La sicurezza informatica delle infrastrutture dati, a cominciare dai server che contengono dati e applicazioni critiche, è un aspetto fondamentale per la continuità del business aziendale. Proteggere l’infrastruttura significa tutelare il business, l’immagine aziendale, la privacy dei clienti e, dopo il varo delle norme europee GDPR, non rischiare pesanti sanzioni di legge. Utilizzando tool comunemente disponibili nella darknet, attaccanti non particolarmente dotati di competenze sono oggi in grado di cercare le vulnerabilità non rimediate presenti nei sistemi, penetrare le infrastrutture aziendali e sottrarre dati.
“Le informazioni sottratte possono essere l’oggetto finale di lucro per gli attaccanti, ma più spesso diventano un trampolino di lancio per disegni criminali più sofisticati, portati avanti da malintenzionati. Le informazioni rubate possono essere utili per coordinare attacchi di ogni tipo a banche e reti di pagamento, danneggiare settori d’industria importanti per l’economia di una nazione, sostenere azioni mirate di tipo terroristico”, ricorda Brian Lord, Managing Director di PGY Cyber, ex Deputy Director for Intelligence and Cyber Operation del GCHQ (Government Communications Headquarters – agenzia inglese governativa che si occupa della sicurezza, nonché dello spionaggio e controspionaggio, nell’ambito delle comunicazioni). Un pericolo aziendale e sistemico che l’Unione Europea ha messo nel mirino con le norme GDPR che impongono multe alle aziende che non si curano della protezione dati e non ne denunciano la dispersione.
Secondo Mike Spanbauer, di NSS Labs, speaker al più recente Netevent di Londra, l’unico modo per avere più sicurezza è crearla, ossia adottare un approccio proattivo e considerare questo aspetto fin dall’inizio dei progetti: “A partire dallo sviluppo software, dove la security è spesso in secondo piano, trascurata nel calcolo del ROI”. Il motivo è culturale: “La sicurezza viene ancora vista come reazione a qualcosa che succede: approccio che non funziona, come dimostra il costo crescente delle risposte agli incidenti”. Per Alan Zeichick, Tech Analyst di Camden Associates, “mentre in passato i bersagli erano quasi solo pc desktop o laptop, oggi i cybercriminali possono puntare a una pletora di dispositivi che vanno dagli smartphone ai tablet fino alle macchine virtuali nel data center o in cloud”. Anche un sensore intelligente del costo di pochi dollari può rappresentare un bersaglio per azioni di scanning o exploit specifici, fuori dal controllo dell’utilizzatore o di chi amministra i sistemi aziendali. Oltre al tradizionale focus sui sistemi, gli esperti consigliano di guardare anche alla difesa dell’infrastruttura di rete: i sistemi SDN (software defined networking) introducono grande flessibilità, ma anche potenziali vulnerabilità poiché dispositivi programmabili via API o con SDK non escludono la possibilità di utilizzi inattesi. Le vulnerabilità del software non sono cambiate rispetto al passato: buffer overflow, SQL injection, cattive pratiche di coding… “Non abbiamo certificazioni realmente affidabili sul fatto che il software sia stato sviluppato in modo rigoroso e sottoposto a cicli di test che permettano di definirlo sicuro”, precisa Zeichick.
La sicurezza a partire dall’organizzazione
Tutelare le infrastrutture IT aziendali significa, prima di tutto, evitare che malintenzionati possano entrarci, ma per secondo, essere capaci di rilevare rapidamente gli attacchi e prendere le contromisure che ne evitino la diffusione. Il segreto è nell’approccio SysSecOps (Systems Security Operations) ossia nel poter gestire IT e security insieme, evitando di approcciare i due aspetti in differenti silo organizzativi. Per unire le attività di gestione e sicurezza servono risorse e la volontà delle persone coinvolte: “Questo perché lo scopo di chi lavora nell’IT è creare opportunità per l’azienda e spesso non ha il rischio tra le priorità – spiega Zeichick – In uno studio su brecce trovate in 140 aziende si riscontra un forte gap nelle risposte. Il team deputato alla sicurezza che ha identificato una breccia quasi sempre non ha i mezzi per rispondere rapidamente. Spesso si trova a dover trasferire l’allarme al reparto IT, sollecitare l’installazione di patch o la revoca dei privilegi d’accesso a qualche utente. All’opposto può essere il team di gestione IT ad accorgersi per primo che qualcosa non va ed avere problemi a comunicare con le persone della sicurezza. Si tratta di reparti che hanno strumenti e processi differenti, metodologie e che spesso non parlano l’uno con l’altro”. SysSecOps non significa solo avere persone che parlano il medesimo linguaggio, ma anche che siano capaci di condividere gli stessi tool e le stesse tecniche, lavorando sugli stessi dati: “L’importante non è solo risolvere gli obiettivi in conflitto tra chi si occupa della security e delle operation, ma anche predisporre una strategia per l’integrazione, a livello executive, degli obiettivi. Non si può avere un team che dice sì e uno che dice no. Le persone devono lavorare insieme”, afferma Zeichick.
Il cloud ibrido come soluzione
La trasformazione digitale delle imprese incontra l’uso sempre più esteso dei servizi cloud, ma spesso i provider che offrono accordi sui livelli di servizio relativi non sono altrettanto trasparenti sui concetti di sicurezza. Secondo un report di Moor Insights & Strategy, i recenti attacchi che hanno preso di mira il firmware dei dispositivi IoT si stanno spostando sui server. Mentre si sta cercando di affrontare il problema a livello dell’hardware, l’intera economia del cloud pubblico ne è minacciata. La capacità di spostare i carichi di lavoro da un server all’altro per garantire le prestazioni, caratteristica del cloud pubblico, non tiene conto delle necessità di sicurezza. Solo negli ambienti on premise è possibile avere la certezza che le applicazioni più critiche risiedano sulle piattaforme più sicure. L’arrivo di pericolosi exploit mirati all’hardware così come l’emergere di questioni regolamentali legate alla sovranità dei dati (obbligo di collocazione in ambito nazionale o UE) minacciano di restare un deterrente all’uso più esteso dei servizi di cloud pubblico. Sempre secondo Moor Insights & Stategy, questi problemi obbligano molte realtà alla scelta del cloud ibrido, modello destinato ad affermarsi come predominante per i prossimi anni.