La storia è nota: il worm Stuxnet fu messo a punto dal governo americano, in collaborazione con quello israeliano, nel 2006 con l’obiettivo di sabotare gli sforzi dell’Iran di ottenere uranio arricchito; il malware si è poi diffuso al di fuori di questi ambienti ed è diventato un pericoloso veicolo di attacchi informatici in tutto il mondo. Nel 2015, secondo l’edizione 2016 del Cyber Risk Report, pubblicato dalla divisione di Security Research di Hewlett Packard Enterprise, la versione 2010 Stuxnet è riuscita ancora a creare problemi agli utenti informatici del pianeta nonostante siano state rilasciate diverse patch nei confronti di questa minaccia.
Tim Grieveson, Chief Cyber Security Strategist for Emea nella divisione Enterprise Security Products, HpeQuesto è solo uno degli esempi di come, ancora oggi, i responsabili della sicurezza delle aziende e gli end user si trovino a dover fronteggiare minacce ben conosciute e datate, risultandone però spesso soccombenti. E questo è dovuto a diversi fattori, fra i quali il contemporaneo apparire di nuovi malware, la crescita delle interconnessioni, l’aumento dei device utilizzati dagli utenti, la mobility (la quale fa sì che, oggi, il perimetro delle reti sia nel nostro taschino) e il cloud.
Di questi problemi e di come cercare di affrontarli, ZeroUno ha parlato di recente con Tim Grieveson, Chief Cyber Security Strategist for Emea nella divisione Enterprise Security Products di Hpe: “Il ruolo mio e del mio staff – premette Grieveson – è di parlare con i top manager di livello C delle aziende e di aiutarli a elaborare strategie efficaci di difesa nei confronti delle minacce provenienti dall’interno e dall’esterno delle organizzazioni”. Nello svolgere questo compito, il Cyber Security Strategist di Hpe è facilitato dall’aver svolto per vent’anni, prima di approdare al vendor giusto un anno fa, il ruolo di Cio e poi di Ciso di G4S Risk Management, una delle multinazionali più conosciute nella consulenza e nei servizi in outsourcing di sicurezza fisica.
Patching? Parliamone
Nel commentare le evidenze del Cyber Risk Report 2016, lo strategist di Hpe mette prima di tutto in luce i grandi problemi legati al patching delle minacce informatiche: “Nel 2015 i ‘bad guys’ hanno continuato a sfruttare le stesse vulnerabilità che erano emerse nell’anno precedente. E ci sono riusciti con successo sebbene queste fossero ormai ben documentate. Ciò significa che gli staff di It security devono ancora aumentare la vigilanza e la velocità con la quale applicano le patch. Secondo nostre ricerche, mediamente le minacce riescono a sopravvivere all’interno dei sistemi informativi ben 243 giorni prima di essere individuate. Un patching più rapido ridurrebbe di molto i rischi di exploit”.
Grieveson ha qualcosa da chiedere anche ai software vendor: “Dovrebbero essere più trasparenti circa le implicazioni delle singole patch, in modo che i responsabili tecnologici delle aziende sappiano cosa effettivamente può succedere applicandole; una maggiore trasparenza consentirebbe di applicare queste patch con maggiore tranquillità”. Inoltre, pur lodando gli sforzi delle sofware house di rilasciare velocemente patch alla scoperta di ogni nuova vulnerabilità, il Cyber Security Strategist di Hpe e i suoi colleghi auspicano che i produttori di software inizino a rilasciare patch più ampie, “in grado di affrontare più vulnerabilità nello stesso momento. Invece continua ancora la vecchia tradizione di rilasciare fix puntuali”.
L’anno degli “effetti collaterali”
Una vera e propria nuova tendenza che ha avuto un’impennata nel 2015 è, secondo Grieveson, la ricerca di “monetizzazione” degli attacchi. “Fino a pochi anni fa lo scopo principale del malware era di interrompere il funzionamento di un servizio It: oggi è generare ricavi. Si spiega con quest’attitudine lo stabile incremento di attacchi agli Atm e l’impennata di banking Trojan e di Ramsomware. Nel primo caso – precisa il top manager – gli obiettivi possono essere due: sottrarre dati sulle carte di pagamento o ritirare subito contanti. I banking Trojan invece mirano a ottenere informazioni sulle carte, i conti e i clienti bancari. I Ramsomware criptano i contenuti di sistemi informativi: per ottenere le chiavi di decrittazione, le vittime devono poi sborsare denaro contante o virtuale”.
La crescita del trend della “monetizzazione” è la principale, ma non l’unica, ragione per la quale Hpe ha definito il 2015 l’anno degli “effetti collaterali”, mentre il 2014 era stato quello dei “breach”. Gli effetti collaterali sono tutte quelle nuove conseguenze provocate dalle nuove metodologie di attacco alla vita economica – e non solo – di aziende e persone. Paradossalmente effetti di tipo collaterale possono essere innescati anche da nuove normative. “Leggi che impongono alle aziende di pubblicizzare le violazioni informatiche entro 72 ore da quando sono state subite, pena pesanti multe – esemplifica Grieveson –, rischiano solo di aggiungere nuovi salassi ai conti economici già intaccati dagli attacchi informatici”.
Altri mal di testa per chi si occupa di security derivano da proposte legislative che finirebbero per “disaccoppiare” gli sforzi per il miglioramento della sicurezza da quelli per la maggiore tutela della privacy: per esempio, chiedendo la previsione di “backdoor” nei software che possono essere aperte dalle forze di polizia per cercare dei dati utili a indagini. “Comprendo il desiderio dei governi di sapere cosa stanno facendo le persone – commenta il Security Strategist di Hpe – ma allo stesso tempo ritengo che i responsabili della sicurezza dovrebbero puntare di più sulla crittografia”.
Quando parla di aumento della security, comunque, Grieveson ci tiene a sottolineare che “non si tratta solo di prodotti. È importante capire che la sicurezza è un mix di persone, processi e tecnologie. Oggi bisogna focalizzarsi sulle interazioni fra utenti, dati, applicazioni e prepararsi a possibili violazioni crittografando i propri dati e predisponendo risposte adeguate (come, per esempio, policy avanzate di backup) in caso di breach”. E Hpe, con i suoi 5.000 professionisti certificati in sicurezza e molteplici modelli e tecnologie di cyber security è in grado di porsi come interlocutore unico da tenere in considerazione.
