Interessante articolo sulla cybersecurity dove prevenire diventa essenziale!

Recentemente, leggendo delle notizie ne ho trovata una interessante e, a mio parere, divertente sul caso di abusi di dipendenti-privilegiati.

Per farla breve, Nicholas Berthaume, un ex analista delle comunicazioni del consiglio dei governatori della Federal Reserve System ha installato un software non autorizzato sul server Fed per ricavare bitcoin e nel farlo è stato colto in flagrante.

Non ci sono dichiarazioni su quanto tempo aveva passato a “scavare” e quanti bitcoin aveva guadagnato facendolo; Probabilmente è stato per un certo periodo "non breve" di tempo ...

È un caso semplice, ma perché mi sono sforzato a scrivere questo articolo? Il fatto è che le mie previsioni sono che la cybersecurity sarà sempre più essenziale in futuro e questo caso indica che anche in un’organizzazione come Fed la cybersecurity non è come dovrebbe essere e vi spiego perché.

Il ruolo di Berthaume era analisi delle comunicazioni; questo ruolo suppone di avere un ruolo di amministratore (privilegiato) per poter amministrare server, device network come backbones, router e firewall. Ok, hai accesso a tutte queste cose e pensi: “Fammi ricavare qualche bitcoin!” (è avarizia oppure il suo stipendio è troppo basso?). Probabilmente sapeva che la cybersecurity nella sua azienda non era così ottimizzata (stiamo parlando di Fed, non di un villaggio scuola, dovrebbe esserlo!), e semplicemente ha installato un software per il mining di bitcoin in un server (i server in Fed contenevano una grande quantità di carte di credito o si aspettava di raccogliere bitcoin per anni?) e ha creato un account VPN per accedere alla rete di Fed da casa, probabilmente guardando da un grande schermo TV quanto velocemente stava diventando ricco. Ma la cosa che ha realizzato la mia giornata è stata che “Berthaume inizialmente ha negato ogni conoscenza del cattivo comportamento. Più tardi (mi sto domandando “quanto” tardi), comunque, Berthaume ha cancellato da remoto il software che aveva installato nello sforzo di nascondere le sue azioni.

Quindi, sei uno specialista della Federal Reserve cybersecurity, e hai notato, in qualche modo, l’installazione di qualche software sospetto (penso non sia stato un alert momentaneo, ha richiesto il suo tempo), e trovi una persona che potrebbe esserne potenzialmente l’autore della malefatta e gli chiedi: “hai installato tu questo software?” (chiaramente risponderà “Certo, volevo solo qualche bitcoin per una birra!”). Non dai delle restrizioni ai suoi accessi, non blocchi il traffico nel firewall da quel server fatto da questo software (comunque, perché mai stai permettendo che del traffico bypassi tramite la porta 8333 oppure Berthaume ha raggiunto la lista di accesso al firewall?), gli chiedi se è stato lui e poi aspetti che qualcuno cancelli il software da remoto per coglierlo nel fatto? Oh, siete fortunati (oppure sapete che questa persona non è così intelligente, quindi perché l’avete assunta?)…
Usando questi tipi di privilegi di accesso avrebbe potuto fare “qualcosa in più” rispetto a cancellare solamente il suo goldfish…

Bene spero che ciò che segue non siano solo belle parole: “Le azioni di Berthaume non risultano come una perdita di informazioni e siamo stati informati che sono state implementate dei miglioramenti alla sicurezza come risultato di questo incidente. Questo caso dimostra come il mio ufficio porterà avanti con fermezza azioni contro i dipendenti della società che violano la legge abusando delle loro posizioni per utilizzare la proprietà del governo per un ritorno personale. "
La vera cybersecurity migliora la situazione con appropriati alert che riguardano ogni cambiamento fatto al firewall (con una lista di accesso propriamente configurata), nei server, videoregistrazioni durante le sessioni di utenti critici e così via. Al giorno d’oggi ci sono molte minacce pericolose che stanno diventando sempre più complicate e più difficili da tenere sotto controllo, il che significa che tutti gli specialisti di sicurezza devono essere dei veri professionisti e devono creare i loro ambienti IT in modo corretto.

La minaccia interna non è uno scherzo ed è l'incidente di sicurezza più comune, quindi dovremmo essere preparati! 

Fonte: https://blog.netwrix.com/2017/02/23/its-all-about-cyber-security-insider-threat-missed-by-the-fed/