Manuel Roccon : 30 Aprile 2024 07:26
Le VPN sono uno strumento generalmente sicuro per potersi collegare da remoto a un’infrastruttura informatica. Le VPN di cui stiamo parlano non sono quelle che usiamo per “nascondere” la propria identità su internet o per bypassare limitazioni geografiche per accesso a dei servizi internet. Sono quelle utilizzate dalle organizzazioni per accedere alle proprie risorse da remoto.
Quando siamo collegati in VPN, effettivamente colleghiamo “un cavo virtuale” tra il nostro dispositivo e la rete remota attraverso un tunnel. Queste VPN generalmente sono fornite dai firewall aziendali, possono essere open source come OPVPN, oppure proprietarie del brand.
In ambito aziendale sono utilizzate sia dai dipendenti per accedere alle risorse aziendali, sia da personale non aziendale, come i fornitori per compiere quelle attività di supporto e manutenzione. Sebbene le VPN siano sicure e il traffico generalmente è cifrato la VPN e protetto da autenticazione, resta sempre un vettore di attacco se non adeguatamente protette.
![]() Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Generalmente i dipendenti che le utilizzano, si collegano da un’area sicura. Un dispositivo messo a disposizione del reparto IT con configurate le minime best practice aziendali.
Queste best practice generalmente sono:
Ma per quanto riguarda i fornitori?
Sappiamo bene che ci dobbiamo fidare e fare delle raccomandazioni sulle giuste best pratice da adottare, ma i dispositivi da dove verranno stabilite le connessioni VPN non sono dispositivi controllati dall’organizzazione.
E se il fornitore venisse compromesso, pensiamo a un malware che infetta il suo dispositivo collegato in VPN collegato alla nostra rete aziendale a orari insoliti. Oppure pensiamo se il nostro fornitore subisse un data breach e venissero rubate le connessioni VPN archiviate sui loro sistemi assieme alle credenziali salvate sul notepad
E’ chiaro che bisogna porre delle limitazioni.
Innanzi tutto, account nominali, in modo da conoscere sempre chi ha fatto accesso a che ora, in caso di compromissioni o anomalia è più facile capire l’origine del problema. Gli account dovrebbero essere centralizzati in modo che disattivando il sistema, si perda qualunque tipo di accesso nella rete.
Non meno importante MFA, nel caso un aggressore rubasse i dati di accesso come spiegato prima, MFA impone inserimento di un codice di solito “distante” dalle configurazioni VPN e credenziali rubate. Rispettare sempre l’autorizzazione minima. L’autorizzazione minima deve essere data sia sui sistemi in cui il fornitore deve far accesso da remoto, quindi mai un amministratore di dominio ma account locali, sia limitare porte e IP dove queste connessioni possono accedere.
Per esempio, se il l’utente deve accedere al server in RDP, dalla VPN potrà accede solo ed esclusivamente al IP Y alla porta 3389, tutte le altre richieste saranno droppate. L’accesso al server sarà al massimo amministratore locale.
Bene questo è un tassello fondamentale. Permettere di far collegare le persone senza un’autorizzazione è rischioso e non fa capire agli IT chi si sta collegando in quel giorno. Mi è capitato di vedere inoltre dipendenti delle aziende fornitrici si colleghino a qualunque ora senza avvisare, quando se succedesse qualcosa lo si scoprirebbe solo la mattina seguente.
E’ importante che gli accessi abbiano delle scadenze, magari limitati alla sola giornata (per esempio in ad Microsoft è possibile impostare la Scadenza). E’ comprensibile che questo genera più complessità e più interazione, ma la sicurezza della infrastruttura da difendere è molto più importante.
Per finire, potrebbe essere buona norma inserire un limite di tentativi di connessione prima della disattivazione dell’account, anche momentaneo. Tutti questi dati come connessioni VPN, tentativi sbagliati accessi RDP ecc.. è utile monitorarli tramite sistemi di audit o SIEM in modo da avere visioni in modo semplificato delle anomalie.
Sarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...