Sacha Chahrvin, direttore generale UK e Irlanda, in un suo intervento tenuto durante la presentazione dell’edizione 2010 di Infosecurity, ha spiegato come ottenere una concreta sicurezza degli endpoint.
L’approccio alla sicurezza dell’informazione basato sul rischio «ha portato l’industria dell’It security da un modello basato sulla rete a uno incentrato sui dati», ha esordito nel suo speech durante la presentazione dell’edizione 2010 di Infosecurity Sacha Chahrvin, direttore generale di DeviceLock UK e Irlanda (www.devicelock.com), società che offre alle aziende che utilizzano le tecnologie Microsoft soluzioni software di protezione e controllo dei dispositivi periferici connessi ai computer aziendali.
Chahrvin ha poi ricordato che i primi software per analizzare il contenuto delle comunicazioni di rete e prevenire la sottrazione dei dati aziendali (Dlp – Data leak prevention) sono apparsi tra il 2002 e il 2004, «allo stesso tempo, la crescente minaccia di fughe di dati dai computer aziendali attraverso le porte locali e periferiche ha creato una domanda di prodotti per il controllo di dispositivi/porte, gli endpoint.
Dato che sia i sistemi Dlp per la rete che i prodotti di sorveglianza degli endpoint si rivolgevano allo stesso mercato utilizzando tecnologie differenti (controllo sul contenuto contro controllo sul contesto), la competizione tra i vendor ha creato una sorta di contrapposizione tra i differenti approcci».
Poi le performance degli endpoint sono migliorate e questo ha permesso di apportare degli elementi di content analisys. Il crescente schieramento di soluzioni di controllo degli endpoint basate sul contenuto indica una rilevante inefficienza delle tecnologie Dlp di controllo basate sul contesto? «Assolutamente no! – ha sostenuto Chahrvin -.
Date le soluzioni Dlp per endpoint e le richieste maturate da parte del cliente, è diventato chiaro che la contrapposizione tra le due tecnologie Dlp (contenuto e contesto) è completamente irreale. Per comprendere il motivo, bisogna considerare le loro interdipendenze».
«Prima di tutto – ha sostenuto il manager di DeviceLock – qualsiasi soluzione Dlp deve essere in grado di individuare e verificare direttamente il significato dei dati trasferiti, cioè il contenuto.
Dato che le soluzioni Dlp che si basano sul contesto non supportano l’identificazione e l’analisi dei contenuti, esse sono fondamentalmente incomplete e pertanto hanno bisogno di essere integrate con un controllo a livello di contenuto».
Dall’altra parte, secondo Chahrvin, è importante considerare che il reale significato dei dati può essere compreso soltanto entrouno specifico contesto applicativo.
«Facendo riferimento alla Dlp – ha spiegato -, è soltanto la piena conoscenza del contesto dei dati trasferiti che può determinare se l’informazione è significativa o meno.
Senza sapere chi sta trasferendo i dati, da dove, attraverso quali canali o media, dove sono destinati, è impossibile definire quali informazioni il dato contiene, quanto è importante, sensibile e rilevante e se il trasferimento è legittimo o se viola le policy di sicurezza aziendali».
La caratteristica principale di ogni processo Dlp degli endpoint è che prima che possa avere inizio un controllo sul contenuto, il dispositivo specifico o la connessione di rete devono essere identificati ed eventualmente autorizzato l’accesso all’interfaccia attiva.
L’agente Dlp dovrebbe riconoscere l’applicazione o il servizio responsabili della connessione al fine di accertare il canale e, se richiesto, controllarne il comportamento.
Lo step successivo del controllo Dlp sul contesto riguarda l’identificazione della tipologia dei dati trasferiti (per esempio il formato dei file), che è necessario per estrarre il loro contenuto di testo ai fini del controllo. Soltanto allora il motore di controllo sul contenuto sarà in grado di iniziare il suo lavoro.
«In conclusione – ha chiuso Chahrvin -, non è la contrapposizione tra tecnologie di controllo di contenuto e di contesto, ma la loro fusione che renderà le soluzioni Dlp veramente affidabili, efficaci e utilizzabili da organizzazioni di qualsiasi dimensione. Prima il mercato sarà consapevole di questo, meglio sarà per tutti».
