Lo scorso febbraio ha preso il via la serie di mostre-convegno dedicate alla sicurezza informatica note col nome di Infosecurity. Alla prima, che ha avuto luogo a Milano, hanno già fatto seguito quelle di Madrid (sempre a febbraio) e di Bruxelles (a marzo). Nel mese di giugno sarà la volta di Toronto, poi di Mosca e Stoccolma (a settembre), di Utrecht e Parigi (a novembre) e infine di New York (a dicembre). Il momento culminante si avrà tuttavia a Londra dove dal 26 al 29 aprile si svolgerà Infosecurity Europe, giunta ormai alla X edizione, alla quale parteciperanno oltre 250 espositori (la lista completa si trova sul sito www.infosec.co.uk) con una vastissima proposta di applicazioni spazianti dagli antivirus al disaster recovery, dai firewall alla business continuity, dalle smart card alla biometria, dalla wireless security alla crittografia e molto altro ancora.
Per promuovere l’evento, l’ente organizzatore di Infosecurity Europe ha invitato a Londra un gruppo molto ristretto di giornalisti specializzati e li ha fatti incontrare con una ventina di rappresentanti degli espositori, in una sorta di “pre-assaggio” della manifestazione di aprile.
A chi ha partecipato, come ZeroUno, a questa particolare conferenza stampa è stata così offerta l’opportunità di entrare nel dettaglio degli sviluppi in corso in un settore dell’It che nei prossimi anni vedrà una rapidissima crescita degli investimenti da parte delle aziende. Un dato di fatto che è stato messo in evidenza anche da una recentissima indagine realizzata dalla The Economist Intelligence Unit (società di ricerca del gruppo The Economist cui fa capo anche la casa editrice dell’omonimo celebre settimanale) dalla quale risulta che nel 2005, per gli oltre 750 Cio del campione intervistato, appartenenti a 19 diversi Paesi tra i quali l’Italia, gli investimenti con la più alta priorità saranno appunto quelli relativi alla sicurezza.
Una crescita le cui motivazioni sono le più svariate: la continua espansione di Internet; la necessità di aprire i sistemi informativi aziendali al mondo esterno in un contesto di crescente collaborazione; la vulnerabilità dei software; la crescita esponenziale degli attacchi informatici provenienti sia dall’esterno che dall’interno delle aziende; gli sviluppi della connettività wireless; la situazione socio-politico-economica che contribuisce a far crescere il livello generale di insicurezza; i rischi legati a fenomeni di difficile prevedibilità quali terremoti e blackout; la necessità da parte delle aziende di adeguarsi a un numero sempre crescente di nuove leggi e normative.
A queste motivazioni ormai consolidate se ne sono inoltre aggiunte altre, di origine più recente: gli spyware, programmi-spia che dopo essersi insediati nei computer ne tengono sotto controllo le attività e raccolgono informazioni su chi li usa; lo spIM, una forma di spamming consistente nell’invio di messaggi pubblicitari non richiesti sfruttando come canale i sistemi di Instant Messaging; o il phishing, che si basa sull’invio di false e-mail, provenienti in apparenza da banche o da altre organizzazioni di elevata credibilità, mediante le quali utenti ignari vengono indotti a fornire dati sensibili che li riguardano, come password o numeri di carte di credito.
Una rete di autodifesa
“Non v’è alcun dubbio – osserva Vincent Bieri, security marketing manager di Cisco per l’Emea – che nei prossimi anni le aziende si troveranno ad operare in ambienti informatici sempre più ostili. Nel corso del 2004, per esempio, i danni causati solo dai principali attacchi virali hanno raggiunto, secondo stime credibili, i 16,7 miliardi di dollari. Ed è altrettanto indubbio che la Rete, essendo parte del problema, dovrà farsi carico attraverso una profonda revisione dei suoi attuali sistemi di gestione, anche delle possibili soluzioni.”
In Cisco si sta in effetti da tempo lavorando alla quarta generazione delle architetture di rete, quella che ne supporterà l’evoluzione nei prossimi anni. Definita Intelligent Information Network (Iin), è stata disegnata con l’obiettivo di soddisfare le crescenti richieste di integrazione, flessibilità e sicurezza provenienti dal mercato. “L’Iin – continua Bieri – consentirà di portare definitivamente a termine la virtualizzazione delle reti. Si tratta infatti di una infrastruttura all’interno della quale sarà possibile integrare tutte le più avanzate tecnologie che ad esse si riferiscono: l’Ip Comunication, riguardante le diverse forme di comunicazione umana (dati, voce, immagini fisse e in movimento) trasportabili via Ip, il wireless, lo storage networking e la stessa security, con un approccio, per quanto riguarda quest’ultima, assolutamente innovativo al quale abbiamo dato il nome di Self Defending Network (si veda riquadro), che permetterà alle reti non solo di riconoscere le situazioni anomale, ma anche di reagire alle eventuali minacce in modo automatico”.
Simulare effetti negativi in un ambiente virtuale
Anticipare, integrare e centralizzare sono stati i termini più usati nel corso degli incontri londinesi. “La capacità di anticipare gli attacchi – spiega ad esempio Arvid Gomez, direttore prodotti di Norman Asa, una software house norvegese specializzata in sistemi antivirus, antispam e in generale di Internet security – dovrà essere considerata un elemento essenziale dei futuri sistemi di protezione. Quelli attuali stanno infatti diventando sempre meno efficaci. Il periodo di tempo che trascorre tra il momento in cui vengono individuate le vulnerabilità di un software e l’apparizione dei virus capaci di sfruttarle si sta sempre più riducendo. Senza tener conto dei tempi richiesti per lo sviluppo e la distribuzione delle relative patch (Microsoft ad esempio le rilascia solo una volta al mese) o delle ‘firme’ che vanno ad aggiornare i normali antivirus. Un problema per superare il quale dovranno inevitabilmente essere sviluppati sistemi di tipo proattivo, in grado di operare in tempo reale”. Sistemi come quello proposto dalla stessa Norman Asa, la cui tecnologia Sandbox (www.norman.com/Virus/13927/en) si basa sulla creazione di un ambiente virtuale, completamente protetto e capace di simulare quello effettivo, all’interno del quale vengono introdotti i file sospetti allo scopo di valutarne i comportamenti. Solo se il test si conclude in modo positivo, ai file presi in considerazione verrà consentito di accedere all’ambiente elaborativo reale.
Information Integrity e Risk Management
Anche il modo con cui viene oggi gestita nelle aziende la sicurezza informatica dovrà essere completamente rivisto. “Si tratta in effetti di passare da un approccio frammentato, dove i diversi problemi vengono affrontati separatamente e con strumenti eterogenei – afferma Jeremy Ward, direttore dei servizi di sviluppo Symantec – a un approccio olistico dove la sicurezza deve diventare parte del Dna dell’azienda, essendo stata integrata coerentemente in tutti i suoi processi. Solo in questo modo diventerà possibile proteggere in modo efficace gli asset aziendali e migliorare la gestione del rischio ad essi collegato.” Per raggiungere questo risultato è tuttavia indispensabile superare la convinzione, molto diffusa, che la sicurezza sia qualcosa che riguardi prevalentemente l’It e non il business. “Un’idea – prosegue Ward – che in realtà serve solo a far perdere di vista il problema nel suo complesso. Si dovrà invece favorire una visione unificata dei due mondi indirizzando in modo specifico tre aree: la sicurezza fisica, la sicurezza dei dati e delle transazioni, e la continuità dei processi di business dai quali effettivamente dipende l’azienda. Il che consentirà di identificare non solo i reali punti di vulnerabilità dei sistemi e le misure da prendere al fine di proteggerli, ma anche il valore relativo dei diversi tipi di informazioni, in modo da concentrare gli investimenti su quelle che è indispensabile salvaguardare. Un approccio che costituisce la base del risk management secondo Symantec".
Centralizzazione e security management
Esiste una corrente di pensiero secondo la quale buona parte dei problemi di sicurezza sono da attribuirsi alla dispersione dei dati e delle informazioni, che molto spesso, soprattutto nelle aziende di grandi dimensioni, risiedono su piattaforme eterogenee distribuite in troppe locazioni diverse. Ridurre questa dispersione attraverso il consolidamento dei sistemi informatici e la gestione centralizzata degli accessi, potrebbe dare un notevole contributo al miglioramento della sicurezza globale.
Inoltre anche la gestione dei sempre più numerosi firewall, server antivirus e sistemi di prevenzione delle intrusioni, se non viene effettuata correttamente, può avere addirittura l’effetto di abbassare i livelli di sicurezza complessivi delle infrastrutture considerate.
Secondo l’Icsa Labs (www.icsalabs.com), società di certificazione di prodotti per la sicurezza, il 70% dei firewall sarebbe configurato in modo scorretto, lasciando quindi pericolosamente indifesi i sistemi che dovrebbero invece essere da loro protetti. Ne deriva la necessità di centralizzare anche la gestione di questi dispositivi in modo da garantirsi che funzionino in modo coerente con le policy effettivamente stabilite.
La rete sotto controllo si chiama Atd
Si chiama Atd (Adaptive Threat Defense) la nuova fase della strategia Sdn (Self Defending Network) di Cisco per la sicurezza delle reti. Annunciata in occasione della recente Rsa Conference di San Francisco, l’Atd dovrebbe infatti consentire di ridurre sensibilmente il rischio di attacchi informatici attraverso un controllo accurato del traffico di rete, degli utenti, dei sistemi e delle applicazioni.
Tra i numerosi prodotti e servizi annunciati da Cisco sotto la sigla Atd, particolare rilievo hanno le cosiddette Anti-X Defenses, di fatto l’ultima versione del suo Ips (Intrusion Prevention System), che combinano nuovi servizi per la rilevazione e la prevenzione di possibili attacchi provenienti dalle reti, come quelli di tipo Denial-of-Service, con funzioni di firewall, antivirus, anti-spyware, anti-worm e filtraggio delle Url. Le Anti-X Defenses sono quindi in grado di esercitare un controllo accurato del traffico di rete in tutti i punti considerati nevralgici per la sua sicurezza, consentendo di rilevare situazioni di rischio prima che possano propagarsi indisturbate.
Dell’Atd fanno parte anche funzioni rivolte alla sicurezza delle applicazioni aziendali: gestione delle ‘policy’ riguardanti il loro utilizzo, controllo degli accessi e protezione delle transazioni. Ma è sotto l’etichetta ‘Controllo e Contenimento della Rete’ che si nascondono le parti più sofisticate dell’annuncio, quelle riguardanti l’intelligenza di rete e la virtualizzazione delle tecnologie di sicurezza. Funzionalità di verifica e di correlazione che consentono di controllare e proteggere qualsiasi elemento o servizio di rete, con elevata capacità di gestione e di contenimento dei possibili rischi. (C.C.)