Cybersecurity

Sicurezza: tra il dire e il fare…

07 Ottobre 2015

Negli ultimi mesi ho avuto modo di dedicare del tempo ad un tema a me molto caro: la sicurezza informatica. Chi lavora in questo campo sa benissimo che il tema è spesso approcciato in modo errato non solo da chi ha bisogno di proteggere i propri dati ma anche da chi si propone sul mercato come operatore in tale ambito.
Noto due principali “leggerezze” sul tema:

  • Verticalizzazione – la tendenza a spostare l’attenzione su alcune componenti dell’infrastruttura come la rete, i firewall o il livello di patching dei sistemi
  • Orientamento al prodotto – la tendenza ad affidarsi a prodotti (commerciali e non) che, per quanto eccelsi, non possono fare miracoli

E’ ovvio – dovrebbe esserlo – che la sicurezza non può occuparsi solo del perimetro della rete o solo delle policy di gestione del dato, è necessario affrontare il tema tenendo in considerazione l’intera infrastruttura informatica e l’intero asset aziendale: sistemi, software/applicazioni, networking, firewall, accesso fisico ai sistemicultura degli utenti.
Con tale presupposto (e se qualcuno non è d’accordo mi piacerebbe confrontarmi con altri punti di vista) anche il ruolo di chi offre servizi specialistici (consulenti e system integrator) deve adattarsi all’esigenza: inutile affrontare il tema della sicurezza con il solo apporto del GURU del firewalling o il GURU degli Application Server, è necessario disporre di un team di esperti in grado di coprire tutti (o buona parte) degli ambiti, è necessario disporre di una suite di strumenti a seconda dell’esigenza.

Rileggendo quanto scritto sino ad ora mi rendo conto che sto pontificando banalità e trovo incredibile che l’approccio alla sicurezza informatica a cui mi riferisco sia ancora un tema “per pochi illuminati”. Non si tratta di una mancanza solo italiana, prendiamo atto di essere particolarmente indietro, ma il tema è globale. Dobbiamo inoltre renderci conto che la mole di dati sensibili e potenzialmente accessibili è gigantesca, come giganteschi sono i business che fanno affidamento su infrastruttura informatiche per funzionare. La sicurezza informatica non può essere considerata un tema marginale o “un
costo”.




 

In the real world…
Inutile illudersi, nel “mondo vero” è veramente difficile riuscire ad ottenere un’infrastruttura progettata e realizzata tenendo conto di tutti gli aspetti legati alla sicurezza informatica. Anche fosse possibile tale infrastruttura dovrà poi essere gestita, estesa, modificata, tutte attività che in qualche misura possono minare il lavoro svolto in fase di implementazione.
Dobbiamo partire dal presupposto (più che reale) che l’infrastruttura informatica è vulnerabile, dobbiamo quindi dotarla di strumenti che rilevino tutti quegli eventi che in qualche modo la mettono a repentaglio e dobbiamo toglierci dalla testa che esita il software miracoloso che è in grado di rilevare tutte le minacce.

Faccio un esempio (ovviamente molto banale): un utente crea e mette in esecuzione su un server (dove ha regolare titolo di accedere) uno script che esegue il copy/paste di file a caso. In poche ore lo spazio del server si esaurirà generando possibili problemi applicativi. L’anti-virus difficilmente potrà identificare come minaccia un copy/paste, così come un eventuale analizzatore di traffico potrebbe al più vedere del traffico dati verso la share target (traffico autorizzato per quel target). L’unica anomalia rilevabile dal sistema di monitoraggio (se presente) è il disco in saturazione ma probabilmente non se ne conosce la causa. Se sulla macchina è installato anche un agente che controlla l’I/O dei processi abbiamo forse una qualche speranza di individuare tempestivamente la minaccia correlando l’allarme di disco in saturazione con il processo che genera l’I/O.

Individuata la minaccia (banale quanto potenzialmente efficace) vorremo anche individuare l’attacker. Chi ha messo in esecuzione quel processo? Certo se avessimo installato su tutti i sistemi un agente che controlla ed esegue il log dell’accesso agli ambienti (tutti gli ambienti) forse ho qualche speranza di trovare anche il burlone di turno. Forse ha usato un utente guest per accedere all’ambiente, ma il MAC address del suo PC probabilmente non lo ha camuffato, o se lo ha fatto forse ho un sistema di analisi degli eventi di rete che mi mette in rilievo il fatto che su una certa porta Ethernet si è presentato un MAC address nuovo per un periodo di tempo limitato, proprio mentre il processo sul server attaccato cominciava a generare I/O.
Dati, relazioni, log, agenti… meno male che era solo una burla, perché se il copy/paste era di dati sensibili su un device portatile che va a finire nella mani sbagliate…. bhe, allora abbiamo un problema.
Sempre restando nel “mondo vero” quanti ICT team si sono dotati di sistemi di controllo così scrupolosi? E quanti hanno le risorse in grado di analizzare ed interpretare questi dati? Quanti ne percepiscono la reale criticità? Tanto di cappello alle aziende che riescono a presidiare le proprie infrastrutture, ma da quello che vedo non sono poi tante e quelle che ci provano spesso lo fanno proprio incappando nelle due “leggerezze” citate all’inizio. Ovviamente meglio avere “qualcosa” che non avere nulla, ma sarebbe pericoloso pensare che l’infrastruttura è sicura grazie alla presenza di un Traffic Analyzer o di un Firewall ben configurato.

Raccogli, analizza, decidi
Il concetto è, probabilmente, già ben chiaro a chi lavora in questo ambito: bisogna fare collecting di una montagna di dati, metterli in dei bei database, analizzarli e prendere delle decisioni. Più automatismi mettiamo in campo in tal senso e più il nostro presidio di sicurezza (e non solo) sarà efficace. Non disponendo del software magico che fa tutto bene, una parte di analisi la deve fare qualcuno che abbiamo le consone skills, o meglio da un team che disponga di skills in diversi ambiti.
Ecco, quando parlo di servizi legati al mondo della security mi riferisco a questo, a processi e competenze, non a software e prodotti. Ancora una volta il valore aggiunto non è la black-box che metto nella rete del cliente, ma le skills di chi fa l’analisi della soluzione e di chi la va poi a gestire. La sicurezza non è un prodotto, è un processo. A noi che lavoriamo sul campo l’arduo compito di farlo capire ai nostri interlocutori… e non è facile 🙂

(Tratto dal blog roccosicilia.it)

Autore
Rocco Sicilia
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti