Peter Firstbrook, Vice Presidente di Gartner, sostiene che la predominanza dell’ambiente Wintel negli endpoint delle aziende potrebbe avere pesanti ripercussioni sul lavoro del CISO.
Compiendo un volo d’uccello attraverso il panorama della sicurezza degli endpoint, l’esperto sostiene che anche se il 75% dei tablet e laptop è acquistato dai consumatori, molti di questi saranno visualizzati all’interno delle reti aziendali. Le imprese stanno incoraggiando la consumerizzazione dell’IT contando sui maggiori vantaggi per la produttività del proprio personale, mentre i professionisti della sicurezza sono lasciati a gestirne al meglio i rischi.
Gartner prevede che il numero di endpoint che le imprese si troveranno a dover rendere sicuri dovrebbe aumentare del 25% dalla fine del 2012 al 2017. Anche se i dispositivi Windows ancora costituiranno la maggioranza degli endpoint aziendali nel 2017, Firstbrook si dice convinto che l’ondata di dispositivi iOS e Android avrà un effetto sempre più positivo sulla sicurezza degli endpoint aziendali.
Anzitutto, per le prestazioni di sicurezza, ha detto, perché i produttori di entrambe le piattaforme – Apple e Google – offrono alcuni indiscutibili vantaggi rispetto a Windows, incluse alcune funzionalità di sicurezza “embedded” come la crittografia e la cancellazione remota.
Firstbrook ha anche elogiato il modello di App Store “bloccato” impiegato per i dispositivi iOS, che utilizza essenzialmente un sistema di “white list” per consentire la promozione alle App ritenute sicure e tenere fuori le applicazioni che potrebbero essere dannose o pericolose. Il successo del modello dell’App Store di Apple, secondo l’esperto, fa sì che il ritorno a un modello basato sulle liste nere di un tempo sia oggi da considerare una vera e propria follia.
Nonostante la percezione di Android come piattaforma costantemente afflitta da malware, Firstbrook nota che la sicurezza delle applicazioni Android è migliorata nel tempo, grazie al maggior monitoraggio di Google sul suo negozio ufficiale di app: “La realtà è che se ci si limita a Google Play come unica fonte di download di applicazioni, si sperimenta una percentuale davvero contenuta di malware”.
Firstbrook ha anche sottolineato che queste piattaforme mobile di spicco difficilmente soffrono di eventuali infezioni da malware con la virulenza sperimentata dalle macchine Windows e che gli utenti di dispositivi mobili in genere devono scaricare il malware direttamente, a differenza di quanto avviene per gli ambienti Windows, dove i virus auto-propaganti sono piuttosto comuni.
Mentre il paradigma delle white list dimostra, secondo l’esperto, di funzionare piuttosto bene, Firstbrook ha anche indicato che i fornitori di soluzioni per la sicurezza delle applicazioni stanno migliorando ulteriormente la protezione delle applicazioni classificando quelle mobili in relazione alle diverse categorie – business, educazione, intrattenimento, finanza e gioco – rendendo più facile per un’organizzazione riuscire a consentire o bloccare l’uso di alcune tipologie di app in base alle policy di sicurezza dei dispositivi wireless in uso.
Firstbrook si dice convinto del fatto che anche i fornitori di software di Mobile Data Management (MDM) aggiungeranno a breve simili categorizzazioni perché “non sarà possibile gestire queste good list senza adottare una qualche forma di categorizzazione”, ha osservato.
Le sfide poste dalle piattaforme mobili
Nonostante le funzionalità di sicurezza integrate all’interno delle piattaforme mobili moderne, Firstbrook ha ammesso che esistono ancora numerosi problemi irrisolti. Ad esempio, i dispositivi iOS e Android si caratterizzano anche per la spiacevole caratteristica di poter compiere il sideload di un’app attraverso ROM (Read Only Memory) personalizzate e tramite il jailbreaking, ovvero quella procedura che permette di installare su un’iPhone meccanismi di distribuzione di applicazioni e pacchetti alternativi a quello ufficiale dell’App Store.
Tali tecniche possono incidere sulla capacità delle imprese di far rispettare il controllo delle applicazioni scaricate, azzerando i benefici degli app store più sicuri, così come i negozi di enterprise app. Questo problema è particolarmente evidente con Android, per il quale produttori come Samsung e HTC immettono sul mercato decine di dispositivi ogni anno, tutti con versioni diverse e personalizzate del sistema operativo open source.
Firstbrook consiglia, pertanto, alle imprese di attenersi a un solo fornitore per ridurre al minimo le implicazioni di sicurezza legate all’eccessiva frammentazione della piattaforma Android.
Siccome le imprese sono sempre più inclini ad ampliare la lista dei dispositivi mobili che sfruttano le loro reti, proprio questi device diventeranno un obiettivo sempre più allettante per i criminali informatici. “La cattiva notizia è, senza dubbio, che gli aggressori stanno andando a concentrarsi sempre di più su queste piattaforme”, ha commentato.
La nuova generazione di potenti browser ora disponibile sui dispositivi mobili presenta una delle maggiori sfide alla sicurezza mobile per i team di sicurezza. I browser mobili possono spesso cadere preda degli stessi siti potenzialmente dannosi che prendono di mira gli utenti desktop, sottolinea Firstbrook, ma le imprese spesso non sono in grado di limitare la navigazione mobile tanto quanto possono, invece, con quella desktop. Ecco perché le organizzazioni dovrebbero definire dei criteri di utilizzo accettabili per i dispositivi mobili, criteri utili a proteggere gli utenti da exploit Java, Flash e altri.
Proteggere ciò che è importante
Firstbrook consiglia alle aziende di smettere di concentrarsi sulla difesa dal malware mobile e di spostare le risorse sulle strategie di sicurezza dei dati e dei sistemi transazionali. Dal punto di vista strategico, ha detto l’esperto, le imprese dovrebbero trattare la sicurezza mobile alla stregua di quanto fanno le banche e le altre società finanziarie con la sicurezza in generale, ovvero adottando un approccio incentrato sulle transazioni ad alto valore e sulla comprensione che non si è mai in grado di proteggere ogni cosa.
Le imprese potranno sempre classificare i propri dati e sistemi transazionali in relazione alla loro sensibilità e valore: per esempio, Firstbrook sostiene che tutte le informazioni personali debbano obbligatoriamente essere crittografate. L’esperto evidenzia anche che la protezione dei gateway Web rappresenta un ottimo punto di partenza per le imprese che hanno bisogno di controllare il traffico dei dispositivi mobili per assicurarsi che nessun IP sensibile sia intrinsecamente debole e ha sottolineato l’importanza di estendere le policy aziendali di utilizzo di Internet anche a tutti i dispositivi mobili.
In definitiva però, Firstbrook sostiene che alcune tipologie di dati aziendali sensibili non debbano mai essere accessibili attraverso i dispositivi mobili e che ogni impresa debba valutare attentamente la propria propensione al rischio e decidere se i benefici della telefonia mobile superano la minaccia dell’eventuale perdita di questi dati.
“Trattate tutti i dispositivi mobili come sospetti e non fornite mai a questi device l’accesso ai dati che non possono permettersi di stare su queste piattaforme in modo sicuro – consiglia -. Bisogna essere realistici su ciò che si è in grado di proteggere. Bisogna concentrarsi sui dati e i sistemi transazionali critici e focalizzarsi anzitutto sulla loro protezione”, ha concluso.