Security managementSicurezza

INCHIESTA SICUREZZA – Come cambiano i modelli di difesa

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Parte seconda – Dalla cultura della protezione per l’endpoint alla centralità del dato. Le proposte dei vendor che nell’era cloud e IoT riconoscono l’importanza di un approccio ‘esteso’

Sicurezza IT, come difendersi? L’abbiamo chiesto ai nostri lettori e poi ai vendor. A fattor comune c’è almeno un punto su cui è facile trovare l’incontro di tutti e vi sono poi altri elementi invece su cui c’è una significativa convergenza condivisa.
Prima di tutto: nessuno può promettere a nessuno l’invulnerabilità al 100 percento delle proprie infrastrutture e la certezza di poter proteggere i dati al cento percento. Significa che quando si parla di sicurezza si deve riconoscere che ci si muove in un ambito con la variabile fissa e costante di un antagonista in azione, il cybercrime, che investe denaro e tempo per trovare una breccia e sferrare il suo attacco. Non è quindi possibile promettere percentuali bulgare di efficacia, come per esempio avviene quando si garantiscono le performance dei sistemi di cloud computing.

Sicurezza IT - Come difendersi
Sicurezza IT – Come difendersi

Oltre il fortino, la protezione dei dati e la formazione

Un altro aspetto ampiamente condiviso riguarda la fine di un modello di difesa, quello perimetrale, quello del fortino che contiene il tesoro da proteggere. L’evoluzione IT, con la contaminazione (quando non l’abbandono) delle architetture rigorosamente on-premise, e l’integrazione dei servizi, di più servizi, in cloud, ha spostato l’attenzione sul dato. Ma questo ha fatto anche registrare un aumento di attacchi in cloud e su end point on-premise o virtualizzati in aumento anno su anno (del 32 percento secondo il rapporto Clusit). 

Un terzo aspetto riguarda la formazione, la capacità cioè di fare in modo che sia patrimonio aziendale di ogni singolo elemento sapersi porre delle domande prima di agire nel trattamento delle informazioni, a partire da quelle che transitano in qualche modo dalla posta elettronica, oggi più che in altri momenti, non fine ultimo dell’attacco ma mezzo particolarmente interessante per aprire brecce pericolose.

Gastone Nencini - Country Manager Trend Micro italia
Gastone Nencini – Country Manager Trend Micro italia

Ne parla nel modo più chiaro Trend Micro che evidenzia come la sicurezza al 100 percento non esiste perché l’ultimo e finale antivirus a entrare in azione è il cervello umano e questo può essere ingannato. I cybercriminali oggi lanciano attacchi contro ogni settore e funzione aziendale, non solo contro i reparti IT che potrebbe essere maggiormente preparati. Utilizzando tecniche di ingegneria sociale, gli hacker possono risalire alle abitudini e ai posti frequentati dalle potenziali vittime che possono essere indotte all’errore più facilmente.

Fioccano gli esempi, tra cui le finte comunicazioni, per esempio da hotel recentemente visitati che possono indurre ad abbassare la guardia e cliccare, dando il via libera a un attacco. Ecco perché oltre a una preparazione tecnologica che è imprescindibile, secondo Trend Micro bisogna supportare il personale formandolo ed educandolo in continuazione sulle nuove minacce. E fa eco a Trend Micro (Gastone Nencini, country manager e Carla Targa – Sr Marketing e Communication Manager) proprio Symantec con Vittorio Bitteleri, Head of Sales Enterprise Security per l’Italia che afferma: “Un elemento fondamentale è proprio la formazione del personale in materia: la sicurezza dipende da persone, processi e tecnologie”. Si parte dalla scelta delle password, da non replicare, ma si deve arrivare alla cultura dell’aggiornamento delle applicazioni, come minimo. Un software non aggiornato è di suo già minaccioso.

Vittorio-Bitteleri-Symantec
Vittorio Bitteleri, Head of Sales Enterprise Security Symantec Italia

I nostri lettori hanno dato risposte chiare: ben il 42 percento del campione riconosce la centralità e l’importanza della protezione delle informazioni, e una percentuale ancora più elevata (48 percento) addirittura intravvede nella formazione una forma di difesa efficace. Con appena il 10 percento di chi ha risposto al sondaggio a rimanere focalizzato sulla difesa dell’endpoint.

Prospettiva condivisa nella sua interezza da Forcepoint, con Luca Mairani Sr. Sales Engineer, che conferma “l’avanzata trasformazione delle architetture IT e sottolinea la letterale dissoluzione del perimetro aziendale a favore della mobilità e del Byod, come fattori di  rischio nel complicare non poco le politiche di protezione”. Si aggiunge l’elemento cloud computing che rende disponibili i dati ovunque, da qualunque dispositivo, legando l’utente, il dato, e le azioni dell’utente su di esso in un unico paradigma. Per questo, secondo Forcepoint, l’azione di protezione a partire dall’utente finale, è fondamentale. 

Luca Mairani - Sr Sales Engineering Forcepoint
Luca Mairani – Sr Sales Engineering Forcepoint

Lo scenario attuale prevede che l’operatività di chi tratta le informazioni non sia legata né al luogo, né al tempo, ma alla persona in azione su una determinata informazione. Questa persona, nel momento del bisogno, agisce in alcuni casi sfruttando device del tutto controllati dall’azienda, ma sempre più spesso anche con device personali, atteggiamento che aumenta la produttività ma espone a maggiori rischi. Un dato che emerge anche dal recente rapporto Ponemon, con le azioni involontarie dei dipendenti sotto ‘processo’ perché tra le principali cause di violazioni.

Per Forcepoint a fianco di soluzioni specifiche di Data Loss Prevention, si rivela per questo motivo indispensabile uno strumento di analisi comportamentale, per abilitare una sorta di baseline comportamentale che permette di identificare i comportamenti (e gli utenti) più a rischio.

Quando il bersaglio è in cloud

Sul fronte, solo in senso figurato, opposto, se si eleva l’attenzione verso la sfida comportamentale, proprio le nuove architetture hanno chiamato i vendor a sviluppare sistemi di protezione data center ‘centrici’.

Denis Valter Cassinerio Regional Sales Director di BitDefender
Denis Valter Cassinerio Regional Sales Director di BitDefender

Per esempio Bitdefender ha sviluppato soluzioni mirate nell’ambito Data Center security e per la protezione del dato in Cloud aiutando le aziende nell’implementazione sicura della virtualizzazione in modalità Hypervisor Agnostic, rispettando così l’eterogeneità di scelta nel percorso di fruizione dei dati da e verso il Cloud. Denis Valter Cassinerio Regional Sales Director di BitDefender specifica: “Si sono introdotte nelle soluzioni diversi livelli tecnologici di difesa, sostenuti fortemente da tecnologie basate sul Machine Learning, che BitDefender usa attivamente dal 2009 per coniugare una maggiore efficienza con logiche  Next Generation e migliorare sia la Difesa che la Detection dei segnali di attacco”. 

Dal punto di vista tecnologico, per esempio, Bitdefender Hypervisor Introspection introduce un nuovo paradigma nelle tecnologie per combattere gli APT Advanced Persistent Threats e gli attacchi mirati di nuova generazione che tendono a non lasciare tracce ed offuscarsi alle tecnologie di difesa tradizionali. Esso lavora a livello di Raw Memory, una condizione ritenuta quasi impossibile da raggiungere per la complessità di lettura ed estrazione della sintassi delle informazioni da analizzare.

Morten Lehn - General Manager Italy di Kaspersky Lab
Morten Lehn – General Manager Italy di Kaspersky Lab

La protezione dell’architettura cloud ha in parte spostato l’attenzione anche dei vendor tradizionalmente affermatisi sul nostro mercato a partire dalle soluzioni di protezione dell’endpoint dell’utente finale, per poi aprirsi alla realtà di impresa. Tra questi Kaspersky. Spiega Morten Lehn, General Manager Italy di Kaspersky Lab: “Con Kaspersky Endpoint Security for Business e Kaspersky Small Office Security senza abbandonare la protezione dell’endpoint abbiamo esteso la protezione multi-livello contro le minacce conosciute ed emergenti integrando tecnologie preventive, euristiche e cloud”. 

Lato Cloud, l’attenzione per le realtà del nostro tessuto produttivo ha portato Kaspersky a fornire una soluzione Saas con Kaspersky Endpoint Security declinato come servizio nella nuvola. Infine il riconoscimento dell’anello debole relativo alle lacune formative ha invogliato il vendor russo alla proposta di un programma di formazione articolato, che è possibile seguire sia on line sia con lezioni in aula.

Oltre la logica di prodotto, una strategia ‘estesa’

Quasi tutti i vendor in un certo senso sentono la necessità di andare ben oltre la logica di prodotto. E’ il punto di partenza, della già citata Trend Micro per esempio, che lavora non sulle release ma a progetto ricreando e proteggendo l’infrastruttura vera e propria di un cliente facendo “esplodere” le minacce in un ambiente che è quindi reale e protetto allo stesso tempo. 

L’approccio che preveda la replica, o l’emulazione, o comunque l’osservazione protetta del comportamento delle minacce è riconosciuto come valido da punto di vista tattico da più di un vendor. Per esempio Check Point con SandBlast prevede prima di analizzare i file in arrivo dai vari canali (Mail, Web ..) poi emula i comportamenti in “protetti e sicuri” prima che gli stessi file finiscano sulla postazione dell’utente finale.

CP_Security_TourDavid
David Gubiani, Security Engineering Manager di Check Point Software Technology

E comunque senza dimenticare l’endpoint con David Gubiani, Security Engineering Manager di Check Point Software Technology a ricordare: “E’ di vitale importanza proteggere tutto ciò che è collegato ad Internet o ad una rete, i dispositivi mobili ne sono un esempio lampante, li utilizziamo tutti, li proteggono in pochi…”. 
Prima la strategia quindi, che non prescinde dai fondamentali, poi l’indispensabile introduzione di strumenti innovativi, pescando anche dalle tecnologie più promettenti: machine learning, analisi euristiche, intelligenza artificiale.

A questo proposito Marco Rottigni, Consulting System Engineer per FireEye riporta al centro dell’attenzione una parola che nessuno ancora aveva evidenziato in questa inchiesta sicurezza, termine che indica un atteggiamento non solo filosoficamente corretto. Rottigni parla di resilienza: “Assumere di essere vulnerabile, accettare di essere colpiti minimizzando i danni, realizzare un livello di resilienza sufficiente per garantire la continuità del business: questi rappresentano punti di partenza per elaborare una strategia cyber che parta dalla definizione e misurazione del rischio”.

Marco Rottigni
Marco Rottigni, Consulting System Engineer per FireEye

Proviamo a mettere in ordine le idee già emerse con il contributo di Fortinet e di Filippo Monticelli, Regional Director dell’azienda che sembra quasi snocciolare i passaggi per una buona procedura valutativa sulle problematiche di sicurezza: valutazione del rischio, capacità adaptive, elaborazione della strategia, la valutazione delle regole di competenza e di intelligence, quindi le policy e poi il dispiegamento di risorse tecnologiche, sono tutti ingredienti irrinunciabili, ancora una volta con l’attenzione per le tecnologie più conosciute ed emergenti (anche il cloud) in grado di concorrere. Monticelli aggiunge l’idea dell’approccio esteso, capace di coordinare tecnologie differenti, eventualmente provenienti da vendor diversi. E’la Security Fabric di Fortinet, in grado di correlare tra loro strumenti differenti per garantire una sicurezza “gestibile”.

L’idea di ‘visione ampia’ emerge infine anche dall’approccio di F-Secure, declinato da Antonio Pusceddu, Country Sales Manager e Corporate Sales: “La nuova sfida sono le superfici estese”. F-Secure indica con questo termine tutta la sfera che comprende Internet delle Cose e dispositivi mobile come superfici attaccabili. Il vendor propone Radar, uno strumento di vulnerability management che mappa tutti gli IP address della rete aziendale, proprio in una logica IoT, e non solo i client tradizionali.

Antonio Pusceddu
Antonio Pusceddu, Country Sales Manager e Corporate Sales F-Secure

Quindi comprende: lettori di bar-code, telecamere di sorveglianza, dispositivi di lettura badge, printer scanner e qualsiasi strumento collegato alla rete aziendale. Radar diagnostica le vulnerabilità, suggerendo il fixing di ciascuna di esse, e infine guidando l’IT manager (o più frequentemente il partner nel suo ruolo di consulente) fino alla soluzione.

Ultimo, ma non per questo meno importante, abbiamo letto tra le righe degli interventi il riconoscimento del valore della condivisione delle informazioni ecco, chiudiamo proprio così: forse sono questi i primi anni in cui più si sente – sentiamo – i vendor pronti a far fronte comune rispetto alle sfide che attendono tutti. Le minacce sono globali, impegnative per qualsiasi realtà.


Per saperne di più