Un manuale in 3 fasi con le migliori pratiche di sicurezza, le principali insidie e i consigli bonus per fermare i truffatori

Introduzione

Nel mondo digitale di oggi, garantire sessioni di supporto informatico a distanza è più che mai fondamentale. Con l’80% degli attacchi ransomware che iniziano attraverso canali di accesso remoto, gli aggressori si stanno concentrando su questi strumenti. La posta in gioco non è mai stata così alta, in quanto l’IA offre ai criminali informatici nuovi strumenti per compiere convincenti azioni di ingegneria sociale, ricognizioni più rapide e creazione automatizzata di malware. In questo contesto, ogni organizzazione deve adottare misure per proteggere le proprie sessioni di supporto IT.

In questa guida scoprirai i tre passaggi fondamentali per proteggere l’accesso remoto, oltre alle migliori pratiche e alle comuni (e costose) insidie per la sicurezza. Inoltre, apprenderai un passaggio bonus dedicato specificamente alle sessioni di supporto in presenza dell’utente, che ti aiuterà a proteggere i tuoi utenti da imitatori e truffe.

Perché il supporto IT remoto è così interessante per gli hacker?

Se fai attenzione ai titoli dei giornali sulla sicurezza, è chiaro: gli strumenti di accesso remoto (RAT) sono un obiettivo primario per gli attacchi alla catena di approvvigionamento, dove gli aggressori compromettono il fornitore del supporto come punto di ingresso in molte altre organizzazioni. Per esempio, ricorderai quando gli aggressori hanno violato il Tesoro degli Stati Uniti sfruttando una vulnerabilità di BeyondTrust, o quando 1.500 aziende sono state infettate da un ransomware a causa della compromissione dei server Kaseya.

Per capire perché questi strumenti sono così attraenti per gli aggressori, è utile innanzitutto suddividere il supporto remoto in due tipi principali: entrambi hanno caratteristiche di sicurezza uniche e sono interessanti per gli hacker.

1. Accesso remoto senza utente: le chiavi del regno

L’accesso remoto senza utente (detto anche accesso remoto o desktop remoto) consente ai tecnici di connettersi ai dispositivi senza la presenza di un utente finale, solitamente tramite un host preinstallato sugli endpoint gestiti e con privilegi di amministratore. Utilizzati sia dai fornitori di servizi gestiti che dai lavoratori remoti, questi strumenti sono una miniera d’oro per gli hacker, poiché compromettere un set di credenziali può significare ottenere il controllo di centinaia o migliaia di endpoint. Inoltre, le loro funzionalità di automazione integrate rendono facile per gli aggressori diffondere malware o rubare dati senza che gli strumenti di sicurezza li segnalino, consentendo loro di nascondersi in piena vista.

2. Sessioni di supporto in presenza dell’utente: cavalli di Troia per ingegneri sociali

Le sessioni in presenza dell’utente (o ad hoc) non richiedono un host preinstallato; l’utente finale deve invece avviare un accesso temporaneo per un tecnico, spesso inserendo un passcode o facendo clic su un link. Sono perfette per supportare i dispositivi non gestiti, ma offrono anche un’opportunità agli aggressori. Impersonando il personale IT o i fornitori, gli hacker possono indurre gli utenti a concedere l’accesso diretto, rendendo possibile la compromissione in tempo reale con un solo attacco convincente.

3 passaggi per proteggere l’accesso remoto (+ 1 passaggio bonus per l’accesso in presenza dell’utente)

Passaggio 1: blocca i tuoi account e le tue sessioni

L’ideale sarebbe fermare gli aggressori prima che possano accedere ai tuoi account o ai tuoi dispositivi. Alcune pratiche ottimali includono quanto segue.

• Utilizzare strumenti criptati: utilizza sempre strumenti di supporto remoto che offrono una crittografia forte e testata in ogni fase della connessione. Cerca piattaforme che utilizzino la sicurezza del trasporto TLS 1.3 e la crittografia integrata AES a 256 bit, garantendo la protezione di tutti i dati.
• Implementare l’autenticazione a più fattori (MFA): gli studi dimostrano che l’MFA può bloccare fino al 99,9% degli attacchi automatizzati alle credenziali, ma spesso non viene applicata. Questa è una delle impostazioni di maggior impatto che puoi attivare.
• Limitazioni all’accesso: richiedi password forti e uniche, impostando policy per le password che richiedono complessità e rotazione, oppure utilizzando il Single Sign-On (SSO) per una maggiore sicurezza (comprese le opzioni senza password). Puoi anche considerare di limitare l’accesso alla console ai segmenti di rete affidabili utilizzando le limitazioni IP.

⚠️ Da evitare: strumenti obsoleti come RDP o VNC. Questi protocolli sono spesso presi di mira dagli aggressori perché molte volte mancano di controlli di sicurezza moderni, hanno una crittografia debole o inesistente e sono vulnerabili agli attacchi brute force e agli attacchi basati su exploit, soprattutto se esposti a internet. A meno che non siano strettamente collegati a canali sicuri come una VPN e non siano limitati dalle regole del firewall, l’uso di questi strumenti può lasciare i tuoi sistemi aperti alle violazioni.

Passaggio 2: mitigare il rischio in caso di credenziali compromesse o minacce interne

Una buona strategia di sicurezza non si concentra solo sulla protezione degli account, ma anche sulla riduzione al minimo dei danni in caso di compromissione delle credenziali. Alcune pratiche ottimali includono quanto segue.

• Controlli di accesso basati sui ruoli e principio del minimo privilegio: limitare ciò che gli utenti possono fare al minimo richiesto dal loro ruolo riduce ciò che gli hacker possono fare con un determinato set di credenziali compromesse. Questo può significare essere intenzionali nel decidere chi ha accesso come amministratore, creare gruppi di tecnici e limitare i permessi di sessione.
• Architettura Zero Trust: alcuni strumenti (come LogMeIn Resolve) utilizzano modelli Zero Trust, che richiedono una verifica supplementare a livello di dispositivo prima di eseguire azioni sensibili. Queste verifiche richiedono una chiave speciale che non viene memorizzata dal fornitore, mantenendo i dispositivi al sicuro in caso di violazione del fornitore.
• Politiche di archiviazione e conservazione dei dati: conservare solo i dati minimi necessari. Se non hai bisogno di registri di chat, IP o altri dati personali, disabilita o automatizza la cancellazione. Riduci i periodi di conservazione in modo che i dati vecchi non siano disponibili per gli aggressori.

⚠️ Da evitare: strumenti che permettono l’accesso senza utente con nessuna password o solo una password specifica per lo strumento per le sessioni remote. L’assenza di password è particolarmente rischiosa, perché significa che gli aggressori hanno bisogno solo delle credenziali del supporto remoto per ottenere l’accesso completo ai tuoi endpoint. Le password specifiche per gli strumenti sono leggermente migliori, ma spesso non sono forti o ben protette come richiesto dalle politiche aziendali e possono essere riutilizzate, facilmente indovinate o compromesse in caso di violazione dei fornitori. Opta invece per strumenti che richiedono controlli Zero Trust o le credenziali locali o dell’amministratore del dispositivo: in questo modo, l’accesso è protetto dagli standard di sicurezza esistenti nella tua organizzazione.

Passaggio 3: prepararsi per individuare e rispondere rapidamente

Anche le migliori difese non possono garantire che non si verifichi mai un incidente, quindi la capacità di identificare rapidamente le attività sospette e di rispondere in modo efficace è fondamentale per ridurre al minimo i danni. Alcune pratiche ottimali includono quanto segue.

• Avvisi in tempo reale: attiva le notifiche istantanee per le azioni critiche dell’account, come i tentativi di accesso falliti, le modifiche della password o le nuove attività dell’amministratore, in modo da poter agire nel momento in cui si verifica qualcosa di sospetto.
• Reporting e registri di audit completi: utilizza strumenti che generano report dettagliati e resistenti alle manomissioni che registrano le attività dell’account e della sessione, come le informazioni di login, le azioni dei tecnici, i dispositivi a cui si accede, i trasferimenti di file e le modifiche ai permessi. Esporta i registri per garantire la conformità, archiviali in modo sicuro e conservali per supportare indagini o audit.
• Registrazione delle sessioni: considera l’opportunità di attivare la registrazione automatica delle sessioni per ottenere un audit trail visivo dell’attività della sessione. A seconda dei requisiti di privacy o di conformità, questa pratica può avere ulteriori limitazioni, come la notifica agli utenti e la definizione di periodi di conservazione adeguati. Se scegli di utilizzare questa funzione, configura il tuo strumento in modo che le registrazioni siano criptate a riposo e non possano essere messe in pausa o disattivate dai tecnici, garantendo così una registrazione continua e affidabile.

⚠️ Da evitare: utilizzare account di agenti condivisi. Anche se può sembrare conveniente, i login condivisi disgregano la responsabilità, rendendo impossibile rintracciare con precisione le attività sospette, indagare sugli incidenti o ritenere le persone giuste responsabili delle loro azioni. Per un’alternativa economica e altrettanto flessibile, cerca soluzioni che offrano l’assegnazione di licenze simultanee, dove più agenti possono condividere le licenze, pur mantenendo credenziali individuali per l’audit e la tracciabilità.

Passaggio bonus: proteggere gli utenti finali dagli imitatori

Sebbene la protezione dell’accesso remoto sia fondamentale, a volte gli aggressori non hanno bisogno di violare i tuoi account: devono solo ingannare i tuoi utenti finali. Ecco alcune tattiche che puoi implementare per proteggere gli utenti finali durante le sessioni in presenza dell’utente.

• Passcode e applet monouso: usa strumenti che generano codici unici e limitati nel tempo per ogni sessione e che lanciano applet temporanee e con rimozione automatica per il supporto in presenza dell’utente. Questo riduce al minimo i rischi impedendo l’accesso dopo la fine della sessione.
• Pagine PIN con marchio e convalida: se stai utilizzando un codice PIN per avviare una sessione con utente, incorpora la tua pagina di inserimento del PIN nel tuo sito web o come collegamento sul desktop e configurala in modo che accetti solo i codici del tuo account. In questo modo è molto più difficile per gli aggressori impersonare il tuo team.
• Limitazioni IP/dispositivi dell’utente finale: alcuni strumenti di supporto remoto possono permetterti di limitare l’accesso a determinati IP e dispositivi solo al tuo account, bloccando i tentativi di sessione da parte di qualsiasi altro account. L’implementazione di questo sistema e il blocco di altri strumenti remoti tramite firewall può essere un modo particolarmente efficace per bloccare i truffatori che cercano di utilizzare i propri strumenti o di impostare un accesso remoto senza utente non autorizzato.

⚠️ Da evitare: strumenti che richiedono agli utenti finali di installare un’applicazione permanente con un ID e una password riutilizzabili. Le credenziali persistenti come queste sono vulnerabili al dirottamento o al riutilizzo da parte di malintenzionati, aumentando il rischio di accesso non autorizzato anche dopo la fine della sessione di supporto iniziale. Ricorda: la serratura più sicura è l’assenza di porte.

Conclusione

Seguendo queste migliori pratiche, puoi ridurre drasticamente il rischio di violazione dei dati durante il supporto informatico remoto. Allo stesso tempo, ricorda che per proteggere le sessioni di supporto remoto una tantum non basta solo attivare le giuste impostazioni. Una vera protezione significa difendersi sia dagli exploit tecnici, come gli attacchi brute force, le vulnerabilità o il malware, sia dalle minacce incentrate sull’individuo, come l’ingegneria sociale, le minacce interne o le credenziali rubate. La costruzione di una vera resilienza richiede una cultura della sicurezza, alimentata da una continua formazione alla sensibilizzazione, da chiari piani di risposta agli incidenti e da un’attenta valutazione dei fornitori. Rimani vigile, fai della sicurezza un’abitudine e la tua organizzazione sarà sempre un passo avanti, indipendentemente da quanto remoto sia il tuo servizio di supporto.

Vuoi saperne di più? Scopri come l’architettura Zero Trust di LogMeIn può aiutarti a proteggere ogni sessione di supporto remoto, a proteggere i tuoi dati e a guadagnare la fiducia degli utenti.

Scopri di più su Zero Trust con LogMeIn.