Indietro

ⓘ Hardening




                                     

ⓘ Hardening

Hardening, in informatica, indica l’insieme di operazioni specifiche di configurazione di un dato sistema informatico che mirano a minimizzare limpatto di possibili attacchi informatici che sfruttano vulnerabilità dello stesso, migliorandone pertanto la sicurezza complessiva.

                                     

1. Descrizione

In italia rientra nelle pratiche tecniche introdotte dal documento programmatico sulla sicurezza 196/03 sulla sicurezza dei dati ed in generale enuncia i criteri da adottare per garantire ladozione delle misure minime di sicurezza sui sistemi e sulle infrastrutture tecnologiche. Dal 25 Maggio 2018 ha efficacia il Regolamento generale sulla protezione dei dati.

Uno degli errori più comuni nella realizzazione di un sistema informatico riguarda la fase di installazione di un sistema operativo, di una rete di dispositivi o di unapplicazione. Quando si procede ad un lavoro di questo genere, spesso questi componenti non sono ben configurati per impedire i relativi rischi di sicurezza informatica che possono derivarne, ma sono soggetti ad una configurazione quanto più aderente ai principi basilari dellamministrazione e più in generale al fine economico che l’azienda persegue. Inoltre, soprattutto la componente software può contenere vulnerabilità che mettono a rischio il sistema.

È questo uno dei motivi per cui si parla di esigenze di hardening, cioè di rafforzamento delle piattaforme installate dal punto di vista della security. Esempi di operazioni hardening sono: chiusure di porte, arresto di servizi, disabilitazione di privilegi, eliminazione di utenti/account amministrativi o guest o di assistenza, disinstallazione programmi o strumenti particolari del sistema operativo, limitazione a connessioni o registrazioni su reti, negazione di accessi o diritti, impedimento o controllo della navigazione o della posta elettronica, sblocco operazione mediante consenso hardware o logico, ecc.

                                     

1.1. Descrizione Tipologie

Fondamentalmente lhardening può essere delle seguenti tipologie:

1) One Time Hardening: viene effettuato solo una volta dopo la prima realizzazione del sistema

2) Multiple Time hardening. Viene effettuato più volte durante la vita del sistema, e la sua ripetizione nel tempo dipende da due fattori fondamentali che sono il rilascio di patch di aggiornamento patch management per far fronte alle zero day vulnerability e laggiunta di moduli complementari a quello installato di base.

                                     

2. Fasi

Lhardening si divide in tre parti fondamentali:

1) pre-analisi sullo stato attuale

Di solito si identificano per primi i dispositivi di rete. Si tratta di componenti hardware e di software che li gestiscono esposti e visibili da tutti gli altri nodi della rete.

Si procede poi con il software di base. Ad esempio, un sistema operativo, uno dei componenti principali del software di base, funziona ed interagisce con il resto del sistema informatico mediante vari servizi e utility. Ognuna di queste componenti è pertanto in grado di fornire uno spunto di attacco ad un soggetto malintenzionato che ne abbia scoperto delle vulnerabilità.

Altro rischio è la gestione dei privilegi di solito adottata dal file system, come ad esempio configurazioni di sistema, permessi e password. Una protezione non adeguata costituisce un ulteriore spunto di debolezza.

Vi sono anche programmi applicativiappartenenti quindi alla categoria dei software applicativi che dall’analisi possono risultare non necessari al funzionamento del sistema stesso. Analizzare correttamente cosa è strettamente necessario ed eliminare cosa non lo è o non lo è più in seguito ad un aggiornamento permette di eliminare potenziali vulnerabilità che tali programmi potevano contenere.

Ultimo fattore da analizzare è dato dalla robustezza fisica dei componenti. Lhardening qui riguarda la capacità del sistema di far fronte principalmente a disastri naturali e a problemi derivanti dalle alterazioni cui possono essere soggetti i componenti fisici del sistema informatico.

2) remedy

Per la parte di remedy letteralmente rimedio vengono elencate delle attività tecniche mirate che poi devono essere opportunamente documentatereport al fine di garantire la cronologia sul singolo componente dellinfrastruttura e poter permettere un eventuale ripristino rollback in caso di blocco della funzionalità. La parte di report è poi soggetta ad un test audit successivo di verifica atto a convalidare lo stato di sicurezza raggiunto compliance. La documentazione dovrà essere attinente alla nuova legge europea

Questa attività di remedy viene normalmente effettuata attraverso operazioni distinte:

1) la riduzione della superficie di attacco ottenibile ad esempio attraverso:

  • rimozione di software non necessario dal sistema che dovrà ospitare il servizio;
  • installazione di un personal firewall;
  • disabilitazione di servizi, moduli del kernel, protocolli, non necessari;

2) la riconfigurazione dei servizi esistenti al fine di renderli maggiormente "robusti":

  • installazione delle patch di sicurezza;
  • abilitazione dei log di sicurezza;
  • applicazione di permessi restrittivi sui file;
  • etc.
  • rimozione degli utenti non necessari;
  • applicazione di policy per la complessità delle password;

3) monitoring per un dato tempo

Si tratta di tenere sotto controllo il funzionamento del sistema dopo le modifiche apportate nella fase di remedy.

Questo punto è assente nel caso di One Time Hardening sopra descritto.



                                     

3. Considerazioni

Ogni componente erogante il servizio dovrà essere oggetto di hardening, etc. Una configurazione molto stringente, spesso richiede un discreto tempo di applicazione, a causa a volte della complessità o della scarsità di documentazione del servizio ospitato. Nelle aziende tipicamente viene definito un livello base di hardening da applicare a tutte le piattaforme, viene successivamente deciso in funzione di unattività di analisi del rischio se incrementare e di quanto la profondità dello stesso.

Ad oggi esistono anche insiemi di script di hardening e tool come Security-Enhanced Linux, Bastille linux, Microsoft Group-Policy JASS per Solaris e Apache/PHP hardener, che possono, per esempio, disattivare funzionalità non necessarie nei file di configurazione e applicare misure protettive di varia natura. Sono disponibili in commercio soluzioni commerciali, piuttosto complesse, per il controllo centralizzato della sicurezza della rete, con possibilità di configurazione estremamente granulare per qualsiasi dispositivo/componente del sistema.

Per la criticità delle attività da svolgere è necessario che il personale tecnico incaricato sia altamente qualificato in quanto si tratta di vera e propria azione investigativa e di difesa perimetrale, nulla può essere lasciato al caso anzi grazie a questo tipo di indagine spesso si riesce a scoprire vulnerabilità mai segnalate dai sistemi interni di Antivirus, Firewall, Antimalware etc.

Il netto vantaggio a livello di sicurezza delle informazioni va però pesato con una certa riduzione della produttività come ovvia conseguenza dellimpossibilità materiale nellesecuzione di determinate attività.