SAN FRANCISCO – "Dalla notte dei tempi, l’uomo è spaventato dal buio. E lo è per una buona ragione: nel buio possiamo sentire i rumori e vedere le ombre, ma non possiamo conoscere davvero l’ambiente che ci circonda, non possiamo sapere se quei rumori e quelle ombre sono qualcosa di pericoloso”.
Con queste parole, Amit Yoran, Presidente di Rsa, apre l’Rsa Confernece 2015 di San Francisco, e avvolto nel buio, procedendo lentamente sul palcoscenico, spiega che è proprio questo il problema che ha chiunque oggi cerchi di difendere una infrastruttura digitale: dover avanzare come quando si è immersi nell’oscurità, a tentoni, inciampando in ostacoli che giungono inaspettati e rispetto ai quali non si riesce a definire contorni e contesto. Fuori metafora: i sistemi di sicurezza sono in grado di rilevare anomalie e potenziali minacce, ma non riescono a fornire all’It il quadro complessivo; diventa difficile dare il giusto valore ai segnali, capire quali sono i più preoccupanti, stabilire diversi gradi d’urgenza d’intervento. È a partire da questa premessa che Yoran descrive gli errori più comuni che si stanno commettendo e condensa in 5 punti la ricetta per una nuova, “illuminata”, sicurezza informatica.
Il “Medioevo” dell’Information Security
“La tecnologia ha accelerato la nostra società più fortemente di quanto avremmo mai potuto immaginare fino a qualche decade fa: sistemi con una capacità computazionale eccezionale, data store più vasti di quanto non riusciamo a concepire, e una velocità nelle comunicazioni che lascia sbalorditi”, spiega Yoran. È la portata di questa crescita che rende evidente e ormai sempre più pericolosa l’arretratezza dei sistemi di sicurezza; e i fatti evidenziano l’esistenza di questo gap: il 2014 è stato l’anno delle grandi violazioni, in cui anche le aziende più importanti con i sistemi di security più sofisticati non sono state in grado di fermare i criminali dal sottrarre informazioni personali e rubare somme altissime.
Esiste secondo Yoran un’ossessione irrazionale per i perimetri e per sistemi di monitoraggio preventivi. Non si tratta ovviamente di soluzioni da scartare, ma va riconosciuto almeno un loro forte limite: “Per poter riconoscere una minaccia devono averla già incontrata prima, e non sono quindi in grado di intercettare ciò che ‘di nuovo’ si trovano di fronte”.
5 regole per cambiare il modo di concepire la sicurezza
Qual è allora l’atteggiamento strategico giusto? Ecco i 5 suggerimenti individuati da Yoran e le tecnologie che possono dare risposta alle necessità che questi sollevano:
Primo: occorre smettere di credere che tecnologie, seppur avanzate, possano bastare. Un’impresa criminale trae enormi vantaggi dal cybercrime e la probabilità di rimanere impuniti è molto alta: la motivazione è dunque forte e si deve accettare il fatto che, al di là delle soluzioni adottate, si è inevitabilmente sempre sotto l’attacco di cecchini sempre più abili. Si tratta quindi di cambiare prima di tutto l’atteggiamento psicologico: accettare la propria vulnerabilità. Un’accettazione che si traduce, come ha sottolineato Bob Griffin, Chief Security Architect di Rsa, in un’attenzione maggiore per ciò che accade all’interno delle mura aziendali, e che permette di rispondere a una minaccia rilevata in modo pronto, rapido ed efficace, limitando al minimo i danni. In particolare rispetto a quest’ultimo punto, sul piano tecnologico Rsa Archer Security Operations Management (un software che consente alle aziende di coordinare persone, processi e tecnologia in modo da rispondere in maniera efficace e rapida a incidenti e casi di violazione dei dati) può essere un buon supporto tecnologico, ma solo se accompagnato dal cambio di mentalità sopra descritto.
Secondo: adottare un livello approfondito e pervasivo di reale visibilità ovunque. “Dobbiamo sapere – ha detto Yoran – cosa accade in tutta l’infrastruttura, dai terminali al cloud: quali sistemi stanno comunicando tra loro, se vi sono altri eventi connessi, qual è la loro durata, frequenza e volume e persino accedere al contenuto stesso. Sono ormai requisiti fondamentali di ogni programma di sicurezza moderno, senza i quali si sta solo fingendo di fare sicurezza”. Le forme tradizionali di visibilità sono unidimensionali, e producono solo istantanee incomplete degli incidenti; sono incapaci di ricostruire il disegno completo dei cybercriminali, la portata della “campagna globale” che si deve affrontare [gli attacchi sono infatti sempre più perpetrati colpendo la vittima su più fronti, e non con una singola azione – ndr]: “Il più grande errore commesso dai team di sicurezza oggi è sottovalutare gli incidenti e precipitarsi a ripulire i sistemi compromessi senza prima comprendere lo scopo e la reale portata della ‘campagna’ degli attacchi nella sua complessità”. Sul piano tecnologico, Rsa risponde a queste esigenze con la piattaforma Rsa Security Analytics: la release 10.5, presentata in occasione dell’evento di San Francisco, è arricchita con funzionalità pensate proprio per aiutare le aziende a estendere la protezione delle infrastrutture fino al livello del cloud, e offrire all’It una visibilità il più completa possibile. Secondo Rsa, i log sono utili e necessari ma da soli non sufficienti a identificare attacchi avanzati, e anche quando i sistemi Siem (Security Incident and Event Management), basati sui log, sono in grado di percepire i segnali di un simile attacco, non sanno combinarli per fornire agli analisti le informazioni utili a rispondere in modo veloce e mirato (viceversa, spesso travolgono l’It con grandi quantità di allarmi privi del contesto che permetterebbe di intraprendere le azioni più appropriate). La soluzione Rsa è progettata per aggregare i log con i dati provenienti dai pacchetti di rete, dagli endpoint e adesso anche dal cloud, per analizzare le informazioni contestualmente e quindi per suggerire come agire subito in modo mirato. La nuova release è stata anche integrata con Rsa Web Threat Detection, soluzione pensata per aiutare le aziende a difendere le proprie applicazioni Web e mobile; diventa così possibile correlare gli attacchi enterprise anche agli exploit inerenti queste applicazioni in modo da offrire all’It un quadro realmente completo.
Terzo. Dare importanza ai temi identità e autenticazione. “In un mondo senza perimetri, identità e autenticazione sono oggi temi più importanti che mai”, ha detto il Presidente di Rsa, che ha sottolineato come un’altissima percentuale di attacchi grazie a cui sono stati rubati dati sensibili abbia all’origine credenziali rubate. Impostare sistemi di autenticazione forti e analizzare sempre bene il comportamento degli utenti è dunque fondamentale. Tuttavia, poiché gli attacchi stanno diventando sempre più sofisticati e accorgersi di ciò che sta accadendo diventa quindi difficile. Daniel Cohen, Head of Business Development di Rsa, intervistato da ZeroUno, fa notare che non possiamo attribuire all’utente finale tutte le colpe: mentre ci si impegna sul fronte della formazione, la tecnologia mantiene un ruolo fondamentale e deve evolversi per aiutare segnalando minacce altrimenti irriconoscibili come tali. È proprio a questo scopo che viene proposta Rsa Via, soluzione di Smart Identity che vuole conciliare le esigenze di sicurezza con la necessità di favorire un accesso rapido e semplice a sistemi e dati come il business richiede. La soluzione centralizza le policy di accesso e la gestione dei profili in un unico sistema evitando che si creino silos legati alle singole applicazioni, automatizza i processi di gestione delle identità e affida questi ultimi direttamente ai business manager. La soluzione più recente all'interno della famiglia Rsa Via, l’applicazione Access, permette all’utente di accedere agilmente a tutte le proprie applicazioni – mobile, web e on premise – ovunque si trovi, da qualsiasi dispositivo anche mobile, e consente alle aziende, grazie all’approccio impostato sul cloud ibrido, di mantenere sempre il controllo sulla privacy e sulla sicurezza delle identità: anche per le applicazioni SaaS infatti, si fa in modo che le informazioni sensibili (le credenziali dell'utente) rimangano on-premise e che quindi i livelli di sicurezza si mantengano sempre alti. L’accesso all’utente è semplificato grazie a metodi di autenticazione evoluti (es. TouchID e One Time Passcode) e funzionalità Sso (single sign-on) per accedere facilmente tramite un’unica autenticazione a tutte le funzionalità alle quali si è abilitati.
Quarto. Adottare una “Threat intelligence” esterna dedicata all’analisi delle minacce. “Dovrebbe essere resa operativa in tutti i programmi di sicurezza – dice Yoran – e personalizzata a seconda degli asset e degli interessi dell'azienda in modo che gli analisti possano affrontare rapidamente le minacce più pericolose”. Come ha commentato Cohen: “Con i sistemi di sicurezza attuali posso guardare tante cose di quello che sta succedendo nei miei sistemi; ma è un mondo comunque molto chiuso. Ed è qui che l’intelligence gioca un ruolo fondamentale perché mi permette di capire quello che sta succedendo al di là della mia realtà, nell’intero ecosistema di cui la mia azienda fa parte”. Con questa finalità è stata creata Rsa Advanced Fraud Intelligence (Afi), che definisce i cluster di minaccia attraverso lo studio degli attacchi phishing e malware, identifica potenziali debolezze di processi e procedure esterne che vengono sfruttate o che potrebbero essere sfruttate dai truffatori e aiuta a identificare i criminali o i gruppi che li hanno realizzati. Il servizio attinge a varie fonti di intelligence tra cui i dati forensi relativi a centinaia di migliaia di attacchi online, quelli derivati dalla “Human Intelligence” (ovvero ottenuti per mezzo non di tecnologie ma di contatti interpersonali), e quelli ricavati dal monitoraggio dei forum on line usati nell’ambiente criminale.
Quinto: Capire cosa conta per il vostro business e ciò che è effettivamente mission critical. Una questione prima di tutto strategica, ma, come suggerisce Griffin, Rsa Archer eGRC Solutions – soluzione pensata tra le altre cose per la gestione del rischio e della compliance e per mettere in relazione minacce, incidenti, vulnerabilità e rischi con il contesto di business legato all’azienda – è certamente uno strumento che può aiutare il reparto It a disegnare e attuare questa strategia.
“Next generation”: una questione non solo tecnologica
Sul palcoscenico dell’Rsa Conference, Chris Hoff, Vice President & Security Cto di Rsa, non ha parlato di tecnologie di nuova generazione, ma, in tutt’altro senso, di “nuove generazioni”. Hoff ha diviso la scena con un bambino di 9 anni, Reuben Paul, noto come giovanissimo “esperto” di cyber security, Ceo di Prudent Games, una società legata al mondo della formazione in campo Sicurezza It. Scopo del gioco che li ha visti protagonisti, sfidandosi l’un l’altro, era di dimostrare l’abilità che contraddistingue le nuove generazioni native digitali e far riflettere su quello che avranno quindi il potere di fare nel futuro, “nel bene e nel male”. “Chi si occupa di sicurezza ha il dovere di coltivare le potenzialità di questi talenti per costruire quella nuova generazione che avrà un ruolo cruciale nella cyber war che ci attende”, ha detto Hoff.
Il contributo di questi “futuri manager” sarà fondamentale per costruire nel tempo quella nuova concezione di sicurezza informatica “illuminata” di cui si è qui parlato.