Speaker 1
Bene, buongiorno a tutti, grazie per averci invitato qui sul palco di Hackinbo.
Francesco Guiducci spiega come bypassare antivirus sospendendo processi Windows e sottolinea l'importanza delle best practice in Cyber Security.
Key Takeaways
- La Cyber Security è fatta di best practice e non solo di prodotti o strumenti costosi.
- Sospendere processi Windows può disabilitare efficacemente antivirus e protezioni endpoint.
- Il cambio regolare delle password rimane una misura di sicurezza essenziale.
- Il multifactor authentication non è infallibile e può essere bypassato.
- Le aziende devono evitare vendor lock-in e adottare strategie di sicurezza integrate e consapevoli.
Summary
- Francesco Guiducci, fondatore di BitArmor e Microsoft MVP, presenta al HackInBo una tecnica per disabilitare antivirus sospendendo processi Windows.
- La Cyber Security non è un prodotto ma un insieme di ostacoli tra azienda e attaccante, non basta affidarsi solo a strumenti costosi come SOC o XDR.
- Molte aziende commettono errori comuni come la gestione errata dei domain controller e la sottovalutazione del cambio periodico delle password.
- Il cambio password regolare rimane una pratica fondamentale per la sicurezza, soprattutto in caso di data breach.
- Il multifactor authentication può essere bypassato, come dimostrato da esempi condivisi sui canali di BitArmor.
- Un ricercatore chiamato Zero Salarium ha scoperto che è possibile sospendere qualsiasi processo Windows tramite la funzione MiniDumpWriteDump del Windows Error Reporting.
- La tecnica consiste nel mettere in standby un processo antivirus tramite un tool che sfrutta la sospensione indefinita della funzione MiniDumpWriteDump, rendendo inefficace l'antivirus.
- Anche con i migliori strumenti di sicurezza, questa vulnerabilità può compromettere la protezione aziendale.
- Viene mostrato un video dimostrativo con il software EvEvader che sospende il processo antivirus mentre si testano file EICAR, riconosciuti come malware.
- L'intervento punta a promuovere una cultura di best practice nella Cyber Security senza dipendere esclusivamente da vendor o prodotti.
Full Transcript — Download SRT & Markdown
Speaker 1
Io sono Francesco Guiducci, sono fondatore insieme a Marvin di BitArmor e mi occupo, sì, Microsoft MVP Data Center and Cloud e sono certificato in Cyber Security, ci occupiamo di infrastrutture.
Speaker 1
Io oggi sono qua per parlarvi di un argomento che mi sta molto a cuore.
Speaker 1
Ho pensato, abbiamo pensato molto a che cosa portare oggi, che cosa avrei potuto portare.
Speaker 1
In realtà, è tutto nato da un qualcosa che si è scoperto da da poco ed è, e lo vedremo dopo con un video che ho fatto e postato sui nostri canali, su come viene disabilitato, come vengono disabilitati, in questo caso, Endpoint Protection, antivirus, qualsiasi antivirus.
Speaker 1
In realtà, non ci basiamo solo sulla sospensione di antivirus e Endpoint Protection.
Speaker 1
Ma è la sospensione in generale di processi, quindi mettere in coma dei processi.
Speaker 1
Quello che vi stavo dicendo, quindi, non siamo qua per parlare di me oggi, di BitArmor.
Speaker 1
Ma siamo qua per farvi vedere la la difesa delle aziende.
Speaker 1
Con senza vendor lock-in.
Speaker 1
Ora, io ci tengo a seguire una una linea guida, un principio.
Speaker 1
Che cos'è per noi la Cyber Security?
Speaker 1
La Cyber Security non è un prodotto.
Speaker 1
Questo è è chiaro a tutti, non è un prodotto.
Speaker 1
Ma è un insieme di ostacoli, è un insieme di ostacoli che noi mettiamo tra l'azienda e l'attaccante.
Speaker 1
Questo perché? Perché possiamo avere, lo sapete meglio di me, tutti i prodotti migliori al mondo.
Speaker 1
Possiamo avere prodotti che ci garantiscono controllo 24 ore su 24, 7 giorni su 7.
Speaker 1
Ma questo non fermerà gli attaccanti, ok?
Speaker 1
E l'esempio che vi farò vedere, il video che vedrete dopo, su come vengono disabilitati gli antivirus, è un un esempio lampante di quello che vi sto dicendo.
Speaker 1
Quello che, appunto, mi preme dire è che oggi, nelle nella maggior parte delle aziende, dove andiamo, gli IT manager, soprattutto gli IT manager e gli imprenditori, pensano che la soluzione sia comprare SOC, XDR, NOC, NDR.
Speaker 1
Spendere un sacco di soldi, perché veramente spesso costano tantissimi soldi.
Speaker 1
E essere protetti.
Speaker 1
Certo, SOC, XDR, NOC, NDR, Endpoint Protection, che ci vogliono e che sono strumenti importanti, arrivano ma alla fine di un processo.
Speaker 1
Io adesso non so qua in sala quanti tecnici, quanti IT manager, quanti tecnici ci sono.
Speaker 1
Quindi, ecco.
Speaker 1
Vi faccio un esempio, quello che vi voglio dire è questo.
Speaker 1
Molte volte, quando arrivo nelle aziende, chiedo, e queste sono le domande che faccio, quanti di voi si connettono per resettare una password, per creare delle utenze, si connettono ai domain controller?
Speaker 1
Solitamente, questa è una una pratica che viene fatta da quasi tutti gli IT manager.
Speaker 1
Sbagliato.
Speaker 1
Prima c'era il mio collega, la la persona che c'era prima qua a parlare, al mio posto, vi parlava di backup, ok?
Speaker 1
Ma un altro esempio è, i domain controller vanno backuppati o no?
Speaker 1
Quanti pensano che i domain controller vadano backuppati come gli altri server?
Speaker 1
I domain controller vanno backuppati, ma non vanno mai ripristinati a backup.
Speaker 1
Questa è una regola importantissima.
Speaker 1
La gestione dei DNS all'interno delle infrastrutture.
Speaker 1
La gestione dei permessi, quindi domain admin incontrollati.
Speaker 1
Ecco che ci sono tantissime cose che vi potrei dimostrare, vi potrei mostrare, che si trovano oggi nelle aziende.
Speaker 1
Oggi nelle aziende abbiamo tantissimi tantissime persone, tantissimi IT manager che sostengono.
Speaker 1
Io mi ci sono trovato l'altro ieri a discutere con una persona che sostiene che il cambio password, quindi ogni 30, 60, 90 giorni, non è un qualcosa di utile, è un qualcosa di superato.
Speaker 1
Quanti di voi pensano che sia superato il cambio della password ogni 30, 60 giorni oggi?
Speaker 1
Il cambio delle password oggi non è superato.
Speaker 1
Il cambio delle password oggi è una cosa importantissima.
Speaker 1
Perché? Perché se una delle password che voi utilizzate al lavoro, la utilizzate nella vostra vita privata e finisce in un data breach, questa password rimarrà valida sempre, se non verrà cambiata.
Speaker 1
Il multifactor authentication è bypassabile.
Speaker 1
Sui nostri canali abbiamo fatto vedere come bypassare il multifactor authentication.
Speaker 1
Quindi, quello che oggi ci preme affrontare è che la Cyber Security non è una questione di prodotti.
Speaker 1
È una questione di best practice.
Speaker 1
Non è una questione complessa.
Speaker 1
Certo, non tutti fanno il nostro lavoro, non tutti fanno i tecnici di Cyber, i tecnici IT.
Speaker 1
Quindi, in questo caso, è un po' più complesso.
Speaker 1
Ma la Cyber Security è una questione semplice.
Speaker 1
È una questione di best practice.
Speaker 1
Cosa succede?
Speaker 1
Un ricercatore che si chiama, lo trovate, io non posso dar troppi dettagli, perché in Italia c'è una legge per cui potrei essere perseguibile.
Speaker 1
Però, già nel video lo vedremo, c'è un ricercatore di sicurezza che si chiama Zero Salarium.
Speaker 1
Che ha scoperto che è possibile, attraverso un un processo, sospendere qualsiasi processo di Windows.
Speaker 1
Quindi, attraverso il Windows Error Reporting, che è un servizio che gira in Windows e si occupa di far cosa?
Speaker 1
Beh, quando un software crasha, quando un software ha dei problemi, di fare un dump del processo.
Speaker 1
E di andare a fare che cosa? Inviare questo dump, queste informazioni a Microsoft o a un server interno.
Speaker 1
E quindi raccogliere quello che è successo, quindi, qua andiamo avanti.
Speaker 1
A raccogliere quello che è successo su quel processo.
Speaker 1
Bene, che cosa succede? Succede che questo ricercatore ha detto, beh, quando viene il dump del processo, questo processo, e attenzione, viene fatto con un servizio di Windows, quindi un servizio legittimo, che invoca una funzione, che è il MiniDumpWriteDump.
Speaker 1
Questo funzione mette in standby, in stato di idle, per un tempo impercettibile per voi, il processo, perché per fare il dump deve mettere in standby questo processo.
Speaker 1
E voi direte, vabbè, ma è un tempo impercettibile.
Speaker 1
Poi il processo riprende.
Speaker 1
Sì, è vero.
Speaker 1
Ma questo ricercatore cosa ha pensato? Ha detto, io utilizzo il il il mio tool che sto creando per chiamare, appunto, la funzione MiniDumpWriteDump.
Speaker 1
E una volta che io la chiamo, questa mette, gli passo un un PID, quindi un ID del processo di Windows, e questo viene messo per una frazione di secondo, un tempo veramente breve, in idle.
Speaker 1
A quel punto lì, cosa faccio? Io sospendo il tool che ha chiamato questa funzione.
Speaker 1
E quindi cosa succede? Succede che sospendendo un tempo indefinito il tool che ha chiamato questa funzione, la funzione non uscirà mai da questo loop.
Speaker 1
E quindi qual è il risultato? Il risultato è che l'antivirus, in questo caso, un qualsiasi processo, perché io posso prendere di mira un qualsiasi PID, viene sospeso.
Speaker 1
E la sospensione cosa comporta? Che l'antivirus non lavora più.
Speaker 1
Potete avere i migliori antivirus del mondo.
Speaker 1
Ma l'antivirus non funziona.
Speaker 1
Quindi, cosa succede? Succede che torniamo a quello che vi stavo dicendo, voi potreste avere i migliori strumenti al mondo.
Speaker 1
Un SOC, un NDR, ma non servirebbero in questo caso.
Speaker 1
Vediamo, appunto, il video, è un video di un minuto.
Speaker 1
È un estratto del video che ho fatto sui miei canali, dove viene fatta vedere questa questa questa pratica, ok?
Speaker 1
Come vedete, sulla sinistra ho il EvEvader, che è il mio il mio software sviluppato, che ingloba anche il software che andremo a, appunto, ad utilizzare per mettere in stato dormiente, in stato di coma, un processo specifico, che è quello, appunto, del mio agente antivirus.
Speaker 1
Qua abbiamo un nuovo uno copia e nuovo uno TXT, che sono dei file EICAR, quindi sono dei file scaricati dal sito di EICAR con delle stringhe che tutti gli antivirus riconoscono come malware.
Speaker 1
E sono file fatti appositamente per testare gli antivirus.
Speaker 1
Questi, diciamo, questi queste questi file di testo contengono una stringa particolare, quindi EICAR standard antivirus test file.
Speaker 1
E che se lanciati, se copiati, se si interagisce, appunto, con questi file, l'antivirus inizia a, insomma, a prendersela male, a bloccare.
Speaker 1
Vediamo infatti che copio il file e il mio antivirus va a mitigare immediatamente la minaccia.
Speaker 1
Come vedete, il il il PID 2592 è il PID, quindi il process ID del mio, diciamo, agent antivirus.
Speaker 1
E quindi, in questo caso, io vado a lanciare l'EvEvader per andare proprio a bloccare questo processo.
Speaker 1
Lanciando, quindi, il mio EvEvader, cosa succede?
Speaker 1
Che intercetta in automatico l'antivirus che c'è a bordo, grazie al tool che ho sviluppato io, va a chiamare il tool del ricercatore su questo PID del processo.
Speaker 1
E come vedete, l'agente viene sospeso.
Speaker 1
Se io vado, infatti, a copiare il file, vado a interagire con il mio virus, ecco che a questo punto l'antivirus non reagisce più al al virus.
Speaker 1
E quindi posso tecnicamente lanciare qualsiasi tipologia di malware a bordo, perché l'antivirus in questo momento è in coma.
Speaker 1
Questo cosa comporta? Comporta che, come vedete, questi erano file EICAR, ok, però pensate a file offuscati, a payload offuscati.
Speaker 1
Ovviamente, non verrebbero assolutamente individuati e da lì si aprirebbe una breccia.
Speaker 1
Questo che cosa comporta, in realtà?
Speaker 1
E voi direte, vabbè, Francesco, a questo punto, cioè, se sospendiamo i processi così, come ci difendiamo?
Speaker 1
In realtà, si parla di best practice, perché questo.
Speaker 1
Poi, un'altra cosa che, insomma, prima mi è sfuggita.
Speaker 1
E quanti di voi vanno nelle aziende, adesso non so quanti di voi siano consulenti o quanti siano in azienda e ancora oggi trovate gli utenti sulle loro postazioni amministratori?
Speaker 1
Adesso, io lo so.
Speaker 1
Tutti diranno, eh no, ma è una cosa che non succede.
Speaker 1
No.
Speaker 1
L'altro ieri ero in un comune di 200 persone, 200 persone, dove, in un'azienda partecipata la settimana scorsa, dove gli utenti sono amministratori locali.
Speaker 1
Perché così gli IT manager hanno meno lavoro, perché sono sempre qua.
Speaker 1
Ovviamente, gli utenti possono lavorare.
Speaker 1
E certo che possono lavorare.
Speaker 1
Sono amministratori, quindi fanno quello che gli pare.
Speaker 1
In questo caso, come ci si fa, come si fa a difendersi?
Speaker 1
C'è una una policy, una Group Policy Object, lo si può fare in tanti modi.
Speaker 1
Ma c'è una Group Policy Object che va a definire il SeDebugPrivilege.
Speaker 1
Cioè, i privilegi che vengono assegnati al servizio di Windows per fare dei dump, perché è vero, questo, quello che avete visto prima, è un tool che ho sviluppato io.
Speaker 1
Che non fa altro che inglobare il tool di questo ricercatore e cosa fa questo tool?
Speaker 1
Cerca antivirus, quindi tutti gli antivirus conosciuti sulla macchina, in automatico, prende i PID.
Speaker 1
Dà un tempo, frizza l'antivirus, ok?
Speaker 1
Attraverso la questa chiamata.
Speaker 1
Ma questa chiamata viene fatta su un processo tale, per cui servono dei privilegi elevati.
Speaker 1
Quindi, se si è amministratori della macchina, questo gioco è presto che fatto.
Speaker 1
Non serve più.
Speaker 1
Non serve più provare un'escalation di privilegi.
Speaker 1
Perché?
Speaker 1
Perché questo processo, per accedere, per accedere a processi come l'antivirus, come processi delicati, come software di sicurezza, ha bisogno di privilegi elevati.
Speaker 1
Che non vuol dire essere amministratori, eh.
Speaker 1
Privilegio elevato non vuol dire essere amministratori.
Speaker 1
Infatti, SeDebugPrivilege si può impostare a livello di Group Policy per definire chi ha l'accesso con permessi elevati per agganciarsi in debug ai processi con quella funzione che vi ho fatto vedere prima.
Speaker 1
Ora, ricapitolando.
Speaker 1
Voi mi direte, vabbè, Francesco, allora.
Speaker 1
Devo settare solo alcuni utenti che possono agganciarsi a quei processi.
Speaker 1
No.
Speaker 1
Io solitamente nelle infrastrutture disabilito questa funzionalità.
Speaker 1
Cioè, nessuno si può agganciare ai processi.
Speaker 1
E la domanda sorge spontanea.
Speaker 1
Ok, quindi non funziona più niente.
Speaker 1
Non è vero.
Speaker 1
No.
Speaker 1
Perché in rari casi, questa questa SeDebugPrivilege serve in rarissimi casi.
Speaker 1
Ovvero, quando, ad esempio, abbiamo degli sviluppatori che sviluppano dei software con Visual Studio o con altri software e hanno bisogno di agganciarsi a dei processi di sistema in debug, ok?
Speaker 1
Ma in quante aziende c'è questa esigenza?
Speaker 1
Il 5%, il 10%?
Speaker 1
Quindi abbiamo già ristretto il campo.
Speaker 1
Inoltre, per far questo, si può creare un gruppo di utenti privilegiati.
Speaker 1
Che ha la possibilità di andare a agganciarsi in debug alle macchine, oppure ad account di servizio, come i Managed Service Account o altro.
Speaker 1
Ora, quello che io vi ho fatto vedere.
Speaker 1
Ed è l'ultima domanda che che io vi ho fatto.
Speaker 1
Non funziona più niente?
Speaker 1
No, non è vero.
Speaker 1
Perché in realtà, andando a limitare il SeDebugPrivilege, tutto continua a funzionare.
Speaker 1
Quindi, log negli event viewer, ci sono ancora.
Speaker 1
Il Windows Error Reporting, che è il servizio che funziona su Microsoft, continua a funzionare.
Speaker 1
Che cosa non funzionerà?
Speaker 1
Beh, non funzionerà l'agganciarsi a, diciamo, servizi o a processi che girano con privilegi elevati all'interno della macchina e per i quali ci sono, c'è la necessità di avere privilegi elevati.
Speaker 1
Voi starete pensando, vabbè, allora a questo punto.
Speaker 1
Io non do privilegi elevati, non è amministratore.
Speaker 1
Il gioco è fatto.
Speaker 1
Voi che siete a una convention di Cyber Security.
Speaker 1
E quindi siete nel settore.
Speaker 1
Lo sapete benissimo che se io atterro su una macchina dove non ho i privilegi elevati.
Speaker 1
Quanto mai ci vorrà per fare un'escalation di privilegi?
Speaker 1
Per diventare system.
Speaker 1
È la prima cosa che si fa.
Speaker 1
Si cerca l'escalation di privilegi con una vulnerabilità, con un software vulnerabile.
Speaker 1
Ce ne sono sempre nelle infrastrutture.
Speaker 1
E poi si cerca di avere persistenza.
Speaker 1
Quindi, l'escalation dei privilegi è la prima cosa, una volta fatta eventualmente l'escalation dei privilegi, se non sono già amministratore.
Speaker 1
Io faccio questo giochetto e la macchina è a terra.
Speaker 1
Ma non la macchina solo.
Speaker 1
L'intera infrastruttura.
Speaker 1
Movimenti laterali, uso la stessa tecnica.
Speaker 1
Quanti utilizzano, e questa è una domanda classica che faccio, nelle infrastrutture dove andate.
Speaker 1
Trovate centinaia di computer, decine di server.
Speaker 1
E qual è la best practice, fra virgolette, la best practice?
Speaker 1
È creare un utente amministratore con la stessa password per tutti i computer, ok?
Speaker 1
Questa è una cosa che molti di voi penseranno, eh, ma non è.
Speaker 1
Quante volte andate nelle aziende e trovate questa cosa qua?
Speaker 1
Il 90% delle volte.
Speaker 1
Non viene usato, ad esempio, Microsoft LAPS per gestire le password in maniera automatica all'interno dell'infrastruttura con password diverse per gli amministratori locali.
Speaker 1
Quindi, perché vi sto dicendo queste cose?
Speaker 1
Perché alla fine è vero, SOC sono bellissimi, XDR sono bellissimi.
Speaker 1
EDR, fantastico, da avere, eh.
Speaker 1
Non sto dicendo che non ci vogliono.
Speaker 1
Ci vogliono su tutte le macchine.
Speaker 1
Io settimana scorsa ero a un altro evento dove parlavo di Endpoint Protection e ho chiesto, ragazzi, quindi gli EDR vanno su tutte le macchine.
Speaker 1
Due persone, una persona ha alzato la mano e ha detto, no.
Speaker 1
E io ho chiesto, dove non va?
Speaker 1
Sui domain controller non ci vanno gli EDR.
Speaker 1
Attenzione, adesso alcuni di voi rideranno, penseranno, ma chi è questo?
Speaker 1
Questo è un IT manager che gestisce un'azienda di centinaia di postazioni.
Speaker 1
Dove non ha messo gli EDR sui domain controller, perché pensa che la risposta è quella, i domain controller sono macchine che sono iper protette.
Speaker 1
Sono l'ultimo scoglio per la nostra azienda.
Speaker 1
Un attaccante prima si occupa di attaccare macchine.
Speaker 1
Come client, come altre tipologie di server.
Speaker 1
Quindi, il fatto che non siate amministratori non è scontato.
Speaker 1
E questa cosa qua tira dal suolo l'infrastruttura, perché disabilito qualsiasi tipologia di processo, ok?
Speaker 1
Quindi, SeDebugPrivilege, ci sono delle delle cose da fare, quindi Group Policy.
Speaker 1
Ed è questo che che ci tengo tantissimo a a far passare come messaggio.
Speaker 1
La Cyber Security è un insieme di ostacoli, è un insieme di best practice, ok?
Speaker 1
Amministratori locali, password uguali.
Speaker 1
Il reset delle password.
Speaker 1
Tutti in cloud.
Speaker 1
Le amministrazioni pubbliche che adesso vanno tutte in cloud.
Speaker 1
Il cloud sembra diventata la panacea di tutti i mali.
Speaker 1
Non funziona così.
Speaker 1
Il cloud è importante.
Speaker 1
Ma la situazione va analizzata correttamente.
Speaker 1
In questo caso, cosa viene prima dei prodotti?
Speaker 1
In questo caso, vengono, viene la formazione degli IT manager.
Speaker 1
Audit.
Speaker 1
Quindi, noi, ad esempio, la prima cosa che facciamo quando andiamo nelle aziende, non è offrire dei servizi.
Speaker 1
La prima cosa che facciamo è fare un'analisi.
Speaker 1
Noi facciamo un'analisi completa di tutto quello che c'è nell'infrastruttura.
Speaker 1
E l'esempio è vedere come sono impostati i DNS.
Speaker 1
Vedere come sono le regole del firewall.
Speaker 1
Vedere come sono gestiti i permessi.
Speaker 1
Vedere come sono gestite le utenze.
Speaker 1
Quali software ci sono.
Speaker 1
Perché anche questo è parte del nostro lavoro.
Speaker 1
Come viene, ad esempio, il traffico dei DNS?
Speaker 1
Se ci sono dei filtri interni.
Speaker 1
Pensate, chiedetevi se sapete esattamente come dovrebbe girare un traffico DNS all'interno delle vostre infrastrutture.
Speaker 1
Quante volte io arrivo nelle infrastrutture e anche qua ci facciamo un'altra risata.
Speaker 1
Guardo sulle macchine e le macchine hanno un DNS che è interno, che punta a un domain controller e l'altro DNS che è esterno, sull'8888.
Speaker 1
Non ci sono regole che filtrano il traffico da dentro.
Speaker 1
Quindi, tutte le macchine, potenzialmente, possono cambiare il loro DNS.
Speaker 1
E questo traffico DNS andrà all'esterno.
Speaker 1
Sbagliato.
Speaker 1
Ci devono essere dei filtri su firewall che bloccano il traffico interno dei DNS.
Speaker 1
E lo consentono solo per i domain controller.
Speaker 1
Quanti hanno nelle loro infrastrutture domain controller con DNS Microsoft che non sono sulle macchine del domain controller?
Speaker 1
Quindi, sono servizi configurati in maniera errata.
Speaker 1
Perché il DNS installati, il servizio DNS installato sulle macchine domain controller è un servizio che ha DNS integrato.
Speaker 1
E si possono fare un sacco di cose in più.
Speaker 1
Quindi, quello che noi facciamo non è offrire un prodotto.
Speaker 1
Quello che, in generale, secondo me, noi tecnici dovremmo fare, è non offrire subito dei prodotti, non offrire del ferro.
Speaker 1
Un mese fa siamo andati da un'azienda, rasa al suolo.
Speaker 1
50, 60 postazioni.
Speaker 1
Una decina di di macchine virtuali.
Speaker 1
Rasa al suolo.
Speaker 1
Quindi, hanno dovuto recuperare i file che sono riusciti a recuperare da un vecchio backup e stanno cercando di ripartire.
Speaker 1
Quando siamo arrivati noi, cosa è successo?
Speaker 1
Che loro ci hanno detto, sì, bellissimo, quanto ci fate pagare per revisionare l'infrastruttura?
Speaker 1
X.
Speaker 1
Noi non abbiamo più budget, perché chi ci seguiva.
Speaker 1
È arrivato.
Speaker 1
E ci ha detto, ok, vi hanno raso al suolo, perfetto, vi diamo del ferro.
Speaker 1
Cambiamo i server.
Speaker 1
E hanno lasciato l'infrastruttura esattamente così.
Speaker 1
Certo, hanno speso 50.000, adesso hanno un XDR fantastico che nessuno segue.
Speaker 1
Perché l'XDR è un comunque uno strumento complesso da seguire.
Speaker 1
Hanno un accentratore di log che nessuno sa come utilizzare e l'hanno pagato 5.000.
Speaker 1
E l'infrastruttura è come prima.
Speaker 1
Senza autenticazione a doppio fattore sulle VPN.
Speaker 1
Un altro esempio.
Speaker 1
Quindi, l'importanza che noi dovremmo dare, noi tecnici, voi stessi dovreste dare alla Cyber Security.
Speaker 1
Secondo me, dovrebbe vertere di più sulla la formazione.
Speaker 1
E sulle tecniche che dovete utilizzare all'interno dell'infrastruttura.
Speaker 1
Per la gestione delle utenze.
Speaker 1
Quindi, quante volte aprite il gruppo Domain Admins, Schema Admin, Enterprise Admin e trovate tantissime utenze?
Speaker 1
Quante volte nelle Enterprise Admin e nello Schema Admin trovate decine di utenze?
Speaker 1
Anche solo tre o quattro.
Speaker 1
Questi gruppi devono rimanere vuoti.
Speaker 1
Nessuno deve essere domain admin all'interno dell'infrastruttura.
Speaker 1
Nessuno.
Speaker 1
Dovreste averne due di sicurezza che usate solo ed esclusivamente per operazioni complesse durante l'anno.
Speaker 1
Trust tra domini.
Speaker 1
Ma quanti di voi fanno più di una volta all'anno un trust tra un dominio e l'altro?
Speaker 1
Ma io non non non conosco aziende che tutti gli anni fanno trust.
Speaker 1
E quella volta che serve, usate il domain admin.
Speaker 1
Voi tecnici IT non dovreste essere domain admin.
Speaker 1
Dovreste essere utenti normali, dovreste avere quattro utenze separate.
Speaker 1
Una per l'amministrazione del server, una per l'amministrazione dei client.
Speaker 1
Quanti di voi hanno segmentato la vostra infrastruttura Microsoft in livelli tier?
Speaker 1
Chi è che sa cos'è un livello tier?
Speaker 1
Chi sono i livelli tier qua?
Speaker 1
Non abbiate paura, alzate la mano chi sa che cos'è un livello tier.
Speaker 1
Qua siamo in 50, 60, hanno alzato la mano in cinque.
Speaker 1
Che cos'è un livello tier?
Speaker 1
I livelli tier nell'infrastruttura sono dei livelli logici che poi trovano una traduzione tecnica.
Speaker 1
Tale per cui voi i domain controller li dovete isolare dal resto del mondo, in reti separati e ai domain controller ci accedono solo i domain admin.
Speaker 1
Quindi, non ci accedete mai.
Speaker 1
Poi c'è la parte server.
Speaker 1
Quindi, solo gli utenti amministrativi isolati possono accedere a ai server come amministratori.
Speaker 1
E non possono accedere ai client e non possono accedere ai domain controller.
Speaker 1
E il livello due tier è quello dei client.
Speaker 1
Dove voi IT manager dite, un utente dedicato per accedere ai client in maniera amministrativa.
Speaker 1
E quell'utenza non può accedere agli altri livelli.
Speaker 1
Ok?
Speaker 1
Quindi, è un po' come la cosa del backup, se l'avete vista prima.
Speaker 1
Che va isolato.
Speaker 1
Quindi, per andare in conclusione, ok, forse mi sono dilungato un po' troppo.
Speaker 1
Per andare in conclusione, quello che noi facciamo, ma è quello che noi, quello in cui noi crediamo, è che la Cyber Security oggi sia un argomento che noi portiamo.
Speaker 1
Noi tecnici, anch'io a volte, me ne rendo conto, portiamo in maniera troppo complessa alle persone.
Speaker 1
La Cyber Security nel 90% dei casi non è una cosa complessa.
Speaker 1
È una questione di abitudine.
Speaker 1
Non è una questione di un prodotto che costa, è una questione di best practice.
Speaker 1
Grazie.
Topics:Cyber Securityantivirusbypass antivirusWindows Error ReportingMiniDumpWriteDumpbest practice sicurezzadomain controllercambio passwordmultifactor authenticationBitArmor
![[아이온2] 담당자 분들 꼭 보셔야합니다. 마도성 PVE 치명적인 문제점 정리. — Transcript](https://i.ytimg.com/vi/naemKok4kCI/maxresdefault.jpg)
