L’appuntamento Clusit si rinnova. Nuova location, confermata attenzione a contenuti e formazione
Partecipazione e conversazione. Potrebbe essere questo lo slogan del Security Summit organizzato da Astrea, agenzia di comunicazione e marketing specializzata in eventi b2b, andato in scena a Milano dal 15 al 17 marzo scorsi. Aspetti che gli organizzatori hanno voluto celebrare promuovendo la condivisione delle esperienze, la diffusione delle buone pratiche, la formazione e l’aggiornamento. Business dunque, ma al contempo momento d’incontro e scambio, quale cifra distintiva della maratona targata Clusit, giunta quest’anno alla sua ottava edizione.
L’onda lunga di questa fase di distruzione creativa, in cui tutto viene smontato e ricomposto secondo le logiche della velocità, della performance e del risparmio, propaga i propri effetti anche alla sicurezza informatica. I modelli di sicurezza del passato sono entrati in crisi. La difficoltà precipua oggi è quella di riuscire a trovare la propria strada. Dare cioè un ordine alle continue sollecitazioni esterne, in primis lo stillicidio di incidenti di sicurezza a cui sono soggetti aziende e istituzioni – oltre 80 ogni mese in Italia quelli gravi, documentati, contestualizzati e restituiti alla loro corretta dimensionalità dal Rapporto Clusit sulla sicurezza ICT in Italia – all’interno dei modelli di sicurezza proposti dal business, dalla ricerca e dall’esperienza. Un proliferare inarrestabile di nuovi modelli di sicurezza. Che chiedono di essere messi alla prova, criticati e discussi. Preoccupa lo smarrimento che attanaglia imprese e organizzazioni, soprattutto quelle più piccole, se solo si ha la pazienza di grattare un poco sotto alla superficie. Troppo estesa l’area da presidiare per sperare di riuscire a controllarla tutta. Tanto che diventa impossibile fare a meno di essere ferocemente selettivi nella scelta degli asset da difendere. E sempre in agguato il pericolo che la sicurezza diventi troppo complessa. Da comprendere e da implementare.
Si parla tanto di consapevolezza, ma senza una vera comprensione dei problemi di fondo è arduo che possa saldarsi il legame tra analisi e azione. Solo chi sarà in grado di elaborare una strategia che tenga conto di queste sfide riuscirà a progredire. Dato questo contesto, eventi come il Security Summit rivestono un ruolo importante. Speaker di primo piano nel panorama della sicurezza italiana, da anni impegnati su questi temi strettamente connessi alla riflessione in materia di protezione dell’organizzazione, si sono alternati durante una tre giorni al solito densa. Salutata da una cornice di pubblico ancora una volta folta e partecipativa, nonostante il cambio di sede, ora più decentrato. In totale 6 seminari, 11 sessioni formative, 20 atelier tecnologici, 7 tavole rotonde sui temi che riguardano strettamente la riflessione sulla sicurezza IT: dalle nuove tendenze in tema di prevenzione e gestione degli attacchi alle coperture assicurative per i rischi relativi all’IT alla sicurezza dei dispositivi mobili e all‘Internet Of Things; ma anche tematiche legate all’attualità, come il nuovo regolamento europeo sulla privacy, la sicurezza delle informazioni in Sanità, la sicurezza nell’e-commerce, l’evoluzione dei sistemi di pagamento alla luce della prossima direttiva PSD2, i pericoli della sorveglianza di massa, le sfide del diritto alla ricerca del difficile equilibrio tra sicurezza e privacy. Un menu vario e speziato adatto anche ai palati più esigenti.
Security Summit: gli atelier tecnologici
Evolvono gli elementi che compongono l’architettura di sicurezza dell’organizzazione. E con essi i compiti che sono chiamati a svolgere. Nel caso del SOC tuttavia questi sono definiti da tempo: detection della minaccia e risposta all’incident di sicurezza. Aspetti importanti. Ma allo stesso grane di non poco conto. Non c’è bisogno di dire che la mancanza di soluzioni di threat detection all’altezza della minaccia espone a numerosi rischi. L’incapacità di gestire una situazione di attacco, può generare conseguenze catastrofiche. Non ultima quella di essere estromessi dal mercato. D’altra parte buona parte delle chance di sopravvivenza d un attacco si giocano sulla capacità di risposta dell’azienda. Ma come sottolinea Andrea Zapparoli Manzoni, membro del Direttivo Clusit, occorre avere ben chiaro che da sola la tecnologia potrebbe non bastare. Aspettiamoci poi exploit sempre più performanti ed efficaci, così come attacchi ancora più frequenti e complessi. E un sodalizio tra crimine organizzato e cyber crime sempre più stretto. Dentro a questa cornice ben poco confortante, una delle poche strategie immediatamente redditizie è quella di concentrarsi sugli asset di maggior valore. Affidandosi al loro monitoraggio continuo. In quest’ottica il SOC 2.0 dovrà contribuire a rendere quanto più condivise le informazioni presso tutte le funzioni aziendali, assumendo al contempo responsabilità chiare e definite: gestire i rischi; salvaguardare i dati critici; abilitare/verificare l’aderenza dell’organizzazione alla normativa. Obiettivi questi formalizzati da IBM all’interno di un modello di sicurezza applicato presso decine di migliaia di clienti in giro per il mondo.
La precipua importanza della capacità dell’organizzazione di riuscire a prevenire l’attacco non sarà mai stressata abbastanza. In tal senso i Security Analytics, attraverso l’analisi comportamentale, possono dare un contributo importante; soprattutto oggi che taluni limiti nel gestire e analizzare l’enorme quantità di dati disponibili stanno gradualmente scomparendo. Il modello di personalizzazione/integrazione declinato da Splunk in tal senso rappresenta un’evoluzione da tenere d’occhio. Privilegi amministrativi fuori controllo, attacchi malware, comportamenti anomali del traffico di rete, sono alcune delle minacce che queste soluzioni sono in grado di fronteggiare, come illustra Stefano Redaelli, Senior Sales Engineer di Splunk. Le attività di utenti, macchine, anche virtuali e network sono raccolte in contenitori, correlate e analizzate. Con la possibilità di integrare con feed esterni, l’approvvigionamento complessivo di dati. La soluzione mette a disposizione 31 modelli di analisi preconfigurati, un pattern che a differenza di quanto avviene con altre tecnologie SIEM, non può essere in alcun modo modificato. Per il deployment, on premise oppure direttamente su cloud, servono solo macchine (repository) capienti su cui appoggiare i dati da analizzare con a bordo un numero significativo di CPU. E a differenza della maggior parte dei SIEM in commercio, la soluzione non richiede dischi particolarmente performanti.
Se l’analisi preventiva è importante, altrettanto lo è la gestione degli incidenti. Luca Bechelli, membro del Comitato Tecnico Scientifico CLUSIT e consulente di sicurezza, suggerisce di pensare all’incident di sicurezza non come a un evento già accaduto ma che potrebbe accadere. D’altra parte è la stessa normativa in ambito bancario a stabilire che l’azienda è tenuta a prendere le necessarie precauzioni a fronte di “un’imminente minaccia di violazione delle norme e della prassi aziendale”. Tuttavia, secondo le stime più conservative, almeno il 40% delle aziende non è consapevole degli incidenti di sicurezza. Ora è evidente che se neppure sappiamo quando un attacco ai nostri sistemi sta avvenendo, le nostre chance di dare una risposta adeguata alle minacce sono pari a zero. Ma come sottolinea Bechelli, la consapevolezza del tipo di minaccia che più è in grado di impensierirci, elemento importante dal punto di vista operativo, perché da lì nasce la nostra azione a correre ai ripari, dovrebbe aiutarci a capire meglio la nostra effettiva postura di sicurezza.
La gestione degli incident è rappresentata in letteratura come un processo codificato, composto da diverse fasi. Purtroppo come ben sanno i tecnici di sicurezza, la distanza tra quello che è il processo così come è andato formalizzandosi nel tempo e la prassi con cui lo stesso viene affrontato nella realtà è molto ampia. Così quando l’azienda si trova a dover affrontare un incident di sicurezza, la foga di voler risolvere il problema il prima possibile sembra avere il sopravvento su tutto il resto. Ma nella fretta il rischio è quello di cancellare ogni traccia lasciata dall’intruso. Al contrario, come sottolinea Marco Di Leo, Security Consulting Italy Technical leader at HP Enterprise Security Services, l’incident dovrebbe andare oltre il mero ripristino di tutte le funzionalità danneggiate dall’attacco e servirci a migliorare. Che enfatizza altresì l’importanza di lasciare il più possibile intatta la scena del crimine, per dare modo a chi effettuerà l’analisi forense di disporre di tutti gli elementi per condurre un’indagine approfondita dell’impronta lasciata dall’attaccante. L’azienda insomma non deve avere eccessiva fretta di chiudere l’incident. Anzi deve mostrare tutto il suo sangue freddo. Mettendo in campo tutte le capacità di cui dispone per scoraggiare i propri nemici.
Aggressori che come sappiamo si fiondano su tutto quello che è vulnerabile. Dispositivi mobili compresi. Un settore in cui in Italia c’è ancora tantissimo da fare. In realtà, come sottolinea ancora Bechelli, i problemi partono da lontano. Molte delle vulnerabilità di sicurezza originano da errori di compilazione del codice anche molto datati. Ma i cui effetti continuano a farsi sentire ancora oggi. D’altra parte tutte le piattaforme mobili derivano da sistemi operativi pensati per desk e server. Allo stesso modo non possono essere sottovalutat le difficoltà di garantire tempi ragionevoli ed estesa copertura nella distribuzione degli aggiornamenti al sistema operativo. Ma detto questo, Bechelli non si esime dall’evidenziare alcune problematiche di fondo proprie della situazione italiana. Come quella che riguarda la gestione dei device mobili, una questione ancora poco o quasi per nulla affrontata. Pochi infatti i progetti attivi, limitati quasi esclusivamente alle aziende di medio-grandi dimensioni. E dire che le strategie di gestione oggi entrate in una fase di compiuta maturità non mancano. BYOD, COPE, COBO quelle più conosciute e formalizzate, lungo un continuum che va dalla completa gestione del device da parte dell’utente a un controllo stringente del device da parte dell’azienda/organizzazione.
Una chiosa infine, rispetto a una tematica trasversale, spesso evocata nei numerosi interventi a cui abbiamo assistito. Da più parti il messaggio che emerge è che più sicurezza non significa necessariamente meno privacy e diritti. Bisogna perciò guardarsi bene dalle pretese di qualsiasi ente governativo di voler controllare le nostre attività online. Soprattutto quando chi vorrebbe tutelarci si scherma dietro alla necessità di far fronte al terrorismo e di volere solo la nostra sicurezza. La privacy e la sicurezza dei nostri dati va irrobustita con qualunque mezzo. Non annacquata. Un punto questo su cui bisogna lavorare ancora molto per diventare tutti più consapevoli dei pericoli che corriamo.
