Vulnerabilità VMware ESXi: dettagli, versioni interessate, azioni raccomandate
A seguito della notizia datata 4 Febbraio 2023 dell’agenzia della cybersicurezza nazionale in merito allo sfruttamento della…
Vuoi rimanere aggiornato con le ultime notizie? Iscriviti alla nostra newsletter
Redazione Axitea
Le vulnerabilità dei dispositivi IoT emerse negli ultimi anni e la proliferazione delle botnet hanno mostrato quanta poca security by design si faccia in questo ambito e quanto sia facile compromettere dispositivi annoverandoli nel proprio esercito di soldati pronti a compiere gli attacchi richiesti.
Ma non è solo una mancanza dei costruttori di dispositivi IoT, chi “dice” di saper progettare e mettere in campo un sistema di videosorveglianza dovrebbe essere in grado di farlo in maniera sicura sulla base della sua esperienza e delle competenze da mettere in pratica sul progetto.
SECURITY BY DESIGN
Assicurare il corretto deployment dei dispositivi affinché abbiano tutti l’ultimo firmware, niente password di default e una configurazione blindata dal punto di vista security (hardening). Particolare attenzione va posta anche all’architettura, ovvero a come i dispositivi vengono attestati alla rete e segregati dal resto del sistema.
SECURITY BY MONITORING
In questo caso occorre corredare il progetto con un insieme di politiche e procedure che rendano sicuro il processo di gestione dei dispositivi e del sistema nella sua interezza: password policy dei dispositivi e delle componenti di controllo, gestione dei profili di accesso ai dispositivi e al sistema (provisioning e de-provisioning), procedura di aggiornamento delle componenti, policy di accesso e rilascio delle immagini e policy di retention/condivisione con le Forze dell’Ordine.
SECURITY BY GOVERNANCE
A questo livello è importante l’aspetto gestionale del sistema di videosorveglianza, ovvero va posta particolare attenzione al governo della sicurezza nel suo complesso: monitoraggio costante del livello di sicurezza del sistema, valutazione periodica dell’aderenza alle normative vigenti (fra cui ovviamente il GDPR), rilevamento tempestivo di eventuali vulnerabilità o di eventuali campagne mirate attraverso servizi di cyber intelligence, impostazione di un processo efficace di incident handling con la classica “chiusura del cerchio” effettuata con improvement e feedback.
A seguito della notizia datata 4 Febbraio 2023 dell’agenzia della cybersicurezza nazionale in merito allo sfruttamento della…
Un’azienda che decide di affidare la propria sicurezza cyber a un Security Operation Center esterno deve conoscere…
Un’azienda che affida la propria protezione cyber a una società specializzata di servizi gestiti deve verificare che…
In Italia il tema della sicurezza sul lavoro continua a fare notizia e il numero di infortuni…