Nell’implementare una strategia di micro segmentazione della rete per rafforzare la postura di cybersecurity in azienda, vi sono alcune best practices che è opportuno e consigliabile seguire. Prima fra tutte è la creazione di policy di accesso dettagliate e granulari, dotate di privilegi minimi. In particolare, a questo riguardo, la riduzione dei privilegi per gli utenti è sempre un buon punto di passaggio per ogni lavoro ben fatto. Infatti, quanto più i privilegi sono estesi, tanto più possono innescarsi potenziali problemi di accessi illegittimi o eccessivi. Le policy di accesso vengono quindi definite in base al livello di criticità dell’ambito in cui si applicano, alle identità specifiche degli utenti e agli attributi disponibili dei dispositivi. In questo modo l’accesso è limitato esclusivamente alle risorse strettamente necessarie per ciascun utente o entità.
Una seconda buona pratica nell’implementare la micro segmentazione del network aziendale consiste nell’integrare sistemi di gestione delle identità e degli accessi, i cosiddetti strumenti IAM (Identity and Access Management) e PAM (Privileged Access Management). Si tratta nello specifico di strumenti di sicurezza informatica che permettono di migliorare l’attività di segmentazione in quanto vanno a gestire in maniera corretta la singola identità dell’utente, ereditando quindi i privilegi di accesso alle risorse legati alla micro segmentazione.
Oltre quindi all’applicazione delle policy, per rilevare anomalie e violazioni è bene implementare anche procedure di monitoraggio e audit del traffico che passa attraverso la rete, con analisi in modalità continua e in tempo reale. Una continua attività di verifica e di audit è infatti mandatoria per poter garantire la bontà e l’efficacia di quanto è stato realizzato e del corretto funzionamento della micro segmentazione. E’ altresì possibile adottare strumenti di adattamento delle policy, in risposta a eventuali cambiamenti nella configurazione della rete o nel profilo di sicurezza.
Infine, una cura che non deve assolutamente mai mancare consiste nei controlli di sicurezza. Un’infrastruttura di sicurezza non è infatti mai statica, ma è qualcosa di dinamico, che richiede continua manutenzione e supervisione. Nelle aziende, molto spesso capita invece di trovare infrastrutture che vengono abbandonate senza essere gestite: l’incuria e la noncuranza sono in assoluto quanto di più deleterio e pericoloso vi possa essere all’interno di qualsiasi azienda e in qualunque sistema di gestione di una infrastruttura IT. Usiamo quindi il termine gestione non a caso, poiché nel momento in cui un’azienda viene incaricata di gestire un’infrastruttura cliente, è chiaro che non può assolutamente permettersi di non documentare, di non controllare, di non revisionare e non rivedere ciò che ha fatto. Questo anche in quanto, spesso e volentieri, non vi è una sola persona che agisce su quel progetto e su quel tipo di lavoro e di infrastruttura.
Implementare procedure di audit periodiche e di verifica è pertanto la base essenziale per evitare di commettere errori, quali ad esempio lasciare utenti non utilizzati o porte non presidiate. Occorre infatti tenere ben presente che una delle prime attività che un qualsiasi threat actor mette in campo come movimento laterale è l’enumerazione delle share, ossia le risorse che vengono condivise all’interno della rete: qualsiasi attaccante, dopo essere riuscito a entrare nella rete aziendale, procede per prima cosa a eseguire l’enumerazione degli utenti, andando a cercare le mancanze, ovvero andando a lavorare proprio sugli errori commessi da chi ha operato sull’infrastruttura di rete e sui permessi.