Piattaforme social come Twitter, Linkedin, Facebook, YouTube ecc. sono diventate strumenti di comunicazione importanti per organizzazioni pubbliche e private. Allo stesso tempo però esse costituiscono anche uno dei canali preferiti dagli hacker per condurre attività illecite. In che modo l’azienda può integrare in sicurezza questi strumenti e allo stesso tempo contrastarne le minacce? Di quali soluzioni e servizi di sicurezza può servirsi?
Il declino di Facebook secondo Forbes, non proprio l’ultima delle riviste di economia, è iniziato più di un anno fa, esattamente il 15 giugno 2011. La grande fuga è iniziata: sono circa 6 milioni gli utenti che solo negli Stati Uniti hanno scelto di togliere il proprio profilo e oltre un milione quelle in Gran Bretagna. Sarà anche vero, intanto però gli utenti registrati hanno superato il miliardo e continua a piacere molto anche a tutti quei criminali che lo considerano uno dei canali preferiti per condurre attività illecite. Lì infatti si indirizza circa il 20% degli attacchi online, malware, spam, scamming e quant’altro. Impossibile dire a quanto ammontino le perdite finanziarie su scala globale, ma è verosimile il dato secondo cui negli ultimi 12 mesi almeno un utente su due ha ricevuto messaggi di spam e almeno uno su tre è stato vittima di malware.
RISCHI VECCHI E NUOVI
Sebbene i social network rappresentino per molte realtà un elemento chiave nelle strategie aziendali, il loro utilizzo comporta anche una serie di rischi, dal furto di dati sensibili e di materiale proprietario alle truffe; dalle frodi e dalle infezioni da virus e malware al danneggiamento della reputazione dell’azienda, con conseguente lievitazione dei costi di gestione e di perdita di produttività dei collaboratori. Che le piattaforme social amplifichino le minacce del Web non siamo certo noi a scoprirlo; e neppure a constatare che una pletora di comportamenti fraudolenti trova qui il suo humus ideale per sfruttare al meglio alcune debolezze proprie delle persone. Basta un click perché l’informazione venga trasmessa ovunque e su più piattaforme accessibili da chiunque. L’impatto – ribattezzato da qualcuno butterfly effect, declinazione Web del vecchio adagio cinese secondo cui il batter d’ali di una farfalla in Nigeria può provocare un terremoto in Cina – data la rapidità e la capillarità della comunicazione può avere effetti dirompenti. Esemplificativi in questo senso alcuni degli effetti provocati da comportamenti che hanno avuto origine dalle piattaforme social: dai già numerosi casi di licenziamenti per comportamenti ritenuti lesivi della reputazione dell’azienda, alle frodi su scala planetaria, dalle violenze (cyberbullying e cyberstalking) ai furti di identità, la casistica è ormai sterminata.
PARARE I COLPI
Nonostante ciò, tuttavia, alcuni considerano le piattaforme social acceleratori e aggregatori di strumenti classici di condivisione delle informazioni con cui abitualmente interagiamo (navigazione Web, email, instant messaging, ecc.); e che dal punto di vista strettamente tecnico essi non introducano nuove tipologie di rischio, ma al massimo accentuino e amplifichino quelle già esistenti. Per fare fronte alle minacce provenienti dai social network basterebbe pertanto implementare soluzioni in grado di proteggere le reti aziendali dai pericoli derivanti dall’utilizzo scorretto di Internet adattandole a quelle tipiche di queste piattaforme (malware, spam, social engineering, ecc.). Secondo altri invece i pericoli che infestano i social network hanno caratteristiche tali da differenziarli rispetto a tutti gli altri. Comunque la si voglia vedere, è innegabile che i social network occupino un posto importante tra le preoccupazioni degli IT manager. Virtualmente almeno un individuo su sette sul pianeta possiede un account social che spesso durante la giornata vorrebbe utilizzare indipendentemente da qualunque altra attività si stia svolgendo. Naturalmente esistono realtà in cui il loro utilizzo professionale non è plausibile o comunque non strategico. E in questi casi è sufficiente dotarsi di una policy che vieti a tutti gli utenti l’accesso dai Pc aziendali mediante la creazione di una “blacklist” di siti non consentiti. Ci sono però realtà in cui specifiche funzioni aziendali ne fanno un uso professionale ad esempio per rendere più efficace la comunicazione o per incentivare l’interazione tra colleghi. Qui allora una soluzione che consenta di modulare l’accesso alle varie applicazioni, comprese quelle social, aiuta ad affrontare il problema in modo efficace, permettendo di sfruttare questi canali senza mettere a repentaglio la sicurezza interna.
Profilazione. Ora in certi ambiti gli strumenti social sono ormai parte integrante del business aziendale e nessuno nega che essi rappresentino anche un potenziale problema di sicurezza. «E’ chiaro che se si consente l’utilizzo di questi nuovi strumenti di collaborazione, l’impresa deve regolamentarne l’utilizzo e le policy di protezione, consapevole di avere una porta aperta sulla rete» chiosa Rodolfo Falcone, country manager di Check Point Software Technologies Italia (www.checkpoint.com). Nella realtà le esigenze delle aziende sono sempre più articolate del semplice consenti/nega tutto. «Perchè business aziendale e sicurezza possano coesistere, è necessario superare questo genere di approccio» avverte Lorenzo Nulletti, pre-sales engineer di Symbolic (www.symbolic.it); «è del tutto plausibile – continua Nulletti – consentire a un particolare utente di aggiornare il profilo aziendale sul social network così come lo è impedire che lo stesso possa utilizzare funzionalità quali chat o plugin vari, includendo altresì il controllo di contenuti e vulnerabilità, in modo da evitare che all’interno del traffico consentito vengano veicolati attacchi». E dunque è consigliabile implementare una policy basata sul ruolo dell’utente in base alla quale consentire l’accesso solo a determinati utenti. Le policy di sicurezza saranno perciò formulate sulla base di compiti e responsabilità assegnate e garantite dall’utilizzo di certificati che avallino l’autenticità della relazione tra le parti, oltre che sulla presenza di meccanismi di controllo degli accessi sul lato client, fondati su regole certe che consentano al soggetto che richiede l’accesso di dimostrare di avere i privilegi per farlo. In questo senso sono già numerose le piattaforme che si stanno attrezzando per consentire agli utenti di configurare i permessi di accesso al profilo per ogni singolo utente.
Firewall/soluzioni dentro la rete. Più in generale, la sfida è quella di mantenere la conformità in linea con le normative in un ambiente dove applicazioni Web-enabled incrociano i confini interni ed esterni. Un impegno questo che, se pur costoso e impegnativo, rimane essenziale per le aziende. Un esempio di queste difficoltà è dato dalle tecnologie firewall tradizionali che in passato si sono dimostrate dispendiose da gestire e non sempre in grado di applicare in modo efficace le policy di business. Ovviamente c’è una differenza abissale tra il volume odierno di traffico sulla rete rispetto a quello di solo una decina di anni fa. Abbiamo assistito a profondi cambiamenti nel modo di operare delle aziende: i tradizionali rapporti di comunicazione sono stati sostituiti da altre forme di collaborazione più innovative, determinando una vera e propria esplosione dei processi d’interazione tra dipendenti, partner e clienti come dimostra l’esplosione dei social network anche negli ambienti di lavoro. Con i vantaggi però si sono concretizzate minacce pericolose e pervasive che i firewall tradizionali non erano più in grado di contrastare. In origine il firewall era un dispositivo di rete che operava al livello 3 dello stack ISO/OSI ispezionando il traffico solo in base alle informazioni riguardanti la combinazione protocollo – numero di porta, ossia indirizzo IP di origine e di destinazione dei pacchetti. Oggi che però la maggior parte del traffico utilizza i protocolli Http e Https, nel momento in cui si devono impostare e applicare le policy di sicurezza, informazioni di configurazione limitate al protocollo e alla porta diventano trascurabili. «Sino a una quindicina di anni fa i firewall stateful inspection adempivano perfettamente al loro ruolo; oggi però, con l’evoluzione delle applicazioni verificatasi negli ultimi anni, i firewall che si limitano a riconoscere le applicazioni basandosi su protocollo, porta e indirizzo IP non sono più adeguati» ci conferma Nulletti di Symbolic. Naturalmente nessuno poteva prevedere i cambiamenti avvenuti in poco più di un decennio a partire dalle novità introdotte dalla consumerizzazione dell’IT e dall’evoluzione del malware che muta a seconda dell’obiettivo da attaccare.
Così ad esempio il malware tipico dei social network è diverso da quello ideato per fare breccia in un sistema operativo. Ciò ha determinato l’inadeguatezza dei firewall tradizionali sprovvisti della tecnologia capace di determinare con precisione che cosa rappresenti realmente una minaccia e cosa no. «Ciò ha reso necessaria la disponibilità di firewall in grado d’identificare ogni minaccia nascosta e rilevare tempestivamente malware, intrusioni e vulnerabilità delle applicazioni» sottolinea Alessandro Peruzzo, amministratore unico di Panda Security Italia (www.pandasecurity.com). I dispositivi odierni sono provvisti di hardware e software progettato per riconoscere e controllare le applicazioni indipendentemente dalla porta utilizzata e senza degradare le prestazioni della rete. Inoltre un firewall di ultima generazione è in grado di bloccare l’accesso a tutti i siti più rischiosi, social network compresi; limitare l’utilizzo della larghezza di banda sulla base di parametri quali l’applicazione, l’utente o l’orario, oltre che rilevare la trasmissione di dati sensibili e quindi prevenire la perdita di dati. «I firewall rappresentano ancora una buona soluzione» afferma Alexander Moiseev, managing director di Kaspersky Lab Italia (http://www.kaspersky.com/it/); «il problema semmai è assicurarsi che siano configurati in modo appropriato». Diverso invece il parere e l’approccio sottostante di Maurizio Martinozzi, sales manager engineering di Trend Micro (http://www.trendmicro.it/) secondo cui i firewall tradizionali da soli non sono in grado di garantire una sicurezza efficace: «il suggerimento è quello di affidare la protezione di tipo tradizionale e il controllo di compliance a un’architettura di sicurezza collocata all’interno della rete. Lo spam – continua Martinozzi – per esempio, può essere gestito sia a livello di gateway sia dall’interno con una soluzione che controlli i contenuti dei messaggi di posta». Condivisa da tutti invece è la tendenza ormai affermata all’accorpamento delle soluzioni di sicurezza con ragguardevoli risparmi in termini di Tco. «In passato il metodo più diffuso era quello di suddividere la sicurezza su cinque o sei diversi vendor, esponendo le aziende a costi aggiuntivi, dati non solo dalla spesa legata all’acquisto del prodotto, ma anche dai costi di manutenzione e aggiornamento» ricorda Falcone di Check Point Software Technologies Italia; «oggi la situazione è cambiata e le aziende – sottolinea Falcone – sono in grado di consolidare la loro infrastruttura su uno o due vendor qualificati, capaci di soddisfare con una soluzione mirata tutte le esigenze di sicurezza a costi contenuti».
Tecnologie di monitoraggio. Secondo Gartner la percentuale di aziende che in futuro utilizzeranno soluzioni di monitoraggio o che si appoggeranno a società terze per farlo, raggiungerà negli Usa il 60% entro il 2015. La tecnologia è già disponibile e consente di monitorare sia le informazioni pubbliche sia quelle visibili solo da una cerchia più limitata di connessioni. Passi avanti invece dovranno essere fatti dalle aziende per gestire questa attività in linea con le normative vigenti anche in considerazione degli aspetti etici sul tappeto. Negli Usa, dove il monitoraggio è già una pratica diffusa, sta facendo discutere un fatto di cronaca avvenuto nei mesi scorsi, da quando cioè è emerso che alcuni college spiavano i profili on-line degli atleti universitari. In pratica i college davano mandato a società specializzate di tenere sotto controllo i profili social degli sportivi e la loro condotta fuori dal campo, alla ricerca di eventuali comportamenti proibiti dalle federazioni, ad esempio accordi sottobanco con agenti e procuratori per trasferimenti, combine, scommesse illegali e quant’altro. Si capisce bene che in questi casi il rischio di intromissioni eccessive nella vita privata delle persone è molto alto e infatti sembra che i giocatori si stiano organizzando per impedire che questa attività possa avvenire con modalità ancora più capillari e intrusive in futuro. Qualunque sia l’ambito in cui si trova a operare la persona con un profilo social, deve in ogni caso avere ben chiaro quello che è consentito fare e quello che non lo è. Solo conoscendo le regole dell’ambiente in cui ci si trova a operare si può agire con piena consapevolezza; allo stesso modo l’azienda, così come l’ente pubblico o la società sportiva, non dovrebbe sottrarsi dall’illustrare al proprio personale le conseguenze di un comportamento scorretto.
Come detto, la prerogativa degli attacchi che sfruttano le piattaforme social è quella di fare leva sulle tecniche di social engineering. L’obiettivo ultimo è di raccogliere info mirate a costruire un’identità credibile che costringa la vittima a un certo comportamento. Per esempio si può essere indirizzati verso una pagina Web fasulla che cerca di convincerci a inserire le credenziali di accesso a un servizio finanziario o assicurativo; oppure fare ricorso a uno stratagemma che ci induca a installare un programma virato. I più gettonati in tal senso sono quelli pornografici così come quelli che millantano la possibilità di spiare o intercettare una comunicazione; ma vanno forte anche i bonus da utilizzare su giochi come Farmville, le utility che aggiungono funzionalità più avanzate sulla piattaforma social preferita, ecc. La versatilità del malware è tale da consentirne l’utilizzo virtualmente su qualsiasi piattaforma social. Lo sfruttamento esteso di queste tecniche si deve soprattutto ai costi molto contenuti per realizzarli e l’alta percentuale di successi che in proporzione registrano, come dimostra ad esempio il caso Koobface.
Di fronte a queste minacce la tecnologia non può molto. «Spesso invece, insieme alla mancanza di policy ben definite, vi è anche un livello di conoscenza e di esperienza di utilizzo non adeguato da parte degli utenti, che diventano vittime inconsapevoli dei cyber criminali» rileva Peruzzo di Panda Security Italia. Perciò per garantire maggiore sicurezza ed evitare intrusioni nei propri sistemi è opportuno implementare policy che mirino alla costruzione di una effettiva consapevolezza presso gli utenti che accedono alle piattaforme social, al fine di prevenire problemi di security all’interno della rete aziendale. Non ci si stancherà mai di ripetere che solo una formazione continua e che preveda anche sessioni pratiche di risposta ai pericoli provenienti dall’esterno rimane l’antidoto più efficace.
L’azienda sta diventando sempre più social, si sta cioè aprendo verso l’esterno con tutte le conseguenze e implicazioni che da questa dinamica derivano. Si tratta di un processo di cui siamo solo agli inizi e che sta investendo solo alcune realtà. Con il tempo però molte organizzazioni dovranno imparare a convivere con le spinte social provenienti dal Web. E’ probabile che in futuro nella maggior parte di esse saranno formalizzate procedure che consentiranno ad alcune figure l’accesso ai social network, esattamente come in passato è avvenuto con l’utilizzo della posta elettronica o di Internet. Chi invece è già parte attiva di questo processo dovrà continuare a interrogarsi circa le prospettive di più lungo respiro associate a queste dinamiche. Alla sostanziale impreparazione da parte di molte organizzazioni a pensare in modo strategico circa lo sviluppo di questi strumenti tipica dei periodi pioneristici dovrà subentrare una pianificazione di medio periodo che anche in termini di sicurezza conduca a una loro integrazione proficua con gli asset e i sistemi aziendali.
Grazie a AirTight e Symbolic, la protezione delle connessioni si estende anche al wireless
di Camillo Lucariello
Il successo esplosivo di prodotti come gli smartphone e i tablet Pc, unito alla sempre più ridotta presenza alla scrivania del personale strategico delle aziende, hanno sancito il consolidamento delle reti wireless, le cosiddette Wlan (Wireless Lan). Naturalmente, le connessioni wireless si traducono in maggiori grattacapi per gli IT manager. Come alleviare i loro problemi? Rivolgendosi ai partner giusti: AirTight Networks (www.airtightnetworks.com) e Symbolic (www.symbolic.it). Ne abbiamo parlato con Pravin Bhagwat, Cto di AirTight Networks.
Chi è AirTight Networks
«Leader globale nelle soluzioni di sicurezza Wi-Fi, AirTight ha sviluppato una tecnologia in grado di proteggere le aziende dal problema crescente delle minacce wireless – spiega Bhagwat -. Grazie alle soluzioni AirTight, le aziende possono oggi proteggere le proprie reti wireless e gestire il proprio ambiente Wlan in accordo con gli standard emergenti wireless (come per esempio Pci)». Le soluzioni Wips (Wireless intrusion prevention) dell’azienda consentono di scoprire, classificare, bloccare e localizzare con precisione tutte le minacce alla sicurezza Wi-Fi.«La famiglia di servizi pionieristici Cloud Services di AirTight offre la prima e unica soluzione di accesso Wi-Fi “No-Capex” (ovvero senza spese in conto capitale, ndr), Wips multi-tenant, Pci wireless compliant e controller-less, tutto in un singolo dispositivo. Infine, AirTight è l’unico fornitore di soluzioni Wlan Ips ad aver ottenuto un attestato “strong positive” nell’ultimo rapporto Marketscope di Gartner per le soluzioni Wlan Ips e un “positive” in ciascuno dei quattro Marketscope precedenti. AirTight possiede a oggi 24 brevetti Usa e internazionali (Regno Unito, Australia e Giappone) con oltre 20 ulteriori brevetti in attesa di approvazione».
Secure Wi-Fi: la new entry nel portafoglio AirTight
Oggi dispositivi come gli smartphone, i tablet Pc e le relative app mobili sono diventati onnipresenti: perciò, impiegati e clienti si aspettano di poter usufruire di servizi Wi-Fi dovunque si trovino. Per di più, la presenza sempre più capillare di servizi Wi-Fi offre nuove opportunità alle imprese per coinvolgere maggiormente i propri clienti e migliorare l’efficienza dei servizi che vengono loro offerti, incrementando i fatturati. «Molte organizzazioni non hanno il personale tecnico IT o le risorse finanziarie necessarie per realizzare e mantenere un’infrastruttura Wi-Fi tradizionale basata su controller; AirTight ha deciso di rispondere a queste esigenze combinando i benefici dell’accesso Wi-Fi con la migliore tecnologia di wireless intrusion prevention oggi disponibile sul mercato e con la security, tutto in una singola soluzione. Ciò consente alle imprese di offrire un accesso Wi-Fi senza problemi, assicurando le proprie reti contro le minacce Wi-Fi e, se necessario, garantendo la compliance Pci. Il tutto in un singolo dispositivo, gestito nel Cloud e a un prezzo molto competitivo».
Il ruolo di Symbolic
Perché il mercato italiano e perché Symbolic? «Symbolic ha oltre 20 anni di esperienza nell’offerta delle soluzioni più avanzate per la sicurezza dei dati e delle reti, ed era la scelta ideale per AirTight, che aveva già una certa presenza nel mercato europeo. L’Italia è sempre stata un leader tecnologico in molti settori, perciò cercavamo un distributore locale in grado di supportarci in modo adeguato: Symbolic ha una rete di oltre 100 rivenditori in tutt’Italia, pertanto era la scelta ideale anche da questo punto di vista.
Per il futuro, la rivoluzione Byod (Bring-your-own-device), impone alle aziende di attrezzarsi per poter fornire accesso sicuro alle risorse di rete anche attraverso i dispositivi personali di dipendenti, partner e clienti. Questo nuovo scenario crea numerosi problemi di sicurezza e di gestione perché gli accessi wireless non controllati possono aprire backdoors nella rete aziendale. AirTight si propone di dare una risposta attraverso la possibilità di controllare non solo i punti di accesso, ma anche i dispositivi non autorizzati connessi alla rete, bloccandoli, se necessario, senza interferire con quelli “legali”».
