L'evoluzione dei modelli di protezione e le soluzioni di HP Enterprise Security Products.
L'evoluzione della sicurezza aziendale
Sfruttare le opportunita' di Internet e delle nuove tecnologie, dalla mobility al cloud, dai big data al machine to machine, mantenendo la conformita' a leggi e normative sulla protezione dei dati e sulla salvaguardia della privacy.
5. ICT Security per le nuove
esigenze di business
L'evoluzione dei modelli di protezione e
le soluzioni di HP Enterprise Security Products
Riccardo Florio
Gaetano Di Blasio - Giuseppe Saccardi
6. Avvertenze
Pubblicato nel 2015
Tutti i marchi contenuti in questo libro sono registrati e di proprietà delle relative
società. Tutti i diritti sono riservati. Va notato che le informazioni contenute possono
cambiare senza preavviso; le informazioni contenute sono reputate essere corrette e
affidabili anche se non sono garantite. La descrizione delle tecnologie non implica un
suggerimento all’uso dell’una o dell’altra così come il parere espresso su alcuni
argomenti da parte di Reportec è puramente personale. La vastità dell’argomento
affrontato e la sua rapida evoluzione possono avere portato a inaccuratezze di cui
Reportec non si ritiene responsabile, pur avendo espletato i possibili controlli sulla
correttezza delle informazioni medesime; il libro non rappresenta una presa di
posizione a favore di una o l’altra delle tecnologie, standard o prodotti ivi riportati né
garantisce che le architetture, apparati, prodotti hardware e software siano stati
personalmente verificati nelle funzionalità espresse; le descrizioni delle architetture,
delle piattaforme, dei servizi e dei dati aziendali sono stati elaborati in base alle
informazioni fornite dalle aziende, con le quali gli stessi sono stati analizzati e
ridiscussi.
Copyright Reportec – 2015
www.reportec.it
7. I
SOMMARIO
1 -L'EVOLUZIONE DELLA SICUREZZA AZIENDALE..............................1
Un approccio concreto alla sicurezza..............................................2
Il costo di una violazione alla sicurezza dei dati ............................... 6
Mobility, cloud e social cancellano i confini delle imprese ............. 11
I rischi di un mondo mobile ........................................................ 14
Minacce dal Web e protezione dei dati .......................................... 16
Il Phishing.................................................................................... 20
Lo spear phishing ........................................................................ 22
Il social engineering .................................................................... 24
Il furto di identità........................................................................ 28
L'Internet of Things..................................................................... 28
2 -LA SICUREZZA ENTERPRISE DI HP..............................................31
HP Enterprise Security Products...................................................32
Risorse e iniziative per aumentare la sicurezza aziendale..............33
HP DVLabs....................................................................................... 33
HP Security Research ...................................................................... 34
HP TippingPoint ThreatLinQ ........................................................... 35
HP Threat Central ........................................................................... 36
Zero-Day Initiative .......................................................................... 37
HP Reputation Security Monitor (RepSM) ...................................... 37
HP TippingPoint Web AppDV.......................................................... 39
Digital Vaccine Toolkit (DVToolkit) ................................................. 39
Threat Digital Vaccine (ThreatDV).................................................. 39
3 -LA NETWORK SECURITY ...........................................................41
La sicurezza delle reti...................................................................42
L'evoluzione della network security................................................ 43
Le Virtual Private Network (VPN) ................................................... 46
L’architettura IPsec ..................................................................... 47
8. II
Rispondere alle minacce in tempo reale......................................... 48
Controllare chi o cosa vuole entrare nella rete: i rischi degli endpoint.. 50
Gli attacchi DDoS (Distributed Denial of Service) ........................... 51
Le vulnerabilità dei sistemi SCADA.................................................. 52
Verso i firewall e IPS di prossima generazione ..............................54
Le ragioni per adottare un NGFW/NGIPS ....................................... 55
HP TippingPoint Next Generation Firewall (NGFW).......................57
HP TippingPoint Next Generation Firewall S1050F......................... 59
HP TippingPoint Next Generation Firewall S3010F/S3020F ........... 59
HP TippingPoint Next Generation Firewall S8005F/S8010F ........... 60
HP TippingPoint Security Management System............................ 61
HP TippingPoint Next Generation IPS ...........................................63
HP TippingPoint IPS Serie NX........................................................ 65
HP TippingPoint IPS Serie N ............................................................ 66
HP TippingPoint Core Controller............................................... 67
HP TippingPoint CloudArmour........................................................ 68
HP TippingPoint SSL ........................................................................ 70
HP TippingPoint Advanced Threat Appliance (ATA).......................70
4 -LA SICUREZZA DELLE APPLICAZIONI..........................................73
Una protezione multilivello..........................................................74
Design sicuro e vulnerability patching............................................ 75
L'analisi del traffico applicativo....................................................77
Applicazioni e RASP......................................................................... 79
Runtime Application Self Protection............................................... 80
Web Application Firewall e Interactive Application Security Testing..... 82
HP Application Defender..............................................................84
Le soluzioni HP Fortify per un codice sicuro ..................................87
HP Fortify Software Security Center ............................................... 88
HP Fortify Runtime.......................................................................... 90
HP Fortify Static Code Analyzer ...................................................... 91
HP Audit Workbench................................................................... 93
9. III
HP WebInspect................................................................................ 93
HP WebInspect Enterprise.......................................................... 94
HP WebInspect Real-Time .......................................................... 95
HP QAInspect .................................................................................. 95
HP Fortify on Demand: sicurezza applicativa come servizio cloud . 95
Analisi di sicurezza statica........................................................... 97
Analisi di sicurezza dinamica....................................................... 97
Analisi delle applicazioni mobile................................................. 98
Test delle applicazioni in produzione.......................................... 99
Fortify Vendor Software Management (VSM).............................. 100
Il servizio HP Digital Discovery...................................................... 100
5 -SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI........... 103
L’approccio gestionale alla sicurezza dei dati.............................. 104
Le 3A della sicurezza..................................................................... 105
Implementare un sistema di autenticazione ................................ 105
L’identity management................................................................. 108
La Data Loss Prevention............................................................. 111
Rivedere i processi e coinvolgere i dipendenti.............................. 113
La sicurezza nell'era dell'as-a-service e del cloud........................ 114
Sicurezza negli ambienti private e public cloud............................ 115
La sicurezza delle applicazioni eseguite nel cloud ........................ 117
Scegliere il cloud security service provider.................................... 119
La protezione crittografica dei dati............................................. 121
Il sistema di crittografia simmetrico o a chiave condivisa........... 123
Il sistema di crittografia asimmetrico o a chiave pubblica .......... 124
Una protezione che si sposta nel cloud insieme al dato............... 125
Crittografia e cloud....................................................................... 126
La protezione Atalla dei dati nel cloud........................................ 128
HP Atalla Cloud Encryption........................................................... 128
Come funziona HP Atalla Cloud Encryption.............................. 128
HP Atalla Cloud Encryption Virtual Key Management Service ..... 130
La cifratura a chiave divisa........................................................... 131
10. IV
Tecnologia omomorfica per proteggere le chiavi in uso .................... 133
HP Atalla Cloud Encryption Agent ................................................ 133
Le opzioni di offerta di HP Atalla Cloud Encryption ...................... 134
HP Atalla Information Protection and Control ............................ 135
HP Atalla IPC Suite ........................................................................ 136
HP Atalla IPC Bridge per i servizi di analisi dei contenuti.............. 136
HP Atalla IPC Scanner ................................................................... 136
Servizio di compliance HP Atalla IPC per Exchange ...................... 136
HP Atalla IPC AD RMS extensions for Outlook.............................. 137
HP Atalla IPC Mobile Support for Microsoft AD RMS ................... 137
Le soluzioni Atalla per la sicurezza dei pagamenti....................... 137
HP Atalla Network Security Processor (NSP) ................................ 137
HP Enterprise Secure Key Manager (ESKM).................................. 139
6 -LA SECURITY INTELLIGENCE.................................................... 141
La sofisticatezza degli attacchi.................................................... 142
Le Advanced Persistent Threat (APT)............................................ 144
I SIEM "intelligenti" ................................................................... 149
Progettazione ed "enforcement" delle policy............................... 153
Le soluzioni HP ArcSight............................................................. 155
HP ArcSight ESM ........................................................................... 156
HP ArcSight Command Center .................................................. 157
HP ArcSight Express ...................................................................... 158
HP ArcSight Logger ....................................................................... 159
HP ArcSight IdentityView.............................................................. 161
HP ArcSight Threat Detector......................................................... 161
HP ArcSight Application View ....................................................... 162
HP ArcSight Risk Insight................................................................ 164
HP ArcSight Management Center................................................. 165
HP ArcSight Threat Response Manager........................................ 165
CONCLUSIONI............................................................................ 167
13. 1
L'EVOLUZIONE DELLA SICUREZZA
AZIENDALE
Sfruttare le opportunità di Internet e delle nuove
tecnologie, dalla mobility al cloud, dai big data al
machine to machine, mantenendo la conformità a
leggi e normative sulla protezione dei dati e sulla
salvaguardia della privacy.
1
14. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
2
Un approccio concreto alla sicurezza
La totale sicurezza informatica non è un obiettivo raggiungibile. In
altre parole, tutti devono aspettarsi di subire una violazione alla
sicurezza. Non tutti sono d'accordo, in particolare, sono tipicamente
certi del contrario coloro i quali hanno inventato l'ultimo
sofisticatissimo sistema per la protezione dei dati.
Ma per quanto possa essere potente quest'ultimo o la sua prossima
generazione, resta valida la teoria dei sistemi, per cui il livello di
sicurezza è pari a quello del suo elemento più debole. In tutte le
aziende questo è rappresentato dal fattore umano.
Ogni nuova ricerca che indaga le cause primarie degli incidenti alla
sicurezza aziendale indica l'errore del dipendente al primo posto. Può
essere un errore dovuto all'ingenuità del suo comportamento, come
l'aver cliccato su una mail palesemente falsa, l'attaccare un post-it
con la password sul monitor, oppure un errore dovuto a una
casualità, come l'aver spedito un file confidenziale alla persona
sbagliata o, ancora, l'aver perso un dispositivo mobile su cui c'erano
dati importanti.
La stragrande maggioranza (tra l'85% e il 95%, in base alle ricerche
pubblicate più di recente) dei più clamorosi incidenti verificatisi negli
ultimi due anni sono dovuti a errori di questo tipo.
Peraltro, può anche trattarsi di un comportamento volutamente
doloso, come nel famoso caso avvenuto in Formula 1 alcuni anni
orsono, quando un dipendente della Ferrari consegnò dei progetti al
concorrente McLaren.
Se, dunque, si deve mettere in conto di incorrere in un incidente, non
è però detto, che tale incidente debba avere conseguenze
drammatiche per l'impresa vittima dell'attacco informatico. Intanto,
si può ridurre il più possibile l'esposizione all'attacco, renderlo cioè
più difficile e, in secondo luogo, si possono attivare sistemi di
protezione dinamici che contrastano l'attacco in corso per bloccarlo.
Infine, si devono impostare sistemi di analisi forense, per
comprendere fino in fondo l'accaduto ed evitare che si ripeta.
15. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
3
Dato per assodato che la sicurezza assoluta non esiste, una corretta
strategia per l’enterprise security prevede un processo ciclico che
alterna: vulnerability assessment, analisi del rischio, definizione di un
piano di contenimento del rischio, realizzazione di tale piano. Le
tecnologie che andranno implementate sono di volta in volta
dipendenti dalle condizioni al contorno, oltre che dalle esigenze delle
specifiche imprese.
Il problema è tipicamente fare i conti con il budget a disposizione,
che troppo spesso risulta insufficiente a realizzare il sistema di
sicurezza idealmente definito dal piano. Del resto, i costi per
quest’ultimo continuano a lievitare, mentre i budget IT si
contraggono drasticamente ed è sempre più difficile giustificare
spese senza presentare un valore previsto di ROI (Return On
Investment). Ma se è già difficile calcolare il ritorno di un
investimento infrastrutturale, qual è tipicamente quello in
Information e Communication Technology, come è possibile
quantificare il valore di una soluzione di sicurezza, quando, se tutto
va bene, non succede niente?
La risposta è in realtà banale nella forma, un po’ meno nella pratica.
Chiaramente il problema se lo sono già posto i vendor del settore che
da sempre hanno trovato le loro difficoltà a vendere i sistemi di
protezione contro qualcosa di impalpabile come le minacce Internet.
Come si accennava precedentemente, il valore di un sistema di
sicurezza deve essere correlato al livello di rischio accettabile per
un’impresa. Dove per rischio s’intende il danno economico che si
avrebbe in caso di un attacco andato a buon fine, di un disservizio
totale o parziale e così via. Il primo passo da compiere per il calcolo
del ROI coincide con quello che è necessario per definire che sistema
di sicurezza implementare: effettuare un’analisi delle vulnerabilità cui
è esposta l’azienda e del livello di rischio relativo.
Non si tratta di un’operazione banale, tanto che è codificata in precisi
standard ISO, meglio noti con la sigla BS7799. Per effettuare tale
operazione è bene affidarsi a una società indipendente, ovviamente
dotata delle opportune certificazioni, poiché non di rado in questa
16. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
4
fase si fanno vere e proprie scoperte: per esempio, applicazioni o
servizi ritenuti poco importanti, se confrontati con l’impatto reale sul
business, possono risultare molto più critici di quanto pensato fino a
quel momento.
Condotta con tutti i crismi, tale analisi produce una documentazione
oggettiva che, ricordando che questa fase deve essere ciclicamente
ripercorsa, sarà molto utile per valutazioni successive.
Per valutare il rischio correttamente, quindi correlando alle
dinamiche e logiche di business, è necessario coinvolgere il
management aziendale a vari livelli.
Questo è il principale vantaggio di tutta l’operazione, nonché la vera
chiave di volta per il calcolo del ROI. Infatti, costretti a riflettere sulle
ripercussioni di un attacco informatico, i manager svilupperanno
quella sensibilità verso i temi della sicurezza che per anni è stata il
cruccio degli addetti ai lavori.
Il risk assessment, inoltre, produce un numero, cioè il valore del
danno che si potrebbe creare in funzione del grado di vulnerabilità
reale determinato dall’attuale sistema di sicurezza. Un dato
facilmente comprensibile anche dal consiglio di amministrazione,
tanto più quando è certificato da una società indipendente.
Una volta stabilito quale deve essere il piano di contenimento del
rischio, quindi quali misure devono essere implementate per ridurre
le vulnerabilità e aumentare il grado di protezione, è necessario
realizzare un security plan dettagliato.
Questo deve considerare l’evoluzione nel tempo e conteggiare il TCO
(Total Cost of Ownership) di tutte le soluzioni.
È importante osservare che in molti casi il prezzo di acquisto di un
prodotto è solo il primo elemento di spesa: in ambito sicurezza, non
vanno trascurati i costi dei servizi di aggiornamento, senza i quali le
soluzioni diventano presto (praticamente immediatamente) obsolete
e inutili. Un piano della sicurezza ben dettagliato è utile per
confrontarlo con un modello del rischio. Mettendo in una sorta di
matrice la spesa necessaria per “tappare una potenziale falla” e il
rischio economico che la “falla” lasciata aperta potrebbe causare
17. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
5
(eventualmente ipotizzando più eventi correlati a tale vulnerabilità
trascurata), si ottiene uno strumento di immediato raffronto.
All’atto pratico, una soluzione di sicurezza deve raggiungere almeno
uno dei seguenti obiettivi per poter dimostrare di avere un ROI
sostenibile: ridurre i costi correnti, ridurre i costi futuri, ridurre il
rischio finanziario, aumentare la produttività, aumentare il fatturato.
Rappresentazione grafica degli investimenti in sicurezza
Molto spesso ci sono benefici intangibili che è difficile calcolare, ma è
bene non esagerare nel cercare di aumentare il valore del sistema di
sicurezza al solo fine di convincere il management a investire. Anche
perché importanti argomenti sono stati forniti dal Testo Unico sulla
privacy, che, unitamente alle precedenti disposizioni legislative, sta
imponendo l’adozione di misure minime, spingendo molte aziende a
effettuare analisi di vulnerability assessment con ottimi risultati di
sensibilizzazione.
18. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
6
Il costo di una violazione alla sicurezza dei dati
Chiaramente, ridurre l'esposizione ha un costo e ciascuna impresa
deve valutare qual è il livello d'investimento più adeguato alle proprie
esigenze e a proteggere il proprio business.
Può sembrare assurdo, ma nella maggior parte delle aziende non si
ha alcuna idea di quali siano le strategie più opportune. La sicurezza è
introdotta in azienda solo per rispettare la legge sulla Privacy. Si
spende per la sicurezza fisica, senza rendersi conto che gli asset sono
ormai perlopiù immateriali.
Per proteggere il patrimonio economico delle imprese o le
infrastrutture critiche dello Stato, sono state promulgate normative
sempre più stringenti in tema di sicurezza dei dati: ingannevolmente
catalogate come "privacy", tali normative non servono a proteggere
la riservatezza di chi si mette già a nudo sui social network, ma
forniscono, soprattutto alle imprese, un'indicazione e direttive
sull'importanza di proteggere i proprio asset, brevetti compresi, che
nel terzo millennio sono appunto digitali.
La compliance alle normative è però vista quasi esclusivamente come
un obbligo dalle imprese, che non affrontano il problema con
un'adeguata strategia, non avendo la certezza di essere realmente
protette.
L'opera di sensibilizzazione da parte del Garante della Privacy e, più
recentemente, dell'Agenzia per il Digitale, hanno certamente reso le
imprese più consapevoli "dell'insicurezza" nella quale si trovano a
operare, ma manca ancora una reale conoscenza del fenomeno e,
soprattutto, manca una cultura della sicurezza in azienda.
Lo dimostra, per esempio, il Rapporto 2014 del Clusit, nota
associazione di professionisti della sicurezza nata in seno
all'Università Statale di Milano. Gli esperti del Clusit hanno
classificato i principali incidenti pubblici verificatisi su scala mondiale
negli ultimi tre anni, rilevandone una percentuale estremamente
bassa in Italia (3%). Un dato eccessivamente discostato dalla media
internazionale. Perché per gli italiani vale sempre il proverbio: " I
19. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
7
panni sporchi vanno lavati in famiglia". In altre parole, non c'è
condivisione delle informazioni sugli attacchi di sicurezza. Una sorta
di "omertà" che, pur comprendendo i timori in termini di immagine,
risulta invece controproducente per le stesse imprese, penalizzando
l'opera di prevenzione.
L'importanza della condivisione è sottolineata sia dal recentemente
istituito CERT italiano, che a fine 2013 ha annunciato il "Piano per la
protezione cibernetica e la sicurezza informatica", sia dall'Unione
Europea, che ha costituito la Piattaforma europea su Network e
Information Security (NIS).
I suddetti timori sono poi infondati, perché è comunque possibile
mettere a disposizione le informazioni in maniera anonima. Sempre il
Rapporto Clusit riporta infatti i dati provenienti dal monitoraggio
della rete di Fastweb, che mostrano uno scenario preoccupante: la
sicurezza delle aziende italiane continua a scendere, pure a fronte di
un incremento o mantenimento dei budget e mentre cresce il
mercato della sicurezza informatica e continua a registrarsi una
richiesta di figure professionali in quest'ambito superiore alla
disponibilità.
Ripartizione del costo di una violazione in 6 macro voci (Fonte: Ponemon Institute)
A determinare questa paradossale situazione contribuisce in massima
parte l'incapacità da parte della classe dirigente di comprendere il
costo per l'azienda della perdita di un dato. Intanto, il dato non viene
20. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
8
"rubato" ma copiato. A essere compromessa è la sua riservatezza e
buona parte del costo dipende dall'utilizzo che il cyber criminale può
farne. Per esempio, l'anno scorso un'azienda d'abbigliamento italiana
ha subito un furto di dati, ma se ne è accorta solo mesi dopo, quando
in alcuni negozi cinesi sono stati messi in vendita capi uguali ai
bozzetti della nuova collezione.
Questa non è neanche classificabile come contraffazione, ma si
somma a questa nel conto economico negativo. Inoltre, una
violazione dei dati può comportare un danno enorme per l'impresa
che la subisce, e va ben oltre gli aspetti finanziari. In gioco ci sono
infatti la fidelizzazione dei clienti e la reputazione del marchio. Per
esempio, un incidente di sicurezza per una banca mette certamente
in discussione il rapporto di fiducia che è alla base della relazione con
la clientela.
Ancora troppi imprenditori e dirigenti hanno bisogno di comprendere
in quali modi i dati aziendali possono essere compromessi e come ciò
possa pregiudicare l'attività della loro impresa. Si tratta di un aspetto
fondamentale, perché senza questa comprensione e senza stimare il
valore da assegnare ai dati, non è possibile calcolare quale budget e
quali azioni sia adeguato riservare alle risorse per la prevenzione, il
rilevamento e la risoluzione di un incidente.
Rapporto tra costo degli attacchi e numero di giorni occorsi per la remediation
(Fonte: Ponemon Institute)
21. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
9
Queste sono tutte fasi importanti, anche perché, come hanno
mostrato gli analisti del Ponemon Institute nel loro studio "2014
Global Report on the Cost of Cyber Crime", il rapporto tra costo e
tempo occorso per rimediare al danno è ovviamente proporzionale.
In altre parole, tornando al rapporto del Clusit, non comprendendo il
fenomeno e l'importanza della sicurezza, rapportata ai propri dati, si
rischia di investire tanto, poco o troppo poco e, soprattutto, nella
direzione sbagliata.
Ci sono procedure che aiutano le imprese a effettuare un'analisi del
rischio e a valutare il valore del dato, però non può essere il
responsabile della sicurezza informatica a effettuare queste
valutazioni, ma è necessario che siano coinvolti i business manager,
che possono assegnare un costo alla perdita di ciascun dato. Per
questo è importante che il responsabile della sicurezza possa contare
sulla collaborazione di tutti i dirigenti aziendali.
Prima di investire il budget per la sicurezza in maniera sbagliata, è
opportuno valutare una soluzione che possa identificare le
vulnerabilità della sicurezza nell'ambiente ICT aziendale, arrivando a
supportare le imprese nel determinare una roadmap delle attività, in
modo da prevenire la violazione dei dati e la compromissione della
rete.
Secondo il "2014 Global Report on the Cost of Cyber Crime"
realizzato annualmente dal Ponemon Institute a livello internazionale
e sponsorizzato da HP, la media annuale dei costi dovuti agli attacchi
subiti dalle imprese nel 2014 è risultata pari a 7,6 milioni di dollari,
con un range però abbastanza ampio che va da 0,5 ai 61 milioni. Nel
2013 il costo medio era risultato pari a 7,2 milioni. Obiettivamente il
range appare molto ampio, anche perché c'è da considerare un picco,
rappresentato da una singola azienda che da sola ha denunciato un
costo di 61 milioni. Se viene esclusa dal calcolo, la media si abbassa di
circa 0,25 milioni, che non è poco. Se poi le aziende sbilanciate verso
il valore massimo sono più di una il costo per le altre si abbassa
ulteriormente. In ogni caso si tratta di costi da affrontare che danno
obiettivamente da pensare.
22. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
10
Un altro dato interessante è che i costi variano rispetto alla scala
delle imprese considerate. In particolare, l'indagine ha riguardano
257 imprese di grandi o medio grandi dimensioni (numero medio di
postazioni circa 8000) in sette nazioni: Usa, Australia, Giappone,
Russia, Francia, Germania e il Regno Unito. È risultato che minore è il
numero di postazioni da proteggere, maggiore è il costo per
postazione che si è dovuto sostenere per rimediare agli attacchi
subiti. Non è solo un fattore matematico, ma anche una conseguenza
della quantità di attacchi. La ricerca, infatti, mostra che i settori più
colpiti sono energia e utility, finanziario, tecnologia.
Costo medio annuo degli attacchi subiti per settore
(dati espressi in milioni di dollari – fonte Ponemon Institute)
Un approccio orientato al costo della violazione e alla gestione del
rischio, permette di valorizzare la sicurezza, inserendola tra gli
elementi abilitatori del business. In altre parole, significa riconoscere
23. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
11
che la sicurezza informatica contribuisce ai ricavi. Questo deve essere
chiaro non solo nel caso delle transazioni finanziarie, ma in tutti i
processi di business, come nell'esempio prima riportato riguardante
l'azienda di abbigliamento.
Mobility, cloud e social cancellano i confini delle
imprese
Diversi fattori hanno contribuito a cambiare il punto di vista e a
considerare la sicurezza un vantaggio e, in taluni casi, un motore per
il business. Il primo, dal punto di vista cronologico, di questi fattori è
la mobility, cioè l’insieme di opportunità derivanti dall’utilizzo di
strumenti wireless e dall’accesso alle risorse IT aziendali da remoto e
in mobilità. L’utilizzo sempre più diffuso della posta elettronica
mobile, in particolare, ha spinto molte aziende ad attivare una serie
aggiuntiva di servizi usufruibili via cellulare o smartphone, a partire
da società di telecomunicazioni e banche. È evidente che attività del
genere presentano un prerequisito imprescindibile di sicurezza, per
garantire la riservatezza delle transazioni, di qualunque natura esse
siano.
Lo sviluppo di Internet, con il fenomeno del cosiddetto Web 2.0
consolidatosi nei social network e con l'always on, cioè la continua
disponibilità di una connessione, ha permesso la diffusione di
tecnologie vecchie e nuove. Vecchie, come la videoconferenza,
esplosa dopo la definizione di standard per la compressione e la
trasmissione ottimizzata su IP, che la rendono efficace, economica e,
soprattutto, semplice. Nuove come molto di quello che sta nascendo
in cloud.
Pure dirompente è il fenomeno della cosiddetta "consumerization",
tradotta in "consumerizzazione". In sintesi, si tratta dell'ingresso in
azienda di tecnologie nate per il mondo consumer e, pertanto, non
progettate con i requisiti tipici di affidabilità e sicurezza delle
soluzioni di classe enterprise. Ma le problematiche connesse a tale
fenomeno vanno ben oltre gli aspetti prettamente tecnologici e,
24. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
12
riguardando direttamente aspetti sociali, coinvolgendo
l'organizzazione del lavoro e i processi di business.
Tutto è cominciato con il "boom" del social software o delle
applicazioni di social networking accessibili via Web. Sono sempre di
più gli studi che testimoniano come, perlomeno in taluni ambiti
funzionali (come il marketing) o settori industriali (anche, ma non
solo, quelli dedicati al consumer), l’utilizzo oculato di Facebook,
Twitter, YouTube o altri strumenti analoghi, può essere utile per il
business aziendale, non solo in termini di immagine. In ogni caso,
esiste una spinta costante all’utilizzo di tali strumenti da parte dei
dipendenti che già hanno account personali su tali siti. Si sono, al
riguardo, anche verificati casi spiacevoli, con informazioni divulgate
ingenuamente attraverso questi canali o, più banalmente, a causa di
commenti sui colleghi postati online.
Sul Web, però, gli strumenti utili non si limitano al social software: le
migliaia di applicazioni disponibili per smartphone e tablet sono
diventate uno strumento irrinunciabile per milioni di persone che le
usano per organizzare le proprie attività nel tempo libero, più che per
divertimento.
Per tali individui, diventa naturale usare le loro "app" anche nel
lavoro e farlo attraverso il loro dispositivo personale, cui sono
abituati e che si sono scelti. Si è sviluppato così il meccanismo del
BYOD (Bring Your Own Device): le aziende concedono ai dipendenti di
usare per lavoro i loro dispositivi personali, non solo quelli mobili. Ciò
genera grandi rischi per la sicurezza dei dati, nonché la perdita di
controllo sugli strumenti di lavoro da parte dell'azienda. D'altro
canto, genera effetti benefici altrettanto potenti, per esempio, in
termini di soddisfazione del dipendente e di produttività.
Più in generale, l’estensione in rete dell’azienda, il successo di
Internet, intranet ed extranet hanno favorito lo sviluppo di soluzioni
e strumenti informatici, sia hardware sia software, che rispondono a
esigenze di protezione differenti dal passato. Un mondo quindi
completamente nuovo che coglie impreparate molte aziende, ma per
il quale ci si può e si deve organizzare, anche perché le minacce
25. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
13
hanno cambiato forma e obiettivi: il mondo virtuale della Rete sta
diventando sempre più simile a quello reale, solo un po’ più “cattivo”,
perché più distaccato.
Teoricamente, l’unico sistema completamente sicuro è quello
totalmente isolato dal resto del mondo. Evidentemente, non può
essere un sistema aziendale, che altrimenti risulterebbe asfittico.
Certamente, se si pensa comunque al mondo informatico di qualche
anno fa, ci si potrebbe chiedere quali sono le ragioni che portano ad
aprire l’azienda verso l’esterno e, quindi, che obbligano
all’introduzione di un più o meno accurato sistema di sicurezza. Se si
guarda, invece, alle potenzialità fornite dall’IT, ma anche dalla
consumer electronic, con gli smartphone in testa, è evidente che le
aziende conviene aprirle, come, del resto sta accadendo.
Si moltiplicano, infatti, le reti di imprese, come pure si spinge alla
realizzazione dei distretti. Ci sono poi situazioni anche più complicate,
come nelle nuove forme di collaborazione, per esempio la cosiddetta
“coopetition”, misto tra cooperazione e competizione, tipica
dell’industria automobilistica.
Qui, case concorrenti si alleano e uniscono, magari
temporaneamente, gruppi di lavoro per sviluppare componenti
comuni (telai, motori o altro), in modo da attivare sinergie sulla
produzione, mantenendo la possibilità di differenziare i prodotti
finali. Si ottengono risparmi e si innalza l’innovazione.
Si incide su fatturato e costi, ma il presupposto è la sicurezza dei dati,
affinché si possa aprire l'azienda a queste formule che rispondono
alla crisi, alle necessità di aumentare la massa critica e alla
globalizzazione.
Di fatto, volendo identificare con Internet la causa primaria di tutte le
minacce alla sicurezza del sistema informativo aziendale, andare
online può rappresentare un rischio elevato. Un rischio che non si
può però fare a meno di correre: per restare al passo con i tempi, per
sfruttare i vantaggi competitivi delle nuove tecnologie, per poter
godere di particolari condizioni che una società può riservare ai
partner commerciali comunicanti in intranet, per migliorare la
26. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
14
comunicazione aziendale, per fornire servizi ai propri clienti, per
implementare un'attività di commercio elettronico, per aumentare la
produttività aziendale.
I rischi di un mondo mobile
Come accennato, dispositivi come gli smartphone e i tablet ci hanno
abituato a trovare online tutti i contatti e gli strumenti che servono
per organizzare la nostra vita sociale e professionale, contribuendo in
maniera sostanziosa al processo di "business transformation", che
ridefinisce completamente i processi aziendali, aumentando la
produttività, cambiando le relazioni di lavoro e sviluppando attività
completamente nuove.
I nuovi modelli di lavoro in mobilità rappresentano la fase finale di
quel processo di allargamento del perimetro aziendale cominciato
con l'avvento di Internet di cui la mobilità ha rimosso gli ultimi limiti
in termini di spazio e tempo, non solo per l'azienda ma anche per i
suoi clienti e fornitori.
Le tematiche di sicurezza legate alla mobilità sono riconducibili a
molteplici aspetti.
Un primo tema riguarda l'utilizzo di dispositivi di tipo personale in cui
sono archiviate informazioni che caratterizzano in modo orizzontale
la vita di un individuo includendo sia la sfera personale sia quella
professionale. Peraltro i dispositivo mobili non sempre sono
progettati per fornire il livello di affidabilità e resistenza necessario
per un utilizzo aziendale.
Poi c'è l'aspetto applicativo e i malware per i sistemi operativi mobili
e le App. Per avere un'idea della portata del rischio si pensi che il
numero di App potenzialmente nocive per Android è stato stimato
abbia raggiunto l'impressionante numero di un milione. Si tratta di un
fenomeno che ricorda quello che ha caratterizzato altri sistemi
operativi di grandissima diffusione, come Windows, con la differenza
che lo sviluppo tecnologico sta rendendo tutto più rapido portando il
numero di minacce a crescere costantemente sia in numero sia in
pericolosità.
27. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
15
Un terzo fondamentale aspetto riguarda le modalità di utilizzo dei
dispositivi mobili. È ormai entrata nello slang comune la sigla BYOD
(Bring Your Own Device), che rappresenta una conseguenza del
fenomeno più ampio della consumerizzazione, portando con sé i
rischi legati un uso promiscuo, personale e aziendale, di dispositivi
informatici.
Una soluzione parziale al problema è stata fornita dai principali
produttori di software con soluzioni o appliance per la protezione
degli endpoint, che si preoccupano di verificare che un dispositivo
mobile che si vuole connettere alla rete aziendale soddisfi i requisiti
di sicurezza e conformità necessari: per esempio che abbia installato
l'ultima patch del sistema operativo o che non abbia disattivato
funzioni di protezione.
Queste soluzioni forniscono una protezione efficace per evitare di
portare all'interno della rete aziendale malware contratti all'esterno,
ma non c'è tecnologia che tenga per proteggersi dalla superficialità e
dalla noncuranza manifestata troppo spesso dagli utenti.
La possibilità di lasciare incustodito il proprio dispositivo mobile o di
connettersi a una rete domestica che non dispone dei sistemi di
protezione di quella aziendale, lascia aperta la possibilità di smarrire
o di diffondere informazioni aziendali importanti e riservate, incluse
password di accesso alla rete aziendale, dati sensibili o business
critical.
Quella di privilegiare l'utilizzo di uno strumento unico è, peraltro,
un'abitudine diffusa all'interno del mondo dei business manager che
facilmente si trovano a ospitare sul proprio dispositivo mobile
personale dati fondamentali per l'azienda: per esempio password di
accesso alla rete che, di fatto, lasciano una porta aperta per entrare
nell'intero network aziendale.
Non è poi insolito l'uso di software o di servizi online (per esempio
Dropbox) pensati per un uso domestico, per trattare o archiviare dati
critici con modalità che sfuggono al controllo dell'IT, spesso con
insufficiente consapevolezza dei rischi.
28. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
16
Tutto ciò apre innumerevoli falle nella sicurezza aziendale che vanno
affrontate attraverso un approccio strategico che definisce modalità
e regole per l'uso dei dispositivi mobili e preveda altresì opportune
tecnologie di gestione e controllo per verificarne il rispetto.
Minacce dal Web e protezione dei dati
Una volta c’erano gli hacker e il loro spirito goliardico. Lo stesso
termine “to hack”, nato negli anni Cinquanta al MIT di Boston
indicava un’innocua pratica illegale: sfidare i divieti di accesso ad aree
riservate per sfruttare i tunnel sotterranei come scorciatoie tra i
padiglioni del campus universitario. Uno spirito goliardico
testimoniato dalle firme nascoste nel codice e lasciate per acquisire
“gloria” quantomeno negli ambienti underground.
Dall’iniziale obiettivo di mostrare il proprio valore penetrando in
sistemi considerati inviolabili, il passaggio a un’attività criminale vera
e propria non è stato breve, ma si è ormai compiuto. È così cambiato
completamente il modo di approcciare la gestione delle minacce. In
passato a ogni nuovo codice maligno, a ogni nuova tecnica di attacco,
a ogni vulnerabilità veniva contrapposto un nuovo sistema di difesa,
ma si è infine compreso che l’escalation, quando ormai si era arrivati
agli “0 day attack”(la registrazione di un attacco il giorno stesso in cui
veniva annunciata una vulnerabilità), avrebbe solo fatto lievitare i
costi.
Poi è entrata in gioco la criminalità organizzata e ha cambiato le
regole: i professionisti del cyber-crime non divulgano le vulnerabilità
senza averle prima averle sfruttate, mentre gli attacchi sono diventati
sempre più “silenziosi” e spesso mirati.
Le tecniche, ormai di tipo completamente ibrido, combinano sviluppo
di codice con servizi di hacking (anche in modalità cloud) e con
attività di social engineering. Le contromisure diventano altrettanto
sofisticate, smettendo di limitarsi a rincorrere i “cattivi” e attuando
una massiccia prevenzione.
29. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
17
L’emergenza di nuove minacce nell’era del Web 2.0
Correva l’anno 2004 quando si iniziò a parlare di Web 2.0 durante
una sessione di brainstorming tra O’Reilly e la MediaLive
International, in cui Dale Dougherty, pioniere del Web e vice
presidente di O’Reilly, coniò questo termine per sottolineare
l’evoluzione sempre più marcata che stava prendendo piede nel Web
con il proliferare continuo di nuovi siti e applicazioni. Da allora il
termine Web 2.0 è stato accettato e il suo utilizzo si è diffuso a
macchia d’olio, facendolo diventare popolare tra i frequentatori del
World Wide Web, nonostante non esista una sua definizione univoca
e ben definita ma piuttosto un insieme di possibili applicazioni e
aspetti caratterizzanti.
Ciò che è certo è che il Web negli ultimi anni si è evoluto e ha assunto
un nuovo ruolo per i suoi utenti rispetto al passato, passando da una
certa staticità a una maggiore dinamicità, che deriva dalle sue
capacità di strumento di collaborazione, condivisione, scambio,
interazione, comunicazione, partecipazione collettiva. Il Web è
diventato il terreno di incontro tra tutti gli abitanti del pianeta che
hanno la possibilità di collegarsi in Rete attraverso un computer o
altri dispositivi che lo permettono. Nel Web è possibile informarsi
(Wiki), socializzare (social networking), scambiare file (P2P
networking), creare pagine di opinioni personali (blog) e così via. Il
Web è diventato un mondo senza confini e aperto a chiunque voglia
parteciparvi per portare il proprio contributo. Purtroppo proprio
questa apertura totale lo rende un’attrattiva interessante per chi ha
ben altri scopi, non del tutto leciti, come gli hacker e chi, con metodi
diversi ,cerca di compiere frodi a danno degli utenti, spesso
inconsapevoli dei pericoli che corrono.
Un aspetto di cui si continua a discutere riguarda la sicurezza dei dati
sensibili, non soltanto quelli degli utenti privati che condividono e
scambiano informazioni nel Web, ma anche a livello di aziende e
organizzazioni. Queste ultime potrebbero a loro insaputa subire
fughe di dati diffusi ingenuamente o inconsapevolmente dai propri
dipendenti, che spesso utilizzano il computer aziendale (magari un
30. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
18
notebook) anche per scopo personale di intrattenimento. Navigando
nei blog e nei siti di social networking gli utenti si espongono a diversi
pericoli.
Percentuali di attacchi noti per tecnica impiegata (Fonte: Clusit)
Per esempio un tipo di minaccia legata inizialmente al mondo delle e-
mail, ma che ha trovato ampio terreno nel Web 2.0, sono gli attacchi
di phishing, che inducono gli utenti a inviare informazioni
confidenziali e password all’interno di una riproduzione fedele ma
illegittima di un sito Web. Questi siti di phishing, creati facilmente
utilizzando le Rich Internet Application (RIA), arrivano a trarre in
inganno anche gli utilizzatori più esperti. L’utilizzo delle RIA si è
rivelato da un lato estremamente vantaggioso, poiché rende più
veloce l’esecuzione di programmi attraverso il Web e sposta la
maggior parte dei compiti di elaborazione a livello di client.
31. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
19
La presenza di un client eseguibile, tuttavia può diventare facilmente
un vettore per il trasferimento di codici maligni e, in particolare, le
RIA che utilizzano plug-in basati su ActiveX risultano particolarmente
vulnerabili.
Non solo le false riproduzioni di pagine Web possono rappresentare
una minaccia per l’utente, ma anche i siti legittimi possono diventare
pericolosi poiché in essi è possibile che malintenzionati inseriscano
malware all’interno di eseguibili XML, come è già successo per
esempio nel popolare sito di My Space o sull’home page del
Superbowl statunitense di qualche anno fa.
Un altro pericolo arriva dal video streaming. Attraverso la fruizione di
video on-line, per esempio dal sito di YouTube, è possibile che un
inconsapevole utente scarichi sul suo computer trojan horse, ovvero
programmi che potrebbero contenere codice dannoso in grado di
sottrarre dati confidenziali.
Un altro elemento di rischio può essere posto dai siti Web che
utilizzano la cifratura SLL (Secure Socket Layer). Infatti, molti sistemi
di sicurezza non esaminano il “tunnel SSL” all’interno del quale
vengono trasportati in modalità punto-a-punto i dati criptati,
rendendo il traffico SLL un possibile vettore da sfruttare per
predisporre azioni indirizzate alla sottrazione dei dati. L’utilizzo del
protocollo SSL in Web server predisposti da malintenzionati può
anche diventare un veicolo con cui trasportare trojan e bot al di là
della protezione del firewall e farli penetrare nella rete aziendale
protetta. Una volta installati i bot sono in grado di costruire reti di
collegamento tra computer che sfruttano analoghe sessioni SLL per
far fuoriuscire informazioni dall’azienda o per introdurre virus
informatici e trojan.
Da ultimo, ma non per importanza, va citato l’emergere dei botnet
(termine derivato da Robot), universalmente considerati una delle
principali minacce del momento. Si tratta di una rete di computer che
vengono di fatto “controllati” da un cyber criminale, che li può
utilizzare per inviare un attacco o uno spam su grande scala, senza
che l’utente del computer si accorga di niente. Il fenomeno è in
32. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
20
espansione e si prevede che in futuro le botnet, e chi le governa,
assumeranno il ruolo di centrali distribuite di comando e controllo. In
realtà, già oggi esistono botnet disponibili a noleggio, come altri
servizi di hacking a pagamento.
Il Phishing
Lo spam è molto utilizzato per il phishing, termine con la medesima
pronuncia, ma storpiato nell’ortografia, dell'inglese "fishing",
pescare.
Si tratta di un sistema inizialmente indirizzato a carpire dati personali
e, tipicamente, numeri di carta di credito, grazie alla collaborazione,
in buona fede, delle vittime della frode. Il sistema è,
concettualmente, molto semplice e perlopiù condotto via e-mail; il
bersaglio si vede recapitato un e-mail da parte di un’organizzazione o
di una banca nota, in cui lo si informa che, a causa di inconvenienti di
vario tipo, si sono verificati problemi relativi al suo conto oppure che
un acquisto da lui effettuato mediante la carta di credito non è
potuto andare a buon fine. L’utente viene, quindi, invitato a collegarsi
a un sito in cui inserire nuovamente i suoi dati, cliccando su un link
contenuto all’interno del messaggio di posta elettronica che,
apparentemente, corrisponde a quello del mittente del messaggio. Il
sito è, ovviamente, fasullo, ma replica in modo perfetto quello
originario, in modo da carpire le informazioni che è lo stesso utente a
inserire.
L’e-mail, apparentemente, ha tutte le caratteristiche di un messaggio
“ufficiale” riportando logo, informazioni di copyright, slogan e
messaggi di marketing identici a quelli utilizzati tipicamente dalle
presunte aziende o banche mittenti. Spesso sono contenuti dati
personali carpiti magari attraverso siti di social networking, dando
l’impressione che effettivamente ci si trovi davanti a un messaggio
reale. I principali target di questo tipo di attacchi sono le banche e i
siti finanziari e, tra le organizzazioni prese di mira, vi è anche la casa
d’aste on line e-bay, che ha prontamente avvisato i propri utenti che
33. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
21
l’invio di messaggi di questo tipo non rientra nelle proprie modalità
operative.
Il contenuto delle mail può far riferimento alla necessità di inserire
nuovamente i propri dati per una verifica del proprio conto, al fine di
prevenire possibili frodi o di verificare che presunte violazioni che
hanno interessato l’organizzazione finanziaria non abbiano arrecato
danni allo specifico utente. Il tono può essere minimale, invitando a
eseguire operazioni che vengono descritte come di routine, oppure
più allarmista, sottolineando l’importanza e l’urgenza di collegarsi al
sito e reinserire i dati; è anche possibile che inviti l’utente a scaricare
e installare “security update” presenti in allegato al messaggio e
contenenti codice maligno. Sebbene, apparentemente, possa
sembrare un approccio ingenuo, il successo che ottiene questa
tecnica è sorprendente.
Il phishing è in forte aumento e risulta tra le tipologie di attacchi più
sviluppati negli ultimi anni con tecniche che si affinano molto. Le
tecniche di social engineering, spesso adottate in abbinamento al
phishing, hanno visto aumentare la loro efficacia con la diffusione del
Web 2.0. Al successo di questo fenomeno si accompagna, secondo gli
addetti ai lavori, un aumento delle problematiche di sicurezza, prima
fra tutte il furto di identità: gli utenti si sentono fiduciosi e pubblicano
in rete non solo i propri dati anagrafici, ma anche svariate
informazioni sulla propria vita privata, tutti dati utili per truffe mirate.
Peraltro, oggi i tool necessari per attività di spamming e phishing
sono pubblicamente disponibili su Internet e strumenti più sofisticati
sono comunque in vendita online, mentre è possibile acquistare
elenchi di indirizzi validi con milioni di nominativi per poche decine di
euro. Il successo dello spamming è dovuto proprio ai grandi numeri:
gli spammer vengono pagati pochi centesimi per ogni click registrato
su un sito da loro indirizzato, ma pochi centesimi per decine di milioni
di messaggi spediti fanno un sacco di soldi, pur considerando basse
percentuali di messaggi andati a buon fine.
Esistono anche varianti del phishing, come il “pharming” (che fa
riferimento alla manipolazione delle informazioni Domain Name
34. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
22
Server per reindirizzare l’utente in modo inconsapevole su siti Web
falsi), lo “spear phishing” (utilizzato per indicare attacchi indirizzati in
modo molto mirato a specifici target), lo “smishing” (che fa
riferimento ad attacchi portati sfruttando i servizi SMS disponibili sui
telefoni cellulari) e il “vishing” o “voice phishing (che sfrutta la
messaggistica vocale e, in particolare, il Voice over IP (VoIP), il cui
vantaggio per gli attacker è che offre garanzie ai truffatori di non
essere individuati poiché molti servizi telefonici via IP non prevedono
un preciso punto di partenza della chiamata).
Lo spear phishing
La posta elettronica resta uno dei veicoli d'infezione preferiti o,
quantomeno, uno degli strumenti utilizzati per le sofisticate tecniche
di phishing o "spear phishing", quello, cioè, mirato. Lo spam
tradizionale è infatti in calo, stando ad alcuni rilevamenti, ma sta
crescendo quello collegato ai social network. Al contrario, sempre più
efficaci si dimostrano gli attacchi mirati che partono con una mail di
phishing appunto.
Quest'ultima tecnica si è evoluta, per cui bloccare tali email è molto
più difficile che in passato, in quanto non si tratta di messaggi rivolti
alla massa, quindi standardizzati e facilmente riconoscibili. Lo spear
phishing si basa su dati appositamente raccolti per colpire uno
specifico target. Si tratta di email personalizzate, che non sono state
osservate da altri sistemi precedentemente e che non sembrano
"estranee" all'azienda.
Gli attacchi di phishing, in passato, erano tutti basati sulla stessa
procedure: l'email inviata a centinaia di migliaia di indirizzi contava
sulla legge dei grandi numeri. Statisticamente una piccola
percentuale di destinatari reagiva alla mail finendo nella trappola dei
cyber criminali e infettando il pc.
L'efficacia del sistema si basava sulla statistica e sull'ingenuità degli
utilizzatori. Anche se di poco, però, la cultura di questi ultimi sulla
sicurezza è andata aumentando negli anni e, parallelamente, è calata
l'efficacia del phishing tradizionale. Ovviamente la maggior parte del
35. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
23
merito va al miglioramento dei sistemi antispam e antiphishing, che
adesso includono tecnologie come: la "reputation" del mittente, che
classifica gli indirizzi di spedizione per bloccare quelli che
notoriamente riversano spam; l’analisi lessicale sul contenuto delle
email per individuare frasi e combinazioni di parole o schemi usati di
solito per lo spam; l'integrazione con gli antivirus, che identificano i
codici maligni noti abbinati alla posta elettronica.
L'efficacia della protezione, porta i cyber criminali professionisti a
cercare nuove strade. Di fatto, la ricerca e sviluppo sul "lato oscuro" è
avanti, preparando le tecniche innovative mentre ancora quelle
tradizionali portano i loro frutti.
Il modello degli attacchi di phishing è quindi evoluto di conseguenza
negli ultimi anni e, soprattutto, si è fatto ancora più mirato:
indirizzandosi a piccole comunità, come possono essere i dipendenti
o, più in dettaglio, i quadri di una specifica impresa. Si è anche
semplificato, perché non contiene direttamente il malware, ma un
link a un sito Web, non di rado legittimo, dove però è stato annidato
il kit maligno. Inoltre, i server utilizzati non risentono di una cattiva
reputazione, perché inviano pochi messaggi che non sono
riconosciuti come spam.
Chiaramente questo presuppone qualche sforzo in più, per esempio
per compromettere un sito legittimo senza che i suoi gestori se ne
accorgano, anche solo per il tempo necessario a portare a termine
l'attacco.
Il successo della tecnica resta ancorato alla ingenuità/diffidenza del
dipendente, ma l'accuratezza di questi attacchi "ripaga" il
malintenzionato. C'è da dire che l'errore o il dolo del dipendente
interno rappresenta sempre il rischio maggiore, come dimostrano
costantemente tutte le ricerche del settore.
Rispetto allo spam, il phishing ha tassi di redemption più elevati, se
poi è mirato l'efficacia è alta. Tali sforzi andranno ripagati, quindi il
bottino sarà ricco: per esempio un numero elevato di dati, come i
numeri di carte di credito o proprietà intellettuali (per esempio
brevetti).
36. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
24
Anche l'analisi lessicale fallisce e lascia passare il phishing sofisticato,
perché i contenuti, essendo mirati, sono compatibili con il contesto e
non riconosciuti come spam. Gli antivirus non trovano malware da
analizzare e bloccare.
Impatto sul costo delle tipologie di attacco: il rischio interno è il più costoso
(fonte Ponemon)
Occorrono soluzioni più sofisticate, che eventualmente siano in grado
di seguire il link verso il codice maligno, riconoscerlo come tale e
bloccare il download di dati compromessi. Meglio se possono
operare in tempo reale.
Il social engineering
Può sembrare strano, ma uno degli strumenti più efficaci nella
compromissione della sicurezza informatica è condotto senza
l’utilizzo di strumenti informatici. Si tratta del cosiddetto “social
engineering”, una tipologia di attacco indirizzata a carpire
informazioni sensibili attraverso l’uso del contatto umano, utilizzando
come complici inconsapevoli gli stessi obiettivi dell’attacco. Di fronte
a sistemi evoluti progettati per analizzare traffico sulle porte,
signature o anomalie di protocollo, il social engineering sfrutta una
37. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
25
delle principali vulnerabilità nella sicurezza informatica di un’azienda:
l’elemento umano.
Le motivazioni che inducono i cyber criminali all’utilizzo di tecniche di
social engineering sono molteplici. Innanzitutto si tratta di un metodo
più semplice rispetto alla violazione di un sistema e che non richiede
costi elevati o tool sofisticati. Permette, inoltre, di aggirare sistemi di
intrusion detection e non è influenzato dalla piattaforma operativa
utilizzata all’interno dell’azienda target.
I bersagli tipici sono rappresentati dal personale di help desk, dagli
addetti al customer service, da assistenti amministrativi, personale
vendite, sistemisti o tecnici. Questo perché, da un punto di vista
generale, i soggetti sono tanto più disponibili a fornire informazioni,
quanto meno sono direttamente coinvolti o interessati dalla
richiesta. Spesso, alle vittime di tali attacchi manca la consapevolezza
del rischio o anche solo l’interesse a discutere o esaminare le
motivazioni alla base di richieste che non sono direttamente
pertinenti ai loro compiti specifici.
Un attacco giunto a buon fine può fornire numeri di dial-in o
procedure di accesso remoto, permettere di creare un account o
modificare privilegi o diritti di accesso fino a determinare
l’esecuzione di programmi potenzialmente dannosi quali trojan
horse. Questo tipo di attacco può anche essere indirizzato a carpire
informazioni quali, per esempio, liste di clienti, dati finanziari, offerte
associate a contratti o informazioni riservate sui processi produttivi. I
metodi utilizzati per carpire informazioni sono vari e dipendono solo
dalla fantasia dell’attaccante.
Una tecnica è quella di raccogliere preventivamente una serie di
informazioni che possano fornire un pretesto credibile per la
costruzione di un attacco e permettano di guadagnare la fiducia di chi
subisce l’attacco. Tipicamente, infatti, il social engineering è una
tecnica preparata e costruita in step successivi e basata su una
precisa strategia, che preveda anche contro-argomenti in caso di
possibili obiezioni e vie di uscita ragionevoli per non bruciarsi il
“lavoro” svolto.
38. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
26
Va poi ricordato che, a differenza di un firewall, l’essere umano
tendenzialmente è portato a fidarsi degli altri o ad avere illusione che
certe cose a lui non possano capitare. Spesso accade anche che venga
sottostimato il valore dell’informazione o si abbia poca
consapevolezza dalle conseguenze di azioni apparentemente
innocue.
Altre tecniche sono indirizzate a costruire un rapporto di fiducia
attraverso una serie di contatti ripetuti completamente innocui. Un
metodo molto efficace è quello di raccogliere una serie di piccole
informazioni che, singolarmente, non hanno utilizzo pratico ma che,
se considerate nel loro complesso, possono rappresentare una fonte
di informazione di valore elevato. Frammenti di informazione utili a
tal fine possono essere facilmente recuperabili da un cyber criminale
tramite i siti Web, l’organigramma aziendale, attraverso newsletter o
anche documenti di marketing. Altre informazioni di carattere
personale possono essere ricavate da siti Web che contengono nomi
di parenti o di interessi specifici, a cui spesso un utente si ispira per
elaborare le proprie password.
Inoltre, poiché l’uomo è naturalmente curioso, altri “trucchi” sono di
lasciare supporti quali CD ROM o floppy contenenti codici maligni
presso specifiche postazioni sperando che vengano aperti ed
esaminati oppure inviare e-mail che invitano a visitare siti Web
potenzialmente dannosi.
Un esempio di attacco di social engineering può partire
dall’individuazione, da un documento di marketing, del nominativo di
una persona che ricopre una specifica carica aziendale. Telefonando
al centralino e chiedendo di essere messo in comunicazione con
quella persona (citando nome e cognome) è facile che si venga
passati al suo numero interno. Se la telefonata avviene in un giorno
in cui questa persona non è sicuramente in ufficio, per esempio
perché dal sito Web viene annunciata la sua partecipazione a un
evento o a una conferenza, non è infrequente poter recuperare il
numero dell’interno dal sistema di risposta automatica che invita a
lasciare un messaggio. A questo punto si dispone già di un numero di
39. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
27
informazioni utili a lanciare un attacco. Con un po’ di astuzia è
possibile, per esempio, ricavare informazioni riservate da un collega,
ottenendo la sua fiducia adducendo motivazioni di urgenza, la stretta
conoscenza del contatto “sfortunatamente” mancato e supportando
le proprie affermazioni con i dati in proprio possesso. Spesso basta
conoscere anche solo poche informazioni personali di un individuo
per lasciare presupporre a qualcun altro una sua conoscenza
approfondita.
Un’ulteriore fonte di informazioni è rappresentata dai rifiuti.
Documenti, bozze, annotazioni o anche nomi di piani e di progetti,
trovano spazio su documenti cartacei che vengono gettati
nell’immondizia. Ancora più rischioso è gettare supporti di
memorizzazione danneggiati quali hard disk o sistemi removibili da
cui è sempre possibile ricavare informazioni parziali. Inoltre,
l’appropriazione dei rifiuti altrui non è, di per se stessa, una pratica
illegale.
Gli aspetti psicologici sono un elemento essenziale nel social
engineering. In generale un attaccante che utilizza queste tecniche
può essere individuato dal fatto che fa richieste fuori dall’ordinario o
adotta comportamenti anomali, quali manifestare estrema urgenza
in modo immotivato, utilizzare toni autoritari o intimidatori, offrire
aiuto per risolvere un problema sconosciuto o citare il management
come ente autorizzatore della richiesta. Particolari condizioni
lavorative possono aumentare il rischio associato a tali attacchi. Per
esempio, una forte pressione a svolgere i lavori in tempi rapidi, la
presenza di uffici distribuiti in varie località o l’utilizzo di personale
esterno all’azienda, sono tutti elementi che possono contribuire a
facilitare le condizioni affinché un attacco di social engineering abbia
successo.
L’unico sistema per proteggersi efficacemente è quello di aumentare
la cultura della sicurezza in azienda, in modo che questa non sia
percepita come una perdita di tempo o un ostacolo all’attività
lavorativa, predisponendo procedure apposite per la gestione delle
informazioni e la loro classificazione e mettendo a punto policy per la
40. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
28
“pulizia” della postazione di lavoro. La contromisura più efficace resta
quella di attivare sessioni di addestramento indirizzate alla
consapevolezza dell’importanza della sicurezza e dei possibili rischi
associati a comportamenti superficiali.
Il furto di identità
La cronaca, a onor del vero, dà maggior risalto a fenomeni di massa,
come i vari worm o pseudo tali che di tanto in tanto riescono a
perforare le difese diffondendosi in tutto il mondo, ma le attività
realmente criminali si concentrano su altri fronti: primo fra tutti il
furto di identità.
Rubare l’identità di qualcun altro significa riuscire a raccogliere
sufficienti informazioni al fine di spacciarsi per lo stesso, ad esempio,
per commettere frodi, aprire conti correnti, navigare su siti
pornografici, carpire dati aziendali riservati o quant’altro. Alle volte lo
scopo è indiretto, come nel caso dei database costituiti illegalmente
tramite strumenti di spamming.
Un’identità può essere utilizzata per sferrare attacchi contro terzi o
frodarli, con il rischio di dover anche affrontare spese legali per
dimostrare la propria innocenza.
Oltre al phishing, un metodo molto in voga per reperire/rubare
informazioni è collegato all’utilizzo di programmi cosiddetti spyware,
il cui scopo è quello di registrare il comportamento di navigazione,
esplorare il disco rigido, esportare dati raccolti, intercettare posta
elettronica o file, catturare dati immessi in sistemi Web (per esempio
con i keylogger, che memorizzano i tasti premuti) e altro ancora. Con
uno o più strumenti del genere è possibile “assemblare” sufficienti
dati per mettere insieme l’identità di un individuo.
L'Internet of Things
Dopo il Web 2.0, si è cominciato a parlare di Web 3.0, una definizione
che è stata presto abbandonata a vantaggio di due altre diciture:
Machine to Machine (M2M) o Internet of Things (IoT). Di fatto, il Web
è sempre stato concepito come l'interazione tra un individuo e una
41. 1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
29
macchina (server), poi si è passati al 2.0, che prevede l'interazione tra
gli individui, comunque mediata da una macchina. Il terzo passo è
l'interazione diretta tra macchine.
Prima di lasciarsi andare a scenari apocalittici stile Matrix, si rifletta
sul fatto che, al contrario dell'essere umano, le macchine non
posseggono l'istinto della sopravvivenza né quello della
perpetuazione della specie.
Di fatto, sarà presto maggioritario il numero di dispositivi posti in rete
per svolgere compiti diversi da quelli di mettere in comunicazione
individui o fornire informazioni a questi stessi. Si tratta di, per
esempio, sistemi di controllo di impianti industriali collegati a sensori
che rilevano determinati parametri. Quando questi ultimi superano
una soglia potrebbe partire un allarme e il sistema di controllo genera
un’azione corrispondente. La possibilità di utilizzare la rete IP e
Internet in particolare per attuare una soluzione del genere è già
stata presa in considerazione. Ancora una volta, sono le
problematiche di sicurezza che faranno la differenza. Quali saranno le
sfide del futuro per le aziende che si occupano di sicurezza, una cosa
è certa: non possono continuare a giocare a nascondino con i “ragazzi
cattivi”. Un rincorsa senza sosta da una minaccia a un nuovo rimedio
non ha senso. È necessario modificare le regole del gioco: cambiare
approccio e anticipare le mosse dell’avversario, scendendo sul suo
stesso terreno e partendo dagli obiettivi che si pone.
43. 31
LA SICUREZZA ENTERPRISE DI HP
Attraverso la divisione Enterprise Security Products
(ESP) HP propone un modello di sicurezza enterprise
integrato, pensato per rispondere anche alle richieste
di protezione dei nuovi ambienti virtualizzati e cloud.
Questa strategia è sorretta da un portafoglio d'offerta
articolato che comprende hardware, software,
soluzioni e servizi, rafforzato da una serie di risorse,
competenze, laboratori e iniziative complementari che
ne cementano e rafforzano la portata.
.
2
44. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
32
HP Enterprise Security Products
Per rispondere alle nuove esigenze di protezione HP ha messo a
punto una strategia per la gestione del rischio che prevede interventi
sia sul versante della protezione richiesta dalle aziende, sia per
garantire agli utenti un accesso sicuro alle corrette risorse aziendali,
ponendo le basi per un approccio unificato alla sicurezza enterprise.
L'approccio integrato alla sicurezza di HP risponde anche alle
crescenti richieste di protezione dei nuovi ambienti virtualizzati e
cloud.
Le soluzioni che compongono la piattaforma di sicurezza di HP di
Security Intelligence e Risk Management sono proposte attraverso
una divisione specifica denominata Enterprise Security Products (ESP)
e comprendono i sistemi di nuova generazione HP TippingPoint per la
prevenzione delle intrusioni (NGIPS) e firewall (NGFW), le soluzioni di
security intelligence ArcSight, la famiglia Fortify per la sicurezza delle
applicazioni e Atalla per la cifratura e la protezione dei dati, in un
contesto di integrazione che coinvolge servizi, applicazioni e prodotti.
Le soluzioni che compongono la piattaforma di Security Intelligence e Risk
Management di HP Enterprise Security Products
45. 2 - LA SICUREZZA ENTERPRISE DI HP
33
Questa gamma di soluzioni segue un processo evolutivo che prevede
sia la trasformazione e il miglioramento continuo di ciascuna
tecnologia verticale, sia un'integrazione sempre più spinta delle
diverse funzionalità al fine di sfruttare al massimo la sinergia di
strumenti che affrontano, su piani diversi, il tema della protezione,
migliorando la gestione e incrementando il livello di intelligenza
necessario a fronteggiare le nuove minacce che operano in modo
sempre più stratificato.
Risorse e iniziative per aumentare la
sicurezza aziendale
L'offerta di soluzioni hardware e software di HP è completata da una
serie di risorse, competenze, iniziative e servizi complementari che
cementano e rafforzano l'ossatura completa del modello di
protezione. Queste risorse includono laboratori di ricerca,
competenze, iniziative ad ampio spettro, risorse distribuite e una
serie di soluzioni e servizi che, tutte insieme, operano in modo
sinergico per analizzare costantemente a livello globale le nuove
minacce, stabilire la reputazione e il livello di rischio e abilitare
interventi in tempo quasi reale per proteggere gli utenti delle
soluzioni HP.
HP DVLabs
Punta di diamante dell'ecosistema per la protezione enterprise di HP
sono gli HP DVLabs, il team di ricerca di sicurezza per la scoperta delle
vulnerabilità nel settore della sicurezza. Il team è composto da
ricercatori riconosciuti nel settore che applicano tecniche di analisi
all'avanguardia nelle loro operazioni quotidiane.
DVLabs trasferisce tutte le scoperte delle vulnerabilità ai produttori di
software interessati per favorirli nella creazione di patch e crea filtri
di protezione per i suoi sistemi NGFW/ NGIPS per proteggere gli
utenti da potenziali attacchi zero-day prima che le vulnerabilità siano
rese note al pubblico.
46. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
34
L'attività svolta dagli HP DVLabs si concentra sulla creazione di filtri
per la protezione contro ogni tipo di vulnerabilità (vaccini digitali) e
non solo gli exploit noti, applicando tecniche di decodificazione e
analisi all'avanguardia
I filtri di vulnerabilità prodotti sono distribuiti settimanalmente e
puntano a bloccare tutti gli exploit delle vulnerabilità del software,
fornendo un elevato livello di accuratezza in modo che gli NGFW non
blocchino il traffico legittimo mentre proteggono la rete.
Esempio di Report fornito dai DVLabs
HP Security Research
HP Security Research è la struttura che conduce ricerche e fornisce
servizi di intelligence per l’intero portafoglio di soluzioni HP ESP.
HP analizza le informazioni provenienti da diverse fonti, tra cui indagini
proprietarie, intelligence open source e feed dei dati attivi generati dai
propri prodotti e servizi. L’ampiezza e la profondità degli asset di
sicurezza, della sua base installata e della sua community di sicurezza,
collocano HP Security Research nella posizione ideale per agevolare la
condivisione dell’intelligence indispensabile per contrastare le minacce.
Pubblicazioni sulle ricerche sul tema della sicurezza e briefing
periodici sulle minacce completano i servizi di intelligence HP e
offrono un’analisi approfondita del futuro della sicurezza e dei più
importanti rischi di violazione che le aziende si troveranno ad
affrontare.
47. 2 - LA SICUREZZA ENTERPRISE DI HP
35
HP Security Research, che si occupa di dettare l’agenda della ricerca
in materia di sicurezza per conto di HP, si avvale del contributo dei
gruppi di ricerca già esistenti che includono HP DVLabs e HP Fortify
Software Security Research; inoltre, gestisce il programma Zero Day
Initiative (ZDI) che premia i ricercatori di tutto il mondo che
individuano nuove vulnerabilità.
HP TippingPoint ThreatLinQ
Un'altra risorsa messa in campo da HP è TippingPoint ThreatLinQ, un
portale di Security Intelligence accessibile a tutti i clienti HP
TippingPoint attraverso HP TippingPoint Threat Management Center,
che offre un modo efficace per valutare l'evoluzione delle minacce e
collegare l'intelligenza raccolta a specifiche modifiche di policy dei
NGIPS/NGFW.
ThreatLinQ consente di ottimizzare in modo proattivo la sicurezza di
rete e di ridurre i rischi di business, sulla base di un'analisi dettagliata
svolta in tempo reale delle informazioni inerenti le minacce
(comprese quelle di nuovo tipo e gli attacchi "top"), suddivise per
Paese e per categoria.
Un esempio di report fornito tramite HP ThreatLinQ
48. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
36
HP Threat Central
Tutti i report di vendor e analisti confermano che lo scenario delle
minacce è in costante peggioramento. Uno dei meccanismi capaci di
contribuire a controbattere questo crescente livello di minaccia è lo
scambio d’informazioni per condividere esperienze e misure di
contrasto.
Per questo motivo HP ha sviluppato Threat Central, una piattaforma
collaborativa d’informazioni sulla sicurezza che permette di
condividere, all'interno di una comunità, dati e analisi sulle minacce
fornendo intelligence in tempo reale su vettori di attacco, metodi,
motivazioni e autori specifici che si celano dietro gli attacchi.
HP Threat Central è una piattaforma collaborativa di security
intelligence pensata per creare un sistema di difesa contro le minacce
informatiche più avanzate e per la condivisione di informazioni di
sicurezza da parte di una community di utenti HP che operano su
settori simili.
Attraverso HP Threat Central i membri autorizzati di una community,
per esempio di operatori del settore bancario (dove frequentemente
la stessa tipologia di attacchi viene replicata su più organizzazioni
dello stesso tipo), vengono allertati in tempo reale non appena viene
identificata una minaccia, consentendogli di ricercare all’interno delle
proprie organizzazioni la presenza di indicatori simili a quelli
notificati. Facendo leva sulla piattaforma, i membri della community
possono inviare informazioni sulle minacce, analisi e metodi per
contrastarle.
Lo scambio dei dati all'interno della community avviene in modo
sicuro e riservato, sotto la garanzia dell'HP Security Research Group
che, peraltro, contribuisce direttamente all'attività della community
aggiungendo best practice, risultati delle proprie indagini e
suggerimenti operativi.
Questa piattaforma è stata ulteriormente potenziata con
l’introduzione della HP Threat Central Partner Network, un sistema di
collaborazione tra imprese impegnate nella sicurezza che sta alla
49. 2 - LA SICUREZZA ENTERPRISE DI HP
37
base dell’importanza della collaboration a livello di industry per
combattere gli attacchi.
HP sta già collaborando con partner quali Arbor Networks, Blue Coat
Systems, InQuest, ThreatGRID, Trend Micro e Wapack Labs allo scopo
di produrre informazioni strategiche sulla sicurezza per fornire
indicatori pratici alla comunità HP Threat Central.
HP Security Research e HP Enterprise Security Services forniscono
dati alla piattaforma HP Threat Central in aggiunta alle informazioni
condivise tra i membri della comunità e i partner.
Zero-Day Initiative
Tra le iniziative sviluppate da HP a supporto di un approccio proattivo
alla sicurezza enterprise va certamente ricordata la HP Zero-Day
Initiative (ZDI), un programma pubblico di ricerca sulle vulnerabilità
Zero-Day che da molti anni supporta le soluzioni TippingPoint
favorendo una copertura efficace dalle tecniche di attacco sfruttabili
"in the wild" e non ancora risolte da patch rilasciate dai produttori.
ZDI arricchisce l'attività svolta dai Laboratori HP DVLabs con
metodologie, competenze e iniziative di ricercatori indipendenti,
incoraggia la generazione di report sulle vulnerabilità zero-day
attraverso programmi di incentivi per i contributori e permette di
incrementare il livello di protezione offerto attraverso i sistemi HP
TippingPoint NGIPS/NGFW.
HP ZDI mette a disposizione un portale Web per l'invio di
vulnerabilità e per monitorare lo stato, filtri NGIPS per definire i dati
sulle ultime minacce di classe enterprise e per fronteggiare
immediatamente le vulnerabilità mentre sono ancora in corso i lavori
per predisporre patch efficaci.
HP Reputation Security Monitor (RepSM)
Si tratta di uno strumento di Threat Intelligence basato su un livello di
reputazione che viene definito sulla base di dati provenienti dalla
comunità di sicurezza globale e di rilevazioni effettuate da HP.
50. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
38
RepSM fornisce un ulteriore livello di intelligenza alla soluzione di
Security Information and Event Management (SIEM) di HP per
operazioni di correlazione in tempo reale, abilitando una reazione
attiva in risposta alle attività dannose e stabilendo il livello di priorità
con cui fronteggiare attività sospette. In tal modo fornisce un utile
sistema per identificare le APT (Advanced Persistent Threat), che
risultano spesso non individuate dai controlli di sicurezza basati su
firme di sicurezza (signature) e, più in generale, abilita operazioni di
sicurezza in risposta ad attacchi sconosciuti con azioni manuali o
automatiche.
L'utilizzo di RepSM abbinato ad H ArcSight Application View permette
di avere visibilità sul comportamento di un malintenzionato
all'interno di un'applicazione e di controllare, per esempio, se
effettua connessioni esterne e se queste sono verso un sito o un IP da
considerare pericolosi.
HP Reputation Security Monitor (RepSM)
51. 2 - LA SICUREZZA ENTERPRISE DI HP
39
HP TippingPoint Web AppDV
HP TippingPoint mette a disposizione di propri utenti anche Web
AppDV, una soluzione pensata per proteggere le applicazioni Web
critiche che permette di identificare, monitorare, proteggere e
controllare le applicazioni e il loro utilizzo. Attraverso una scansione
personalizzata delle applicazioni Web, questo servizio consente lo
sviluppo di vaccini digitali specifici per l'utente.
WebAppDV, grazie alla tecnologia Adaptive Web Application Firewall
(WAF), permette di estendere la protezione alle applicazioni online,
attraverso l'identificazione in tempo reale delle vulnerabilità nelle
applicazioni Web e la distribuzione di patch virtuali che consentono di
proteggere l'azienda in attesa della disponibilità di un rimedio
definitivo.
Digital Vaccine Toolkit (DVToolkit)
DVToolkit è lo strumento che apre alle aziende la possibilità di ampliare il
livello di personalizzazione di sicurezza creando internamente filtri di
protezione personalizzati oppure importando nativamente firme create
in open source, per poi trasformarle in filtri TippingPoint ed inserirle in
un package Digital Vaccine specifico.
Questo toolkit permette alle aziende di integrare la protezione DV con
quella dei filtri già realizzati per specifiche applicazioni legacy e di ridurre
i rischi nella condivisione di informazioni sensibili con le terze parti.
Threat Digital Vaccine (ThreatDV)
TippingPoint ThreatDV è un servizio in abbonamento indirizzato agli
utenti delle soluzioni HP TippingPoint NGIPS e NGFW pensato per
favorire la difesa contro le nuove minacce avanzate.
ThreatDV è la combinazione tra un servizio di analisi della
reputazione (in precedenza fornito come servizio autonomo con la
denominazione Reputation Digital Vaccine-RepDV) e un pacchetto
comprendente già oltre mille filtri progettati per rilevare il traffico
nocivo e inibire l'attività del malware. Il pacchetto malware viene
52. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
40
aggiornato su base settimanale e i filtri vengono rilasciati in stato
disattivato.
Il servizio di analisi della reputazione di ThreatDV abilita funzionalità
di analisi di contesto e geolocalizzazione sulle sonde IPS in aggiunta a
quelle di analisi del contenuto di dati e protocolli già presenti nei
Digital Vaccine sviluppati da HP. La valutazione del livello di
reputazione si basa sull'analisi incrociata di milioni di data stream
raccolti giornalmente dalla rete mondiale di intelligence HP
TippingPoint ThreatLinQ, dal repository sul malware dei DVLabs, da
reti "honeypot", da fonti gestite da operatori specializzati e da black
list open source. L'analisi di questi dati consente di classificare gli
indirizzi IP (v4 e v6) e i siti pubblici (DNS) potenzialmente pericolosi,
assegnandogli un indice del livello di pericolosità da 1 a 100, stabilito
in base all'analisi della fonte, del livello di attività, della categoria e
del tipo di minaccia. Questo "feed" di reputazione viene aggiornato
ogni 2 ore.
In base al valore di un indicatore di reputazione o di rischio e alla
localizzazione geografica è possibile bloccare le connessioni in uscita
e in entrata dalla rete aziendale con siti non affidabili e anche inibire
gli exploit degli attacchi di nuovo tipo provenienti da attaccanti noti,
prima che siano disponibili le corrispondenti firme di sicurezza.
Il servizio di analisi della reputazione fornito da HP Threat DV
53. 41
LA NETWORK SECURITY
Le reti sono l'elemento abilitante per la realizzazione
di qualsiasi servizio IT a supporto del business
aziendale. Come tale devono essere intrinsecamente
sicure e, a loro volta, un elemento attivo nella
protezione degli asset informativi aziendali. I firewall,
che da sempre rappresentano la prima linea di difesa
per il network aziendale, hanno dovuto evolvere per
riuscire a fronteggiare le nuove minacce. Questo ha
determinato l'arrivo di dispositivi di nuova
generazione, più granulari nell'analisi e più efficaci
nella difesa.
HP ESP risponde a queste esigenze con la gamma di
soluzioni HP TippingPoint.
3
54. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
42
La sicurezza delle reti
Il problema di come impostare una strategia per l’infrastruttura di
rete aziendale si abbina, in una buona parte delle realizzazioni, al
modo di predisporre la migrazione e la sostituzione partendo dalla
situazione preesistente e trovando il modo più adatto per perseguire
una trasformazione che determini il minor impatto possibile.
Da questa esigenza specifica, ma basilare nel contesto di
un’operatività aziendale che non può subire interruzioni, non
possono prescindere i fornitori di piattaforme, che si trovano a dover
predisporre modelli architetturali in grado di adattarsi da subito a
nuove esigenze e requisiti di business, integrando l’esistente,
elevando le prestazioni e mantenendosi aperti per un’evoluzione
scalabile.
I requisiti sono sempre più legati ai temi di sicurezza, convergenza,
gestione unificata fisso-mobile, virtualizzazione. Tutto ciò
contribuisce a delineare un’evoluzione tecnologica e una strategia di
trasformazione delle reti in una direzione ben identificata in grado di
dare agli utilizzatori (aziende e operatori) una risposta alle loro
necessità.
Il legame tra requisiti applicativi caratteristiche dell’infrastruttura di
rete e un progressivo orientamento verso un modello orientato ai
servizi ha portato l’approccio al networking sempre più vicino a
quello dell’IT. Per questa ragione perseguire un approccio che punti
semplicemente alle prestazioni può rappresentare, ora più che mai,
una scelta miope. Per esempio l’aspetto della semplicità e
dell’unificazione gestionale diventa sempre più importante. Per le
aziende semplificare le reti significa poter ridurre sostanzialmente i
costi di manutenzione, incrementare i servizi esistenti offrendone
altri multimediali e integrati, incrementare l’affidabilità e il controllo.
Ciò che a volte si sottovaluta è quanto questi aspetti (si pensi per
esempio alla semplificazione) contribuiscano anche in modo
significativo ad aumentare la capacità di controllo del rischio e
favorire un maggiore livello di sicurezza.
55. 3 - LA NETWORK SECURITY
43
A livello di sicurezza, la crescente sofisticazione degli attacchi e il
fatto che questi avvengano tramite una rete trasmissiva obbligano il
manager dei sistemi informativi a considerare quali possono essere le
soluzioni al problema in termini progettuali, le strategie da attuare e
la localizzazione più adatta degli strumenti e delle applicazioni che a
questi attacchi si devono opporre. In pratica, sia che si tratti della
rete di un carrier, di una rete virtuale privata (VPN) o di una rete
aziendale, il problema consiste nell'abbinare le funzioni di sicurezza
con quelle di trasporto della rete in modo che le stesse risultino
sinergiche ed efficaci, idealmente massimizzando i livelli sia di
protezione sia di servizio.
Un ulteriore elemento in grado di caratterizzare il modello
architetturale e condizionare l’efficacia di una rete a supportare
innovativi modelli di business è la capacità di implementare un livello
di intelligenza e di distribuirlo in base agli specifici requisiti di
business. Per queste ragioni, sempre più spesso, le funzioni di
sicurezza sono affidate a dispositivi posti sulla rete e integrati con
quelli preposti a realizzare le funzioni di switching e routing, mentre
cresce la diffusione di appliance dedicate, pronte a integrare
all’interno di quelli che in passato erano semplici switch (anche
periferici) una serie di funzionalità in costante evoluzione. Tutto ciò si
va sempre più combinando con modelli as a service e "cloud based".
L'evoluzione della network security
Il settore tecnologico è in rapido mutamento sotto la spinta
contemporanea di più trend tra loro correlati e ognuno dei quali
racchiude in sé le potenzialità per rivoluzionare il modo di concepire
l'IT stesso. Parliamo di fenomeni quali cloud computing,
virtualizzazione, mobilità e BYOD che cambiano non solo il paradigma
tecnologico, ma anche e soprattutto il modo con cui le aziende
conducono il proprio business. Questi fenomeni creano non solo
opportunità ma anche nuovi rischi di sicurezza.
Il cloud computing introduce nuove modalità per accedere alle
applicazioni all’esterno dei confini aziendali, imponendo alle aziende
56. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
44
di predisporre le condizioni per proteggere le interazioni con le
applicazioni enterprise su cloud, come nel caso del Software-as-a-
Service e del cloud storage.
La mobility richiede un controllo e una visibilità delle applicazioni più
ampi, indipendentemente dal punto di accesso. Le aziende devono
tutelarsi dall'introduzione di malware o da potenziali brecce che
potrebbero essere determinate dall'accesso da dispositivo mobile alla
rete aziendale.
Il BYOD ha introdotto un utilizzo promiscuo dei dispostivi mobili per
attività private e aziendali al fine di favorire la produttività e il
coinvolgimento dei dipendenti. Tuttavia, tali dispositivi si collocano ai
confini della rete e sono perciò fuori dalla portata dei tradizionali
sistemi IPS e per proteggere le reti dalle potenziali minacce
introdotte da questi dispositivi, le aziende devono mettere in atto
controlli capaci di operare ai margini esterni della rete.
I rischi si espandono anche verso l'orizzonte applicativo influenzando
i metodi di test dei processi di sviluppo e richiedendo modelli di
protezione basati sull'analisi comportamentale anziché sulla mera
classificazione del malware.
A livello di rete cresce l'impatto degli attacchi DDoS (Distributed
Denial of Service) e si affacciano le APT (Advanced Persistent Threat)
mentre i sistemi di difesa di tipo più tradizionale mostrano i propri
limiti nel rilevare le nuove tipologie di intrusioni o nel contrastare la
sofisticazione dei malware più recenti.
Infine, la crescente diffusione dell'uso di risorse IT sotto forma di
servizio o nel cloud estende le problematiche legate alla conformità
normativa poiché sposta i dati aziendali in un Web privo di confini
nazionali.
Le conseguenze di questo rinnovato scenario sono che le aziende si
trovano ad avere un minor controllo sui punti di accesso alla rete. Ne
deriva l'esigenza di disporre di soluzioni di sicurezza capaci di
estendere la protezione oltre il perimetro della rete aziendale, di
realizzare una più profonda integrazione delle soluzioni IT per
difendere le interazioni degli utenti da potenziali minacce alla
57. 3 - LA NETWORK SECURITY
45
sicurezza e di predisporre una protezione dinamica basata su
meccanismi automatizzati e strumenti costantemente aggiornati.
Per stare un passo avanti rispetto all'evoluzione delle minacce
servono sistemi e dispositivi di nuova generazione che sappiano
intervenire in modo più mirato e dispongano del livello di
"intelligenza" necessario a valutare in modo più approfondito e
circostanziato i dati di sicurezza.
Predisporre misure efficaci di sicurezza significa anche affrontare una
revisione della rete non solo di natura tecnologica, ma anche di
carattere strategico.
Un tema da sottolineare nell'evoluzione della network security
riguarda il legame tra i requisiti applicativi e le caratteristiche
dell'infrastruttura di rete nonché il progressivo orientamento verso
un modello orientato ai servizi e al cloud.
Il passaggio da una visione centrata sulla parte "tecnica" di una rete a
quella "applicativa" ha profonde implicazioni a livello di sicurezza,
anche perché coinvolge nel processo decisionale e di cambiamento
un insieme di figure manageriali e aree di responsabilità aziendale più
orientate al business e che, per molto tempo, sono state
sostanzialmente non interessate a quanto era ritenuto di esclusiva
competenza del reparto IT.
La sicurezza del futuro non potrà, quindi, essere un elemento
aggiuntivo del sistema informativo o dell'infrastruttura aziendale ma,
dovrà invece essere un componente pervasivo e integrato di
entrambi, come pure di tutti gli elementi tecnologici, anche non IT,
presenti in azienda. Un primo elemento che emerge è che sicurezza e
rete sono due cose che è sempre più opportuno siano pensate e
sviluppate in modo parallelo. Una tale sinergia appare poi tanto più
necessaria quanto più la rete agisce come integratore e come base
per applicazioni convergenti e per l'erogazione di servizi.
Si tratta del punto di arrivo di un processo di convergenza tra security
e networking che parte da lontano: quando gli switch hanno
cominciato a fare i router e questi ultimi hanno iniziato a controllare
gli accessi tramite le ACL (Access Control List).
58. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
46
Le Virtual Private Network (VPN)
La consolidata affermazione delle reti private virtuali (VPN) basate su
protocollo IP è legata al presupposto di realizzazione a basso costo di
una rete privata end-to-end che sfrutti la “gratuità” di Internet.
Vi sono fondamentalmente due modi con cui utilizzare
vantaggiosamente una rete VPN nel contesto aziendale. Il primo,
disponendo di un adeguato accesso a Internet, prevede l’obiettivo
principale di espandere le relazioni con i propri clienti. Il secondo, più
complesso, consiste nell'utilizzare Internet o il protocollo IP,
canalizzato tramite un carrier, non solo per i propri clienti ma anche
per interconnettere le proprie sedi aziendali. In pratica, con una VPN
si ha la realizzazione di un’interconnessione geografica da sede a
sede (generalmente da LAN a LAN) con un costo che è solo una
frazione di quello tipico delle reti geografiche.
Una VPN utilizza un’infrastruttura condivisa per la connessione delle diverse sedi
aziendali
Una VPN è virtualmente privata, proprio perché utilizza infrastrutture
di rete condivise anche da altri utenti. Internet, poi, è una classica
rete "aperta", quindi, in linea di massima, aperta lo è anche una VPN.
59. 3 - LA NETWORK SECURITY
47
Per questo è necessario che siano implementati opportuni criteri sia
da parte del fornitore sia dell’utilizzatore della VPN stessa.
I dati immessi in rete nel punto di origine, per arrivare al punto di
destinazione, attraversano nodi appartenenti a sottoreti diverse, che
assicurano come funzione di base la commutazione o routing dei
pacchetti IP verso il nodo di destinazione. Proprio questa
"multiproprietà" apre la strada ad attacchi dall'esterno e, in sostanza,
chi si appresta a utilizzare una VPN, ha la necessità di essere protetto
dall'accesso ai suoi dati da parte di persone non autorizzate.
Esistono oggi risposte concrete a queste esigenze, di cui alcune
sviluppate proprio per l’ambito IP, come l’IPsec (Internet Protocol
Security), uno standard specifico per Internet e applicazioni di
commercio elettronico su Internet.
L’architettura IPsec
La suite di protocolli per la sicurezza del livello di rete IPsec prevede
la realizzazione di due diverse modalità di protezione dei dati. La
prima permette di autenticare i dati inviati, la seconda aggiunge a
questo anche la cifratura degli stessi. IPsec costituisce una vera e
propria architettura aperta per la realizzazione di reti sicure che
consente di inserire nuovi metodi di cifratura mano a mano che
vengono sviluppati o che i sistemi utilizzabili per attaccare i dati si
perfezionano.
Le aree che sono state affrontare nella definizione di IPsec sono:
Autenticazione dei dati di origine per verificare che gli stessi siano
stati inviati effettivamente dal mittente.
Protezione dal rischio che i dati possano essere intercettati e
ritrasmessi in un momento successivo.
Integrità dei dati per verificare che quanto inserito nei
datagrammi non sia stato alterato.
Gestione automatica delle chiavi di cifratura in modo da poter
stabilire una politica di rete che non richieda continui interventi
manuali.
60. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
48
Le tecnologie di autenticazione possono anche utilizzare elementi
esterni, come i token, ma tali meccanismi rimangono esterni
all’architettura VPN propriamente detta. Così come lo è il protocollo
tipicamente usato nelle reti per la realizzazione di una sessione sicura
su Internet, cioè il Secure Socket Layer (SSL).
Rispondere alle minacce in tempo reale
A monte di qualsiasi progetto per la sicurezza è necessario effettuare
un’operazione culturale. Errare humanum est e appunto sfruttando
l’ingenuità, l’ignoranza o comportamenti irresponsabili dei
dipendenti, gli “attacker” penetrano nei sistemi e reti aziendali.
Negli anni sono aumentati gli attacchi perpetrati attraverso il social
engineering. È facile credere a una mail che arriva apparentemente
da un dirigente aziendale con un tono minaccioso e quindi cascare in
trappole tese da un malintenzionato che era riuscito a impossessarsi
di un paio di informazioni, magari raccolte su un sito di social
networking, dove in molti si confessano liberamente. Il phishing, in
particolare, è nato proprio con il concetto di sfruttare l’ingenuità
delle persone e, utilizzando tecniche di spamming, colpisce sempre
più facilmente nel segno. Statisticamente, inviando centinaia di
migliaia di e-mail, c’è certamente qualcuno che crede a messaggi
sempre più plausibili e clicca sul link-esca.
Le logiche dei grandi numeri fanno il resto: se “abbocca” l’1% dei
destinatari (è una percentuale stimata da diversi security advisor),
significa migliaia di identità elettroniche, numeri di carta di credito,
password o altre informazioni rubate. Anche percentuali inferiori
portano a risultati interessanti, che spesso rappresentano solo la
base di partenza per ulteriori crimini.
Conoscenza e consapevolezza riducono il rischio, ma, soprattutto
nelle grandi imprese, non è facile diffondere una cultura sulla
sicurezza a tutti i dipendenti. Senza contare che combattere la
pigrizia e la debolezza della natura umana è una battaglia persa in
partenza.
61. 3 - LA NETWORK SECURITY
49
Allora la guerra va combattuta e vinta su altri terreni e, vista la
sofisticazione e la crescente rapidità degli attacchi, l’unica strategia
possibile consiste nell’applicare strumenti automatici.
Un esempio può aiutare a comprendere le dimensioni del problema.
A partire dalla seconda metà del 2007, si è assistito all’affermazione
di una tecnica preoccupante: “l’infezione” di siti insospettabili.
Su home page e pagine interne di Web facenti capo a enti
governativi, università, aziende anche note sono stati inseriti link che
attivano il download di codici maligni. È evidente che qui non c’entra
la cultura e solo un software di protezione può impedire all’utente
ignavo di scaricare malware. Peraltro, il sistema di sicurezza deve
essere sofisticato e aggiornato in tempo reale: in altre parole,
automatico. Altrimenti non può essere efficace. Basta infatti
considerare che viene pubblicata una pagina infetta ogni 5 secondi e
una percentuale sempre più alta di tali pagine appartiene a siti
“innocenti”.
Siti che non ricevono alcun danno e, quindi, difficilmente possono
percepire che c’è qualcosa di sbagliato, almeno non in tempi rapidi. Il
punto è che queste azioni sono rapidissime: viene pubblicata la
pagina infetta, contestualmente vengono mandate centomila e-mail
utilizzando pc “puliti” all’insaputa del proprietario (questo sì
colpevole di scarsa protezione). Nel giro di pochi minuti, se non
secondi, circa mille malcapitati (l’1% dei destinatari) avranno cliccato
sul link trappola.
Oggi, esistono soluzioni che proteggono da tecniche come queste, ma
non tutti ne dispongono. I primi passi in questa direzione sono stati
compiuti con le soluzioni NAC (Network Access Control) che
consentono di verificare il livello di sicurezza dei client prima di
concedergli l’accesso alla rete aziendale. Ma in realtà il problema da
affrontare è quello accelerare l’aggiornamento dei sistemi aziendali
per diffondere la protezione a ogni sistema contemporaneamente.
Nell’ultimo periodo soprattutto tra gli ambiti emersi come i più critici
nell’ambito della network security possiamo ricordare: l'esigenza di
protezione degli endpoint in uno scenario di mobilità crescente, gli
62. ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
50
attacchi DDoS (Distributed Denial of Service), le minacce APT e la
lotta alle intrusioni che ha portato allo sviluppo di Firewall e IPS
(Intrusion prevention system) di “prossima generazione".
Controllare chi o cosa vuole entrare nella rete:
i rischi degli endpoint
Il punto di partenza è che non solo qualunque utente, ma anche
qualsiasi sistema dovesse chiedere accesso alla rete potrebbe portare
traffico nocivo.
Abbandonando il concetto di perimetro, gli endpoint sono da sempre
un pregiato oggetto di attacco. Oggi più che in passato, perché molte
delle tecniche emergenti, oltre a tentare di sfruttare l’ignoranza o la
disattenzione dell’utilizzatore, sono state sviluppate proprio per
agganciare un “endpoint” e usarlo come chiave d’accesso al sistema
aziendale. Il tutto all’oscuro del proprietario del mezzo, cui si cerca di
dare meno fastidio possibile.
Per questo, l’approccio al controllo degli accessi è profondamente
cambiato nel giro di pochi anni e, se in passato appariva sufficiente
controllare l’identità di chi chiedeva l’accesso, oggi risulta sempre più
importante verificare anche le condizioni del sistema utilizzato per il
collegamento. In altre parole è opportuno capire se il computer con
cui un utente si vuole connettere è dotato di quei requisiti di
sicurezza che si ritengono necessari.
Questo controllo è importante tanto per il pc dell’utente occasionale
(il partner, il fornitore, il cliente) quanto, anzi di più, per quello del
dipendente. Non è più pensabile affidarsi alle policy aziendali, che
vengono sistematicamente disattese (troppi utenti, per esempio,
disattivano l’antivirus o la suite di sicurezza perché rallenta troppo le
applicazioni, ancora oggi che le soluzioni sono decisamente più
performanti di un tempo). Non è un caso che, negli anni, si è assistito
a un proliferare delle caratteristiche di “enforcement” all’interno
delle soluzioni per la protezione del pc: queste sono necessarie per
obbligare l’utente a mantenere adeguato il livello di sicurezza della