La network security continua a rappresentare la voce più importante sul totale degli investimenti in sicurezza It. E certamente farà la parte del leone anche nei prossimi anni, con cambiamenti nei trend di spesa a favore di tecnologie che consentono di implementare nuovi approcci alla security.
È quanto emerso dal recente report “Understand The State Of Network Security: 2012 To 2013” di Forrester, che, sulla base delle rilevazioni attuate lo scorso anno presso migliaia di decisori d’acquisto di It security in Usa ed Europa, fa il punto sullo stato attuale della network security, dando una previsione sugli sc enari futuri e fornendo alcuni preziosi consigli ai Cso.
Dallo studio emergono sia il peso preponderante della network security sul totale delle tecnologie e delle operazioni riguardanti la sicurezza (24% del budget complessivo), sia la consapevolezza che l’epoca della protezione di tipo prevalentemente perimetrale è finita, perché non più in grado di garantire un'adeguata tutela delle informazioni sensibili e delle proprietà intellettuali di un’organizzazione. E il motivo è da ricercare nella sempre minore chiarezza dei confini dei network aziendali, causata da fenomeni come cloud computing, mobility e Bring-your-own-device, nonché dai processi collaborativi nell’azienda estesa (impresa, partner, fornitori di servizi, clienti ecc.) sempre più basati su Internet. A tutto questo c’è da aggiungere un aumento di abusi – consapevoli o inconsapevoli – da parte di persone che lavorano all’interno dell’impresa o presso partner (ovvero, i cosiddetti “insider”).
Dalla periferia al cuore dei network
Il modello di network security finora adottato dalle imprese è “duro” verso l’esterno e “gommoso” all’interno. Il "guscio" rappresenta l'insieme di tutte quelle soluzioni di sicurezza perimetrale che creano una barriera contro le minacce provenienti dall'esterno, mentre, all'interno del muro, in quell'ambiente che erroneamente viene percepito come sicuro, gli asset aziendali rimangono di per sé vulnerabili, sguarniti di qualsiasi altra protezione se non, appunto, lo "scudo" creato attorno ai confini aziendali. L’approccio proposto da Forrester con la Zero Trust Network Architecture sostituisce il concetto che le reti esterne sono inaffidabili e quelle interne affidabili con uno di tipo “data-centric”, perché alla fine è il dato l’unico elemento che rimane costante in un ecosistema It sempre più imprevedibile e incontrollabile. Quindi, al posto di una progettazione della sicurezza che parte dall’esterno e va verso l’interno (“outside-in”), il modello di Forrester prevede un design di tipo “inside-out”, che costruisce l’architettura di sicurezza intorno al dato, impedendo in modo più efficace, per esempio, la diffusione di malware o la sottrazione di informazioni confidenziali. In sintesi, se per consuetudine si tende a creare una "barricata" per tenere fuori i pericoli e derivare così la sicurezza dei sistemi interni, con la Zero Trust Network Architecture non si fa più alcun affidamento sulle tradizionali tecnologie di protezione e sull'attendibilità stessa delle risorse interne, ma ogni singolo asset viene tutelato contro le minacce infiltrate (ovvero tutti malware che sono riusciti a penetrare il firewall) e contro gli insider, ovvero i dipendenti che volontariamente o inconsapevolmente minacciano la riservatezza e l'integrità dei dati.
Questo paradigma promette di cambiare, nel medio e lungo termine, la realtà dei Security operation center (Soc), che oggi sono in pratica sale in cui alcuni tecnici devono tenere costantemente sotto controllo diverse console collegate ad altrettanti sistemi di sicurezza. I Soc 2.0, come li definisce Forrester, si basano invece su strumenti di analisi e investigazione in buona parte automatizzati, sono gestibili da console unificate e impostati per inviare alert e altre informazioni di supporto alle persone giuste nel momento giusto, utilizzando anche dispositivi mobile. Di conseguenza, i Soc 2.0 tendono a essere meno onerosi per le aziende e a essere più virtuali. In pratica si attivano on demand soprattutto per la condivisione di informazioni e la presa di decisioni da parte di diversi profili professionali della sicurezza. Già oggi, sostiene il report di Forrester, gli investimenti in network security vanno sempre più concentrandosi su tecnologie in grado di alleggerire, o addirittura rendere non più necessaria, l’attività dei Soc. La società di analisi si riferisce, in particolare, a tecnologie quali gli Intrusion prevention system (Ips) in-line, i Web application firewall (Waf), i sistemi di intrusion detection/prevention wireless e i firewall di nuova generazione. Secondo un sondaggio Forrester del 2012, il 22% degli intervistati prevedeva di adottare o implementare Ips nei successivi dodici mesi, mentre una percentuale del 29% indicava gli stessi piani riguardo a soluzioni di wireless security.
L’era del Security Architect
Secondo gli analisti della società americana, i responsabili della sicurezza It si trovano oggi in una fase di transizione da una situazione di cosiddetto “business as usual” a un futuro caratterizzato dallo sviluppo dei Zero Trust Network e dei Soc 2.0. Uno scenario più adeguato a rispondere all’evoluzione delle minacce e dei rischi e che richiede strumenti dotati di innovative funzionalità di intelligence (mutuate anche dal mondo dei Big Data) e una visione non solo perimetrale, ma data-centrica della sicurezza. Oltre a focalizzarsi sui cambiamenti tecnologici, Forrester punta l’attenzione sull’emergere della figura del Security architect (Sa), una figura in grado di analizzare le implicazioni di sicurezza nelle nuove iniziative di business e di collaborare con le altre funzioni aziendali per aumentare la competitività con il minor rischio per gli asset aziendali.
Le tecnologie emergenti cui fa riferimento l’analista, e che rappresentano le pietre angolari anche degli Zero Trust Network e dei Soc 2.0, sono quelle di Network analysis and visibility (Nav) e di Security information management (Sim). Sempre secondo la survey condotta da Forrester, il 17% delle aziende ha pianificato entro breve tempo l’acquisto o l’estensione di Nav, mentre il 15% conta di fare lo stesso con i Sim. L'analista fa notare come i Sim rappresentino ancora una categoria di sistemi sottovalutati dalle imprese fino al momento in cui non emerge chiaramente la propria utilità. In particolare, si rileva che a spingere le aziende a investire nel security information management sia prima di tutto la necessità di investigare su incidenti già avvenuti, seguita da obiettivi di compliance e reporting e dall’opportunità sia di effettuare event correlation e log management sia di dimostrare l’efficacia dei programmi di sicurezza.
Responsabili del proprio business
I compiti del gruppo It security continueranno ad avere un peso predominante nell’ambito delle attività e dei programmi di un’impresa finalizzati a proteggere gli asset più importanti (fra i quali oggi Forrester mette al primo posto – davanti agli stessi dati dei clienti – le proprietà intellettuali). Lo dimostrano, evidenzia la società di analisi, gli ambiti di cui questa comunità è ritenuta principalmente responsabile. Se alcune attività di sicurezza – come per esempio il fraud management – chiamano in campo soprattutto altre professionalità presenti nelle imprese, la maggior parte impegnano in maniera diretta l’It security group. Tra queste, gli intervistati dell'indagine di Forrester segnalano al primo posto il Threat and vulnerability management, ovvero l’insieme di analisi e di azioni necessarie per contrastare il rischio che soggetti malintenzionati possano aprire brecce nei sistemi aziendali, data la crescente accessibilità delle applicazioni business dal web o da diversi tipi di device. Fra le altre responsabilità più dirette figurano quindi la sicurezza dei dati e la protezione delle infrastrutture di rete e degli endpoint. Si tratta, quindi, di attività cruciali che richiedono la capacità di confrontarsi con cambiamenti rilevanti della natura, della provenienza e del modo di operare delle minacce. Aspetti che, a differenza del passato, non sono riassumibili in pochi e prevedibili comportamenti, ma che possono manifestarsi in modo differente anche in funzione della singola azienda. Per questa ragione, Forrester consiglia di considerare i dati relativi alle iniziative e agli investimenti in network security delle altre aziende solo come “benchmark” da cui partire per sviluppare programmi tagliati su misura della propria realtà e dimensione.