L'MFA resistente ai tentativi di phishing, come l'autenticazione adattiva, può rendere il processo ancora più avanzato emettendo una verifica avanzata basata sul rischio in determinate condizioni.
8. Backup regolari
   I backup regolari o giornalieri garantiscono il ripristino dei dati in caso di perdita, danneggiamento o incidente di sicurezza informatica. Questa strategia prevede la creazione e il mantenimento di backup sicuri e resilienti di dati, applicazioni e impostazioni di sistema, essenziali per la continuità operativa. Questa prassi fornisce una rete di sicurezza, consentendo alle organizzazioni di riprendersi da attacchi ransomware, guasti hardware o altri eventi catastrofici.

Dall'autenticazione multifattoriale alla gestione degli accessi privilegiati e oltre, Entrust offre un'ampia gamma di soluzioni per aiutarti a implementare le strategie Essential Eight e a proteggere le informazioni.