Diamo un’occhiata al connettore di eventi di sicurezza di Windows

Diamo un’occhiata al connettore di eventi di sicurezza di Windows

23/10/2021 0 By Redazione

Francamente inizio a sospettare seriamente che le azioni dei criminali informatici verso questo o quel server della pubblica amministrazione riportate dai media siamo solo la punta di un iceberg che rischia di far affondare, come il Titanic, molte strutture, grandi, piccole e medie. Mi sto convincendo che la cultura della sicurezza informatica, troppo spesso, non esiste. A tutti i livelli. In fondo, mi direte, cosa c’è di male se mi connetto al Wi-Fi del luogo di lavoro per controllare la mia posta personale, per seguire i social media, per fare qualche “innocente” ricerca personale, per rimanere collegato con amici e parenti usando le messaggerie istantanee? In teoria nulla, fino a che non clicco sul link per seguire la consegna di quel pacco (che non ho mai ordinato), fino a che non scarico quel programma o quella app “indispensabile”, fino a che non apro quell’immagine inviata dal cugino che nemmeno mi ricordo che faccia abbia. Tutti casi che possono consentire alle organizzazioni di criminali informatici di aprire una “back-door” (una porta sul retro) del sistema informatico aziendale dando accesso a programmi, archivi, siti internet. Con buona pace del responsabile IT che, alla scoperta, può fare ben poco per correre ai ripari.

Sicurezza rete aziendale con Windows

Eppure i sistemi per proteggere una rete aziendale, per quanto complessa sia, esistono e non sono nemmeno tanto difficili da gestire. Anche nella più banale delle installazioni di Windows 10 Home Edition è possibile controllare chi ha fatto l’accesso, chi ha tentato un accesso, se un programma ha modificato i privilegi di un utente. Se il PC in questione è collegato a una rete aziendale l’analisi dei registri di sicurezza del server e delle singole stazioni di lavoro che generano eventi di sicurezza consentono a responsabile IT e al DPO (Data Protection Officer) di stabilire le regole opportune per evitare incidenti. Quando la rete è configurata per assicurare accessi da remoto (smart working e simili) il responsabile IT deve essere, ovviamente, essere informato di eventi potenzialmente pericoli per la sicurezza della struttura e prendere, tempestivamente, le contromisure più opportune, “chiudendo la stalla prima che i buoi scappino”.

La risposta di Microsoft Azure

Microsoft mette a disposizione dei responsabili IT il Centro sicurezza Azure, un sistema di gestione della sicurezza delle infrastrutture informatiche pensato per rafforzare la sicurezza dei centri di elaborazione dati e per fornire una protezione di alto livello contro le minacce su cloud, aia Azure sia no, sia in locale. Utilizzando il connettore di sicurezza di Microsoft Windows è possibile trasmettere a Azure Sentinel una serie di informazioni che saranno elaborate per migliorare la sicurezza. Il responsabile IT della struttura potrà decidere se inoltrare tutti gli eventi di sicurezza e gli eventi che hanno bloccato qualche applicazione; un set di eventi comune relativo alle connessioni (o tentativi di connessione) e disconnessione, modifiche dei gruppi di sicurezza ed altri tipi di eventi on line; un set minimo che indica eventuali potenziali minacce, non contiene informazioni sulla disconnessione ma fornisce segnali interessanti sulla creazione dei processi. Ovviamente è anche possibile disabilitare il connettore di sicurezza e quindi fidarsi di tutti. Con buona pace della policy “Zero Trust”.