Quello della sicurezza non è soltanto un tema che attraversa trasversalmente il modello OSI, ma è soprattutto un prerequisito fondamentale per l’espansione dell’attività economica al di là del terziario avanzato
Negli ultimi anni, le vulnerabilità zero-day sono diventate un annuncio sempre più comune nelle testate giornalistiche, e non soltanto nei bollettini tecnici dei principali osservatori globali della sicurezza.
Di recente, si è sentito parlare moltissimo di Heartbleed, la vulnerabilità scoperta nel codice open-source di OpenSSL, un protocollo di crittografia che rappresenta uno degli standard de facto impiegati nei social network, nei servizi mail e nei siti di e-commerce per l’autenticazione degli accessi.
Non esiste alcun dubbio che queste situazioni diventeranno sempre più comuni nei prossimi anni: da un lato l’ecosistema IT sta diventando sempre più complesso ed eterogeneo, basato su dispositivi diversi e sistemi operativi antagonisti; dall’altro le transazioni sociali, e non solo quelle finanziarie, si stanno rivolgendo al web come ambiente in cui formalizzare nuovi processi sempre più articolati e multiformi. L’effetto combinato di trend sia tecnologici sia socioeconomici porterà sempre più nella quotidianità il tema della sicurezza e forse un giorno, accanto al bollettino meteorologico farà capolino anche il bollettino dei rischi informatici.
Per esempio, nel caso di Heartbleed, se si considerano gli impatti potenziali sull’intero ecosistema delle transazioni web, il ruolo strategico che assume la sicurezza come infrastruttura portante diventa del tutto evidente: sebbene siano circolate le stime più diverse, tutti gli osservatori concordano nel riconoscere che negli ultimi due anni i server vulnerabili siano stati nell’ordine di centinaia di migliaia, forse addirittura un milione, andando a comprendere le infrastrutture dei principali social media (praticamente tutti i maggiori: Tumblr, Flickr, Foursquare, Youtube, Google, Pinterest, Twitter, Instagram, Facebook…) e dei principali servizi mail (Gmail, Yahoo Mail, AOL, Hotmail…), senza dimenticare l’impatto che ha avuto sui siti di e-commerce (tra cui anche i Web Services di Amazon). Anche soltanto una stima approssimativa basata sugli utenti unici attivi dei social media consente di capire l’estensione del problema e fino a che punto le informazioni personali di milioni di utenti siano state a rischio per almeno due anni.
Malware strategy
Ormai da diverso tempo, i media internazionali, anche quelli generalisti, stanno prestando sempre maggiore attenzione al fenomeno degli attacchi mirati, specifici e persistenti (dal caso storico di Stuxnet fino al più recente Flame, dalle minacce di Operation Aurora su Google fino a Night Dragon, LURID e persino il caso che ha colpito RSA), in altre parole forme di attacco condotte da organizzazioni, non da singole individualità, che dunque dispongono di risorse e competenze per sviluppare le minacce attraverso un’ampia varietà di strumenti di intelligence e di tecnologie di infiltrazione (dai malware più comuni fino a strumenti di spionaggio industriale più sofisticato). Tanto gli osservatori promossi dai principali software vendor quanto i centri ricerche indipendenti concordano nell’evidenziare come gli attacchi stiano raggiungendo un livello di sofisticazione e industrializzazione senza precedenti: agenzie sovvenzionate da enti governativi (Comment Crew, APT1…), organizzazioni criminali e associazioni di hacktivist (Anonymous) non soltanto stanno ingegnerizzando il processo di produzione del malware ma stanno sviluppando strategie di attacco sempre nuove, sia dal punto di vista tecnologico che organizzativo.
Enterprise Security
Si è vista la potenziale gravità degli zero-day come nel caso Heartbleed. Nel momento in cui una parte sempre più importante dell’attività economica delle imprese viene veicolata attraverso il web, la sicurezza diventa un tema strutturale che interessa trasversalmente l’intera organizzazione, dunque la valutazione degli impatti potenziali degli attacchi diventa sempre più complessa, richiede il coinvolgimento di molteplici ruoli e competenze per dare una stima precisa del rischio economico. Ecco che la sicurezza, da questione puramente tecnica nel mansionario degli IT manager, in molti contesti aziendali diventa un tema di rilevanza strategica nell’agenda del top management. Nell’ultimo anno, IDC Italia (www.idcitalia.com) ha approfondito in diverse occasioni il tema della sicurezza IT nel mercato italiano attraverso alcuni studi a carattere campionario sul segmento enterprise (imprese con più di 1.000 addetti). Nel segmento enterprise, due aziende su tre sostengono di essere bersaglio di attacchi occasionali, più di una su cinque osserva attacchi con cadenza quasi regolare, mentre una su venti sta assistendo a una progressione crescente delle minacce (si tratta soprattutto di realtà che operano in settori strategici come le utilities, la meccanica e la pubblica amministrazione). Circa un’impresa su dieci ritiene di essere bersaglio di una strategia di attacco mirato, specifico e persistente, e circa una su cinquanta ne ha subìto un impatto aziendale rilevante. Il continuo avvicendarsi delle notizie di nuovi attacchi sta contribuendo a estendere la consapevolezza della necessità di aggiornare le misure di sicurezza aziendale: più di due imprese su cinque esprime qualche forma di allarme rispetto alle nuove modalità di attacco dei sistemi informativi aziendali. La maggior parte dei timori si addensa sullo smarrimento di dati personali/finanziari e sui danni di immagine e reputazione, soprattutto nei settori dove il rapporto di fiducia tra l’azienda e i clienti rappresenta l’architrave fondamentale su cui si sostiene il vantaggio competitivo delle imprese (basti soltanto pensare al settore finanziario e ai servizi).
Fattore tecnologico e fattore umano
Molte imprese affidano ancora la propria sicurezza a strumenti signature-based come antivirus, firewalls e IPS, tuttavia il rilevamento attraverso firme di minaccia standard sta diventando una prassi progressivamente inefficiente per rispondere all’industrializzazione degli attacchi. Gli strumenti tradizionali sono in grado di tracciare soltanto una parte marginale degli attacchi mirati, quindi occorre valutare l’evoluzione verso un modello di sicurezza che agisce preventivamente e proattivamente nella gestione della sicurezza. Accanto a un fattore tecnologico, i software vendor stanno valorizzando in misura sempre maggiore il fattore umano e l’expertise degli specialisti coinvolti nella sicurezza, il cui ruolo deve evolvere dalla gestione del monitoraggio ordinario alla governance dell’intelligence, partecipando attivamente alla definizione dei processi aziendali che presentano un elevato profilo di rischio e contribuendo alla formazione di una cultura e una sensibilità aziendale che orientano efficacemente il comportamento delle risorse umane nelle circostanze più diversificate. A livello di pianificazione degli investimenti, il processo di rinnovamento della sicurezza sta facendosi strada anche in Italia: nel segmento enterprise, due aziende su cinque prevedono un rafforzamento delle misure di difesa software con l’introduzione di nuovi strumenti nei prossimi 12 mesi, soprattutto quelle soluzioni che consentono di adeguare le architetture della sicurezza rispetto agli scenari di rischio emergenti, in particolare gli anti-malware per smartphone, e gli strumenti di behavioural & correlation analysis dei dati di rete. Nella tassonomia IDC, le tecnologie per la sicurezza sono classificate tra i tasselli fondamentali di qualsiasi infrastruttura IT. Occorre ricordare il senso più ampio in cui va inteso il valore strutturale di questo specifico ambito: la sicurezza non è soltanto un tema che attraversa trasversalmente il modello OSI, ma è soprattutto un prerequisito fondamentale per l’espansione dell’attività economica al di là del terziario avanzato. La sicurezza rimane la chiave su cui si fonda la possibilità di concepire una volta sicura e protettiva, sempre più ampia e maestosa, sotto la quale edificare la società del ventunesimo secolo.
Giancarlo Vercellino, IT Research & Consulting manager – IDC Italia
