Security Summit 2018, il salto quantico della cyber-insicurezza

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Security Summit 2018 apre con la presentazione del Rapporto Clusit 2018. Il 2017 ha segnato il “salto quantico” in uno scenario di cyber insicurezza e può essere definito “annus horribilis” per l’evoluzione delle minacce

Si è aperto oggi Security Summit 2018, convegno su tre giornate, a tutto tondo dedicato alle problematiche legate alla sicurezza informatica, ma anche occasione di formazione, e di confronto per comprendere i trend in atto.

Davanti a un pubblico di addetti ai lavori, di circa 700 persone, l’evento si è aperto anche quest’anno,come consuetudine, con l’analisi del Rapporto Clusit. I dati sulle macro-evidenze del rapporto li abbiamo già considerati nel nostro recente contributo.  Security Summit ha dato voce agli esperti per un’interpretazione “sul campo”, in un contesto di maggiore attenzione sul tema anche per la pressione mediatica legata prima alle elezioni del presidente americano Trump e in Europa al tema caldo del GDPR.

Guida alla lettura dei dati è  Andrea Zapparoli Manzoni, membro del consiglio direttivo di Clusit, che così esordisce: “Negli ultimi sette anni abbiamo registrato circa 7mila attacchi definibili gravi, ma nel 2011 erano appena 400”. Si parla degli attacchi di “pubblico dominio”, importanti, non di tutti gli attacchi, come per esempio sono registrati dai labs dei diversi vendor. Anche per questo la distribuzione geografica delle vittime vede prevalere gli Usa, un Paese che prevede già specifici obblighi di “disclosure”.

Andrea Zapparoli Manzoni, membro del consiglio direttivo Clusit

Zapparoli richiama però l’attenzione su alcuni trend: la pervasività del cybercrime, degli attacchi con scopi di spionaggio e di cyberwar, il calo dei fenomeni di attivismo e l’analisi particolare che meritano quelli di Info Warfare, o guerra dell’informazione, una metodologia di approccio di attacco, imperniata sulla gestione e l’uso dell’informazione in ogni sua forma e a qualunque livello con lo scopo di assicurarsi un decisivo vantaggio.

La prima conclusione è chiave: un approccio di difesa fits-all non è più possibile. Non è un caso se le minacce ora nascono già predisposte per colpire bersagli multipli, con un’industrializzazione dell’attacco per una declinazione contro diverse realtà: governative, telco, ricerca, industries… Un esempio su tutti Not Petya, attacco governativo camuffato da azione di cybercrime, con target praticamente indefinibile eppure ben congegnato.

Secondo il Rapporto, da un lato il 2017 resta l’anno del “malware” (questa l’origine del 40 percento delle minacce), come modello di business, con un significativo riutilizzo del codice, a costi sempre più bassi, per profitti sempre maggiori, con l’attenzione per le piattaforme mobile, naturalmente meno protette, ma anche l’anno del salto quantico: l’anno peggiore di sempre in termini di evoluzione delle minacce dal punto di vista qualitativo, come da quello quantitativo.

Significativa, nell’analisi di Andrea Zapparoli, la valutazione della severità delle minacce, con l’attività di cybercrime che sì risulta diffusa, ma non elevata da questo punto di vista, mentre le attività di spionaggio, la cyberwar e gli attacchi a infrastrutture critiche e di tipo governativo vengono condotte a livelli tali da determinare un livello di severità decisamente superiore.

Il salto quantico della cyber insicurezza si rinviene proprio nel territorio inesplorato degli attacchi di spionaggio, “sponsorizzati”, nelle nuove modalità di condurre le guerre sull’informazione. E per questo rispetto alle modalità di attacco conosciute – phishing, malware, attacchi IoT –  è proprio la propaganda “PsyOpS” (tra cui una banalissima evidenza sono le Fake News) e sono proprio le strategie per l’alterazione delle percezioni di massa ad aprire gli occhi.

Carlo Mauceli, Cto di Microsoft Italia

L’analisi delle evidenze qualitative e quantitative di Zapparoli si arricchisce di dettagli, vagliata –  come è stata – nella successiva tavola rotonda. Carlo Mauceli, CTO di Microsoft Italia, sposta l’attenzione su un’evidenza relativa alla mancanza di anticorpi, quando si parla di digital security. Secondo il rapporto su Industry 4.0 del MISE solo il 29 percento della forza lavoro italiana è preparata per il digitale, a decine di punti percentuali da Germania e altri Paesi europei. Mentre la formazione dovrebbe essere proprio un aspetto fondamentale.

Un altro aspetto preventivo del tutto trascurato, sottolineato sia da Mauceli sia da Gastone Nencini (responsabile Trend Micro per l’Italia), è quello relativo agli aggiornamenti delle piattaforme, in uno scenario in cui tante volte è impossibile procedere agli update, perché le applicazioni non sono pronte a “funzionare” con l’aggiornamento del sistema operativo sottostante (si pensi a tante applicazioni su macchinari nell’ambito del biomedicale, con cicli di sviluppo lunghissimi).

Gastone Nencini – Country Manager Trend Micro italia

Ulteriori riflessioni arrivano dall’evoluzione delle minacce in corso: da un lato deep learning, AI e machine learning forniscono strumenti importanti per chi deve difendersi, dall’altro sono a disposizione anche degli attaccanti che inoltre con l’introduzione dei dispositivi mobile, wearable e IoT si ritrovano una superficie esposta molto più ampia.

Sarebbero proprio la necessità di expertise sempre più sofisticate, di un approccio a 360 gradi e di una continua preparazione su una materia in continuo divenire a spostare le possibilità di difesa soprattutto per le piccole e medie imprese sulla sottoscrizione di servizi gestiti, perché è praticamente sempre più difficile “tenersi” la sicurezza in casa.

Ecco, se anche il cloud, da questo punto di vista si pone come risorsa supplementare per fare bene, è bene però che non venga approcciato semplicemente con il fine dello “scaricabarile” rispetto alle responsabilità dirette che si potrebbero avere con un’infrastruttura on-premise, anche perché se effettivamente a livello di propsota Iaas potrebbe effettivamente essere anche un approccio legittimo, in una sottoscrizione Saas è evidente come tornano in gioco l’expertise di chi poi utilizza il servizio e una serie di altri evidenti fattori.