I dispositivi mobili sono sempre più esposti a rischi sia dal punto di vista della sicurezza che della privacy, aspetto quest’ultimo anche di recente richiamato dal Garante. Attacchi dal Web, malware, social engineering, vulnerabilità del software, password deboli, geolocalizzazione, minacce all’integrità e alla disponibilità di dati privati e di business, sono solo alcuni dei pericoli a cui ci espongono smartphone e tablet, anche in campo aziendale. In che modo è possibile proteggere il software e le funzionalità di questi dispositivi? Come gestire tutto il ciclo di vita del device, dal provisioning alla manutenzione e supporto fino alla dismissione del dispositivo? Di quali software occorre dotarli per un loro utilizzo in sicurezza? Quali precauzioni devono essere prese affinché l’utente non li utilizzi in modo inappropriato?
È come per il portatile. Se lo lasci incustodito anche solo per qualche minuto, rischi. Chiunque può scaricare sul tablet o lo smartphone una app con la quale ascoltare le chiamate telefoniche, intercettare le conversazioni, cancellare i dati, accedere alla rete aziendale. Sms, QR codes, app virate, navigazione, email, connessioni Wi-Fi, pagamenti; per non parlare delle password, troppo corte e facili da violare, chiavi di accesso a una miriade di servizi. I dispositivi mobili sono una sentina di vulnerabilità. Se poi vengono utilizzati per lavoro possono contenere dati preziosi oppure essere configurati per accedere a repository di dati sensibili. Anche per i device mobili (dm) dunque è importante che l’azienda predisponga una serie di misure per la loro gestione e messa in sicurezza al fine di prevenire la perdita di dati e gli attacchi informatici.
CRESCONO I DM NELLE AZIENDE ITALIANE, MA NON LA SICUREZZA
Sono ancora poche le aziende in cui vengono implementate misure ad hoc per la protezione dei dati. In molte realtà non sono presenti neppure quelle minime. Lo conferma una ricerca condotta da Trend Micro (www.trendmicro.it) dalla quale emerge che, sebbene il 59% delle aziende interpellate consente ai propri dipendenti l’utilizzo di dm personali per svolgere attività connesse con quella lavorativa, un’azienda su tre non prevede alcuna misura per la protezione dei dati (l’indagine è stata svolta dall’istituto indipendente Loudhouse di Londra, con interviste fatte su un campione di 2.245 dipendenti di aziende con oltre 5.000 dipendenti in 10 Paesi europei. In Italia sono state effettuate 300 interviste).
«Nessuna azienda oggi permetterebbe l’utilizzo di computer portatili senza una password; tuttavia le politiche di controllo applicate ai dispositivi mobile come tablet, smartphone, sono ancora al loro sviluppo iniziale», constata Moreno Carbone, associate services consultant di CA Technologies (www.ca.com/it). Inutile dire che in questi casi i rischi aumentano in modo esponenziale. Con pesanti conseguenze anche in termini economici. Solo per fare un esempio, negli USA alle aziende riconosciute colpevoli della perdita di dati personali sono comminate sanzioni pari a 200 dollari per ogni informazione perduta relativa ai numeri della previdenza sociale, della carta di credito del singolo.
A un primo livello la gestione della sicurezza avviene in modo frammentario: se esistono delle regole sono blande e applicate con molte eccezioni. Si affaccia il problema di dover dare una risposta a tutti coloro che chiederanno di poter utilizzare il proprio dispositivo mobile in azienda, il cosiddetto fenomeno del Byod (Bring your own device). L’education degli utenti è minima. Che sia di proprietà dell’azienda o del collaboratore, i sistemi IT dovrebbero provvedere alla sicurezza dei dati salvati sul dm. Le misure minime di sicurezza riguarderanno gli utenti abilitati all’accesso della rete aziendale che dovranno poter crittare i dati e autenticarsi in modo robusto. Auspicabile la presenza di una o più soluzioni software con funzionalità di anti-malware, content filtering, encryption, data loss prevention e intrusion prevention, così da prevenire l’accesso non autorizzato ai dati. Il primo obiettivo è di darsi delle regole specifiche per la gestione di questi dispositivi cercando di integrarle con quelle già esistenti per Pc e notebook. «Per molti aspetti le policy generali da applicare alla flotta mobile sarebbero simili a quelle sviluppate negli anni per i Pc, ma con un livello di complessità assai maggiore dovuto principalmente alla moltiplicazione di device e sistemi operativi», nota Joe Sarno, regional sales vice president di Fortinet (www.fortinet.it). Si stima che a livello mondiale siano attivi oltre un miliardo di dm. E l’offerta continua a crescere. Inevitabile dunque porsi il problema della scelta. E di dare una certa omogeneità d’ambiente, come si è fatto in passato con i Pc delle reti aziendali, uniformando le macchine in dominio e tendendo a eliminare quelle più vecchie, o non più supportate.
L’AFFIDABILITà DI SMARTPHONE E TABLET È DA COSTRUIRE
Come dimostra una ricerca condotta da Unisys Corporation (www.unisys.com), la diffusione di servizi attivabili tramite dm continua a crescere: acquisto di beni e servizi, online banking, accesso ai board in aeroporto, solo per citarne alcuni. Allo stesso tempo il dm è sempre più utilizzato per accedere ai dati aziendali. Dalla già citata ricerca Trend Micro emerge che il 32% delle aziende interpellate consente l’accesso a data base, il 17% al Crm, l’11% ai dati finanziari e altrettante a documenti di strategie e pianificazione. Che si tratti di app acquistate o sviluppate internamente, il pericolo è che possano veicolare malware pericoloso. Oggi un gran numero di sviluppatori professionisti mette a disposizione in rete programmi sviluppati senza alcun controllo di sicurezza. Un paio d’anni fa un team della BBC in collaborazione con Veracode (www.veracode.com), azienda di sicurezza specializzata nel settore della telefonia, ha dimostrato l’estrema facilità di celare del codice dannoso dentro ad app legittime. In poche settimane e con una preparazione tecnica molto limitata il team ha realizzato uno spyware che, mascherato da rudimentale gioco per smartphone, poteva localizzarne l’ubicazione, sottrarre dati (numeri in rubrica, contatti e-mail ecc.), copiare e inviare sms a un indirizzo e-mail creato per l’occasione, spiare i comportamenti del possessore. Le app virate sono difficili da distinguere da quelle legittime. In questo caso lo spyware occupava meno del 20% del totale delle righe di codice utilizzate per svilupparlo. Tutto quello che serviva per compiere le azioni illecite illustrate sfruttava funzioni legittime del programma modificate. Come coloro che per rendere più veloce un’auto intervengono sulla centralina elettronica sfruttandone la potenza già esistente del motore, allo stesso modo uno sviluppatore si serve del codice di una app legittima per piegarla ai suoi fini. Basta sfruttarne una già conosciuta, magari quella stessa app offerta illegalmente per il download e il gioco è fatto. Zero investimenti, zero pubblicità. Il malware sfrutta anche vulnerabilità hardware. Oggi i dm dispongono di risorse più limitate rispetto ai desktop in termini di capacità del processore, memoria e consumo energetico. Inoltre le loro componenti hardware sono tutte strettamente integrate. Questo rende difficile identificare il punto da cui si diparte un problema, per esempio un comportamento anomalo del dispositivo. Date le limitate risorse hardware e software i dm non dispongono di meccanismi di protezione integrate sia a livello di OS che di software. Questi limiti ritardano la localizzazione del problema e facilitano la diffusione del malware.
PIATTAFORME DI GESTIONE MDM
Bastano un centinaio tra smartphone e tablet di due marche differenti perché la loro gestione diventi un’attività su cui staccare risorse importanti. Aggiungiamoci l’aumento di valore dei dati e delle applicazioni che essi contengono ed ecco che per l’azienda valutare una soluzione che riesca a gestire l’intero ciclo di vita del dispositivo – piattaforme specializzate nella gestione dei dispositivi mobili (Mobile Device Management – Mdm) – diventa un’opzione da valutare attentamente. L’avvicinamento può essere graduale. Si può partire affidandosi a soluzioni standard fornite dallo stesso vendor: «Per chi in azienda deve gestire solo device Apple e non necessita di funzioni integrate di reporting particolarmente raffinate, Profile Manager di Apple rappresenta una valida alternativa», conferma Patrizio Corniello, enterprise solutions director di Econocom (www.econocom.com/it/). Quando però la sicurezza, la protezione del dato e la continuità di servizio sono di primaria importanza, diventa naturale approdare a soluzioni più articolate: «A queste condizioni l’impiego di piattaforme centralizzate e unificate per la gestione dell’intero ciclo di vita del device diventa strategico», sostiene Sarno di Fortinet. Le funzionalità ricercate andranno dall’antivirus al controllo reputazionale dei siti Web durante la navigazione; dal blocco del dispositivo in caso di furto o smarrimento alla cancellazione da remoto dei dati; dalla cifratura delle informazioni alla modifica da remoto del Pin di accesso alla Sim. «Tutte queste funzioni fanno leva sull’utilizzo di una console centralizzata che permette di effettuare diversi tipi di controlli, più o meno invasivi», nota Maurizio Martinozzi, sales manager engineering di Trend Micro. Quali sono allora i criteri utili per scegliere una piattaforma Mdm? Secondo Marco Bavazzano, director security strategist per la Symantec Mediterranean Region (www.symantec.com/it), «un aspetto fondamentale è l’integrazione della gestione dei dispositivi mobili al framework di gestione complessiva dell’IT; ma altrettanto importante quando si sceglie una soluzione Mdm – continua Bavazzano – è assicurarsi che il vendor sia in grado di fornire un supporto adeguato». Marco Pacchiardo, security practice leader di BT Italia (www.bt.com/it), ritiene invece fondamentale la presenza di funzionalità quali il reset e/o “wiping” remoto dell’apparato, l’abilitazione di un market privato e la gestione delle comunicazioni criptate, enrollment di certificati client incluso. Senza dimenticare il controllo delle app. Oggi sono disponibili soluzioni in grado di effettuare l’analisi e la classificazione delle applicazioni mobili, così come di identificare le minacce quali il malware, la presenza di keylogger e gli abusi nell’impiego delle risorse di sistema. Tutte le applicazioni dovrebbero essere testate prima di poter essere installate su un dm. Su alcune piattaforme è possibile scegliere di dotare gli applicativi autorizzati di certificati per l’accesso. Con questa opzione diventa più agevole separare le applicazioni personali da quelle aziendali collocandole in aree protette (sandboxes) al fine di isolare processi e dati. L’eterogeneità dell’ambiente può far sorgere qualche problema, a partire da una gestione più gravosa in termini di costi. Pensiamo alla tendenza sempre più diffusa di utilizzare dm di proprietà del collaboratore in ambito aziendale. Ora quando l’azienda è proprietaria del dm e gestisce l’intero ciclo di vita del dispositivo, la piattaforma Mdm è in grado di dare un contributo essenziale alla gestione; se invece il dm è di proprietà del collaboratore l’azienda dipende da due fattori: la presenza di policy di gestione e sicurezza dei dm adeguate e il rapporto di fiducia nei confronti del proprio collaboratore, il che comporta l’assunzione di qualche rischio. Le aziende questo lo sanno; così come tollerano il fatto che il dm possa essere utilizzato anche per uso personale. «Byod non significa solo collegare in rete i dispositivi di proprietà dell’utente e dare accesso agli ospiti – nota Paolo Delgrosso, architecture leader borderless network di Cisco Italy (www.cisco.com/it) -, l’essenziale avviene dopo la connessione, attraverso un approccio globale che unifichi le policy e semplifichi la gestione per fornire un’esperienza utente senza compromessi, in qualsiasi ambiente di lavoro». Perciò un altro criterio di scelta sarà quello di orientarsi verso piattaforme versatili e modulari. «L’adozione di uno strumento unico per la gestione di iPad, dispositivi Android e laptop Windows è positiva non soltanto per l’economia dell’investimento, ma anche per una pronta e veloce gestione degli apparati client», rileva Pacchiardo (BT Italia). È chiaro che riuscire a integrare tutti o almeno la maggior parte dei sistemi operativi sul mercato torna molto utile per gestire al meglio le operazioni di sicurezza in ogni fase nel ciclo di vita del dispositivo. Prendiamo il provisioning, vale a dire la fase di registrazione di tutte le info relative al dispositivo mobile: modello, release del software, numero di telefono, codice Imei ecc. Qui ogni utente deve essere assegnato a un gruppo, ciascuno con un proprio livello di security. Come per le utenze di dominio, anche quelle delle persone cui è assegnato un dm possono essere inserite in specifici gruppi con diversi livelli di privilegi amministrativi, vale a dire di accesso a risorse quali data base, portali, applicativi ecc. e dunque un certo livello di security. Ma lo stesso discorso si applica anche alle fasi di manutenzione/supporto e roll out/dismissione, dove operazioni come il controllo di integrità dello smartphone (controllo sui jailbreak), il remote lock & wipe, la localizzazione, il controllo remoto, il supporto alle policy native del sistema operativo e integrazione con quelle aziendali, l’aggiornamento e il monitoraggio del software sul dispositivo devono potersi effettuare senza impedimenti. Per l’azienda che ha già intrapreso alcuni passi sostanziali nell’integrazione dei dispositivi mobili al proprio interno, l’omogeneizzazione del parco macchine esistente, come abbiamo visto, è senza dubbio facilitato dall’adozione di una soluzione Mdm; quello che però la soluzione non può impedire è che partendo da una applicazione vulnerabile possa scaturire una perdita di dati. Ancora una volta dunque è importante redigere e applicare delle policy di sicurezza rigorose. È di questo parere per esempio Maurizio Martinozzi (Trend Micro) secondo cui «le aziende che consentono l’utilizzo dei dispositivi mobili in azienda, assecondando l’approccio “bring your own devices” per migliorare la produttività, devono in primo luogo non tanto discriminare tra le tecnologie, quanto piuttosto stabilire delle policy relative all’uso di tali strumenti». Le policy generali da applicare alla flotta mobile sono per molti aspetti simili a quelle sviluppate negli anni per i Pc portatili; cambia però il livello di complessità, assai maggiore per i dm principalmente per via della moltiplicazione di device e sistemi operativi, pesantemente customizzati e limitati perché pensati, almeno all’inizio, per un uso consumer.
Data la quantità di dati che vengono archiviati sui differenti dispositivi mobili, secondo Alexander Moiseev, managing director di Kaspersky Lab Italia (www.kaspersky.com/it/), «sono sempre più importanti gli strumenti per il ripristino da remoto e la localizzazione del dispositivo». Secondo Bavazzano (Symantec), è fondamentale gestire in modo separato i dati personali e corporate su dispositivi privati e aziendali. Solo in questo modo è infatti possibile utilizzare dispositivi personali per scopi aziendali senza correre il rischio di compromettere la sicurezza dei dati e delle applicazioni di business. «Senza una sicurezza estesa qualsiasi passo si intenda compiere verso l’inserimento di dispositivi mobile viene vanificato dai rischi legati alla perdita dei dati o all’accesso non autorizzato», argomenta Patrizio Corniello (Econocom). Una volta ancora dunque le policy di sicurezza rappresentano l’elemento principale di una strategia che miri a tutelare il patrimonio dati dell’azienda. «Uno dei punti primari è la definizione di policy per l’impiego in azienda e l’educazione all’utilizzo per i dipendenti in merito a riservatezza dei dati, privacy e rischi connessi all’impiego promiscuo», chiarisce Sarno (Fortinet). Negli USA, secondo una ricerca dell’FBI citata da Fabrizio Falcetti, product manager di Fujitsu Technology Solutions (www.fujitsu.com/it/), il 50% degli attacchi informatici alle aziende scaturisce dal furto di dati, recuperati da device perduti o rubati ai dipendenti. Parallelamente, il numero dei furti o degli smarrimenti, e dei costi legati a essi, continua a crescere. «Le misure per fronteggiare questo fenomeno sono le più difficili da implementare – sostiene Falcetti -. A mio parere queste soluzioni possono essere efficaci se inserite in una strategia complessiva e in un progetto unitario end-to-end, integrando alle esistenti tecnologie di prevenzione anche il know how relativo ai device mobili, le tecnologie di ricerca del dato e tutte soluzioni di sicurezza come crittografia e autenticazione biometrica. Inoltre, è necessaria una rivisitazione dei processi interni ed esterni per far sì che siano più chiari e condivisi possibile. Inoltre occorre prendere in considerazione anche soluzioni di back end per la gestione dei device mobili come il backup e la salvaguardia dei dati in esse contenuti oppure la condivisione degli stessi su device di differente formato. Alla base di tutto – conclude Falcetti -, credo sia necessario un cambiamento a livello culturale che porti sempre più le aziende a percepire la gravità dei danni provocati dalla mancanza di sicurezza». In realtà invece molte aziende non si rendono conto della pericolosità delle minacce informatiche; «questo porta alla creazione di policy poco efficaci», constata Alexander Moiseev (Kaspersky Lab), aggravata dal fatto che durante i periodi di crisi «il management delle aziende considera prioritari i ritorni a breve termine a discapito della sicurezza. È stato comunque dimostrato che la sicurezza informatica genera Roi importanti, che però sono difficilmente calcolabili a breve termine». Il ricorso a strumenti di Mobile Device Management per definire e rafforzare procedure e policy aziendali di sicurezza è l’approdo naturale per quelle aziende che necessitano di rendere automatizzate talune procedure e necessitano di innalzare il livello di sicurezza interno sui dm. L’azienda che sceglie di adottare una soluzione Mdm non pensa a come rendere più sicuro il singolo dm, ma l’intera infrastruttura, le app e le modalità di accesso ai dati da parte degli utenti. Sul mercato sono presenti già oggi numerose piattaforme. Secondo una rilevazione effettuata da Forrester Research (www.forrester.com) negli USA ci sono almeno 40 vendor nel segmento Mdm e il mercato è in forte espansione. Interessante la presenza di piattaforme open e una valida alternativa con forti prospettive di crescita è rappresentata dall’utilizzo di piattaforme residenti in ambiente Cloud.
Intervista ad Alberto Bugini, regional sales manager Italy di Palo Alto Networks, specialista nella network security
A cura della redazione
Palo Alto Networks (www.paloaltonetworks.com – www.symbolic.it/prodotti/paloalto), società specializzata nella network security, attenta a tutte le evoluzioni del mercato, è in grado di affrontare quella che si può definire la next-generation network security, dando risposte adeguate alle necessità che nascono dall’utilizzo all’interno delle aziende di nuove applicazioni, compresi i social network. Abbiamo incontrato Alberto Bugini, regional sales manager Italy della società per saperne di più.
Data Manager: Quali sono le tematiche oggi di maggior rilievo nel settore della network security?
Alberto Bugini: I team di sicurezza affrontano oggi sfide sempre più impegnative, una di queste è rappresentata dal panorama delle applicazioni in continua evoluzione. La difficoltà principale è costituita dal fatto che le unità operative delle aziende molto spesso usano, o richiedono di usare, le ultime e più gettonate applicazioni.
Quindi i responsabili della sicurezza devono risolvere problemi come: gestire il controllo degli accessi alla rete; dare a tutti un accesso a Facebook in sola lettura, ma, al contempo, consentire al marketing di inviare messaggi; dare allo staff esecutivo accesso sicuro alla loro webmail privata; oltre ad assicurare allo staff di sviluppo l’accesso a Oracle e a quello di supporto l’accesso a RDP su porte non-standard.
Le strutture IT Italiane devono avviarsi verso un modello di sicurezza che abiliti le applicazioni e che richiede quindi un cambiamento significativo rispetto al modello bianco o nero, cioè “permettere solo questo” e “bloccare tutto il resto”. Questo tipo di approccio verso gli utenti può incoraggiare al raggiro intenzionale e ostacolare il business.
Cosa propone Palo Alto Networks per far fronte a tali problematiche?
Con le soluzioni Palo Alto Networks i nostri clienti possono identificare e abilitare in modo sicuro e selettivo le applicazioni, sia per uso lavorativo sia personale. È possibile gestire anche gli applicativi che saltano da una porta all’altra e quelli che usano porte non standard o la crittografia SSL al fine di eludere i controlli o semplificare l’accesso all’utente. Le soluzioni Palo Alto Networks consentono l’identificazione delle applicazioni, di chi le sta usando e il tipo di rischio che questo comporta. Attraverso l’uso di policy specifiche è possibile controllare con un elevato livello di granularità l’accesso alla rete aziendale permettendo di sviluppare al meglio il proprio business. L’utilizzo di metodologie rilevanti per il business trasforma la tipica politica accetta/rifiuta in una più sicura policy che controlla gli applicativi a livello granulare. Questa e altre tematiche sono argomento di discussione al nostro link: www.paloaltonetworks.com/researchcenter/.
Con quali strumenti Palo Alto Networks supporta il canale di rivendita?
Abilitazione sicura significa che si possono creare policy sul firewall basate su applicazioni e loro caratteristiche, utenti, gruppi e contenuti invece di policy basate su porte, protocolli e indirizzi IP. Questo nuovo approccio rappresenta un’ulteriore opportunità per i nostri partner di canale che possono offrire ai clienti, oltre alla soluzione più all’avanguardia, i loro servizi professionali.
Palo Alto Networks offre ai propri partner di canale numerose opportunità per migliorare la loro conoscenza sulla next-generation network security. Per esempio sono previsti corsi commerciali e tecnici per l’intero team, con l’obiettivo di rendere il partner autonomo sia dal punto di vista tecnico sia nelle attività di vendita. Abbiamo inoltre un partner resource center ricco di white papers, seminari online e documentazione sui prodotti. Ci sono poi gli eventi per i partner, inclusa l’annuale conference, in cui è possibile assistere a dimostrazioni dal vivo e training.
Con la consumerizzazione le aziende aprono sempre di più i propri network e i propri dati alla tecnologia mobile consumer. Questo, unito al fatto che ai dipendenti viene permesso di utilizzare i propri device privati, può comportare delle problematiche concrete. La tecnologia consumer da un lato è facile da usare, ma spesso non è abbastanza sicura. «La risposta di RIM (http://it.blackberry.com) al fenomeno della consumerizzazione è triplice – spiega Franco Dradi, sales director di RIM Italy -: da un lato la continua protezione dei dati aziendali e comunque di quelli considerati sensibili, da un altro l’ apertura al lato “consumer” del dipendente che può quindi creare sullo smartphone BlackBerry un proprio dominio logico “personale” nel quale far confluire dati, email, app e servizi della propria sfera privata, nell’ altro ancora l’estensione della famosa piattaforma di Mobile Device Management BES, nota da sempre per gestibilità e sicurezza inarrivate, verso i device di altre tecnologie».
La soluzione alla complessità crescente delle flotte mobili aziendali è un sistema di Mobile Device Management che si attesti sui massimi livelli di sicurezza, governabilità e apertura alle piattaforme mobili del mercato e che, con un sofisticato sistema di “policy”, consenta con facilità ed economicità il massimo controllo per l’ azienda e la massima libertà per l’ utente.
«In questo profilo – conclude Dradi – troviamo sul mercato solo la piattaforma BlackBerry Mobile Fusion, che estende buona parte delle funzionalità tipiche della piattaforma BlackBerry alla gestione di device Apple iOs e Android, il tutto da un’unica console Web based».
