C’è un enigma storico nella sicurezza informatica su dove concentrare le competenze in materia di sicurezza, controlli e sorveglianza.
Gli hacker penetrano le reti al fine di compromettere le infrastrutture IT dei “padroni di casa” per rubare informazioni e dati. Dato questo assunto, c’è da chiedersi, lecitamente, dove i CISO dovrebbero concentrare le risorse di sicurezza: sulle reti, nell’host o in una combinazione equilibrata di entrambi?
La società di analisi ESG ha recentemente posto questa domanda a 395 professionisti della sicurezza che lavorano all’interno di aziende medie e medio-grandi (con un numero di dipendenti compreso tra i 100 e i 999 e dai 1.000 in su).
I risultati più interessanti, in summa, sono questi:
• Il 58% del campione ha dichiarato che i processi di sicurezza, le competenze e i controlli tecnici attuati a livello di rete sono “molto più approfonditi” o “un po’ più approfonditi” rispetto ai processi di sicurezza, alle competenze e ai controlli tecnici afferenti gli ambienti server.
• Il 37% ha detto che i processi di sicurezza, le competenze e i controlli tecnici attuati a livello delle reti sono “in linea” con i processi di sicurezza, le competenze e i controlli tecnici riguardanti gli ambienti server.
• Il 7% ha sostenuto che i processi di sicurezza, le competenze e controlli tecnici a livello server sono “molto più approfonditi” o “un po’ più approfonditi” di quelli attuati a livello delle reti.
Ne emerge un chiaro squilibrio, sul quale occorre interrogarsi. Perché accade questo? Molti professionisti della sicurezza hanno un background professionale che affonda le radici nel networking e tendono a concentrarsi in settori come l’amministrazione dei firewall, la segmentazione delle reti o l’analisi in materia di sicurezza. In più, non va sottovalutato il fatto che la sicurezza del server è spesso considerata come un requisito “di controllo”, utile per assicurarsi la conformità alle normative. Basta, quindi, equipaggiare i server con il software antivirus e il lavoro dell’esperto di sicurezza può dirsi concluso.
È sempre possibile utilizzare la segmentazione della rete per isolare il traffico del server o applicare dei servizi di sicurezza specifici ai flussi di dati che transitano sulla rete, qualora si rendesse necessario.
I dati di ESG indicano, però, che questo comportamento sta cambiando. I CISO riconoscono che i server sono sempre più oggetto di attacchi, pertanto stanno incrementando l’uso di strumenti quali i controlli applicativi, gli HIPS (sistemi di prevenzione delle intrusioni basati su Host) e il File Integrity Monitoring (FIM) sui server critici. Tuttavia, gli investimenti in sicurezza della rete appaiono, ovunque, in aumento quindi non c’è da attendersi alcuna modifica dei comportamenti dei CISO misurabile in termini di uno spostamento delle priorità di sicurezza.
Le implicazioni più rilevanti, a livello di mercato sono queste tre:
1. ESG rileva alcuni cambiamenti nel comportamento degli specialisti della protezione dei dati in azienda. I CISO e i security architect stanno diventando sempre più attivi nella selezione delle tecnologie di sicurezza delle reti. Queste persone tendono a considerare nuove funzionalità e a valutare con maggior attenzione l’efficacia delle feature di sicurezza, i servizi consolidati e l’integrazione delle infrastrutture di sicurezza, di fatto andando a valutare anche le tecnologie di produttori come Check Point, FireEye, Fortinet e Palo Alto Networks. Ecco perché nel prossimo futuro questi vendor andranno a competere direttamente con l’offerta dei nomi “storici” del mercato della sicurezza dei network, come Cisco e Juniper.
2. La copertura delle aree della sicurezza dell’host e della rete sta diventando sempre più attraente. Il 37% del campione sostiene di bilanciare equamente gli invstimenti di sicurezza nella protezione basata su entrambe le aree. Questa è una tendenza che si fa, quindi, sempre più strada. Come ha precisato un CISO intervistato, “io pago per riuscire a implementare e gestire le difese a livello sia di rete che dell’host. Se queste due cose funzionano bene insieme, il risultato è che ottengo un grado più alto di sicurezza a costi minori. In passato, sicurezza dell’host e controlli di sicurezza di rete erano due mondi a parte. Oggi, invece, diversi fornitori, tra cui McAfee e Sourcefire stanno colmando questo gap tecnologico”.
3. Anche i fornitori di tecnologie di sicurezza host based devono avere voce in capitolo. Si potrebbe pensare che il nuovo panorama delle minacce, la tendenza alla “deperimetrizzazione”, i web service e la virtualizzazione dei server spingano le imprese a concentrarsi sulla sicurezza basata su host. Allora, perché questo non avviene? Perché le organizzazioni sanno come segmentare le reti e perfezionare i controlli, ma non hanno una simile familiarità con i controlli host. Produttori come Bit9 stanno iniziando a guadagnare credibilità ma da soli possono poco. Altri fornitori di tecnologie di sicurezza basate su host devono sforzarsi di offrire soluzioni educative per il mercato, architetture di riferimento, casi d’uso e servizi professionali che riescano a “scardinare” l’approccio network-centrico alla sicurezza.
I dati di ESG mostrano che la maggior parte delle aziende pensa ancora al proprio network come a un hub di sicurezza. Se si è consci di cosa si sta facendo, sarà possibile utilizzare la segmentazione delle reti, il controllo e i servizi di sicurezza per garantire la massima protezione ai server.
Detto questo, però, i controlli basati su host hanno senso dal punto di vista della difesa in maggior profondità dell’azienda In più, il futuro dovrà essere dominato dai controlli integrati basati su rete e host che potrebbero abbattere notevolmente i costi di gestione della sicurezza all’interno dell’organizzazione.