Vi è una questione fondamentale nel modo in cui le imprese difendono le loro reti e deriva dal modo in cui valutano il loro stato di sicurezza. Spiega, inoltre, perché le organizzazioni superano i test di penetrazione della rete e, tuttavia, vengono ancora sistematicamente violate.
Il problema risiede nel fatto che i due principali pilastri della sicurezza aziendale – sistemi di rilevamento delle intrusioni (IDS) e test di penetrazione – cercano di validare reciprocamente la propria esistenza.
In realtà, nessuno dei due approcci al momento fa molto per migliorare realmente la sicurezza della rete.
Il ciclo di solito si chiude in questo modo: un’organizzazione assume una società di sicurezza per eseguire un test di penetrazione ad ampio spettro sulla sua rete. Inevitabilmente, il consulente per la sicurezza pubblica una relazione che delinea una serie completa di vulnerabilità e descrive le terribili conseguenze che deriveranno se non si interviene con urgenza.
Scioccato dalla situazione, il management dell’organizzazione stanzia soldi per risolvere il problema e implementa in tutta fretta un sistema di rilevamento delle intrusioni basato sulle firme per neutralizzare le vulnerabilità identificate. Il test viene ripetuto ed ecco che le sue luci si accendono come quelle di un albero di Natale. E via di pacche sulle spalle e congratulazioni per un lavoro ben fatto. A parte il fatto che la conclusione non è proprio questa…Un mese dopo, qualcuno si accorge che un server critico perde i dati come un colabrodo.
Nella migliore delle ipotesi, gli IDS hanno preso nota della cosa e hanno generato un allarme (insieme a mille altre notifiche). Nel peggiore dei casi, il circuito di gestione della carta di credito si rende conto che il vostro shop online è il fattore comune in un picco di frodi creditizie e vi taglia fuori, causando alla vostra azienda un danno di milioni di euro.
Gli hacker sono più scaltri di quanto la tecnologia ipotizza
Gli hacker del mondo reale hanno spesso un tocco molto più abile di quello ipotizzato dai test automatizzati. Nella maggior parte dei casi, infatti, gli aggressori non si occupano affatto delle vulnerabilità di Internet Information Server patchate già nel 2009, quelle dalle quali gli strumenti automatizzati di testing sembrano essere ossessionati.
Siamo nella situazione in cui i sintomi e le cure si validano a vicenda, pur tuttavia il paziente è ancora malato e i server Web vengono comunque violati.
È chiaro che è necessario un nuovo approccio.
Le imprese hanno bisogno di guardare a strumenti e tecnologie che le difendano in concreto dalle tecniche che gli hacker utilizzano piuttosto che contare sulle vulnerabilità individuate o sulle circostanze artificiali identificate da un penetration test automatizzato.
Una varietà di fornitori, tra cui Check Point Technologies, FireEye e Juniper Networks, ha portato sul mercato prodotti che aiutano a difendersi dagli attacchi più sofisticati e misti (a volte indicati come “minacce avanzate persistenti” o APT).
Questi strumenti mirano ad aumentare i controlli di sicurezza più tradizionali e con le valutazioni basate sulla reputazione e sulle attività di intelligence per decretare se una sessione di traffico sia da bollare come “buona” o “cattiva”. Tuttavia, a meno che questi approcci non si fondano con una gestione degli incidenti affidabile, queste tecnologie diventeranno semplicemente dei dispositivi costosi e dimenticati e la storia si ripeterà.
