Archivi categoria: Tech

VMware Cooking Tech Talk

Facebooktwittergoogle_plusredditlinkedin

Nata 20 anni fa nella Silicon Valley con la virtualizzazione server, VMware ha saputo crescere nel tempo adattando la propria strategia, vision e roadmap alle esigenze del mercato integrando persone con seniority, skill e provenienze diverse. Oggi oltre 500.000 clienti in tutto il mondo hanno scelto le soluzioni VMware, ma quali sono gli ingredienti del suo successo?

Come per un piatto di carbonara, la ricetta di VMware si basa su pochi ingredienti semplici: innovazione continua, personalità spiccante, spirito di squadra, atteggiamento da start-up e originalità della comunicazione. È la combinazione di questi elementi, l’armonia tra persone e tecnologia, come tra uova e guanciale, a renderla un’azienda amata e conosciuta in tutto il mondo.

Dalla volontà costante di VMware di rompere gli schemi e di promuovere le eccellenze e le passioni italiane nasce il nuovo format “VMware Cooking Tech Talk”. Direttamente dalla cucina di Sonia Peronaci, VMware si racconta attraverso una serie di video mescolando tecnologia e cucina, ambiti apparentemente lontani, ma legati da un’abilità: unire le persone innovando.

Se ti è piaciuto, continua a seguirci per scoprire le prossime puntate del VMware Cooking Tech Talk.

 

WPA2 cracked

Facebooktwittergoogle_plusredditlinkedin

Da qualche ora circola la new che il protocollo WPA2 è stato forzato con lo scopo di ottenere un MITM: https://www.krackattacks.com. Sul sito è disponibile il video dimostrativo e la demo di un attacco in laboratori. Dalla documentazione disponibile si evince che l’attacco sfrutta diverse vulnerabilità ma è sufficiente avere il client correttamente aggiornato per … Leggi tutto “WPA2 cracked”

End Point Protection: il punto di vista dell’attacker

Facebooktwittergoogle_plusredditlinkedin

Per decenni l’utente è stato terrorizzato dai malware e ha imparato ad installare un buon anti-malware. Da qualche anno si è preda dei ransomware e ci si sta attrezzando con nuovi strumenti di intercettazione di questa nuova generazione di Malware. L’approccio tipico è quello di ricorrere a cure istantanee e ci si dimentica che è … Leggi tutto “End Point Protection: il punto di vista dell’attacker”

Il comportamento dei sistemi informatici: behaviour analysis, machine learning e caffè.

Facebooktwittergoogle_plusredditlinkedin

Piccolo focus sul tema dell’analisi del comportamento dei sistemi. A cosa ci serve l’ho accennato nel precedente post, in questa occasione scendiamo un po’ nel tecnico per capire come si analizza un comportamento e quali paradigmi/algoritmi possiamo utilizzare. Ovviamente tutto parte dai dati che possiamo collezionare da un sistema informatico: spesso ho parlato di logs, … Leggi tutto “Il comportamento dei sistemi informatici: behaviour analysis, machine learning e caffè.”

Cyber Attack Analy(si|tic)s

Facebooktwittergoogle_plusredditlinkedin

Riprendo qui un tema che diventerà, a mio avviso, un tormentone per gli addetti ai lavori. Nel corso dell’anno appena passato ho spesso parlato di analisi dei dati che, in ambito ICT, spesso significa controllo delle metriche di funzionamento al fine di verificare prestazioni, efficienza, funzionalità e mille altre cose. In questo momento quando penso … Leggi tutto “Cyber Attack Analy(si|tic)s”

Insecurity of Things

Facebooktwittergoogle_plusredditlinkedin

Oltre a sovrappopolare il pianeta stiamo sovrappopolando internet. Mentre scrivo questo poche righe mi guardo attorno, nel mio studio, e vedo un solo laptop e altri NOVE devices connessi alla rete… NAS, SmartTV, IP-cam, tablet, stampanti (come rinunciare al piacere di stampare a casa dalla Cappadocia), ecc. Tutti questi oggetti hanno un sistema operativo e un indirizzo IP, ovvero … Leggi tutto “Insecurity of Things”

Chi accede ai dati aziendali?

Facebooktwittergoogle_plusredditlinkedin

In una rete aziendale, se le cose sono state progettate ed implementate con criterio, l’acceso alle risorse è regolamentato da specifiche policy: l’IT Manager avrà definito chi può accedere a determinati servizi e dati profilando gli utenti della rete e definendo dei gruppi. Si evita così di dare accesso indiscriminato ai file dell’ufficio HR per ovvie ragioni legate alla privacy, per fare un esempio molto pratico.

L’esigenza non è però sempre così banale. Potrebbe essere necessario, per l’IT Manager e per l’azienda, sapere quali sono i dati a cui l’utenza accede pur avendone pieno diritto concesso dalle policy. Sapere chi accede ai dati, come vi accede e come li utilizza può essere di immenso aiuto per rilevare possibili comportamenti anomali da parte degli utenti della rete o di presunti tali.

Audit
Il requisito per qual si voglia analisi è disporre di un set di dati di riferimento. In questo caso il dato è rappresentato dai log di accesso ai file dei sistemi aziendali; i sistemi operativi più diffusi hanno infatti la possibilità di tracciare l’accesso (o il tentativo di accesso) ad una specifica risorse come un file o una share.

Sempre ipotizzando di aver fatto le cose per bene l’azienda disporrà di un sistema di autenticazione per consentire ai diversi device (Laptop, Workstation, Tablet, Smartphone) di accedere alla rete aziendale e poi ai dati in essa contenuti: sia che il sistema acceda alla rete cablata o in wireless l’utente dovrà inserire delle valide credenziali che il Directory Server dovrà verificare. Anche questo evento può essere facilmente tracciato grazie ai log dei sistemi coinvolti.

Con queste poche essenziali informazioni possiamo già farci un’idea di chi si è connesso alla rete in un determinato momento, che sistema ha utilizzato, che IP gli è stato assegnato, a che risorse ha acceduto.

Consultazione, interpolazione e deduzione
Abbiamo un sacco di dati, cosa ci facciamo? Quanto meno abbiamo modo di consultare queste informazioni semplicemente per sapere chi mette le mani su certi file o chi era interconnesso alla rete in un certo momento, con che IP, su che apparato. Potremmo ad esempio generare un report per l’ufficio HR ove viene specificato chi ha acceduto a dati sensibili così da valutare, se necessario, attività correttive. Accendendo qualche neurone possiamo analizzare il comportamento degli utenti interpolando le varie informazioni per arrivare a delle deduzioni.

Prendendo in esame i dati di accesso ad un file molto spesso si riesce ad individuare un pattern di utilizzo della risorsa. Una volta individuato il pattern di utilizzo, qualsiasi esso sia, sarà sufficiente tracciare i cambiamenti per far emergere un potenziale rischio. Esempio: se il file TopSecret.txt è acceduto solo dall’ufficio Marketing tipicamente verso la fine del quadrimestre, un’eventuale accesso alla risorsa in quantità considerevole fuori dal periodo indicato dal pattern potrebbe essere considerato un comportamento anomalo.

splunk_file_access

Esempi di comportamenti chiaramente anomali possiamo farse davvero un’infinità:

  • accesso massivo ai dati durante l’orario di chiusura degli uffici
  • anomalie di associazione device/utente
  • accesso a dati sensibili (anagrafiche, cedolini, contratti, …)
  • condivisione di dati sensibili
  • cancellazione o manipolazione massiva di dati sensibili

Tutti questi eventi possono essere tracciati ed individuati con molta semplicità… dopo che sono avvenuti. Il tracciamento dell’accesso ai dati non è ovviamente sostitutivo alle policy di gestione del dato che deve essere adeguatamente protetto anche da chi è titolato ad accedervi in quanto anche l’utente più attento non è esente dal rischio di commettere errori.

Data Loss Prevention
Oltre ad osservare quello che accade possiamo fare qualcosa per intervenire sugli eventi in corso. Diamo ovviamente per scontato che l’infrastruttura sia adeguatamente protetta da un solido sistema di backup configurato in modo corretto… non mi riferisco alle arcaiche policy del “faccio il backup tutte le notti”, i tempi sono un po’ cambiati e abbiamo a disposizione strumenti molto più evoluti che ci aiutano ad avere una protezione continua del dato.

In questo continuum i dati si spostano in molti modi, dalla banale email alle condivisioni via cloud storage, social network, collaboration services, ecc. Per essere consci di chi sta accedendo ai nostri dati dovremmo controllare tutti i canali con i quali i dati possono usci dell’azienda, compresi gli USB drive che tutti abbiamo nelle nostre borse.

Se questo era complesso quando la dotazione informatica aziendale era il PC, l’attuale trend che vede pesantemente impiegati Tablet e Smartphone complicata ulteriormente le cose. Per definizione questi oggetti sono “mobili” e accedono in vario modo alla rete aziendale.

Pensare di gestire centinaia di utenti e migliaia di device che girano per il territorio con delle policy di Active Directory e con delle ACL sui Firewall è semplicemente follia. E’ necessario sapere come gli utenti utilizzano i dati, quindi il miglior punto di controllo è il device. Esistono moltissime suite che consentono il controllo dei device aziendali così da intercettare e talvolta prevenire la perdita dei dati, sia essa volontaria (dolosa) o involontaria (accidentale).

Quindi?
La quantità di dati aumenta, l’accessibilità ai dati aumenta, le modalità di accesso aumentano, i sistemi di collaborazione e condivisione aumentano… ma spesso, soprattutto in Italia, non vedo aumentare la consapevolezza che questi trend esistono e, oltre ai benefici, portano anche dei rischi.

Ovviamente il rischio è relativo al tipo di dato. Se un mio utente si porta a casa l’elenco degli interni telefonici aziendali forse non interessa a nessuno, ma se si porta a casa i file di un progetto in corso che vale qualche milione di euro o i dati di un brevetto… a qualcuno dovrebbe interessare, quanto meno per verificare le intenzioni.

I prodotto esistono… “We have the technology”, dobbiamo solo imparare ad usarla o chiedere aiuto a chi ne sa più di noi.

Io (come tanti altri) son qua.