Regent
Sicurezza
 

05/06/2014

Share    

Analisi costante per difendersi al meglio

Le nuove opportunità tecnologiche a disposizione delle aziende hanno aperto anche nuove sfide che vanno affrontate con una strategia ben delineata

Quando un’impresa subisce un attacco informatico il danno può avere anche serie ricadute sul business. Gastone Nencini, Country Manager di Trend Micro Italia, analizza lo scenario attuale e fornisce diversi spunti di riflessione per arrivare a una strategia di difesa che sia realmente efficiente.



Qual è lo scenario odierno della sicurezza informatica e quali sono le minacce più importanti di cui bisogna tenere conto? Che cosa è cambiato oggi rispetto a quando il tema era venuto alla luce con la prima diffusione di Internet su larga scala?


Lo scenario oggi è cambiato: virtualizzazione, mobile e cloud sono tutte tecnologie che stanno modificando le modalità operative delle imprese. Contemporaneamente sono emerse nuove sfide a livello di protezione e il concetto stesso di sicurezza si è aggiornato. Se prima si parlava di un perimetro all’interno del quale era contenuto il dato, l’uso dei device mobili e delle relative tecnologie, nonché l’aumento della banda trasmissiva a disposizione, hanno reso tutto più fruibile anche all’esterno. Il perimetro di una volta è quindi scomparso e su device quali smartphone e tablet oggi risiedono direttamente le informazioni aziendali che possono, nel contempo, venire interscambiate in modo più semplice. Contestualmente, i malintenzionati hanno però a disposizione ulteriori punti di attacco, meno resistenti rispetto a quelli che stanno dietro a un firewall. Malintenzionati che se in passato volevano semplicemente dimostrare la propria bravura nel compromettere una rete, oggi sono veri criminali con il dato che ha sostanzialmente assunto il ruolo del denaro per chi rapinava le banche. Di fatto esiste un mercato sotterraneo dove può essere venduta e comprata qualsiasi tipologia di informazione, dall’email a quelle bancarie, fino gli elenchi di clienti e fornitori. Gli attacchi avvengono a 360 gradi e nessuno si deve ritenere un soggetto fuori dal mirino, compreso l’utente finale di uno smartphone. Oggi il prodotto da vendere siamo infatti noi stessi e tutto quanto conserviamo o condividiamo nei nostri sistemi IT può fare gola. Ed è per questo che, in generale, noi parliamo di sicurezza data centrica.


 

Le imprese oggi come gestiscono la protezione dei propri sistemi informativi, applicazioni e dati, quanto sono attrezzate e quali sono le tecnologie che hanno a disposizione per tutelarsi nel modo migliore?
Ci troviamo di fronte a una situazione a macchia di leopardo. Da un lato ci sono quelle realtà, le più moderne e nuove che hanno nel loro Dna l’uso di tecnologie IT per far crescere il business e mantengono quindi una tensione molto elevata anche verso la sicurezza. Dall’altro le organizzazioni più ‘classiche’, pur utilizzando maggiormente la tecnologia rispetto al passato, non hanno ancora compresa l’importanza di proteggersi in modo adeguato. In tali aziende la sicurezza è ritenuta una commodity che va a ruota di normative come quella sulla privacy e degli obblighi previsti, ma non contempla un processo di gestione vero e proprio. Con un problema ulteriore rispetto al passato: gli attacchi non mirano più a bloccare l’uso di un pc o di una intera rete tramite azioni come i DoS (Denial of Service) ma a sottrarre, appunto, i dati con il danno che può restare invisibile per un lungo periodo. Pensiamo ad esempio a un’azienda manifatturiera alla quale vengono rubati i piani di un nuovo prodotto per poi vederselo replicato senza autorizzazione all’altro capo del mondo. 
Fronte tecnologie da adottare, si parte sempre dal concetto di protezione del dato che va affiancata a quella del nuovo perimetro, per cui noi parliamo di ‘outside-in’ e ‘inside-out’: controllare tutto quanto entra nei sistemi informativi aziendali ma anche tutto quanto ne esce attraverso dispositivi interni ed esterni, separando le operazioni lecite da quelle illecite. Per far questo vanno correlati gli avvenimenti per capire cosa si sta subendo. Insieme ai prodotti utilizzati fino ad oggi, come il classico antivirus, vanno quindi scelte nuove tecnologie che consentono di effettuare analisi approfondite in
grado di rilevare eventuali tentativi di attacco. Facciamo un parallelo con un sistema di sicurezza fisica. All’ingresso entra una persona dell’impresa di pulizie ripresa dalle videocamere interne. A un certo punto la stessa persona entra in un ufficio e si mette a digitare sulla tastiera di un computer. Chi osserva l’immagine capirà che c’è qualcosa che non va. La stessa cosa va fatta a livello di sicurezza
logica con prodotti che riescono ad eseguire correlazioni e analisi dei singoli eventi che si verificano in rete e sui sistemi ad essa collegati. E questo tenendo conto che oggi l’attacco non avviene più
sparando nel mucchio ma è estremamente mirato: l’obiettivo finale viene studiato e analizzato per periodi molto lunghi, i malintenzionati raccolgono più informazioni possibili e, una volta individuata una
falla, viene sferrato. E una variazione nel numero di virus intercettati su una data rete può rappresentare il segnale di un test in corso verso tale target, atto a capire che tipo di infrastruttura è attiva. Oggi
la sicurezza è quindi sì prodotto, ma anche intelligence.

 

Da questo punto di vista quali sono i rischi che si corrono in caso di falle nelle proprie infrastrutture e quali sono i passi che vanno compiuti per implementare una strategia che sia efficace non solo fronte tecnologico ma anche operativo?


Intanto va ribadito che la sicurezza è un processo fondamentale nell’ambito di un’azienda. A volte si pensa più a quella fisica che a quella logica, la quale deve rientrare anch’essa nella strategia di risk management non solo delle imprese ma anche delle istituzioni. Cito l’ambito industriale dove se mentre prima si operava con sistemi costruiti ad hoc con costi di gestione anche elevati, oggi, grazie
alle nuove tecnologie, è possibile fare le stesse cose a costi ridotti utilizzando soluzioni standard che possono però essere più aperte e attaccabili. Da questo punto di vista è necessario adottare prodotti di sicurezza studiati appositamente per difendere proprio i sistemi industriali, che sono interconnessi alla rete internet o a quella aziendale, laddove prima sfruttavano linee dedicate e che ad esempio controllano la produzione e infrastrutture come quelle elettriche o gli acquedotti. Contemporaneamente, chi gestisce queste macchine potrebbe avere meno dimestichezza con il mondo IT, sottovalutando i nuovi rischi. Se prima infatti esisteva il solo interruttore fisico che le accendeva e spegneva adesso non è più così ed è tutto ampiamente
monitorabile. Per fare un esempio, su Internet sono presenti motori di scansione che geolocalizzano proprio i sistemi industriali aperti. Il
tutto è infine riconducibile anche all’ambito militare. Ai tempi dei romani si attaccava con la formazione a testuggine, poi si è passati alla cavalleria, quindi ad artiglieria, marina, aeronautica. Oggi però un primo attacco avviene sulle infrastrutture IT, così come sui sistemi di telecomunicazione e quelli di controllo.

Qual è il grado di consapevolezza del management sulla sicurezza e quanto bisogna ancora fare per migliorare ulteriormente la situazione?


Oggi a livello di top management c’è ancora lavoro da fare. La sicurezza viene considerata al di là degli obblighi di legge come un costo, come può esserlo un’assicurazione sul furto d’auto; il cui valore emerge quando è avvenuto. La sicurezza è in definitiva qualcosa che nel momento in cui si ha un problema contiene rischio e danno, un loop infinito di attività di controllo e analisi che permette di capire cosa sta accadendo, impattando notevolmente sui risultati dell’azienda.

 

TORNA INDIETRO >>