View
11
Download
0
Embed Size (px)
Citation preview
IN COLLABORAZIONE CON
HP ENTERPRISE SECURITY PRODUCTS
ICT Security per le nuove
esigenze di business
L'evoluzione dei modelli di protezione e
le soluzioni di HP Enterprise Security Products
Riccardo Florio
Gaetano Di Blasio - Giuseppe Saccardi
Avvertenze
Pubblicato nel 2015 Tutti i marchi contenuti in questo libro sono registrati e di proprietà delle relative società. Tutti i diritti sono riservati. Va notato che le informazioni contenute possono cambiare senza preavviso; le informazioni contenute sono reputate essere corrette e affidabili anche se non sono garantite. La descrizione delle tecnologie non implica un suggerimento all’uso dell’una o dell’altra così come il parere espresso su alcuni argomenti da parte di Reportec è puramente personale. La vastità dell’argomento affrontato e la sua rapida evoluzione possono avere portato a inaccuratezze di cui Reportec non si ritiene responsabile, pur avendo espletato i possibili controlli sulla correttezza delle informazioni medesime; il libro non rappresenta una presa di posizione a favore di una o l’altra delle tecnologie, standard o prodotti ivi riportati né garantisce che le architetture, apparati, prodotti hardware e software siano stati personalmente verificati nelle funzionalità espresse; le descrizioni delle architetture, delle piattaforme, dei servizi e dei dati aziendali sono stati elaborati in base alle informazioni fornite dalle aziende, con le quali gli stessi sono stati analizzati e ridiscussi.
Copyright Reportec – 2015
www.reportec.it
I
SOMMARIO
1 -L'EVOLUZIONE DELLA SICUREZZA AZIENDALE .............................. 1
Un approccio concreto alla sicurezza .............................................. 2
Il costo di una violazione alla sicurezza dei dati ............................... 6
Mobility, cloud e social cancellano i confini delle imprese ............. 11
I rischi di un mondo mobile ........................................................ 14
Minacce dal Web e protezione dei dati .......................................... 16
Il Phishing .................................................................................... 20
Lo spear phishing ........................................................................ 22
Il social engineering .................................................................... 24
Il furto di identità ........................................................................ 28
L'Internet of Things ..................................................................... 28
2 -LA SICUREZZA ENTERPRISE DI HP .............................................. 31
HP Enterprise Security Products ................................................... 32
Risorse e iniziative per aumentare la sicurezza aziendale .............. 33
HP DVLabs ....................................................................................... 33
HP Security Research ...................................................................... 34
HP TippingPoint ThreatLinQ ........................................................... 35
HP Threat Central ........................................................................... 36
Zero-Day Initiative .......................................................................... 37
HP Reputation Security Monitor (RepSM) ...................................... 37
HP TippingPoint Web AppDV .......................................................... 39
Digital Vaccine Toolkit (DVToolkit) ................................................. 39
Threat Digital Vaccine (ThreatDV) .................................................. 39
3 -LA NETWORK SECURITY ........................................................... 41
La sicurezza delle reti ................................................................... 42
L'evoluzione della network security ................................................ 43
Le Virtual Private Network (VPN) ................................................... 46
L’architettura IPsec ..................................................................... 47
II
Rispondere alle minacce in tempo reale ......................................... 48
Controllare chi o cosa vuole entrare nella rete: i rischi degli endpoint .. 50
Gli attacchi DDoS (Distributed Denial of Service) ........................... 51
Le vulnerabilità dei sistemi SCADA.................................................. 52
Verso i firewall e IPS di prossima generazione .............................. 54
Le ragioni per adottare un NGFW/NGIPS ....................................... 55
HP TippingPoint Next Generation Firewall (NGFW) ....................... 57
HP TippingPoint Next Generation Firewall S1050F ......................... 59
HP TippingPoint Next Generation Firewall S3010F/S3020F ........... 59
HP TippingPoint Next Generation Firewall S8005F/S8010F ........... 60
HP TippingPoint Security Management System ............................ 61
HP TippingPoint Next Generation IPS ........................................... 63
HP TippingPoint IPS Serie NX ........................................................ 65
HP TippingPoint IPS Serie N ............................................................ 66
HP TippingPoint Core Controller ............................................... 67
HP TippingPoint CloudArmour ........................................................ 68
HP TippingPoint SSL ........................................................................ 70
HP TippingPoint Advanced Threat Appliance (ATA) ....................... 70
4 -LA SICUREZZA DELLE APPLICAZIONI .......................................... 73
Una protezione multilivello .......................................................... 74
Design sicuro e vulnerability patching ............................................ 75
L'analisi del traffico applicativo .................................................... 77
Applicazioni e RASP ......................................................................... 79
Runtime Application Self Protection ............................................... 80
Web Application Firewall e Interactive Application Security Testing..... 82
HP Application Defender .............................................................. 84
Le soluzioni HP Fortify per un codice sicuro .................................. 87
HP Fortify Software Security Center ............................................... 88
HP Fortify Runtime .......................................................................... 90
HP Fortify Static Code Analyzer ...................................................... 91
HP Audit Workbench ................................................................... 93
III
HP WebInspect ................................................................................ 93
HP WebInspect Enterprise .......................................................... 94
HP WebInspect Real-Time .......................................................... 95
HP QAInspect .................................................................................. 95
HP Fortify on Demand: sicurezza applicativa come servizio cloud . 95
Analisi di sicurezza statica ........................................................... 97
Analisi di sicurezza dinamica ....................................................... 97
Analisi delle applicazioni mobile ................................................. 98
Test delle applicazioni in produzione .......................................... 99
Fortify Vendor Software Management (VSM) .............................. 100
Il servizio HP Digital Discovery ...................................................... 100
5 -SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI ........... 103
L’approccio gestionale alla sicurezza dei dati .............................. 104
Le 3A della sicurezza ..................................................................... 105
Implementare un sistema di autenticazione ................................ 105
L’identity management ................................................................. 108
La Data Loss Prevention ............................................................. 111
Rivedere i processi e coinvolgere i dipendenti .............................. 113
La sicurezza nell'era dell'as-a-service e del cloud........................ 114
Sicurezza negli ambienti private e public cloud ............................ 115
La sicurezza delle applicazioni eseguite nel cloud ........................ 117
Scegliere il cloud security service provider.................................... 119
La protezione crittografica dei dati ............................................. 121
Il sistema di crittografia simmetrico o a chiave condivisa ........... 123
Il sistema di crittografia asimmetrico o a chiave pubblica .......... 124
Una protezione che si sposta nel cloud insieme al dato ............... 125
Crittografia e cloud ....................................................................... 126
La protezione Atalla dei dati nel cloud ........................................ 128
HP Atalla Cloud Encryption ........................................................... 128
Come funziona HP Atalla Cloud Encryption .............................. 128
HP Atalla Cloud Encryption Virtual Key Management Service ..... 130
La cifratura a chiave divisa ........................................................... 131
IV
Tecnologia omomorfica per proteggere le chiavi in uso .................... 133
HP Atalla Cloud Encryption Agent ................................................ 133
Le opzioni di offerta di HP Atalla Cloud Encryption ...................... 134
HP Atalla Information Protection and Control ............................ 135
HP Atalla IPC Suite ........................................................................ 136
HP Atalla IPC Bridge per i servizi di analisi dei contenuti.............. 136
HP Atalla IPC Scanner ................................................................... 136
Servizio di compliance HP Atalla IPC per Exchange ...................... 136
HP Atalla IPC AD RMS extensions for Outlook .............................. 137
HP Atalla IPC Mobile Support for Microsoft AD RMS ................... 137
Le soluzioni Atalla per la sicurezza dei pagamenti ....................... 137
HP Atalla Network Security Processor (NSP) ................................ 137
HP Enterprise Secure Key Manager (ESKM) .................................. 139
6 -LA SECURITY INTELLIGENCE .................................................... 141
La sofisticatezza degli attacchi .................................................... 142
Le Advanced Persistent Threat (APT) ............................................ 144
I SIEM "intelligenti" ................................................................... 149
Progettazione ed "enforcement" delle policy ............................... 153
Le soluzioni HP ArcSight ............................................................. 155
HP ArcSight ESM ........................................................................... 156
HP ArcSight Command Center .................................................. 157
HP ArcSight Express ...................................................................... 158
HP ArcSight Logger ....................................................................... 159
HP ArcSight IdentityView .............................................................. 161
HP ArcSight Threat Detector ......................................................... 161
HP ArcSight Application View ....................................................... 162
HP ArcSight Risk Insight ................................................................ 164
HP ArcSight Management Center ................................................. 165
HP ArcSight Threat Response Manager ........................................ 165
CONCLUSIONI ............................................................................ 167
V
VI
1
L'EVOLUZIONE DELLA SICUREZZA
AZIENDALE
Sfruttare le opportunità di Internet e delle nuove
tecnologie, dalla mobility al cloud, dai big data al
machine to machine, mantenendo la conformità a
leggi e normative sulla protezione dei dati e sulla
salvaguardia della privacy.
1
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
2
Un approccio concreto alla sicurezza
La totale sicurezza informatica non è un obiettivo raggiungibile. In
altre parole, tutti devono aspettarsi di subire una violazione alla
sicurezza. Non tutti sono d'accordo, in particolare, sono tipicamente
certi del contrario coloro i quali hanno inventato l'ultimo
sofisticatissimo sistema per la protezione dei dati.
Ma per quanto possa essere potente quest'ultimo o la sua prossima
generazione, resta valida la teoria dei sistemi, per cui il livello di
sicurezza è pari a quello del suo elemento più debole. In tutte le
aziende questo è rappresentato dal fattore umano.
Ogni nuova ricerca che indaga le cause primarie degli incidenti alla
sicurezza aziendale indica l'errore del dipendente al primo posto. Può
essere un errore dovuto all'ingenuità del suo comportamento, come
l'aver cliccato su una mail palesemente falsa, l'attaccare un post-it
con la password sul monitor, oppure un errore dovuto a una
casualità, come l'aver spedito un file confidenziale alla persona
sbagliata o, ancora, l'aver perso un dispositivo mobile su cui c'erano
dati importanti.
La stragrande maggioranza (tra l'85% e il 95%, in base alle ricerche
pubblicate più di recente) dei più clamorosi incidenti verificatisi negli
ultimi due anni sono dovuti a errori di questo tipo.
Peraltro, può anche trattarsi di un comportamento volutamente
doloso, come nel famoso caso avvenuto in Formula 1 alcuni anni
orsono, quando un dipendente della Ferrari consegnò dei progetti al
concorrente McLaren.
Se, dunque, si deve mettere in conto di incorrere in un incidente, non
è però detto, che tale incidente debba avere conseguenze
drammatiche per l'impresa vittima dell'attacco informatico. Intanto,
si può ridurre il più possibile l'esposizione all'attacco, renderlo cioè
più difficile e, in secondo luogo, si possono attivare sistemi di
protezione dinamici che contrastano l'attacco in corso per bloccarlo.
Infine, si devono impostare sistemi di analisi forense, per
comprendere fino in fondo l'accaduto ed evitare che si ripeta.
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
3
Dato per assodato che la sicurezza assoluta non esiste, una corretta
strategia per l’enterprise security prevede un processo ciclico che
alterna: vulnerability assessment, analisi del rischio, definizione di un
piano di contenimento del rischio, realizzazione di tale piano. Le
tecnologie che andranno implementate sono di volta in volta
dipendenti dalle condizioni al contorno, oltre che dalle esigenze delle
specifiche imprese.
Il problema è tipicamente fare i conti con il budget a disposizione,
che troppo spesso risulta insufficiente a realizzare il sistema di
sicurezza idealmente definito dal piano. Del resto, i costi per
quest’ultimo continuano a lievitare, mentre i budget IT si
contraggono drasticamente ed è sempre più difficile giustificare
spese senza presentare un valore previsto di ROI (Return On
Investment). Ma se è già difficile calcolare il ritorno di un
investimento infrastrutturale, qual è tipicamente quello in
Information e Communication Technology, come è possibile
quantificare il valore di una soluzione di sicurezza, quando, se tutto
va bene, non succede niente?
La risposta è in realtà banale nella forma, un po’ meno nella pratica.
Chiaramente il problema se lo sono già posto i vendor del settore che
da sempre hanno trovato le loro difficoltà a vendere i sistemi di
protezione contro qualcosa di impalpabile come le minacce Internet.
Come si accennava precedentemente, il valore di un sistema di
sicurezza deve essere correlato al livello di rischio accettabile per
un’impresa. Dove per rischio s’intende il danno economico che si
avrebbe in caso di un attacco andato a buon fine, di un disservizio
totale o parziale e così via. Il primo passo da compiere per il calcolo
del ROI coincide con quello che è necessario per definire che sistema
di sicurezza implementare: effettuare un’analisi delle vulnerabilità cui
è esposta l’azienda e del livello di rischio relativo.
Non si tratta di un’operazione banale, tanto che è codificata in precisi
standard ISO, meglio noti con la sigla BS7799. Per effettuare tale
operazione è bene affidarsi a una società indipendente, ovviamente
dotata delle opportune certificazioni, poiché non di rado in questa
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
4
fase si fanno vere e proprie scoperte: per esempio, applicazioni o
servizi ritenuti poco importanti, se confrontati con l’impatto reale sul
business, possono risultare molto più critici di quanto pensato fino a
quel momento.
Condotta con tutti i crismi, tale analisi produce una documentazione
oggettiva che, ricordando che questa fase deve essere ciclicamente
ripercorsa, sarà molto utile per valutazioni successive.
Per valutare il rischio correttamente, quindi correlando alle
dinamiche e logiche di business, è necessario coinvolgere il
management aziendale a vari livelli.
Questo è il principale vantaggio di tutta l’operazione, nonché la vera
chiave di volta per il calcolo del ROI. Infatti, costretti a riflettere sulle
ripercussioni di un attacco informatico, i manager svilupperanno
quella sensibilità verso i temi della sicurezza che per anni è stata il
cruccio degli addetti ai lavori.
Il risk assessment, inoltre, produce un numero, cioè il valore del
danno che si potrebbe creare in funzione del grado di vulnerabilità
reale determinato dall’attuale sistema di sicurezza. Un dato
facilmente comprensibile anche dal consiglio di amministrazione,
tanto più quando è certificato da una società indipendente.
Una volta stabilito quale deve essere il piano di contenimento del
rischio, quindi quali misure devono essere implementate per ridurre
le vulnerabilità e aumentare il grado di protezione, è necessario
realizzare un security plan dettagliato.
Questo deve considerare l’evoluzione nel tempo e conteggiare il TCO
(Total Cost of Ownership) di tutte le soluzioni.
È importante osservare che in molti casi il prezzo di acquisto di un
prodotto è solo il primo elemento di spesa: in ambito sicurezza, non
vanno trascurati i costi dei servizi di aggiornamento, senza i quali le
soluzioni diventano presto (praticamente immediatamente) obsolete
e inutili. Un piano della sicurezza ben dettagliato è utile per
confrontarlo con un modello del rischio. Mettendo in una sorta di
matrice la spesa necessaria per “tappare una potenziale falla” e il
rischio economico che la “falla” lasciata aperta potrebbe causare
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
5
(eventualmente ipotizzando più eventi correlati a tale vulnerabilità
trascurata), si ottiene uno strumento di immediato raffronto.
All’atto pratico, una soluzione di sicurezza deve raggiungere almeno
uno dei seguenti obiettivi per poter dimostrare di avere un ROI
sostenibile: ridurre i costi correnti, ridurre i costi futuri, ridurre il
rischio finanziario, aumentare la produttività, aumentare il fatturato.
Rappresentazione grafica degli investimenti in sicurezza
Molto spesso ci sono benefici intangibili che è difficile calcolare, ma è
bene non esagerare nel cercare di aumentare il valore del sistema di
sicurezza al solo fine di convincere il management a investire. Anche
perché importanti argomenti sono stati forniti dal Testo Unico sulla
privacy, che, unitamente alle precedenti disposizioni legislative, sta
imponendo l’adozione di misure minime, spingendo molte aziende a
effettuare analisi di vulnerability assessment con ottimi risultati di
sensibilizzazione.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
6
Il costo di una violazione alla sicurezza dei dati
Chiaramente, ridurre l'esposizione ha un costo e ciascuna impresa
deve valutare qual è il livello d'investimento più adeguato alle proprie
esigenze e a proteggere il proprio business.
Può sembrare assurdo, ma nella maggior parte delle aziende non si
ha alcuna idea di quali siano le strategie più opportune. La sicurezza è
introdotta in azienda solo per rispettare la legge sulla Privacy. Si
spende per la sicurezza fisica, senza rendersi conto che gli asset sono
ormai perlopiù immateriali.
Per proteggere il patrimonio economico delle imprese o le
infrastrutture critiche dello Stato, sono state promulgate normative
sempre più stringenti in tema di sicurezza dei dati: ingannevolmente
catalogate come "privacy", tali normative non servono a proteggere
la riservatezza di chi si mette già a nudo sui social network, ma
forniscono, soprattutto alle imprese, un'indicazione e direttive
sull'importanza di proteggere i proprio asset, brevetti compresi, che
nel terzo millennio sono appunto digitali.
La compliance alle normative è però vista quasi esclusivamente come
un obbligo dalle imprese, che non affrontano il problema con
un'adeguata strategia, non avendo la certezza di essere realmente
protette.
L'opera di sensibilizzazione da parte del Garante della Privacy e, più
recentemente, dell'Agenzia per il Digitale, hanno certamente reso le
imprese più consapevoli "dell'insicurezza" nella quale si trovano a
operare, ma manca ancora una reale conoscenza del fenomeno e,
soprattutto, manca una cultura della sicurezza in azienda.
Lo dimostra, per esempio, il Rapporto 2014 del Clusit, nota
associazione di professionisti della sicurezza nata in seno
all'Università Statale di Milano. Gli esperti del Clusit hanno
classificato i principali incidenti pubblici verificatisi su scala mondiale
negli ultimi tre anni, rilevandone una percentuale estremamente
bassa in Italia (3%). Un dato eccessivamente discostato dalla media
internazionale. Perché per gli italiani vale sempre il proverbio: " I
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
7
panni sporchi vanno lavati in famiglia". In altre parole, non c'è
condivisione delle informazioni sugli attacchi di sicurezza. Una sorta
di "omertà" che, pur comprendendo i timori in termini di immagine,
risulta invece controproducente per le stesse imprese, penalizzando
l'opera di prevenzione.
L'importanza della condivisione è sottolineata sia dal recentemente
istituito CERT italiano, che a fine 2013 ha annunciato il "Piano per la
protezione cibernetica e la sicurezza informatica", sia dall'Unione
Europea, che ha costituito la Piattaforma europea su Network e
Information Security (NIS).
I suddetti timori sono poi infondati, perché è comunque possibile
mettere a disposizione le informazioni in maniera anonima. Sempre il
Rapporto Clusit riporta infatti i dati provenienti dal monitoraggio
della rete di Fastweb, che mostrano uno scenario preoccupante: la
sicurezza delle aziende italiane continua a scendere, pure a fronte di
un incremento o mantenimento dei budget e mentre cresce il
mercato della sicurezza informatica e continua a registrarsi una
richiesta di figure professionali in quest'ambito superiore alla
disponibilità.
Ripartizione del costo di una violazione in 6 macro voci (Fonte: Ponemon Institute)
A determinare questa paradossale situazione contribuisce in massima
parte l'incapacità da parte della classe dirigente di comprendere il
costo per l'azienda della perdita di un dato. Intanto, il dato non viene
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
8
"rubato" ma copiato. A essere compromessa è la sua riservatezza e
buona parte del costo dipende dall'utilizzo che il cyber criminale può
farne. Per esempio, l'anno scorso un'azienda d'abbigliamento italiana
ha subito un furto di dati, ma se ne è accorta solo mesi dopo, quando
in alcuni negozi cinesi sono stati messi in vendita capi uguali ai
bozzetti della nuova collezione.
Questa non è neanche classificabile come contraffazione, ma si
somma a questa nel conto economico negativo. Inoltre, una
violazione dei dati può comportare un danno enorme per l'impresa
che la subisce, e va ben oltre gli aspetti finanziari. In gioco ci sono
infatti la fidelizzazione dei clienti e la reputazione del marchio. Per
esempio, un incidente di sicurezza per una banca mette certamente
in discussione il rapporto di fiducia che è alla base della relazione con
la clientela.
Ancora troppi imprenditori e dirigenti hanno bisogno di comprendere
in quali modi i dati aziendali possono essere compromessi e come ciò
possa pregiudicare l'attività della loro impresa. Si tratta di un aspetto
fondamentale, perché senza questa comprensione e senza stimare il
valore da assegnare ai dati, non è possibile calcolare quale budget e
quali azioni sia adeguato riservare alle risorse per la prevenzione, il
rilevamento e la risoluzione di un incidente.
Rapporto tra costo degli attacchi e numero di giorni occorsi per la remediation (Fonte: Ponemon Institute)
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
9
Queste sono tutte fasi importanti, anche perché, come hanno
mostrato gli analisti del Ponemon Institute nel loro studio "2014
Global Report on the Cost of Cyber Crime", il rapporto tra costo e
tempo occorso per rimediare al danno è ovviamente proporzionale.
In altre parole, tornando al rapporto del Clusit, non comprendendo il
fenomeno e l'importanza della sicurezza, rapportata ai propri dati, si
rischia di investire tanto, poco o troppo poco e, soprattutto, nella
direzione sbagliata.
Ci sono procedure che aiutano le imprese a effettuare un'analisi del
rischio e a valutare il valore del dato, però non può essere il
responsabile della sicurezza informatica a effettuare queste
valutazioni, ma è necessario che siano coinvolti i business manager,
che possono assegnare un costo alla perdita di ciascun dato. Per
questo è importante che il responsabile della sicurezza possa contare
sulla collaborazione di tutti i dirigenti aziendali.
Prima di investire il budget per la sicurezza in maniera sbagliata, è
opportuno valutare una soluzione che possa identificare le
vulnerabilità della sicurezza nell'ambiente ICT aziendale, arrivando a
supportare le imprese nel determinare una roadmap delle attività, in
modo da prevenire la violazione dei dati e la compromissione della
rete.
Secondo il "2014 Global Report on the Cost of Cyber Crime"
realizzato annualmente dal Ponemon Institute a livello internazionale
e sponsorizzato da HP, la media annuale dei costi dovuti agli attacchi
subiti dalle imprese nel 2014 è risultata pari a 7,6 milioni di dollari,
con un range però abbastanza ampio che va da 0,5 ai 61 milioni. Nel
2013 il costo medio era risultato pari a 7,2 milioni. Obiettivamente il
range appare molto ampio, anche perché c'è da considerare un picco,
rappresentato da una singola azienda che da sola ha denunciato un
costo di 61 milioni. Se viene esclusa dal calcolo, la media si abbassa di
circa 0,25 milioni, che non è poco. Se poi le aziende sbilanciate verso
il valore massimo sono più di una il costo per le altre si abbassa
ulteriormente. In ogni caso si tratta di costi da affrontare che danno
obiettivamente da pensare.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
10
Un altro dato interessante è che i costi variano rispetto alla scala
delle imprese considerate. In particolare, l'indagine ha riguardano
257 imprese di grandi o medio grandi dimensioni (numero medio di
postazioni circa 8000) in sette nazioni: Usa, Australia, Giappone,
Russia, Francia, Germania e il Regno Unito. È risultato che minore è il
numero di postazioni da proteggere, maggiore è il costo per
postazione che si è dovuto sostenere per rimediare agli attacchi
subiti. Non è solo un fattore matematico, ma anche una conseguenza
della quantità di attacchi. La ricerca, infatti, mostra che i settori più
colpiti sono energia e utility, finanziario, tecnologia.
Costo medio annuo degli attacchi subiti per settore (dati espressi in milioni di dollari – fonte Ponemon Institute)
Un approccio orientato al costo della violazione e alla gestione del
rischio, permette di valorizzare la sicurezza, inserendola tra gli
elementi abilitatori del business. In altre parole, significa riconoscere
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
11
che la sicurezza informatica contribuisce ai ricavi. Questo deve essere
chiaro non solo nel caso delle transazioni finanziarie, ma in tutti i
processi di business, come nell'esempio prima riportato riguardante
l'azienda di abbigliamento.
Mobility, cloud e social cancellano i confini delle
imprese
Diversi fattori hanno contribuito a cambiare il punto di vista e a
considerare la sicurezza un vantaggio e, in taluni casi, un motore per
il business. Il primo, dal punto di vista cronologico, di questi fattori è
la mobility, cioè l’insieme di opportunità derivanti dall’utilizzo di
strumenti wireless e dall’accesso alle risorse IT aziendali da remoto e
in mobilità. L’utilizzo sempre più diffuso della posta elettronica
mobile, in particolare, ha spinto molte aziende ad attivare una serie
aggiuntiva di servizi usufruibili via cellulare o smartphone, a partire
da società di telecomunicazioni e banche. È evidente che attività del
genere presentano un prerequisito imprescindibile di sicurezza, per
garantire la riservatezza delle transazioni, di qualunque natura esse
siano.
Lo sviluppo di Internet, con il fenomeno del cosiddetto Web 2.0
consolidatosi nei social network e con l'always on, cioè la continua
disponibilità di una connessione, ha permesso la diffusione di
tecnologie vecchie e nuove. Vecchie, come la videoconferenza,
esplosa dopo la definizione di standard per la compressione e la
trasmissione ottimizzata su IP, che la rendono efficace, economica e,
soprattutto, semplice. Nuove come molto di quello che sta nascendo
in cloud.
Pure dirompente è il fenomeno della cosiddetta "consumerization",
tradotta in "consumerizzazione". In sintesi, si tratta dell'ingresso in
azienda di tecnologie nate per il mondo consumer e, pertanto, non
progettate con i requisiti tipici di affidabilità e sicurezza delle
soluzioni di classe enterprise. Ma le problematiche connesse a tale
fenomeno vanno ben oltre gli aspetti prettamente tecnologici e,
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
12
riguardando direttamente aspetti sociali, coinvolgendo
l'organizzazione del lavoro e i processi di business.
Tutto è cominciato con il "boom" del social software o delle
applicazioni di social networking accessibili via Web. Sono sempre di
più gli studi che testimoniano come, perlomeno in taluni ambiti
funzionali (come il marketing) o settori industriali (anche, ma non
solo, quelli dedicati al consumer), l’utilizzo oculato di Facebook,
Twitter, YouTube o altri strumenti analoghi, può essere utile per il
business aziendale, non solo in termini di immagine. In ogni caso,
esiste una spinta costante all’utilizzo di tali strumenti da parte dei
dipendenti che già hanno account personali su tali siti. Si sono, al
riguardo, anche verificati casi spiacevoli, con informazioni divulgate
ingenuamente attraverso questi canali o, più banalmente, a causa di
commenti sui colleghi postati online.
Sul Web, però, gli strumenti utili non si limitano al social software: le
migliaia di applicazioni disponibili per smartphone e tablet sono
diventate uno strumento irrinunciabile per milioni di persone che le
usano per organizzare le proprie attività nel tempo libero, più che per
divertimento.
Per tali individui, diventa naturale usare le loro "app" anche nel
lavoro e farlo attraverso il loro dispositivo personale, cui sono
abituati e che si sono scelti. Si è sviluppato così il meccanismo del
BYOD (Bring Your Own Device): le aziende concedono ai dipendenti di
usare per lavoro i loro dispositivi personali, non solo quelli mobili. Ciò
genera grandi rischi per la sicurezza dei dati, nonché la perdita di
controllo sugli strumenti di lavoro da parte dell'azienda. D'altro
canto, genera effetti benefici altrettanto potenti, per esempio, in
termini di soddisfazione del dipendente e di produttività.
Più in generale, l’estensione in rete dell’azienda, il successo di
Internet, intranet ed extranet hanno favorito lo sviluppo di soluzioni
e strumenti informatici, sia hardware sia software, che rispondono a
esigenze di protezione differenti dal passato. Un mondo quindi
completamente nuovo che coglie impreparate molte aziende, ma per
il quale ci si può e si deve organizzare, anche perché le minacce
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
13
hanno cambiato forma e obiettivi: il mondo virtuale della Rete sta
diventando sempre più simile a quello reale, solo un po’ più “cattivo”,
perché più distaccato.
Teoricamente, l’unico sistema completamente sicuro è quello
totalmente isolato dal resto del mondo. Evidentemente, non può
essere un sistema aziendale, che altrimenti risulterebbe asfittico.
Certamente, se si pensa comunque al mondo informatico di qualche
anno fa, ci si potrebbe chiedere quali sono le ragioni che portano ad
aprire l’azienda verso l’esterno e, quindi, che obbligano
all’introduzione di un più o meno accurato sistema di sicurezza. Se si
guarda, invece, alle potenzialità fornite dall’IT, ma anche dalla
consumer electronic, con gli smartphone in testa, è evidente che le
aziende conviene aprirle, come, del resto sta accadendo.
Si moltiplicano, infatti, le reti di imprese, come pure si spinge alla
realizzazione dei distretti. Ci sono poi situazioni anche più complicate,
come nelle nuove forme di collaborazione, per esempio la cosiddetta
“coopetition”, misto tra cooperazione e competizione, tipica
dell’industria automobilistica.
Qui, case concorrenti si alleano e uniscono, magari
temporaneamente, gruppi di lavoro per sviluppare componenti
comuni (telai, motori o altro), in modo da attivare sinergie sulla
produzione, mantenendo la possibilità di differenziare i prodotti
finali. Si ottengono risparmi e si innalza l’innovazione.
Si incide su fatturato e costi, ma il presupposto è la sicurezza dei dati,
affinché si possa aprire l'azienda a queste formule che rispondono
alla crisi, alle necessità di aumentare la massa critica e alla
globalizzazione.
Di fatto, volendo identificare con Internet la causa primaria di tutte le
minacce alla sicurezza del sistema informativo aziendale, andare
online può rappresentare un rischio elevato. Un rischio che non si
può però fare a meno di correre: per restare al passo con i tempi, per
sfruttare i vantaggi competitivi delle nuove tecnologie, per poter
godere di particolari condizioni che una società può riservare ai
partner commerciali comunicanti in intranet, per migliorare la
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
14
comunicazione aziendale, per fornire servizi ai propri clienti, per
implementare un'attività di commercio elettronico, per aumentare la
produttività aziendale.
I rischi di un mondo mobile
Come accennato, dispositivi come gli smartphone e i tablet ci hanno
abituato a trovare online tutti i contatti e gli strumenti che servono
per organizzare la nostra vita sociale e professionale, contribuendo in
maniera sostanziosa al processo di "business transformation", che
ridefinisce completamente i processi aziendali, aumentando la
produttività, cambiando le relazioni di lavoro e sviluppando attività
completamente nuove.
I nuovi modelli di lavoro in mobilità rappresentano la fase finale di
quel processo di allargamento del perimetro aziendale cominciato
con l'avvento di Internet di cui la mobilità ha rimosso gli ultimi limiti
in termini di spazio e tempo, non solo per l'azienda ma anche per i
suoi clienti e fornitori.
Le tematiche di sicurezza legate alla mobilità sono riconducibili a
molteplici aspetti.
Un primo tema riguarda l'utilizzo di dispositivi di tipo personale in cui
sono archiviate informazioni che caratterizzano in modo orizzontale
la vita di un individuo includendo sia la sfera personale sia quella
professionale. Peraltro i dispositivo mobili non sempre sono
progettati per fornire il livello di affidabilità e resistenza necessario
per un utilizzo aziendale.
Poi c'è l'aspetto applicativo e i malware per i sistemi operativi mobili
e le App. Per avere un'idea della portata del rischio si pensi che il
numero di App potenzialmente nocive per Android è stato stimato
abbia raggiunto l'impressionante numero di un milione. Si tratta di un
fenomeno che ricorda quello che ha caratterizzato altri sistemi
operativi di grandissima diffusione, come Windows, con la differenza
che lo sviluppo tecnologico sta rendendo tutto più rapido portando il
numero di minacce a crescere costantemente sia in numero sia in
pericolosità.
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
15
Un terzo fondamentale aspetto riguarda le modalità di utilizzo dei
dispositivi mobili. È ormai entrata nello slang comune la sigla BYOD
(Bring Your Own Device), che rappresenta una conseguenza del
fenomeno più ampio della consumerizzazione, portando con sé i
rischi legati un uso promiscuo, personale e aziendale, di dispositivi
informatici.
Una soluzione parziale al problema è stata fornita dai principali
produttori di software con soluzioni o appliance per la protezione
degli endpoint, che si preoccupano di verificare che un dispositivo
mobile che si vuole connettere alla rete aziendale soddisfi i requisiti
di sicurezza e conformità necessari: per esempio che abbia installato
l'ultima patch del sistema operativo o che non abbia disattivato
funzioni di protezione.
Queste soluzioni forniscono una protezione efficace per evitare di
portare all'interno della rete aziendale malware contratti all'esterno,
ma non c'è tecnologia che tenga per proteggersi dalla superficialità e
dalla noncuranza manifestata troppo spesso dagli utenti.
La possibilità di lasciare incustodito il proprio dispositivo mobile o di
connettersi a una rete domestica che non dispone dei sistemi di
protezione di quella aziendale, lascia aperta la possibilità di smarrire
o di diffondere informazioni aziendali importanti e riservate, incluse
password di accesso alla rete aziendale, dati sensibili o business
critical.
Quella di privilegiare l'utilizzo di uno strumento unico è, peraltro,
un'abitudine diffusa all'interno del mondo dei business manager che
facilmente si trovano a ospitare sul proprio dispositivo mobile
personale dati fondamentali per l'azienda: per esempio password di
accesso alla rete che, di fatto, lasciano una porta aperta per entrare
nell'intero network aziendale.
Non è poi insolito l'uso di software o di servizi online (per esempio
Dropbox) pensati per un uso domestico, per trattare o archiviare dati
critici con modalità che sfuggono al controllo dell'IT, spesso con
insufficiente consapevolezza dei rischi.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
16
Tutto ciò apre innumerevoli falle nella sicurezza aziendale che vanno
affrontate attraverso un approccio strategico che definisce modalità
e regole per l'uso dei dispositivi mobili e preveda altresì opportune
tecnologie di gestione e controllo per verificarne il rispetto.
Minacce dal Web e protezione dei dati
Una volta c’erano gli hacker e il loro spirito goliardico. Lo stesso
termine “to hack”, nato negli anni Cinquanta al MIT di Boston
indicava un’innocua pratica illegale: sfidare i divieti di accesso ad aree
riservate per sfruttare i tunnel sotterranei come scorciatoie tra i
padiglioni del campus universitario. Uno spirito goliardico
testimoniato dalle firme nascoste nel codice e lasciate per acquisire
“gloria” quantomeno negli ambienti underground.
Dall’iniziale obiettivo di mostrare il proprio valore penetrando in
sistemi considerati inviolabili, il passaggio a un’attività criminale vera
e propria non è stato breve, ma si è ormai compiuto. È così cambiato
completamente il modo di approcciare la gestione delle minacce. In
passato a ogni nuovo codice maligno, a ogni nuova tecnica di attacco,
a ogni vulnerabilità veniva contrapposto un nuovo sistema di difesa,
ma si è infine compreso che l’escalation, quando ormai si era arrivati
agli “0 day attack”(la registrazione di un attacco il giorno stesso in cui
veniva annunciata una vulnerabilità), avrebbe solo fatto lievitare i
costi.
Poi è entrata in gioco la criminalità organizzata e ha cambiato le
regole: i professionisti del cyber-crime non divulgano le vulnerabilità
senza averle prima averle sfruttate, mentre gli attacchi sono diventati
sempre più “silenziosi” e spesso mirati.
Le tecniche, ormai di tipo completamente ibrido, combinano sviluppo
di codice con servizi di hacking (anche in modalità cloud) e con
attività di social engineering. Le contromisure diventano altrettanto
sofisticate, smettendo di limitarsi a rincorrere i “cattivi” e attuando
una massiccia prevenzione.
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
17
L’emergenza di nuove minacce nell’era del Web 2.0
Correva l’anno 2004 quando si iniziò a parlare di Web 2.0 durante
una sessione di brainstorming tra O’Reilly e la MediaLive
International, in cui Dale Dougherty, pioniere del Web e vice
presidente di O’Reilly, coniò questo termine per sottolineare
l’evoluzione sempre più marcata che stava prendendo piede nel Web
con il proliferare continuo di nuovi siti e applicazioni. Da allora il
termine Web 2.0 è stato accettato e il suo utilizzo si è diffuso a
macchia d’olio, facendolo diventare popolare tra i frequentatori del
World Wide Web, nonostante non esista una sua definizione univoca
e ben definita ma piuttosto un insieme di possibili applicazioni e
aspetti caratterizzanti.
Ciò che è certo è che il Web negli ultimi anni si è evoluto e ha assunto
un nuovo ruolo per i suoi utenti rispetto al passato, passando da una
certa staticità a una maggiore dinamicità, che deriva dalle sue
capacità di strumento di collaborazione, condivisione, scambio,
interazione, comunicazione, partecipazione collettiva. Il Web è
diventato il terreno di incontro tra tutti gli abitanti del pianeta che
hanno la possibilità di collegarsi in Rete attraverso un computer o
altri dispositivi che lo permettono. Nel Web è possibile informarsi
(Wiki), socializzare (social networking), scambiare file (P2P
networking), creare pagine di opinioni personali (blog) e così via. Il
Web è diventato un mondo senza confini e aperto a chiunque voglia
parteciparvi per portare il proprio contributo. Purtroppo proprio
questa apertura totale lo rende un’attrattiva interessante per chi ha
ben altri scopi, non del tutto leciti, come gli hacker e chi, con metodi
diversi ,cerca di compiere frodi a danno degli utenti, spesso
inconsapevoli dei pericoli che corrono.
Un aspetto di cui si continua a discutere riguarda la sicurezza dei dati
sensibili, non soltanto quelli degli utenti privati che condividono e
scambiano informazioni nel Web, ma anche a livello di aziende e
organizzazioni. Queste ultime potrebbero a loro insaputa subire
fughe di dati diffusi ingenuamente o inconsapevolmente dai propri
dipendenti, che spesso utilizzano il computer aziendale (magari un
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
18
notebook) anche per scopo personale di intrattenimento. Navigando
nei blog e nei siti di social networking gli utenti si espongono a diversi
pericoli.
Percentuali di attacchi noti per tecnica impiegata (Fonte: Clusit)
Per esempio un tipo di minaccia legata inizialmente al mondo delle e-
mail, ma che ha trovato ampio terreno nel Web 2.0, sono gli attacchi
di phishing, che inducono gli utenti a inviare informazioni
confidenziali e password all’interno di una riproduzione fedele ma
illegittima di un sito Web. Questi siti di phishing, creati facilmente
utilizzando le Rich Internet Application (RIA), arrivano a trarre in
inganno anche gli utilizzatori più esperti. L’utilizzo delle RIA si è
rivelato da un lato estremamente vantaggioso, poiché rende più
veloce l’esecuzione di programmi attraverso il Web e sposta la
maggior parte dei compiti di elaborazione a livello di client.
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
19
La presenza di un client eseguibile, tuttavia può diventare facilmente
un vettore per il trasferimento di codici maligni e, in particolare, le
RIA che utilizzano plug-in basati su ActiveX risultano particolarmente
vulnerabili.
Non solo le false riproduzioni di pagine Web possono rappresentare
una minaccia per l’utente, ma anche i siti legittimi possono diventare
pericolosi poiché in essi è possibile che malintenzionati inseriscano
malware all’interno di eseguibili XML, come è già successo per
esempio nel popolare sito di My Space o sull’home page del
Superbowl statunitense di qualche anno fa.
Un altro pericolo arriva dal video streaming. Attraverso la fruizione di
video on-line, per esempio dal sito di YouTube, è possibile che un
inconsapevole utente scarichi sul suo computer trojan horse, ovvero
programmi che potrebbero contenere codice dannoso in grado di
sottrarre dati confidenziali.
Un altro elemento di rischio può essere posto dai siti Web che
utilizzano la cifratura SLL (Secure Socket Layer). Infatti, molti sistemi
di sicurezza non esaminano il “tunnel SSL” all’interno del quale
vengono trasportati in modalità punto-a-punto i dati criptati,
rendendo il traffico SLL un possibile vettore da sfruttare per
predisporre azioni indirizzate alla sottrazione dei dati. L’utilizzo del
protocollo SSL in Web server predisposti da malintenzionati può
anche diventare un veicolo con cui trasportare trojan e bot al di là
della protezione del firewall e farli penetrare nella rete aziendale
protetta. Una volta installati i bot sono in grado di costruire reti di
collegamento tra computer che sfruttano analoghe sessioni SLL per
far fuoriuscire informazioni dall’azienda o per introdurre virus
informatici e trojan.
Da ultimo, ma non per importanza, va citato l’emergere dei botnet
(termine derivato da Robot), universalmente considerati una delle
principali minacce del momento. Si tratta di una rete di computer che
vengono di fatto “controllati” da un cyber criminale, che li può
utilizzare per inviare un attacco o uno spam su grande scala, senza
che l’utente del computer si accorga di niente. Il fenomeno è in
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
20
espansione e si prevede che in futuro le botnet, e chi le governa,
assumeranno il ruolo di centrali distribuite di comando e controllo. In
realtà, già oggi esistono botnet disponibili a noleggio, come altri
servizi di hacking a pagamento.
Il Phishing
Lo spam è molto utilizzato per il phishing, termine con la medesima
pronuncia, ma storpiato nell’ortografia, dell'inglese "fishing",
pescare.
Si tratta di un sistema inizialmente indirizzato a carpire dati personali
e, tipicamente, numeri di carta di credito, grazie alla collaborazione,
in buona fede, delle vittime della frode. Il sistema è,
concettualmente, molto semplice e perlopiù condotto via e-mail; il
bersaglio si vede recapitato un e-mail da parte di un’organizzazione o
di una banca nota, in cui lo si informa che, a causa di inconvenienti di
vario tipo, si sono verificati problemi relativi al suo conto oppure che
un acquisto da lui effettuato mediante la carta di credito non è
potuto andare a buon fine. L’utente viene, quindi, invitato a collegarsi
a un sito in cui inserire nuovamente i suoi dati, cliccando su un link
contenuto all’interno del messaggio di posta elettronica che,
apparentemente, corrisponde a quello del mittente del messaggio. Il
sito è, ovviamente, fasullo, ma replica in modo perfetto quello
originario, in modo da carpire le informazioni che è lo stesso utente a
inserire.
L’e-mail, apparentemente, ha tutte le caratteristiche di un messaggio
“ufficiale” riportando logo, informazioni di copyright, slogan e
messaggi di marketing identici a quelli utilizzati tipicamente dalle
presunte aziende o banche mittenti. Spesso sono contenuti dati
personali carpiti magari attraverso siti di social networking, dando
l’impressione che effettivamente ci si trovi davanti a un messaggio
reale. I principali target di questo tipo di attacchi sono le banche e i
siti finanziari e, tra le organizzazioni prese di mira, vi è anche la casa
d’aste on line e-bay, che ha prontamente avvisato i propri utenti che
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
21
l’invio di messaggi di questo tipo non rientra nelle proprie modalità
operative.
Il contenuto delle mail può far riferimento alla necessità di inserire
nuovamente i propri dati per una verifica del proprio conto, al fine di
prevenire possibili frodi o di verificare che presunte violazioni che
hanno interessato l’organizzazione finanziaria non abbiano arrecato
danni allo specifico utente. Il tono può essere minimale, invitando a
eseguire operazioni che vengono descritte come di routine, oppure
più allarmista, sottolineando l’importanza e l’urgenza di collegarsi al
sito e reinserire i dati; è anche possibile che inviti l’utente a scaricare
e installare “security update” presenti in allegato al messaggio e
contenenti codice maligno. Sebbene, apparentemente, possa
sembrare un approccio ingenuo, il successo che ottiene questa
tecnica è sorprendente.
Il phishing è in forte aumento e risulta tra le tipologie di attacchi più
sviluppati negli ultimi anni con tecniche che si affinano molto. Le
tecniche di social engineering, spesso adottate in abbinamento al
phishing, hanno visto aumentare la loro efficacia con la diffusione del
Web 2.0. Al successo di questo fenomeno si accompagna, secondo gli
addetti ai lavori, un aumento delle problematiche di sicurezza, prima
fra tutte il furto di identità: gli utenti si sentono fiduciosi e pubblicano
in rete non solo i propri dati anagrafici, ma anche svariate
informazioni sulla propria vita privata, tutti dati utili per truffe mirate.
Peraltro, oggi i tool necessari per attività di spamming e phishing
sono pubblicamente disponibili su Internet e strumenti più sofisticati
sono comunque in vendita online, mentre è possibile acquistare
elenchi di indirizzi validi con milioni di nominativi per poche decine di
euro. Il successo dello spamming è dovuto proprio ai grandi numeri:
gli spammer vengono pagati pochi centesimi per ogni click registrato
su un sito da loro indirizzato, ma pochi centesimi per decine di milioni
di messaggi spediti fanno un sacco di soldi, pur considerando basse
percentuali di messaggi andati a buon fine.
Esistono anche varianti del phishing, come il “pharming” (che fa
riferimento alla manipolazione delle informazioni Domain Name
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
22
Server per reindirizzare l’utente in modo inconsapevole su siti Web
falsi), lo “spear phishing” (utilizzato per indicare attacchi indirizzati in
modo molto mirato a specifici target), lo “smishing” (che fa
riferimento ad attacchi portati sfruttando i servizi SMS disponibili sui
telefoni cellulari) e il “vishing” o “voice phishing (che sfrutta la
messaggistica vocale e, in particolare, il Voice over IP (VoIP), il cui
vantaggio per gli attacker è che offre garanzie ai truffatori di non
essere individuati poiché molti servizi telefonici via IP non prevedono
un preciso punto di partenza della chiamata).
Lo spear phishing
La posta elettronica resta uno dei veicoli d'infezione preferiti o,
quantomeno, uno degli strumenti utilizzati per le sofisticate tecniche
di phishing o "spear phishing", quello, cioè, mirato. Lo spam
tradizionale è infatti in calo, stando ad alcuni rilevamenti, ma sta
crescendo quello collegato ai social network. Al contrario, sempre più
efficaci si dimostrano gli attacchi mirati che partono con una mail di
phishing appunto.
Quest'ultima tecnica si è evoluta, per cui bloccare tali email è molto
più difficile che in passato, in quanto non si tratta di messaggi rivolti
alla massa, quindi standardizzati e facilmente riconoscibili. Lo spear
phishing si basa su dati appositamente raccolti per colpire uno
specifico target. Si tratta di email personalizzate, che non sono state
osservate da altri sistemi precedentemente e che non sembrano
"estranee" all'azienda.
Gli attacchi di phishing, in passato, erano tutti basati sulla stessa
procedure: l'email inviata a centinaia di migliaia di indirizzi contava
sulla legge dei grandi numeri. Statisticamente una piccola
percentuale di destinatari reagiva alla mail finendo nella trappola dei
cyber criminali e infettando il pc.
L'efficacia del sistema si basava sulla statistica e sull'ingenuità degli
utilizzatori. Anche se di poco, però, la cultura di questi ultimi sulla
sicurezza è andata aumentando negli anni e, parallelamente, è calata
l'efficacia del phishing tradizionale. Ovviamente la maggior parte del
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
23
merito va al miglioramento dei sistemi antispam e antiphishing, che
adesso includono tecnologie come: la "reputation" del mittente, che
classifica gli indirizzi di spedizione per bloccare quelli che
notoriamente riversano spam; l’analisi lessicale sul contenuto delle
email per individuare frasi e combinazioni di parole o schemi usati di
solito per lo spam; l'integrazione con gli antivirus, che identificano i
codici maligni noti abbinati alla posta elettronica.
L'efficacia della protezione, porta i cyber criminali professionisti a
cercare nuove strade. Di fatto, la ricerca e sviluppo sul "lato oscuro" è
avanti, preparando le tecniche innovative mentre ancora quelle
tradizionali portano i loro frutti.
Il modello degli attacchi di phishing è quindi evoluto di conseguenza
negli ultimi anni e, soprattutto, si è fatto ancora più mirato:
indirizzandosi a piccole comunità, come possono essere i dipendenti
o, più in dettaglio, i quadri di una specifica impresa. Si è anche
semplificato, perché non contiene direttamente il malware, ma un
link a un sito Web, non di rado legittimo, dove però è stato annidato
il kit maligno. Inoltre, i server utilizzati non risentono di una cattiva
reputazione, perché inviano pochi messaggi che non sono
riconosciuti come spam.
Chiaramente questo presuppone qualche sforzo in più, per esempio
per compromettere un sito legittimo senza che i suoi gestori se ne
accorgano, anche solo per il tempo necessario a portare a termine
l'attacco.
Il successo della tecnica resta ancorato alla ingenuità/diffidenza del
dipendente, ma l'accuratezza di questi attacchi "ripaga" il
malintenzionato. C'è da dire che l'errore o il dolo del dipendente
interno rappresenta sempre il rischio maggiore, come dimostrano
costantemente tutte le ricerche del settore.
Rispetto allo spam, il phishing ha tassi di redemption più elevati, se
poi è mirato l'efficacia è alta. Tali sforzi andranno ripagati, quindi il
bottino sarà ricco: per esempio un numero elevato di dati, come i
numeri di carte di credito o proprietà intellettuali (per esempio
brevetti).
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
24
Anche l'analisi lessicale fallisce e lascia passare il phishing sofisticato,
perché i contenuti, essendo mirati, sono compatibili con il contesto e
non riconosciuti come spam. Gli antivirus non trovano malware da
analizzare e bloccare.
Impatto sul costo delle tipologie di attacco: il rischio interno è il più costoso (fonte Ponemon)
Occorrono soluzioni più sofisticate, che eventualmente siano in grado
di seguire il link verso il codice maligno, riconoscerlo come tale e
bloccare il download di dati compromessi. Meglio se possono
operare in tempo reale.
Il social engineering
Può sembrare strano, ma uno degli strumenti più efficaci nella
compromissione della sicurezza informatica è condotto senza
l’utilizzo di strumenti informatici. Si tratta del cosiddetto “social
engineering”, una tipologia di attacco indirizzata a carpire
informazioni sensibili attraverso l’uso del contatto umano, utilizzando
come complici inconsapevoli gli stessi obiettivi dell’attacco. Di fronte
a sistemi evoluti progettati per analizzare traffico sulle porte,
signature o anomalie di protocollo, il social engineering sfrutta una
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
25
delle principali vulnerabilità nella sicurezza informatica di un’azienda:
l’elemento umano.
Le motivazioni che inducono i cyber criminali all’utilizzo di tecniche di
social engineering sono molteplici. Innanzitutto si tratta di un metodo
più semplice rispetto alla violazione di un sistema e che non richiede
costi elevati o tool sofisticati. Permette, inoltre, di aggirare sistemi di
intrusion detection e non è influenzato dalla piattaforma operativa
utilizzata all’interno dell’azienda target.
I bersagli tipici sono rappresentati dal personale di help desk, dagli
addetti al customer service, da assistenti amministrativi, personale
vendite, sistemisti o tecnici. Questo perché, da un punto di vista
generale, i soggetti sono tanto più disponibili a fornire informazioni,
quanto meno sono direttamente coinvolti o interessati dalla
richiesta. Spesso, alle vittime di tali attacchi manca la consapevolezza
del rischio o anche solo l’interesse a discutere o esaminare le
motivazioni alla base di richieste che non sono direttamente
pertinenti ai loro compiti specifici.
Un attacco giunto a buon fine può fornire numeri di dial-in o
procedure di accesso remoto, permettere di creare un account o
modificare privilegi o diritti di accesso fino a determinare
l’esecuzione di programmi potenzialmente dannosi quali trojan
horse. Questo tipo di attacco può anche essere indirizzato a carpire
informazioni quali, per esempio, liste di clienti, dati finanziari, offerte
associate a contratti o informazioni riservate sui processi produttivi. I
metodi utilizzati per carpire informazioni sono vari e dipendono solo
dalla fantasia dell’attaccante.
Una tecnica è quella di raccogliere preventivamente una serie di
informazioni che possano fornire un pretesto credibile per la
costruzione di un attacco e permettano di guadagnare la fiducia di chi
subisce l’attacco. Tipicamente, infatti, il social engineering è una
tecnica preparata e costruita in step successivi e basata su una
precisa strategia, che preveda anche contro-argomenti in caso di
possibili obiezioni e vie di uscita ragionevoli per non bruciarsi il
“lavoro” svolto.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
26
Va poi ricordato che, a differenza di un firewall, l’essere umano
tendenzialmente è portato a fidarsi degli altri o ad avere illusione che
certe cose a lui non possano capitare. Spesso accade anche che venga
sottostimato il valore dell’informazione o si abbia poca
consapevolezza dalle conseguenze di azioni apparentemente
innocue.
Altre tecniche sono indirizzate a costruire un rapporto di fiducia
attraverso una serie di contatti ripetuti completamente innocui. Un
metodo molto efficace è quello di raccogliere una serie di piccole
informazioni che, singolarmente, non hanno utilizzo pratico ma che,
se considerate nel loro complesso, possono rappresentare una fonte
di informazione di valore elevato. Frammenti di informazione utili a
tal fine possono essere facilmente recuperabili da un cyber criminale
tramite i siti Web, l’organigramma aziendale, attraverso newsletter o
anche documenti di marketing. Altre informazioni di carattere
personale possono essere ricavate da siti Web che contengono nomi
di parenti o di interessi specifici, a cui spesso un utente si ispira per
elaborare le proprie password.
Inoltre, poiché l’uomo è naturalmente curioso, altri “trucchi” sono di
lasciare supporti quali CD ROM o floppy contenenti codici maligni
presso specifiche postazioni sperando che vengano aperti ed
esaminati oppure inviare e-mail che invitano a visitare siti Web
potenzialmente dannosi.
Un esempio di attacco di social engineering può partire
dall’individuazione, da un documento di marketing, del nominativo di
una persona che ricopre una specifica carica aziendale. Telefonando
al centralino e chiedendo di essere messo in comunicazione con
quella persona (citando nome e cognome) è facile che si venga
passati al suo numero interno. Se la telefonata avviene in un giorno
in cui questa persona non è sicuramente in ufficio, per esempio
perché dal sito Web viene annunciata la sua partecipazione a un
evento o a una conferenza, non è infrequente poter recuperare il
numero dell’interno dal sistema di risposta automatica che invita a
lasciare un messaggio. A questo punto si dispone già di un numero di
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
27
informazioni utili a lanciare un attacco. Con un po’ di astuzia è
possibile, per esempio, ricavare informazioni riservate da un collega,
ottenendo la sua fiducia adducendo motivazioni di urgenza, la stretta
conoscenza del contatto “sfortunatamente” mancato e supportando
le proprie affermazioni con i dati in proprio possesso. Spesso basta
conoscere anche solo poche informazioni personali di un individuo
per lasciare presupporre a qualcun altro una sua conoscenza
approfondita.
Un’ulteriore fonte di informazioni è rappresentata dai rifiuti.
Documenti, bozze, annotazioni o anche nomi di piani e di progetti,
trovano spazio su documenti cartacei che vengono gettati
nell’immondizia. Ancora più rischioso è gettare supporti di
memorizzazione danneggiati quali hard disk o sistemi removibili da
cui è sempre possibile ricavare informazioni parziali. Inoltre,
l’appropriazione dei rifiuti altrui non è, di per se stessa, una pratica
illegale.
Gli aspetti psicologici sono un elemento essenziale nel social
engineering. In generale un attaccante che utilizza queste tecniche
può essere individuato dal fatto che fa richieste fuori dall’ordinario o
adotta comportamenti anomali, quali manifestare estrema urgenza
in modo immotivato, utilizzare toni autoritari o intimidatori, offrire
aiuto per risolvere un problema sconosciuto o citare il management
come ente autorizzatore della richiesta. Particolari condizioni
lavorative possono aumentare il rischio associato a tali attacchi. Per
esempio, una forte pressione a svolgere i lavori in tempi rapidi, la
presenza di uffici distribuiti in varie località o l’utilizzo di personale
esterno all’azienda, sono tutti elementi che possono contribuire a
facilitare le condizioni affinché un attacco di social engineering abbia
successo.
L’unico sistema per proteggersi efficacemente è quello di aumentare
la cultura della sicurezza in azienda, in modo che questa non sia
percepita come una perdita di tempo o un ostacolo all’attività
lavorativa, predisponendo procedure apposite per la gestione delle
informazioni e la loro classificazione e mettendo a punto policy per la
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
28
“pulizia” della postazione di lavoro. La contromisura più efficace resta
quella di attivare sessioni di addestramento indirizzate alla
consapevolezza dell’importanza della sicurezza e dei possibili rischi
associati a comportamenti superficiali.
Il furto di identità
La cronaca, a onor del vero, dà maggior risalto a fenomeni di massa,
come i vari worm o pseudo tali che di tanto in tanto riescono a
perforare le difese diffondendosi in tutto il mondo, ma le attività
realmente criminali si concentrano su altri fronti: primo fra tutti il
furto di identità.
Rubare l’identità di qualcun altro significa riuscire a raccogliere
sufficienti informazioni al fine di spacciarsi per lo stesso, ad esempio,
per commettere frodi, aprire conti correnti, navigare su siti
pornografici, carpire dati aziendali riservati o quant’altro. Alle volte lo
scopo è indiretto, come nel caso dei database costituiti illegalmente
tramite strumenti di spamming.
Un’identità può essere utilizzata per sferrare attacchi contro terzi o
frodarli, con il rischio di dover anche affrontare spese legali per
dimostrare la propria innocenza.
Oltre al phishing, un metodo molto in voga per reperire/rubare
informazioni è collegato all’utilizzo di programmi cosiddetti spyware,
il cui scopo è quello di registrare il comportamento di navigazione,
esplorare il disco rigido, esportare dati raccolti, intercettare posta
elettronica o file, catturare dati immessi in sistemi Web (per esempio
con i keylogger, che memorizzano i tasti premuti) e altro ancora. Con
uno o più strumenti del genere è possibile “assemblare” sufficienti
dati per mettere insieme l’identità di un individuo.
L'Internet of Things
Dopo il Web 2.0, si è cominciato a parlare di Web 3.0, una definizione
che è stata presto abbandonata a vantaggio di due altre diciture:
Machine to Machine (M2M) o Internet of Things (IoT). Di fatto, il Web
è sempre stato concepito come l'interazione tra un individuo e una
1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE
29
macchina (server), poi si è passati al 2.0, che prevede l'interazione tra
gli individui, comunque mediata da una macchina. Il terzo passo è
l'interazione diretta tra macchine.
Prima di lasciarsi andare a scenari apocalittici stile Matrix, si rifletta
sul fatto che, al contrario dell'essere umano, le macchine non
posseggono l'istinto della sopravvivenza né quello della
perpetuazione della specie.
Di fatto, sarà presto maggioritario il numero di dispositivi posti in rete
per svolgere compiti diversi da quelli di mettere in comunicazione
individui o fornire informazioni a questi stessi. Si tratta di, per
esempio, sistemi di controllo di impianti industriali collegati a sensori
che rilevano determinati parametri. Quando questi ultimi superano
una soglia potrebbe partire un allarme e il sistema di controllo genera
un’azione corrispondente. La possibilità di utilizzare la rete IP e
Internet in particolare per attuare una soluzione del genere è già
stata presa in considerazione. Ancora una volta, sono le
problematiche di sicurezza che faranno la differenza. Quali saranno le
sfide del futuro per le aziende che si occupano di sicurezza, una cosa
è certa: non possono continuare a giocare a nascondino con i “ragazzi
cattivi”. Un rincorsa senza sosta da una minaccia a un nuovo rimedio
non ha senso. È necessario modificare le regole del gioco: cambiare
approccio e anticipare le mosse dell’avversario, scendendo sul suo
stesso terreno e partendo dagli obiettivi che si pone.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
30
31
LA SICUREZZA ENTERPRISE DI HP
Attraverso la divisione Enterprise Security Products
(ESP) HP propone un modello di sicurezza enterprise
integrato, pensato per rispondere anche alle richieste
di protezione dei nuovi ambienti virtualizzati e cloud.
Questa strategia è sorretta da un portafoglio d'offerta
articolato che comprende hardware, software ,
soluzioni e servizi, rafforzato da una serie di risorse,
competenze, laboratori e iniziative complementari che
ne cementano e rafforzano la portata.
.
2
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
32
HP Enterprise Security Products
Per rispondere alle nuove esigenze di protezione HP ha messo a
punto una strategia per la gestione del rischio che prevede interventi
sia sul versante della protezione richiesta dalle aziende, sia per
garantire agli utenti un accesso sicuro alle corrette risorse aziendali,
ponendo le basi per un approccio unificato alla sicurezza enterprise.
L'approccio integrato alla sicurezza di HP risponde anche alle
crescenti richieste di protezione dei nuovi ambienti virtualizzati e
cloud.
Le soluzioni che compongono la piattaforma di sicurezza di HP di
Security Intelligence e Risk Management sono proposte attraverso
una divisione specifica denominata Enterprise Security Products (ESP)
e comprendono i sistemi di nuova generazione HP TippingPoint per la
prevenzione delle intrusioni (NGIPS) e firewall (NGFW), le soluzioni di
security intelligence ArcSight, la famiglia Fortify per la sicurezza delle
applicazioni e Atalla per la cifratura e la protezione dei dati, in un
contesto di integrazione che coinvolge servizi, applicazioni e prodotti.
Le soluzioni che compongono la piattaforma di Security Intelligence e Risk Management di HP Enterprise Security Products
2 - LA SICUREZZA ENTERPRISE DI HP
33
Questa gamma di soluzioni segue un processo evolutivo che prevede
sia la trasformazione e il miglioramento continuo di ciascuna
tecnologia verticale, sia un'integrazione sempre più spinta delle
diverse funzionalità al fine di sfruttare al massimo la sinergia di
strumenti che affrontano, su piani diversi, il tema della protezione,
migliorando la gestione e incrementando il livello di intelligenza
necessario a fronteggiare le nuove minacce che operano in modo
sempre più stratificato.
Risorse e iniziative per aumentare la
sicurezza aziendale
L'offerta di soluzioni hardware e software di HP è completata da una
serie di risorse, competenze, iniziative e servizi complementari che
cementano e rafforzano l'ossatura completa del modello di
protezione. Queste risorse includono laboratori di ricerca,
competenze, iniziative ad ampio spettro, risorse distribuite e una
serie di soluzioni e servizi che, tutte insieme, operano in modo
sinergico per analizzare costantemente a livello globale le nuove
minacce, stabilire la reputazione e il livello di rischio e abilitare
interventi in tempo quasi reale per proteggere gli utenti delle
soluzioni HP.
HP DVLabs
Punta di diamante dell'ecosistema per la protezione enterprise di HP
sono gli HP DVLabs, il team di ricerca di sicurezza per la scoperta delle
vulnerabilità nel settore della sicurezza. Il team è composto da
ricercatori riconosciuti nel settore che applicano tecniche di analisi
all'avanguardia nelle loro operazioni quotidiane.
DVLabs trasferisce tutte le scoperte delle vulnerabilità ai produttori di
software interessati per favorirli nella creazione di patch e crea filtri
di protezione per i suoi sistemi NGFW/ NGIPS per proteggere gli
utenti da potenziali attacchi zero-day prima che le vulnerabilità siano
rese note al pubblico.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
34
L'attività svolta dagli HP DVLabs si concentra sulla creazione di filtri
per la protezione contro ogni tipo di vulnerabilità (vaccini digitali) e
non solo gli exploit noti, applicando tecniche di decodificazione e
analisi all'avanguardia
I filtri di vulnerabilità prodotti sono distribuiti settimanalmente e
puntano a bloccare tutti gli exploit delle vulnerabilità del software,
fornendo un elevato livello di accuratezza in modo che gli NGFW non
blocchino il traffico legittimo mentre proteggono la rete.
Esempio di Report fornito dai DVLabs
HP Security Research
HP Security Research è la struttura che conduce ricerche e fornisce
servizi di intelligence per l’intero portafoglio di soluzioni HP ESP.
HP analizza le informazioni provenienti da diverse fonti, tra cui indagini
proprietarie, intelligence open source e feed dei dati attivi generati dai
propri prodotti e servizi. L’ampiezza e la profondità degli asset di
sicurezza, della sua base installata e della sua community di sicurezza,
collocano HP Security Research nella posizione ideale per agevolare la
condivisione dell’intelligence indispensabile per contrastare le minacce.
Pubblicazioni sulle ricerche sul tema della sicurezza e briefing
periodici sulle minacce completano i servizi di intelligence HP e
offrono un’analisi approfondita del futuro della sicurezza e dei più
importanti rischi di violazione che le aziende si troveranno ad
affrontare.
2 - LA SICUREZZA ENTERPRISE DI HP
35
HP Security Research, che si occupa di dettare l’agenda della ricerca
in materia di sicurezza per conto di HP, si avvale del contributo dei
gruppi di ricerca già esistenti che includono HP DVLabs e HP Fortify
Software Security Research; inoltre, gestisce il programma Zero Day
Initiative (ZDI) che premia i ricercatori di tutto il mondo che
individuano nuove vulnerabilità.
HP TippingPoint ThreatLinQ
Un'altra risorsa messa in campo da HP è TippingPoint ThreatLinQ, un
portale di Security Intelligence accessibile a tutti i clienti HP
TippingPoint attraverso HP TippingPoint Threat Management Center,
che offre un modo efficace per valutare l'evoluzione delle minacce e
collegare l'intelligenza raccolta a specifiche modifiche di policy dei
NGIPS/NGFW.
ThreatLinQ consente di ottimizzare in modo proattivo la sicurezza di
rete e di ridurre i rischi di business, sulla base di un'analisi dettagliata
svolta in tempo reale delle informazioni inerenti le minacce
(comprese quelle di nuovo tipo e gli attacchi "top"), suddivise per
Paese e per categoria.
Un esempio di report fornito tramite HP ThreatLinQ
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
36
HP Threat Central
Tutti i report di vendor e analisti confermano che lo scenario delle
minacce è in costante peggioramento. Uno dei meccanismi capaci di
contribuire a controbattere questo crescente livello di minaccia è lo
scambio d’informazioni per condividere esperienze e misure di
contrasto.
Per questo motivo HP ha sviluppato Threat Central, una piattaforma
collaborativa d’informazioni sulla sicurezza che permette di
condividere, all'interno di una comunità, dati e analisi sulle minacce
fornendo intelligence in tempo reale su vettori di attacco, metodi,
motivazioni e autori specifici che si celano dietro gli attacchi.
HP Threat Central è una piattaforma collaborativa di security
intelligence pensata per creare un sistema di difesa contro le minacce
informatiche più avanzate e per la condivisione di informazioni di
sicurezza da parte di una community di utenti HP che operano su
settori simili.
Attraverso HP Threat Central i membri autorizzati di una community,
per esempio di operatori del settore bancario (dove frequentemente
la stessa tipologia di attacchi viene replicata su più organizzazioni
dello stesso tipo), vengono allertati in tempo reale non appena viene
identificata una minaccia, consentendogli di ricercare all’interno delle
proprie organizzazioni la presenza di indicatori simili a quelli
notificati. Facendo leva sulla piattaforma, i membri della community
possono inviare informazioni sulle minacce, analisi e metodi per
contrastarle.
Lo scambio dei dati all'interno della community avviene in modo
sicuro e riservato, sotto la garanzia dell'HP Security Research Group
che, peraltro, contribuisce direttamente all'attività della community
aggiungendo best practice, risultati delle proprie indagini e
suggerimenti operativi.
Questa piattaforma è stata ulteriormente potenziata con
l’introduzione della HP Threat Central Partner Network, un sistema di
collaborazione tra imprese impegnate nella sicurezza che sta alla
2 - LA SICUREZZA ENTERPRISE DI HP
37
base dell’importanza della collaboration a livello di industry per
combattere gli attacchi.
HP sta già collaborando con partner quali Arbor Networks, Blue Coat
Systems, InQuest, ThreatGRID, Trend Micro e Wapack Labs allo scopo
di produrre informazioni strategiche sulla sicurezza per fornire
indicatori pratici alla comunità HP Threat Central.
HP Security Research e HP Enterprise Security Services forniscono
dati alla piattaforma HP Threat Central in aggiunta alle informazioni
condivise tra i membri della comunità e i partner.
Zero-Day Initiative
Tra le iniziative sviluppate da HP a supporto di un approccio proattivo
alla sicurezza enterprise va certamente ricordata la HP Zero-Day
Initiative (ZDI), un programma pubblico di ricerca sulle vulnerabilità
Zero-Day che da molti anni supporta le soluzioni TippingPoint
favorendo una copertura efficace dalle tecniche di attacco sfruttabili
"in the wild" e non ancora risolte da patch rilasciate dai produttori.
ZDI arricchisce l'attività svolta dai Laboratori HP DVLabs con
metodologie, competenze e iniziative di ricercatori indipendenti,
incoraggia la generazione di report sulle vulnerabilità zero-day
attraverso programmi di incentivi per i contributori e permette di
incrementare il livello di protezione offerto attraverso i sistemi HP
TippingPoint NGIPS/NGFW.
HP ZDI mette a disposizione un portale Web per l'invio di
vulnerabilità e per monitorare lo stato, filtri NGIPS per definire i dati
sulle ultime minacce di classe enterprise e per fronteggiare
immediatamente le vulnerabilità mentre sono ancora in corso i lavori
per predisporre patch efficaci.
HP Reputation Security Monitor (RepSM)
Si tratta di uno strumento di Threat Intelligence basato su un livello di
reputazione che viene definito sulla base di dati provenienti dalla
comunità di sicurezza globale e di rilevazioni effettuate da HP.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
38
RepSM fornisce un ulteriore livello di intelligenza alla soluzione di
Security Information and Event Management (SIEM) di HP per
operazioni di correlazione in tempo reale, abilitando una reazione
attiva in risposta alle attività dannose e stabilendo il livello di priorità
con cui fronteggiare attività sospette. In tal modo fornisce un utile
sistema per identificare le APT (Advanced Persistent Threat), che
risultano spesso non individuate dai controlli di sicurezza basati su
firme di sicurezza (signature) e, più in generale, abilita operazioni di
sicurezza in risposta ad attacchi sconosciuti con azioni manuali o
automatiche.
L'utilizzo di RepSM abbinato ad H ArcSight Application View permette
di avere visibilità sul comportamento di un malintenzionato
all'interno di un'applicazione e di controllare, per esempio, se
effettua connessioni esterne e se queste sono verso un sito o un IP da
considerare pericolosi.
HP Reputation Security Monitor (RepSM)
2 - LA SICUREZZA ENTERPRISE DI HP
39
HP TippingPoint Web AppDV
HP TippingPoint mette a disposizione di propri utenti anche Web
AppDV, una soluzione pensata per proteggere le applicazioni Web
critiche che permette di identificare, monitorare, proteggere e
controllare le applicazioni e il loro utilizzo. Attraverso una scansione
personalizzata delle applicazioni Web, questo servizio consente lo
sviluppo di vaccini digitali specifici per l'utente.
WebAppDV, grazie alla tecnologia Adaptive Web Application Firewall
(WAF), permette di estendere la protezione alle applicazioni online,
attraverso l'identificazione in tempo reale delle vulnerabilità nelle
applicazioni Web e la distribuzione di patch virtuali che consentono di
proteggere l'azienda in attesa della disponibilità di un rimedio
definitivo.
Digital Vaccine Toolkit (DVToolkit)
DVToolkit è lo strumento che apre alle aziende la possibilità di ampliare il
livello di personalizzazione di sicurezza creando internamente filtri di
protezione personalizzati oppure importando nativamente firme create
in open source, per poi trasformarle in filtri TippingPoint ed inserirle in
un package Digital Vaccine specifico.
Questo toolkit permette alle aziende di integrare la protezione DV con
quella dei filtri già realizzati per specifiche applicazioni legacy e di ridurre
i rischi nella condivisione di informazioni sensibili con le terze parti.
Threat Digital Vaccine (ThreatDV)
TippingPoint ThreatDV è un servizio in abbonamento indirizzato agli
utenti delle soluzioni HP TippingPoint NGIPS e NGFW pensato per
favorire la difesa contro le nuove minacce avanzate.
ThreatDV è la combinazione tra un servizio di analisi della
reputazione (in precedenza fornito come servizio autonomo con la
denominazione Reputation Digital Vaccine-RepDV) e un pacchetto
comprendente già oltre mille filtri progettati per rilevare il traffico
nocivo e inibire l'attività del malware. Il pacchetto malware viene
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
40
aggiornato su base settimanale e i filtri vengono rilasciati in stato
disattivato.
Il servizio di analisi della reputazione di ThreatDV abilita funzionalità
di analisi di contesto e geolocalizzazione sulle sonde IPS in aggiunta a
quelle di analisi del contenuto di dati e protocolli già presenti nei
Digital Vaccine sviluppati da HP. La valutazione del livello di
reputazione si basa sull'analisi incrociata di milioni di data stream
raccolti giornalmente dalla rete mondiale di intelligence HP
TippingPoint ThreatLinQ, dal repository sul malware dei DVLabs, da
reti "honeypot", da fonti gestite da operatori specializzati e da black
list open source. L'analisi di questi dati consente di classificare gli
indirizzi IP (v4 e v6) e i siti pubblici (DNS) potenzialmente pericolosi,
assegnandogli un indice del livello di pericolosità da 1 a 100, stabilito
in base all'analisi della fonte, del livello di attività, della categoria e
del tipo di minaccia. Questo "feed" di reputazione viene aggiornato
ogni 2 ore.
In base al valore di un indicatore di reputazione o di rischio e alla
localizzazione geografica è possibile bloccare le connessioni in uscita
e in entrata dalla rete aziendale con siti non affidabili e anche inibire
gli exploit degli attacchi di nuovo tipo provenienti da attaccanti noti,
prima che siano disponibili le corrispondenti firme di sicurezza.
Il servizio di analisi della reputazione fornito da HP Threat DV
41
LA NETWORK SECURITY
Le reti sono l'elemento abilitante per la realizzazione
di qualsiasi servizio IT a supporto del business
aziendale. Come tale devono essere intrinsecamente
sicure e, a loro volta, un elemento attivo nella
protezione degli asset informativi aziendali. I firewall,
che da sempre rappresentano la prima linea di difesa
per il network aziendale, hanno dovuto evolvere per
riuscire a fronteggiare le nuove minacce. Questo ha
determinato l'arrivo di dispositivi di nuova
generazione, più granulari nell'analisi e più efficaci
nella difesa.
HP ESP risponde a queste esigenze con la gamma di
soluzioni HP TippingPoint.
3
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
42
La sicurezza delle reti
Il problema di come impostare una strategia per l’infrastruttura di
rete aziendale si abbina, in una buona parte delle realizzazioni, al
modo di predisporre la migrazione e la sostituzione partendo dalla
situazione preesistente e trovando il modo più adatto per perseguire
una trasformazione che determini il minor impatto possibile.
Da questa esigenza specifica, ma basilare nel contesto di
un’operatività aziendale che non può subire interruzioni, non
possono prescindere i fornitori di piattaforme, che si trovano a dover
predisporre modelli architetturali in grado di adattarsi da subito a
nuove esigenze e requisiti di business, integrando l’esistente,
elevando le prestazioni e mantenendosi aperti per un’evoluzione
scalabile.
I requisiti sono sempre più legati ai temi di sicurezza, convergenza,
gestione unificata fisso-mobile, virtualizzazione. Tutto ciò
contribuisce a delineare un’evoluzione tecnologica e una strategia di
trasformazione delle reti in una direzione ben identificata in grado di
dare agli utilizzatori (aziende e operatori) una risposta alle loro
necessità.
Il legame tra requisiti applicativi caratteristiche dell’infrastruttura di
rete e un progressivo orientamento verso un modello orientato ai
servizi ha portato l’approccio al networking sempre più vicino a
quello dell’IT. Per questa ragione perseguire un approccio che punti
semplicemente alle prestazioni può rappresentare, ora più che mai,
una scelta miope. Per esempio l’aspetto della semplicità e
dell’unificazione gestionale diventa sempre più importante. Per le
aziende semplificare le reti significa poter ridurre sostanzialmente i
costi di manutenzione, incrementare i servizi esistenti offrendone
altri multimediali e integrati, incrementare l’affidabilità e il controllo.
Ciò che a volte si sottovaluta è quanto questi aspetti (si pensi per
esempio alla semplificazione) contribuiscano anche in modo
significativo ad aumentare la capacità di controllo del rischio e
favorire un maggiore livello di sicurezza.
3 - LA NETWORK SECURITY
43
A livello di sicurezza, la crescente sofisticazione degli attacchi e il
fatto che questi avvengano tramite una rete trasmissiva obbligano il
manager dei sistemi informativi a considerare quali possono essere le
soluzioni al problema in termini progettuali, le strategie da attuare e
la localizzazione più adatta degli strumenti e delle applicazioni che a
questi attacchi si devono opporre. In pratica, sia che si tratti della
rete di un carrier, di una rete virtuale privata (VPN) o di una rete
aziendale, il problema consiste nell'abbinare le funzioni di sicurezza
con quelle di trasporto della rete in modo che le stesse risultino
sinergiche ed efficaci, idealmente massimizzando i livelli sia di
protezione sia di servizio.
Un ulteriore elemento in grado di caratterizzare il modello
architetturale e condizionare l’efficacia di una rete a supportare
innovativi modelli di business è la capacità di implementare un livello
di intelligenza e di distribuirlo in base agli specifici requisiti di
business. Per queste ragioni, sempre più spesso, le funzioni di
sicurezza sono affidate a dispositivi posti sulla rete e integrati con
quelli preposti a realizzare le funzioni di switching e routing, mentre
cresce la diffusione di appliance dedicate, pronte a integrare
all’interno di quelli che in passato erano semplici switch (anche
periferici) una serie di funzionalità in costante evoluzione. Tutto ciò si
va sempre più combinando con modelli as a service e "cloud based".
L'evoluzione della network security
Il settore tecnologico è in rapido mutamento sotto la spinta
contemporanea di più trend tra loro correlati e ognuno dei quali
racchiude in sé le potenzialità per rivoluzionare il modo di concepire
l'IT stesso. Parliamo di fenomeni quali cloud computing,
virtualizzazione, mobilità e BYOD che cambiano non solo il paradigma
tecnologico, ma anche e soprattutto il modo con cui le aziende
conducono il proprio business. Questi fenomeni creano non solo
opportunità ma anche nuovi rischi di sicurezza.
Il cloud computing introduce nuove modalità per accedere alle
applicazioni all’esterno dei confini aziendali, imponendo alle aziende
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
44
di predisporre le condizioni per proteggere le interazioni con le
applicazioni enterprise su cloud, come nel caso del Software-as-a-
Service e del cloud storage.
La mobility richiede un controllo e una visibilità delle applicazioni più
ampi, indipendentemente dal punto di accesso. Le aziende devono
tutelarsi dall'introduzione di malware o da potenziali brecce che
potrebbero essere determinate dall'accesso da dispositivo mobile alla
rete aziendale.
Il BYOD ha introdotto un utilizzo promiscuo dei dispostivi mobili per
attività private e aziendali al fine di favorire la produttività e il
coinvolgimento dei dipendenti. Tuttavia, tali dispositivi si collocano ai
confini della rete e sono perciò fuori dalla portata dei tradizionali
sistemi IPS e per proteggere le reti dalle potenziali minacce
introdotte da questi dispositivi, le aziende devono mettere in atto
controlli capaci di operare ai margini esterni della rete.
I rischi si espandono anche verso l'orizzonte applicativo influenzando
i metodi di test dei processi di sviluppo e richiedendo modelli di
protezione basati sull'analisi comportamentale anziché sulla mera
classificazione del malware.
A livello di rete cresce l'impatto degli attacchi DDoS (Distributed
Denial of Service) e si affacciano le APT (Advanced Persistent Threat)
mentre i sistemi di difesa di tipo più tradizionale mostrano i propri
limiti nel rilevare le nuove tipologie di intrusioni o nel contrastare la
sofisticazione dei malware più recenti.
Infine, la crescente diffusione dell'uso di risorse IT sotto forma di
servizio o nel cloud estende le problematiche legate alla conformità
normativa poiché sposta i dati aziendali in un Web privo di confini
nazionali.
Le conseguenze di questo rinnovato scenario sono che le aziende si
trovano ad avere un minor controllo sui punti di accesso alla rete. Ne
deriva l'esigenza di disporre di soluzioni di sicurezza capaci di
estendere la protezione oltre il perimetro della rete aziendale, di
realizzare una più profonda integrazione delle soluzioni IT per
difendere le interazioni degli utenti da potenziali minacce alla
3 - LA NETWORK SECURITY
45
sicurezza e di predisporre una protezione dinamica basata su
meccanismi automatizzati e strumenti costantemente aggiornati.
Per stare un passo avanti rispetto all'evoluzione delle minacce
servono sistemi e dispositivi di nuova generazione che sappiano
intervenire in modo più mirato e dispongano del livello di
"intelligenza" necessario a valutare in modo più approfondito e
circostanziato i dati di sicurezza.
Predisporre misure efficaci di sicurezza significa anche affrontare una
revisione della rete non solo di natura tecnologica, ma anche di
carattere strategico.
Un tema da sottolineare nell'evoluzione della network security
riguarda il legame tra i requisiti applicativi e le caratteristiche
dell'infrastruttura di rete nonché il progressivo orientamento verso
un modello orientato ai servizi e al cloud.
Il passaggio da una visione centrata sulla parte "tecnica" di una rete a
quella "applicativa" ha profonde implicazioni a livello di sicurezza,
anche perché coinvolge nel processo decisionale e di cambiamento
un insieme di figure manageriali e aree di responsabilità aziendale più
orientate al business e che, per molto tempo, sono state
sostanzialmente non interessate a quanto era ritenuto di esclusiva
competenza del reparto IT.
La sicurezza del futuro non potrà, quindi, essere un elemento
aggiuntivo del sistema informativo o dell'infrastruttura aziendale ma,
dovrà invece essere un componente pervasivo e integrato di
entrambi, come pure di tutti gli elementi tecnologici, anche non IT,
presenti in azienda. Un primo elemento che emerge è che sicurezza e
rete sono due cose che è sempre più opportuno siano pensate e
sviluppate in modo parallelo. Una tale sinergia appare poi tanto più
necessaria quanto più la rete agisce come integratore e come base
per applicazioni convergenti e per l'erogazione di servizi.
Si tratta del punto di arrivo di un processo di convergenza tra security
e networking che parte da lontano: quando gli switch hanno
cominciato a fare i router e questi ultimi hanno iniziato a controllare
gli accessi tramite le ACL (Access Control List).
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
46
Le Virtual Private Network (VPN)
La consolidata affermazione delle reti private virtuali (VPN) basate su
protocollo IP è legata al presupposto di realizzazione a basso costo di
una rete privata end-to-end che sfrutti la “gratuità” di Internet.
Vi sono fondamentalmente due modi con cui utilizzare
vantaggiosamente una rete VPN nel contesto aziendale. Il primo,
disponendo di un adeguato accesso a Internet, prevede l’obiettivo
principale di espandere le relazioni con i propri clienti. Il secondo, più
complesso, consiste nell'utilizzare Internet o il protocollo IP,
canalizzato tramite un carrier, non solo per i propri clienti ma anche
per interconnettere le proprie sedi aziendali. In pratica, con una VPN
si ha la realizzazione di un’interconnessione geografica da sede a
sede (generalmente da LAN a LAN) con un costo che è solo una
frazione di quello tipico delle reti geografiche.
Una VPN utilizza un’infrastruttura condivisa per la connessione delle diverse sedi aziendali
Una VPN è virtualmente privata, proprio perché utilizza infrastrutture
di rete condivise anche da altri utenti. Internet, poi, è una classica
rete "aperta", quindi, in linea di massima, aperta lo è anche una VPN.
3 - LA NETWORK SECURITY
47
Per questo è necessario che siano implementati opportuni criteri sia
da parte del fornitore sia dell’utilizzatore della VPN stessa.
I dati immessi in rete nel punto di origine, per arrivare al punto di
destinazione, attraversano nodi appartenenti a sottoreti diverse, che
assicurano come funzione di base la commutazione o routing dei
pacchetti IP verso il nodo di destinazione. Proprio questa
"multiproprietà" apre la strada ad attacchi dall'esterno e, in sostanza,
chi si appresta a utilizzare una VPN, ha la necessità di essere protetto
dall'accesso ai suoi dati da parte di persone non autorizzate.
Esistono oggi risposte concrete a queste esigenze, di cui alcune
sviluppate proprio per l’ambito IP, come l’IPsec (Internet Protocol
Security), uno standard specifico per Internet e applicazioni di
commercio elettronico su Internet.
L’architettura IPsec
La suite di protocolli per la sicurezza del livello di rete IPsec prevede
la realizzazione di due diverse modalità di protezione dei dati. La
prima permette di autenticare i dati inviati, la seconda aggiunge a
questo anche la cifratura degli stessi. IPsec costituisce una vera e
propria architettura aperta per la realizzazione di reti sicure che
consente di inserire nuovi metodi di cifratura mano a mano che
vengono sviluppati o che i sistemi utilizzabili per attaccare i dati si
perfezionano.
Le aree che sono state affrontare nella definizione di IPsec sono:
Autenticazione dei dati di origine per verificare che gli stessi siano
stati inviati effettivamente dal mittente.
Protezione dal rischio che i dati possano essere intercettati e
ritrasmessi in un momento successivo.
Integrità dei dati per verificare che quanto inserito nei
datagrammi non sia stato alterato.
Gestione automatica delle chiavi di cifratura in modo da poter
stabilire una politica di rete che non richieda continui interventi
manuali.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
48
Le tecnologie di autenticazione possono anche utilizzare elementi
esterni, come i token, ma tali meccanismi rimangono esterni
all’architettura VPN propriamente detta. Così come lo è il protocollo
tipicamente usato nelle reti per la realizzazione di una sessione sicura
su Internet, cioè il Secure Socket Layer (SSL).
Rispondere alle minacce in tempo reale
A monte di qualsiasi progetto per la sicurezza è necessario effettuare
un’operazione culturale. Errare humanum est e appunto sfruttando
l’ingenuità, l’ignoranza o comportamenti irresponsabili dei
dipendenti, gli “attacker” penetrano nei sistemi e reti aziendali.
Negli anni sono aumentati gli attacchi perpetrati attraverso il social
engineering. È facile credere a una mail che arriva apparentemente
da un dirigente aziendale con un tono minaccioso e quindi cascare in
trappole tese da un malintenzionato che era riuscito a impossessarsi
di un paio di informazioni, magari raccolte su un sito di social
networking, dove in molti si confessano liberamente. Il phishing, in
particolare, è nato proprio con il concetto di sfruttare l’ingenuità
delle persone e, utilizzando tecniche di spamming, colpisce sempre
più facilmente nel segno. Statisticamente, inviando centinaia di
migliaia di e-mail, c’è certamente qualcuno che crede a messaggi
sempre più plausibili e clicca sul link-esca.
Le logiche dei grandi numeri fanno il resto: se “abbocca” l’1% dei
destinatari (è una percentuale stimata da diversi security advisor),
significa migliaia di identità elettroniche, numeri di carta di credito,
password o altre informazioni rubate. Anche percentuali inferiori
portano a risultati interessanti, che spesso rappresentano solo la
base di partenza per ulteriori crimini.
Conoscenza e consapevolezza riducono il rischio, ma, soprattutto
nelle grandi imprese, non è facile diffondere una cultura sulla
sicurezza a tutti i dipendenti. Senza contare che combattere la
pigrizia e la debolezza della natura umana è una battaglia persa in
partenza.
3 - LA NETWORK SECURITY
49
Allora la guerra va combattuta e vinta su altri terreni e, vista la
sofisticazione e la crescente rapidità degli attacchi, l’unica strategia
possibile consiste nell’applicare strumenti automatici.
Un esempio può aiutare a comprendere le dimensioni del problema.
A partire dalla seconda metà del 2007, si è assistito all’affermazione
di una tecnica preoccupante: “l’infezione” di siti insospettabili.
Su home page e pagine interne di Web facenti capo a enti
governativi, università, aziende anche note sono stati inseriti link che
attivano il download di codici maligni. È evidente che qui non c’entra
la cultura e solo un software di protezione può impedire all’utente
ignavo di scaricare malware. Peraltro, il sistema di sicurezza deve
essere sofisticato e aggiornato in tempo reale: in altre parole,
automatico. Altrimenti non può essere efficace. Basta infatti
considerare che viene pubblicata una pagina infetta ogni 5 secondi e
una percentuale sempre più alta di tali pagine appartiene a siti
“innocenti”.
Siti che non ricevono alcun danno e, quindi, difficilmente possono
percepire che c’è qualcosa di sbagliato, almeno non in tempi rapidi. Il
punto è che queste azioni sono rapidissime: viene pubblicata la
pagina infetta, contestualmente vengono mandate centomila e-mail
utilizzando pc “puliti” all’insaputa del proprietario (questo sì
colpevole di scarsa protezione). Nel giro di pochi minuti, se non
secondi, circa mille malcapitati (l’1% dei destinatari) avranno cliccato
sul link trappola.
Oggi, esistono soluzioni che proteggono da tecniche come queste, ma
non tutti ne dispongono. I primi passi in questa direzione sono stati
compiuti con le soluzioni NAC (Network Access Control) che
consentono di verificare il livello di sicurezza dei client prima di
concedergli l’accesso alla rete aziendale. Ma in realtà il problema da
affrontare è quello accelerare l’aggiornamento dei sistemi aziendali
per diffondere la protezione a ogni sistema contemporaneamente.
Nell’ultimo periodo soprattutto tra gli ambiti emersi come i più critici
nell’ambito della network security possiamo ricordare: l'esigenza di
protezione degli endpoint in uno scenario di mobilità crescente, gli
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
50
attacchi DDoS (Distributed Denial of Service), le minacce APT e la
lotta alle intrusioni che ha portato allo sviluppo di Firewall e IPS
(Intrusion prevention system) di “prossima generazione".
Controllare chi o cosa vuole entrare nella rete:
i rischi degli endpoint
Il punto di partenza è che non solo qualunque utente, ma anche
qualsiasi sistema dovesse chiedere accesso alla rete potrebbe portare
traffico nocivo.
Abbandonando il concetto di perimetro, gli endpoint sono da sempre
un pregiato oggetto di attacco. Oggi più che in passato, perché molte
delle tecniche emergenti, oltre a tentare di sfruttare l’ignoranza o la
disattenzione dell’utilizzatore, sono state sviluppate proprio per
agganciare un “endpoint” e usarlo come chiave d’accesso al sistema
aziendale. Il tutto all’oscuro del proprietario del mezzo, cui si cerca di
dare meno fastidio possibile.
Per questo, l’approccio al controllo degli accessi è profondamente
cambiato nel giro di pochi anni e, se in passato appariva sufficiente
controllare l’identità di chi chiedeva l’accesso, oggi risulta sempre più
importante verificare anche le condizioni del sistema utilizzato per il
collegamento. In altre parole è opportuno capire se il computer con
cui un utente si vuole connettere è dotato di quei requisiti di
sicurezza che si ritengono necessari.
Questo controllo è importante tanto per il pc dell’utente occasionale
(il partner, il fornitore, il cliente) quanto, anzi di più, per quello del
dipendente. Non è più pensabile affidarsi alle policy aziendali, che
vengono sistematicamente disattese (troppi utenti, per esempio,
disattivano l’antivirus o la suite di sicurezza perché rallenta troppo le
applicazioni, ancora oggi che le soluzioni sono decisamente più
performanti di un tempo). Non è un caso che, negli anni, si è assistito
a un proliferare delle caratteristiche di “enforcement” all’interno
delle soluzioni per la protezione del pc: queste sono necessarie per
obbligare l’utente a mantenere adeguato il livello di sicurezza della
3 - LA NETWORK SECURITY
51
propria macchina. La probabilità dell’attacco e la rapidità dello
stesso, infatti, non consentono di avere un pc “scoperto”.
L’errore dell’utente, dolente o nolente, è statisticamente tra le
principali cause di problemi per la sicurezza ed è ovvio che i
malintenzionati cercheranno sempre di approfittarne. Per questi
motivo, l'adozione di sistemi automatizzati per la protezione degli
endpoint è diventata ancor più cruciale con la diffusione di minacce
nascoste, che si annidano sul terminale per poi trasferirsi all’interno
del sistema aziendale una volta che il pc si connette alla rete. Anche
senza dolo, l’utilizzatore potrebbe essere il punto debole attraverso il
quale viene sferrato un attacco.
Il problema ha assunto un ulteriore carattere d’urgenza, con il
proliferare di sistemi portatili, spesso impiegati anche per attività
personali e frequentemente collegati a reti e sistemi di terze parti,
sulla cui sicurezza l’azienda fatica ad esercitare un controllo. Ma
anche perché è sempre più necessario e frequente far entrare anche
utenti occasionali, come partner e fornitori.
Gli attacchi DDoS (Distributed Denial of Service)
Tra le minacce alla sicurezza di rete che meritano, sfortunatamente,
un approfondimento, vi è il tema degli attacchi di Distributed Denial
of Service (DDoS) che nell'ultimo periodo sono emersi come una delle
minacce critiche nell'ambito della network security.
I DDoS, in estrema sintesi, consistono nel "bombardare" un servizio
Web con grandi volumi di traffico, fino a metterlo in tilt. Sono
diventati noti perché strumento preferito per le azioni dimostrative
dei gruppi Anonymous, che hanno avuto una grande eco mediatica.
Negli ultimi dieci anni, gli attacchi DDoS si sono moltiplicati,
allargando gli ambiti di impiego. Crescono, per esempio, gli attacchi
mirati di sabotaggio. Sabotaggi che riguardano soprattutto il mondo
aziendale, con episodi di concorrenza sleale, per esempio nell'ambito
del gaming online e del commercio elettronico.
Va infatti considerato che l'industria dei servizi online sta crescendo
notevolmente, affiancando anche attività tradizionali: non è inusuale,
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
52
per esempio, che piccole aziende agricole riescano a vendere i propri
prodotti DOP o IGP in tutto il mondo attraverso Internet. C'è chi
sente sicuro, magari perché ritiene di non avere concorrenti o di
essere troppo benvoluto per diventare un bersaglio. Il problema,
però, sono i danni collaterali: si sono verificati, infatti, attacchi
destinati a data center di provider, che hanno colpito più servizi. Per
le Telco e i service provider quello dei DDoS sta diventando un
problema serio.
Dallo spionaggio industriale a quello dei servizi segreti, il passo è
purtroppo breve e la Cyber War è una preoccupazione che agita molti
governi. Il primo caso di Cyber War che viene citato è l'attacco che
nel 2007 ha isolato da Internet l'ex Repubblica sovietica d'Estonia
proprio con attacchi DDoS. La Russia, principale indiziato nega.
In nome della Cyber Defense si investe, ricordando la Guerra Fredda,
nella corsa agli "armamenti", in termini di CyberWarefare, cioè nel
dotarsi di competenze, risorse umane e "armi" informatiche,
compresi gli strumenti DDoS.
Le vulnerabilità dei sistemi SCADA
Un tema collegato alla Cyber War e al cyber terrorismo e che
riguarda la network security è quello delle infrastrutture critiche che
erogano servizi essenziali ai cittadini.
In particolare, il tema riguarda gli Industrial Control Systems (ICS) che
sono dispositivi, sistemi, reti e controlli utilizzati per operare e/o
automatizzare i processi industriali, presenti in quasi ogni settore,
dalla produzione di veicoli al trasporto, dall’energia al trattamento
delle acque. Gli ICS comunicano con i sistemi e le reti SCADA
(Supervisory Control And Data Acquisition) che forniscono agli
operatori i dati per le attività di supervisione e la capacità di controllo
per la gestione dei processi.
La sicurezza di sistemi ICS/SCADA resta un tema importante perché
sono comunemente utilizzati per il funzionamento di industrie di
grande rilevanza e per il monitoraggio e controllo della maggiore
parte dei servizi essenziali ai cittadini, come la fornitura di acqua,
3 - LA NETWORK SECURITY
53
elettricità, gas e anche i mezzi di trasporto. In ambito industriale i
sistemi ICS/ SCADA sono utilizzati da tempo e, mano a mano che
l’automazione continua a evolversi e diventa più importante a livello
mondiale, la loro diffusione e importanza cresce.
Una crescita a cui, purtroppo, fa eco una mancanza di protezione ben
documentata e ampiamente conosciuta. È noto, per esempio, che
attraverso Internet si possono effettuare ricerche che restituiscono
facilmente l’accesso ai pannelli di controllo di sistemi SCADA,
l’identificazione delle macchine e delle loro funzioni. Altri siti
vengono sempre più spesso utilizzati per la diffusione di informazioni
legate ai dispositivi ICS/SCADA come, per esempio, i loro indirizzi IP.
Tutto ciò ha favorito e continua a favorire le azioni del cyber crimine
che, negli ultimi anni, ha segnato importanti punti a proprio favore
con minacce quali Stuxnet considerato uno dei codici malware più
sofisticati che sia mai stato scritto.
Va rimarcato che i sistemi ICS/SCADA, sebbene simili nelle funzioni ai
sistemi di ICT Security, differiscono notevolmente da questi ultimi nel
modo di interpretare l’esigenza di sicurezza. La prima priorità dei
sistemi IT di sicurezza è tipicamente la protezione dei dati mentre nei
dispositivi ICS/SCADA si tende a privilegiare l’affidabilità e
l’accessibilità dei dati per non compromettere la produttività.
Ogni sistema SCADA presenta poi caratteristiche specifiche in termini
di requisiti di disponibilità, architettura, obiettivi e requisiti
prestazionali e questo richiede che vengano trattati in modo unico.
Solitamente i sistemi SCADA non prevedono di default la presenza di
soluzioni anti malware. Questo è legato sia alla loro natura
intrinsecamente legacy sia perché si tratta di macchine deputate al
controllo di altri strumenti per cui una qualsiasi forma di ritardo nel
calcolo computazionale introdotta da un sistema di controllo
potrebbe causare inconvenienti. Per questa ragione solitamente il
controllo dei sistemi SCADA viene effettuato a livello di singola
macchina in modalità batch e, in molti casi, non è neppure possibile
effettuare controlli in rete.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
54
Un altro problema di cui le aziende solitamente non si preoccupano è
che le macchine SCADA sono gestite e manutenute da terze parti.
Pertanto, se non si ha la possibilità di esercitare un’azione di
controllo sui processi di queste operatori o se non si mette a loro
disposizione un sistema per effettuare un controllo in linea della
macchina, il rischio di introdurre malware su uno di questi dispositivi
diventa elevato.
In base a queste considerazione, l'approccio più efficace che emerge
per la protezione di questi sistemi (analogo a quello utile per
fronteggiare le APT) è di predisporre un modello di security
intelligence in grado di fornire un monitoraggio affidabile e continuo
del comportamento di reti e sistemi per segnalare prontamente
eventuali anomalie sospette.
Verso i firewall e IPS di prossima
generazione
Uno dei primi problemi che le aziende si sono poste con l'apertura
verso il Web è stato il controllo degli accessi alla rete aziendale, per il
quale sono stati sviluppati opportuni protocolli di autenticazione.
È stato però subito evidente che dalla Rete potevano arrivare sul
sistema e sul Web aziendale dei malintenzionati. Inizialmente, si
temeva più che creassero danni per gioco, mentre oggi si sa che
vogliono colpire in maniera mirata per sottrarre informazioni di
business da rivendere o sfruttare ai propri fini.
Sono nati i firewall, che si preoccupavano di "chiudere" alcune porte
della rete, permettendo il passaggio solo di "traffico giusto". Nel
corso del tempo, tuttavia, i firewall di tipo tradizionale si sono
dimostrati inadatti a filtrare in modo efficace il traffico di rete per
bloccare le minacce avanzate che sono diventate anche capaci di
eludere, con piccole modifiche al codice, il sistema di rilevazione degli
IPS tradizionali, basato sulla corrispondenza tra "signature" di
sicurezza ed exploit.
3 - LA NETWORK SECURITY
55
L'escalation tra tecniche d'intrusione e sistemi per rilevarle e
bloccarle è storia. La rincorsa prosegue, ma il modo di
fronteggiarsi tra aspiranti intrusori e aziende ha cambiato ritmo e,
da entrambe le parti, si adottano sistemi più automatizzati e
sofisticati.
I Next Generation Firewall rappresentano uno degli ultimi step di
questo percorso evolutivo.
La prima definizione di Next Generation Firewall si deve a Gartner
che nel suo "Magic Quadrant for Enterprise Network Firewalls" del
2009 individua come requisiti caratterizzanti per questo tipo di
soluzioni l'integrazione delle seguenti funzioni:
analisi approfondita dei pacchetti (Deep Packet Inspection),
Intrusion Detection,
capacità di riconoscere le applicazioni,
capacità di controllo granulare.
Inoltre i Next Generation Firewall differiscono dai firewall
tradizionali nella loro efficacia quando operano anche come
sistemi di Intrusion Prevention (IPS).
Le ragioni per adottare un NGFW/NGIPS
Gli NGFW/NGIPS rispondono all'esigenza delle imprese di
incrementare il livello di sicurezza e, nel contempo, di conseguire
una minore complessità grazie all'elevato livello di integrazione. Più
specificatamente, le ragioni per indirizzarsi verso un NGFW/NGIPS
sono molteplici ma possiamo individuarne almeno tre.
La prima riguarda la possibilità di controllo a livello di applicazioni,
le cui vulnerabilità rappresentano ormai il veicolo prevalente di
tutte le violazioni. Si tratta, in realtà, di una conseguenza
dell'evoluzione e dell'innovazione di approccio degli attacchi che si
stanno spostando dalla rete, per sfruttare le falle anche dei
sistemi operativi e delle applicazioni. Di conseguenza, dato che il
cyber crimine trova modi sempre più ingegnosi nello scoprire
nuovi percorsi dati, è fondamentale rendere sicuro l'intero flusso.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
56
Un controllo a livello di applicazione è di fondamentale
importanza, perché permette alle organizzazioni di impostare
policy specifiche per un utente, per ogni applicazione che
utilizza.
Una seconda motivazione riguarda la diffusione della mobilità e
la crescita fenomenale di App che, come dimostrano diversi studi
(per esempio il Cyber Risk Report 2014 di Ponemon
sponsorizzato da HP), presentano per la maggior parte
vulnerabilità in relazione alla possibile perdita o fuoriuscita di
dati.
Un risultato che non sorprende se si considera che, i campioni
unici di minacce indirizzati al sistema Android hanno già superato
abbondantemente l'impressionante numero di un milione.
Un'ulteriore driver riguarda la constatazione che le nuove
minacce come le APT stanno aumentando di numero, mentre gli
obiettivi si estendono progressivamente dalle aziende più grandi
per includere, potenzialmente, qualsiasi tipo di organizzazione.
L'importanza delle tecnologie firewall evolute diventa evidente
se si considera che la prima fase di un attacco APT è di penetrare
le difese di rete in modo inosservato. Dopo la realizzazione di
questo obiettivo, il cyber criminale può eseguire una serie di
azioni, come il furto di dati sensibili, il sabotaggio dei sistemi o
l'utilizzo illecito delle risorse di calcolo.
Questi attacchi sono molto efficaci nel passare inosservati e
possono protrarsi per diversi mesi o addirittura anni.
In un contesto di reti senza perimetro, minacce persistenti e
utenti remoti, gli NGFW/NGIPS rappresentano, pertanto,
soluzioni efficaci per la sicurezza di rete e versatili nel poter far
evolvere le modalità di protezione senza impattare su processi e
infrastruttura.
3 - LA NETWORK SECURITY
57
HP TippingPoint Next Generation
Firewall (NGFW)
Con la gamma TippingPoint di sistemi firewall di nuova generazione
(NGFW) HP si propone di fornire una soluzione per contrastare il
malware avanzato e le minacce APT.
I dispositivi della gamma HP TippingPoint di nuova generazione
forniscono il livello di visibilità necessario a riconoscere quali
applicazioni stanno girando sulla rete aziendale e chi sta accedendo a
tali applicazioni per poi consentire di predisporre le policy richieste
per bloccare e controllare le applicazioni non richieste.
Questo livello di visibilità e controllo consente alle organizzazioni di
restringere l’accesso generale di certi dipendenti alle applicazioni di
trasferimento dei file nel cloud, qualora sussista il rischio che la
proprietà intellettuale possa essere memorizzata in contrasto alle
policy aziendali.
Per fronteggiare i rischi legati alla mobilità gli NGFW/NGIPS di HP
abilitano il blocco automatico del codice nascosto o dannoso che può
introdursi in rete, ricorrendo a capacità di blocco delle vie d’uscita in
modo da evitare la fuoriuscita di dati sensibili verso destinazioni
"Command-and-Control".
Per rispondere ai rischi introdotti dal BYOD gli utenti delle soluzioni
HP TippingPoint hanno a disposizione controlli sulle policy delle
applicazioni a livello granulare, che consentono anche di gestire
l’interazione con le più diffuse piattaforme social e consumer come
Facebook, Google e Twitter.
Tra i punti distintivi di queste soluzioni vi è anche la semplicità d'uso
che le rende adatte anche alle organizzazioni prive di personale
specializzato. L'installazione e il rilascio in produzione può avvenire,
secondo HP, in meno di un'ora e mettendo a disposizione una singola
interfaccia di gestione in grado di condividere la configurazione delle
policy per la sicurezza di rete.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
58
L'affidabilità è un altro aspetto su cui HP intende rimarcare il
valore dei propri dispositivi mentre, per quanto riguarda l'efficacia
della propria tecnologa di protezione nel bloccare possibili
minacce, HP mette sul piatto l'attività del team di ricerca DVLabs
che ha pubblicato migliaia di filtri e che è costantemente
impegnato in operazioni per arrestare gli exploit e bloccare gli
attacchi.
Il portafoglio prodotti della famiglia HP TippingPoint NGFW
prevede attualmente cinque modelli.
Tra le funzionalità comuni a tutti i modelli vi è il supporto per
funzionalità di rete predisposte per il protocollo IPv6 che
includono Link aggregation, OSPF, RIP, supporto VLAN, BGP e
routing multicast dinamico. Inoltre, prevedono funzioni di alta
disponibilità sia in modalità attiva sia passiva. Questi appararti
supportano connettività tramite VPN IPsec sia in modalità "site-to-
site" sia "client-to-site".
I Next Generation Firewall di HP prevedono anche il supporto
integrato per la definizione di policy basate sull'utente con servizi
di autenticazione basati su Active Directory, LDAP o RADIUS. Le
funzioni di controllo d'accesso tramite ruolo (RBAC) consentono di
avere sempre sotto controllo chi è in grado di intervenire sulla
configurazione del dispositivo e su quali parti.
Tutti i modelli dispongono di una porta di rete RJ-45 10/100/1000
per la gestione out-of-band oppure possono essere gestiti in
modalità
in-band tramite porte di rete. Inoltre è presenta una porta seriale
RJ-45 per la console.
La gestibilità può avvenire tramite Security Management Server
(SMS), linea di comando SSH, Web browser (https) oppure
utilizzando la HP TippingPoint NGFW Management Information
Base (MIB).
Il consumo energetico è di 142 W per il modello entry level e di
493 W per gli altri quattro.
3 - LA NETWORK SECURITY
59
HP TippingPoint Next Generation Firewall S1050F
È la soluzione entry level adatta per le implementazioni di rete delle
filiali.
Si tratta di un dispositivo da rack di dimensioni 1U che supporta un
throughput fino a 500 Mbps in modalità solo firewall, che lo rende
adatto a supportare fino a 250mila connessioni simultanee e fino a
10mila nuove connessioni per secondo; se utilizzato in modalità
Firewall+IPS+Application control il throughput massimo suggerito è di
250 Mbps.
I valori di latenza tipici di questo dispositivo nella modalità d'utilizzo
Firewall+IPS sono inferiori a 600 microsecondi. Il throughput a
disposizione per la realizzazione di VPN IPsec è di 250 Mbps con la
possibilità di creare fino a 1250 tunnel VPN.
HP TippingPoint Next-Generation Firewall S1050F
Il firewall S1050F dispone di 8 GB di storage integrato su memoria
Flash CFast rimovibile. La connettività di rete prevede otto porte
RJ-45 10/100/1000 più una porta 10/100/1000 per l'alta disponibilità.
HP TippingPoint Next Generation Firewall
S3010F/S3020F
I Next Generation Firewall S3010F/S3020F sono apparati di
dimensioni 2U indicati per le implementazioni di rete di campus e
filiali, essendo adatti per un numero di connessioni simultanee
rispettivamente di 500mila e 1 milione.
La capacità storage in dotazione è di 8 GB, mediante memoria Flash
CFast rimovibile.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
60
La connettività di rete prevede otto porte 10/100/1000 e otto porte 1
Gbps SFP rame/fibra a cui si aggiunge una porta 10/100/1000 per
l'alta disponibilità.
Il tempo di latenza tipico in modalità Firewall+IPS è inferiore a 120
microsecondi e possono essere stabilite fino a 500mila (S3010F) o un
milione (S3020F) di sessioni contemporanee.
Il modello 3010F mette a disposizione un throughput di 500 Mbps in
modalità Firewall+IPS+Application control che sale a 1 Gbps quando
utilizzato in modalità di solo Firewall. Una banda di 500 Mbps a
disposizione per le VPN IPsec.
Il modello S3020F raddoppia il throughput arrivando a 2 Gbps in
modalità solo Firewall e 1 Gbps quando opera come
Firewall+IPS+Application control.
HP TippingPoint Next-Generation Firewall S3020F
HP TippingPoint Next Generation Firewall
S8005F/S8010F
Al top della gamma si collocano i due modelli S8005F e S8010F di
dimensioni 2U adatti per 10 e 20 milioni di connessioni simultanee.
Si tratta di apparati indicati per le implementazioni di rete dei data
center che dispongono di 32 GB di storage integrato su memoria
Flash CFast rimovibile.
3 - LA NETWORK SECURITY
61
La connettività di rete prevede otto porte 10/100/1000, otto
porte 1 Gbps SFP rame/fibra, quattro porte 10 Gbps SFP
rame/fibra e due porte 10/100/1000 per l'alta disponibilità.
Il tempo di latenza tipico in modalità Firewall+IPS è inferiore a
120 microsecondi e possono essere stabilite fino a 50mila
nuove connessioni al secondo.
A livello di prestazioni il modello S8005F mette a disposizione un
throughput di 5 Gbps in modalità solo Firewall o di 2,5 Gbps in
modalità Firewall+IPS+Application control e 1,5 Gbps per le VPN
IPsec; questi numeri raddoppiano sul modello S8010F.
HP TippingPoint Next-Generation Firewall S8010F
HP TippingPoint Security Management System
HP TippingPoint SMS mette a disposizione un sistema di management
centralizzato per la condivisione di configurazioni e policy di sicurezza
della rete attraverso i firewall (NGFW) e i sistemi IPS di nuova
generazione dispositivi (NGIPS).
HP TippingPoint SMS è un'appliance che fornisce una vista globale e
la possibilità di amministrazione, configurazione, monitoraggio e
reporting nelle implementazioni su larga scala di molteplici IPS.
Una tipica distribuzione di IPS HP su tutta la rete è costituita da un client
SMS (basato su Java), da un sistema centralizzato SMS e da molteplici
IPS.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
62
Un esempio di visualizzazione fornita da HP Security Management System
L'SMS prevede livelli di controllo di accesso basati su privilegi di
operatore (sola lettura), amministratore e supervisore. Fornisce una
vista generale, con analisi sui trend, correlazione e grafici in tempo reale,
compresi report con statistiche sul traffico, attacchi filtrati, host di rete e
servizi di inventario e stato di salute degli IPS.
Le caratteristiche principali includono:
reporting e analisi dei trend a livello enterprise,
cruscotto che fornisce una vista globale,
configurazione e monitoraggio del dispositivo,
reporting automatico,
meccanismi di Automated Security Response,
gestione basata su policy,
gestione del Digital Vaccine,
gestione e revisione degli eventi,
risposta automatica a eventi e operazioni di rimedio,
gestione degli user account e degli accessi.
3 - LA NETWORK SECURITY
63
HP TippingPoint Next Generation IPS
Per superare i limiti di un IPS tradizionale e fregiarsi del titolo di "next
generation", un NGIPS dovrebbe offrire funzionalità avanzate di
rilevamento delle minacce, compresa la rilevazione delle anomalie di
comportamento, la reputazione IP e analisi di tipo euristico. Questi
metodi di rilevamento sono necessari se si vuole sperare di
sconfiggere exploit su misura, attacchi zero-day e polimorfici. Inoltre,
deve essere in grado di identificare ed effettuare controlli sia a livello
di applicazioni sia di utente finale.
Un NGIPS dovrebbe anche essere in grado di raccogliere e analizzare
un volume ingente di dati per essere efficace, ma introducendo una
latenza minima e con un impatto trascurabile sulla disponibilità dei
sistemi.
Per supportare i requisiti di larghezza di banda richiesti è importante
anche la presenza di un'elevata densità di porte ed è auspicabile il
supporto per il 40 GbE (sempre più adottato nelle reti aziendali) e di
standard come IEEE 802.1AX Link Aggregation Control Protocol
(LACP).
Un NGIPS dovrebbe poter essere implementato come appliance di
bridging trasparente poiché, come tale, può essere inserito sulla rete
senza richiedere un indirizzo IP o modifiche, semplificando
notevolmente il processo di acquisizione, approvazione e
distribuzione.
Un altro fattore che influenza il valore di business nella scelta di un
NGIPS è la sua predisposizione a supportare le nuove tecnologie
come la virtualizzazione e il cloud computing. Per esempio, le
appliance di sicurezza di rete fisiche non sono in grado di controllare
le comunicazioni tra macchine virtuali; di conseguenza, sarebbe
auspicabile che un portafoglio di prodotti NGIPS includesse anche
appliance virtuali NGIPS per monitorare le comunicazioni tra
macchine virtuali e proteggere completamente ambienti cloud
privati, pubblici e ibridi.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
64
Infine, un NGIPS dovrebbe offrire anche la possibilità di aggiungere
facilmente nuove funzionalità di sicurezza, al fine di adattarsi ai
cambiamenti ambientali e al mutamento degli scenari di minaccia
nonché alla crescita organizzativa di un'azienda.
Tutti questi requisiti trovano conferma nella gamma di soluzioni HP
TippingPoint NGIPS che prevede tre macro componenti:
le piattaforme hardware specializzate per la prevenzione delle
intrusioni (IPS);
le soluzioni appliance e virtual machine HP TippingPoint
Security Management System (SMS) che forniscono funzioni di
gestione della sicurezza di livello enterprise a tutti i prodotti di
sicurezza HP TippingPoint;
l'organizzazione di ricerca per la sicurezza DVLabs che effettua
una ricerca avanzata delle minacce correlando eventi di
sicurezza e di vulnerabilità, per fornire le informazioni
intelligenti di sicurezza che alimentano le piattaforme IPS come
i Digital Vaccine (i filtri per proteggere le reti dai diversi tipi di
minacce) e il servizio integrativo di reputazione dinamica della
rete pubblica ThreatDV.
HP TippingPoint Security Management System (SMS)
3 - LA NETWORK SECURITY
65
Le soluzioni HP TippingPoint NGIPS individuano le nuove vulnerabilità
presenti sulla rete e intervengono applicando delle "patch" virtuali
che fermano sul nascere la diffusione di traffico dannoso. Di fatto, il
sistema IPS di HP ottimizza le prestazioni del traffico legittimo
effettuando una continua pulizia della rete e assegnando la massima
priorità alle applicazioni mission critical.
Queste soluzioni dispongono anche di funzioni di elevata disponibilità
e ridondanza e sono caratterizzate da una latenza tipica inferiore a
40 microsecondi, per proteggere dispositivi di rete, software di
virtualizzazione, sistemi operativi e applicazioni da attacchi senza
impattare sulle prestazioni.
Le soluzioni HP TippingPoint NGIPS e il sistema di gestione della
sicurezza (SMS) possono essere facilmente installati in rete,
tipicamente in un tempo che varia, secondo quando indicato da HP,
da 30 minuti a due ore, senza richiedere di associare alcun indirizzo IP
o MAC, in modo da poter iniziare immediatamente a filtrare il traffico
dannoso e indesiderato.
Gli NGIPS di HP consentono di gestire le policy di sicurezza con
granularità fine: gli amministratori possono impostare criteri di
sicurezza di rete specifici per segmento di rete, VLAN, o Classless
Inter-Domain Routing (CIDR). Inoltre, attraverso le funzionalità di
reputazione della piattaforma NGIPS e il Reputation Digital Vaccine,
gli utenti possono incorporare l'uso di indirizzi IP e dei nomi DNS
all'interno della loro gestione delle policy di sicurezza.
HP TippingPoint IPS Serie NX
La serie HP TippingPoint NX di sistemi di prevenzione delle intrusioni
di prossima generazione è in grado di fornire in tempo reale
protezione in linea dalle intrusioni e una sicurezza proattiva della rete
adatte a sostenere l'evoluzione e la crescita dei data center.
Utilizza la tecnologia X-Armour di TippingPoint per garantire un
sistema di prevenzione delle intrusioni adattivo che protegge dalle
minacce informatiche che aggrediscono le applicazioni, le reti e i dati
critici.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
66
La serie NX comprende i modelli S2600NX, S5200NX, S6200NX con un
throughput di rete di 40 Gbps e una capacità di ispezione
rispettivamente di 3, 5 e 10 Gbps.
I modelli S7100NX S7500NX hanno un throughput di rete di 100 Gbps
e una capacità di ispezione rispettivamente di 15 e 20 Gbps,
supportando fino a 60 milioni di sessioni contemporanee.
Tutti i dispositivi Serie NX hanno tempi di latenza inferiori a 40
microsecondi.
HP TippingPoint NGIPS S7100NX
HP TippingPoint IPS Serie N
La serie N di appliance NGIPS HP TippingPoint per la prevenzione
delle intrusioni mette a disposizione delle aziende un elevato livello
di protezione in-line e in tempo reale attraverso differenti sistemi che
si differenziano per prestazioni e capacità di filtro.
I modelli HP 660N e HP 1400N sono i sistemi "entry level" dotati di 10
segmenti con interfaccia a 1 Gbps e supportano una capacità di
ispezione IPS rispettivamente di 750 Mbps e 1,5 Gbps.
Alle esigenze di fascia superiore si indirizzano i modelli HP S2500N,
S5100N e S6100N dotati di interfacce a 1 e 10 Gbps e adatti a un
throughput consigliato rispettivamente di 3, 5 e 10 Gbps.
In particolare la piattaforma TippingPoint 6100N ha una capacità di
filtro fino a 10 Gbps e un tempo di latenza di soli 40 microsecondi
3 - LA NETWORK SECURITY
67
adatto alle richieste di protezione di traffico in ambienti altamente
virtualizzati senza penalizzare la qualità operativa.
Tutti i modelli prevedono il sistema di alimentazione ridondante e
altre funzionalità per l'alta disponibilità quali Layer 2 Fallback e
Stateful Redundancy.
HP TippingPoint Core Controller
Sotto la continua spinta del consolidamento a livello di data center,
dell'high performance computing (HPC) e delle applicazioni a elevata
richiesta di ampiezza di banda come il video on-demand e il file
sharing, le reti "core" utilizzano sempre più spesso tecnologia di rete
a 10 Gbps.
Pertanto, l'esigenza di ispezionare il traffico e bloccare le minacce
dannose presso i punti caratterizzati da elevato traffico di throughput
senza compromettere il livello prestazionale diventa sempre più
pressante. Per questo motivo i responsabili della rete e della
sicurezza si preoccupano di predisporre sistemi IPS non solo presso il
tradizionale perimetro WAN, ma anche tra i principali segmenti di
rete all'interno delle reti "core" e dei data center.
HP Core Controller è un sistema dotato di 48 porte 1000Base-T e 6
porte 10GbE che estende la protezione IPS basata su tecnologia
TippingPoint ai collegamenti a 10 Gbps.
HP TippingPoint Core Controller
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
68
Questa soluzione consente un'ispezione automatizzata del traffico in linea,
fino a 20 Gbps, per proteggere dagli attacchi i dispositivi di rete, i software
di virtualizzazione, i sistemi operativi e le applicazioni Web e aziendali.
HP TippingPoint Core Controller viene implementato inserendolo
come elemento di rete, adatto a supportare fino a 3 connessioni di
rete a 10 Gbps. Il traffico che entra nel Core Controller viene
bilanciato in modo intelligente verso una serie di IPS, mentre quello
affidabile viene inviato nuovamente al Core Controller per la
distribuzione verso gli appropriati collegamenti a 10 Gbps.
HP TippingPoint CloudArmour
HP TippingPoint CloudArmour è una combinazione di prodotti
progettati per garantire la sicurezza delle infrastrutture data center
virtualizzate, che controlla e proteggere il traffico di macchine virtuali
all'interno di server host fisici, offrendo piena capacità IPS.
Si compone di diversi prodotti: la piattaforma fisica NGIPS e le
soluzioni software virtual Controller (vController) e virtual
Management Center (vMC) e virtual Firewall (vFW).
vController è il software che viene installato nella Service Virtual
Machine di ogni host virtualizzato e che si colloca all'interno
dell'hypervisor VMware tramite l'API VMsafe.
Una volta installato, vController può analizzare tutto il traffico
proveniente da qualsiasi delle macchine virtuali applicative
presenti sull'host virtualizzato e permette di applicare
all'hypervisor un firewall virtuale che esegue tre compiti:
verifica se il traffico è consentito o meno e decide se lasciarlo
passare;
se il traffico non è consentito, lo blocca completamente a
livello di hypervisor;
se il traffico è consentito offre la possibilità di ispezionarlo.
Il vController indirizza il traffico attraverso una VLAN dedicata verso il
dispositivo fisico IPS per l'analisi. L'IPS ispeziona il traffico, blocca
qualsiasi contenuto dannoso e quindi passa il traffico ispezionato di
3 - LA NETWORK SECURITY
69
nuovo al vController (sempre attraverso una VLAN) che inoltra il
traffico verso la sua destinazione originaria.
Questo meccanismo permette di controllare il traffico in entrata e in
uscita dal data center al perimetro, quello tra host fisici presenti nel
data center, tra host fisici e VM e anche il traffico tra due macchine
virtuali sullo stesso host virtualizzato, facendo rispettare le policy di
sicurezza.
Dato che ogni vController presente nel data center dispone di tutte le
policy di reindirizzamento, viene garantita la medesima condizione di
sicurezza per ogni macchina virtuale o applicazione,
indipendentemente da dove venga collocata all'interno del data
center, su un sistema fisico o virtuale.
HP TippingPoint CloudArmour
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
70
La soluzione vController è completamente gestita da virtual
Management Center che è pienamente integrato con il Security
System Management di HP TippingPoint abilitando, in tal modo, una
gestione integrata e che mette sotto il controllo esclusivo del
personale addetto alla sicurezza IT tutte le funzioni di gestione della
protezione. vMC fornisce la piena visibilità del data center
virtualizzato favorendo il controllo e la sicurezza delle macchine
virtuali.
HP TippingPoint SSL
HP TippingPoint S1500 SSL è l'appliance che offre funzionalità di
"offloading" e "bridging" sicuro per le attività di ispezione del traffico
crittografato SSL (Secure Sockets Layer).
Questa capacità aumenta la sicurezza all'interno dei data center di
nuova generazione e consente di prevenire che attacchi crittografati
possano compromettere Web server e applicazioni Web, favorendo
anche il rispetto della compliance.
HP TippingPoint Advanced Threat
Appliance (ATA)
HP TippingPoint ATA sfrutta i Next-Generation Firewall, gestiti
attraverso la HP TippingPoint Security Management System (SMS),
per bloccare immediatamente le minacce evitandone la
propagazione attraverso la rete, spuntando una delle armi che
caratterizzano l'attacco strutturato in più fasi che contraddistingue gli
attacchi mirati e persistenti (i cosiddetti APT).
Questa soluzione utilizza un insieme diversificato di tecniche di
rilevamento di tipo statico, dinamico e comportamentale affiancando
tecniche di blocco automatizzato con sistemi di rilevazione delle
minacce. L'obiettivo è quello di fornire una difesa efficace in
corrispondenza o immediatamente dopo il punto iniziale di infezione
(paziente zero), bloccando rapidamente ulteriori infiltrazioni e la
possibile diffusione laterale e, nel contempo, predisponendo in modo
3 - LA NETWORK SECURITY
71
automatizzato le condizioni per inibire attacchi futuri dello stesso
tipo.
Quando un'appliance HP TippingPoint ATA rileva una possibile
minaccia, l'informazione viene passata al TippingPoint Security
Management System che, a sua volta, comunica in tempo reale con
gli HP TippingPoint Next-Generation Firewall. La combinazione tra i
risultati dell'analisi sulla nuova minaccia e l'applicazione di policy di
sicurezza permette di coordinare in modo automatico una risposta
alla minaccia a livello dell'intero network.
Nel caso in cui venga rilevato un comportamento di rete sospetto, la
soluzione TippingPoint ATA è anche in grado di eseguire il potenziale
malware in un ambiente sandbox sicuro.
L'appliance HP TippingPoint ATA permette di identificare l'utente, il
dominio e la macchina coinvolti in un incidente di sicurezza e di
rendere disponibile i dati di sicurezza corrispondenti alle funzioni di
reporting di SMS o a un'interfaccia utente utilizzabile per attività
investigative a fini legali.
Le soluzioni di HP per l'identificazione del "paziente zero" di un'infezione
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
72
73
LA SICUREZZA DELLE APPLICAZIONI
Cresce costantemente la pressione degli attacchi che
mirano al livello applicativo per sfruttarne le
vulnerabilità. Questo incremento di rischio pone
l'enfasi sulla necessità di rafforzare il controllo di
sicurezza nei processi di sviluppo del codice e di
predisporre accurate azioni di test, per approdare alla
realizzazione di nuove tipologie di applicazioni in
grado di resistere agli attacchi con sistemi di
autoprotezione.
HP ESP risponde a queste esigenze attraverso la
famiglia di soluzioni HP Fortify.
4
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
74
Una protezione multilivello
Il 24% degli attacchi informatici che si sono verificati nel 2013 e nel
primo semestre del 2014 hanno sfruttato vulnerabilità note. Almeno
stando al Rapporto Clusit 2014, che ha analizzato solo gli attacchi resi
pubblici. Peraltro, altre ricerche dimostrano che non solo le
vulnerabilità sono ancora al primo posto tra le "falle" preferite, ma
che addirittura l'80% degli attacchi sono rivolti al layer applicativo.
La maggior parte delle soluzioni di sicurezza sono concentrate,
storicamente, sul "perimetro" aziendale. Un concetto che sta
perdendo vieppiù di significato. Anche per le applicazioni i fornitori di
Information Security hanno seguito questo approccio, per esempio
con i Web Application Firewall e altre soluzioni un po' più sofisticate,
progettate per identificare anomalie.
L'evoluzione delle minacce, però, ha reso poco efficaci le classiche
tecniche per l'analisi del traffico, richiedendo controlli
"contestualizzati", al fine di comprendere la natura di determinate
azioni, apparentemente maligne ma, in realtà lecitamente previste
dall'applicativo.
La sicurezza perimetrale resta fondamentale per monitorare il
traffico e bloccare una gran numero di attacchi. Anche se il perimetro
aziendale è sempre più "liquido", sul mercato si trovano soluzioni che
sono in grado di adattarsi alle nuove architetture "aperte".
Esistono, però, diversi aspetti da considerare quando si guarda alle
applicazioni. il primo è quella delle vulnerabilità: cioè dell'utilizzo
improprio di quelle soluzioni applicative o di altre componenti
software, un cui difetto di programmazione permette di superare i
controlli di sicurezza. Il secondo aspetto riguarda il traffico
applicativo, che è in forte aumento e ancor più lo sarà, tanto per il
successo della mobility, quanto e soprattutto per quello del cloud.
Infine, un terzo aspetto riguarda l'utilizzo delle applicazioni, che va
monitorato soprattutto per verificare che un utilizzatore non abusi
dei propri privilegi, accedendo, magari, a informazioni riservate (per
esempio, l'ammontare dello stipendio dei colleghi), ma anche per
4 - LA SICUREZZA DELLE APPLICAZIONI
75
evitare che ci si distragga troppo, magari su Facebook, o addirittura
mettendo a rischio l'impresa (accedendo a contenuti illegali, come
quelli pedopornografici).
In particolare, per quanto riguarda la mobility, bisogna distinguere
tra quello che è l'accesso alle applicazioni aziendali attraverso
dispositivi mobili, da quello che è invece il traffico generato verso
Internet per l'utilizzo di app non direttamente aziendali.
Le app aziendali sviluppate sui diversi sistemi operativi per dispositivi
mobili, che, di fatto sono iOS di Apple, BlackBerry 10 di BlackBerry,
Windows 8 e le molteplici versioni di Android, rispondono alle stesse
logiche di qualsiasi pezzo di software sviluppato internamente.
Diverso è il caso delle app scaricate dagli store disponibili
commercialmente. Queste, infatti, non sono sotto il diretto controllo
dell'azienda e presentano diverse criticità: innanzitutto ne esistono
molte che contengono direttamente malware o reindirizzano a esso.
Altre potrebbero contenere vulnerabilità che consentono di
penetrare sul dispositivo e qui carpire informazioni aziendali. Questo
ultimo caso, in genere, viene affrontato dalle soluzioni di mobile
security, in particolare, con quelle recenti di "containerization", che
isolano i dati aziendali dal resto dispositivo, impedendone l'accesso
se non attraverso le app aziendali.
Design sicuro e vulnerability patching
Una strategia di sicurezza accurata è basata sulla gestione del rischio,
il cui processo è basato su tre fasi: identificazione delle minacce cui
sono soggette le risorse (insieme e singolarmente); identificazione
delle vulnerabilità (o vulnerability assessment); valutazione del
rischio. Nel vulnerability assessment, che identifica tutte le aree di
esposizione alle minacce, dall'errore involontario del dipendente al
dolo, al disastro naturale, è compresa anche l'analisi delle
vulnerabilità applicative o di sistema.
Tali vulnerabilità sono, in generale, dovute a errori o trascuratezze di
gestione: una configurazione superficiale, un bug del software, una
versione non aggiornata dell’antivirus e così via. Tali errori sono
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
76
molto diffusi e si possono identificare con accurate analisi sia del
software stesso, attraverso specifici strumenti, sia delle minacce
note, perché la vulnerabilità potrebbe sorgere grazie a una
combinazione di elementi.
Un difetto di un programma, però, non è necessariamente una
vulnerabilità, se non consente di sfruttare l'errore per penetrare nella
rete aziendale. In altre parole, una vulnerabilità diventa una minaccia
quando viene anche realizzato un exploit.
Quando viene rilevata da uno dei tanti ricercatori assoldati perlopiù
dai vendor di soluzioni informatiche, la vulnerabilità viene
comunicata all'editore del software che presenta il bug,
consentendogli di mettersi subito al lavoro per "riparare" il buco.
Passato del tempo il problema viene reso noto. Questo normalmente
avviene quando è disponibile una patch (toppa in inglese), cioè un
aggiornamento del software che elimina la vulnerabilità correggendo
il difetto. Il giorno in cui viene disvelata la vulnerabilità è detto "0
day". Un tempo, occorreva qualche giorno prima che venissero
inventati gli exploit, ma ben presto si è cominciato a parlare di "0 day
threat": in realtà, oggi, sono molte le vulnerabilità che vengono
scoperte e denunciate, dopo che un malintenzionato le abbia
sfruttate.
Sono diversi gli exploit sviluppati dagli attacker e hanno un ciclo di
vita variabile, ma spesso inopinatamente lungo. Si potrebbe pensare
che la disponibilità di una patch ponga fine a tale ciclo vitale, ma sono
molte le imprese che non riescono a stare dietro ai processi di path
management e questo permette di usare una vecchia vulnerabilità
anche ad anni di distanza, come nel caso della SQL Injection.
Per risolvere queste problematiche, sono stati realizzati negli anni dei
sistemi che consentono di realizzare una sorta di pathing virtuale.
Sono tecnologie che consentono di proteggere l'infrastruttura
aziendale, come se fosse stato corretto il difetto, anche se,
permanendo il difetto, un eventuale secondo exploit potrebbe non
essere coperto.
4 - LA SICUREZZA DELLE APPLICAZIONI
77
Queste difficoltà hanno portato alcuni editori di software tra i più
diffusi a impostare regole ferree nella fase di sviluppo del software: in
altre parole, l'idea è quella di eliminare il problema alla base,
producendo software che non contenga errori.
Ovviamente questa è una soluzione preventiva efficace che permette
di mitigare il rischio derivante dagli attacchi evidenziati nel rapporto
Clusit e non solo. Tale azione può essere effettuata con l'application
security testing. Quest'ultimo permette di verificare passo il
funzionamento del software e di controllare che non si possano
utilizzare le sue caratteristiche in maniera malevola. In altre parole
impedisce di mettere in esercizio applicazioni che contengono
vulnerabilità note e previene il rischio che si lascino altre falle nei
nuovi sistemi sviluppati.
Certamente sono stati compiuti giganteschi passi avanti rispetto al
passato, quando alcuni software vendor trovavano "naturale" e forse
divertente demandare ai clienti la bug discovery. Oggi i processi sono
stati notevolmente migliorati e le applicazioni sono molto più sicure
sin dalla nascita, ma le esigenze di time to market, le conoscenze non
sempre approfondite sulla sicurezza e, soprattutto, le maggiori
risorse di sviluppo sul fronte dei cyber criminali, rendono impossibile
disporre di un'applicazione sicura al 100%. Questo non significa che
non si debbano seguire processi di testing accurati per progettare le
applicazioni il più sicure possibili.
L'analisi del traffico applicativo
Secondo il rapporto Clusit 2014, gli attacchi dovuti ad azioni di
Cybercrime (furti o frodi, perlopiù) sono circa un quarto del totale. Il
resto sono attacchi dei cosiddetti hactivist (sempre meno numerosi e
sempre meno dannosi, perché crescono le protezioni contro il
Distributed Denial of Service), azioni di sabotaggio e spionaggio.
Diversi sono i percorsi di attacco, ma molti di questi hanno un
elemento in comune: le applicazioni, che sono poi il motivo per cui ci
si collega a Internet e al Web o, se si preferisce, il motivo per cui si
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
78
utilizzano dispositivi mobili e non. In ogni caso, il dato è comunque
l'obiettivo finale nella stragrande maggioranza dei casi.
Senza considerare, per ovvie ragioni, gli enormi volumi di traffico
generati dagli attacchi DDoS, peraltro sempre più destinati a essere
bloccati direttamente dal provider di connettività, il traffico
applicativo risulta fortemente cresciuto e si prevede che continuerà a
crescere, per la diffusione e il successo delle soluzioni in cloud: dai
Web Service al Software as a Service. A questo si aggiunge la
crescente tendenza a consentire il telelavoro, che prevede l'accesso
da remoto alla rete e alle applicazioni che risiedono nel data center
aziendale.
Si consideri che, tra globalizzazione, internazionalizzazione, mobility
e, non ultima, una rivoluzione nell'ambito delle procedure di backup,
di fatto il sistema informativo non viene più spento (almeno nella
stragrande maggioranza delle imprese), come avveniva fino a qualche
anno fa. Dunque questo flusso continuo di traffico deve trovare
canali di comunicazione aperti che, pertanto, possono diventare una
comoda porta d'accesso all'infrastruttura IT aziendale.
Per questo motivo le nuove tecniche per la prevenzione delle
minacce informatiche si basano su analisi approfondite del codice in
ingresso sulla rete aziendale. Non è una questione banale, perché
queste grandi quantità di traffico non possono essere rallentate a
piacere. In generale, ne risente la produttività dei lavoratori, che
avvertono anche la frustrazione di una user experience non ottimale.
In particolare, inoltre, ci sono applicazioni che sono altamente
sensibili alla latenza della rete: basti pensare alla videoconferenza,
che è una soluzione di comunicazione sempre più apprezzata da
quando nuovi standard di compressione ne permettono l'utilizzo
attraverso Internet direttamente dal proprio pc, senza tutte le
complessità delle grandi sale riunioni con i sistemi complessi di una
volta.
Da qui il successo e il crescente interesse verso i firewall e gli
Intrusion Prevention System (IPS) di ultima generazione, che
4 - LA SICUREZZA DELLE APPLICAZIONI
79
implementano soluzioni per l'analisi delle anomalie e per la
simulazione del "comportamento" applicativo.
Perlopiù si tratta di soluzioni cosiddette di "sandboxing". Come nelle
"scatole di sabbia" in cui giocano al sicuro i bambini nei parchi giochi,
in queste sandbox è possibile depositare il codice e "giocarci" con
tranquillità per verificarne le azioni e la sua pericolosità. Aspetto
fondamentale dei sistemi di sandboxing è classificare il malware che
viene riconosciuto come tale, in modo da poterlo facilmente
identificare una seconda volta.
La logica, inoltre, è creare una "signature" o qualcosa che permetta
comunque ad altri sistemi di riconoscere l'impronta di questo
malware. Tali analisi possono essere accelerate da servizi in cloud,
che aggiornano prontamente tutti i dispositivi non appena una nuova
minaccia viene identificata e, in qualche modo, resa immediatamente
riconoscibile da tutti i sistemi.
Applicazioni e RASP
L'aspetto della rapidità non è indifferente, considerando che non si
può pensare di bloccare tutto il traffico solo sulla base di un sospetto.
Per questo i Web Application Firewall, che originariamente nascono
per controllare i contenuti e l'utilizzo delle applicazioni per impedirne
abusi, non possono agire in tempo reale, ma devono aspettare i
risultati delle analisi, e quando li ricevono potrebbe essere troppo
tardi.
Un altro problema è rappresentato dalle più recenti tecniche
impiegate dai cyber criminali nelle minacce APT (Advanced Persistent
Threat) utilizzate per attacchi mirati. In questi casi, il codice non viene
prodotto per colpire un gran numero di computer, ma bersagli
precisi, con più fasi. Una delle quali può essere l'annidamento di un
codice nocivo non identificabile con l'analisi del comportamento.
Questi malware, infatti, se vengono lanciati in esecuzione non
compiono alcuna azione maligna. Ma, dopo un programmato lasso di
tempo che può essere anche piuttosto lungo, attivano nuove funzioni
che ne cambiano l'azione.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
80
Non tutte le soluzioni sono in grado di rilevare queste minacce. Così
come tecniche dette "evasive" possono confondere firewall e IPS. A
questo si aggiunga il sempre attuale tema delle vulnerabilità e
relative patch e si arriva a comprendere quanto complesso possa
essere il fronte applicativo nella lotta al cybercrime.
È dunque a ragion veduta che gli analisti del Gartner, già nel 2012,
avevano evidenziato l'importanza delle soluzioni per il collaudo delle
applicazioni. Non solo un test statico, utile soprattutto prima del
rilascio del software, ma anche un testing dinamico e, addirittura
interattivo. Queste funzionalità si uniscono a quelle dei Web
Application Firewall per costituire una nuova classe di soluzioni,
chiamate RASP (Runtime Application Self Protection), che si stanno
rivelando fondamentali per una protezione in tempo reale delle
applicazioni.
Di fatto, le applicazioni devono essere intrinsecamente sicure, a
partire dal progetto e dalla fase di sviluppo. Questo non basta, però,
perché solo in runtime è possibile verificare il funzionamento.
Ricordiamo che l'applicazione è sviluppata per svolgere determinate
funzioni e non è possibile immaginare tutti i possibili "abusi" di tali
funzioni. Solo analisi durante la fase d'elaborazione, con i dati e le
query reali, possono intercettare situazioni anomale. Proprio questo
è l'ambito in cui operano le soluzioni RASP.
Runtime Application Self Protection
Le soluzioni "Runtime Application Self Protection" (RASP) non
nascono per sostituire questi primi due livelli di protezione, ma per
aumentarne l'efficacia. I Web Application Firewall, infatti, sarebbero
in grado di eseguire le azioni protettive necessarie, se solo avessero
le informazioni giuste e le avessero in tempo, ma in ogni caso
forniscono tecnologie dedicate alla protezione delle applicazioni.
La protezione RASP è appunto capace di analizzare il codice in tempo
reale e di attuare contromisure sulla base dei risultati. Punto
fondamentale: l'analisi deve avvenire nel contesto reale,
direttamente nell'ambiente di produzione.
4 - LA SICUREZZA DELLE APPLICAZIONI
81
Questo perché solo il reale funzionamento, con l'utilizzo dei dati
effettivi permette di portare a termine l'analisi: per capire il
comportamento di una query SQL, per esempio, è necessario
guardare la query completa, che si costruisce, di fatto, all'interno
dell'applicazione.
Le soluzioni RASP, definite da Gartner un "must to have" per la prima
volta nel 2012, dunque, costituiscono una protezione essenziale per
le applicazioni in produzione.
Come accennato, il funzionamento di un'applicazione varia anche in
base alla tipologia di dati che essa deve elaborare. Per verificarne il
comportamento è dunque necessario osservare lo stesso
nell'ambiente d'elaborazione, durante l'elaborazione stessa.
Attualmente, le soluzioni sul mercato effettuano questo tipo di
controlli con dispositivi "esterni" all'ambiente di runtime, come
firewall e IPS. Si tratta di soluzioni certamente valide ma la cui
efficacia potrebbe essere ridotta dall'impossibilità d'entrare nella
logica dell'applicazione, della sua configurazione e delle sue relazioni
con i flussi dei dati e degli eventi. Non a caso sono spesso "relegati" a
una funzione di alerting, non potendo garantire l'accuratezza
necessaria a evitare tassi di falsi positivi accettabili.
Secondo gli analisti di Gartner, le imprese cosiddette "pioniere" della
tecnologia hanno già adottato tecnologie RASP o lo stanno facendo,
mentre le altre dovrebbero comunque implementarle entro i
prossimi tre anni. Un lasso di tempo durante il quale le tecnologie
oggi sul mercato arriveranno a una piena maturità. Già adesso,
peraltro, sono in essere soluzioni che, appoggiandosi al cloud,
permettono alle imprese di utilizzare lo stato dell'arte in ambito
RASP, seguendone "naturalmente" l'evoluzione e, non per ultimo, di
incontrare minori difficoltà nell'implementazione, installazione e
gestione delle soluzioni.
Peraltro, sempre secondo Gartner, entro il 2017 il 25% degli ambienti
di elaborazione avranno capacità di autoprotezione integrate
(rispetto a meno dell'1% nel 2012).
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
82
Questa "urgenza" deriva dalla crescente pressione delle minacce sul
layer applicativo. È fondamentale che le applicazioni siano in grado di
"autoproteggersi": cioè disporre di funzioni che le proteggano
durante l'elaborazione. Queste devono idealmente poter osservare
qualsiasi dato entri o esca dall'applicazione, tutti gli eventi che la
riguardano, ogni istruzione eseguita e tutti gli accessi al database.
Una soluzione RASP possiede tutti questi requisiti e così permette
all'ambiente d'elaborazione di rilevare gli attacchi e proteggere
l'applicazione più a fondo.
Web Application Firewall e Interactive Application
Security Testing
In buona sostanza, le soluzioni RASP combinano le tecnologie dei
Web Application Firewall (WAF) e dell'Interactive Security Testing
(IAST), mettendo insieme funzionalità di scansione, monitoraggio in
real time, detection, protezione, analisi dell'esecuzione e analisi del
traffico. In pratica, si tratta di una nuova tecnologia resa possibile
solo grazie all'interazione di altre tecnologie. La componente IAST, di
recente introduzione, è fondamentale, perché è questa che "arma"
l'ambiente di runtime. Tali soluzioni di testing s'integrano per
esempio in una Java Virtual Machine (JVM) o nel .NET Common
Language Runtime (.NET CLR) diventando parte.
Essendo all'interno della JVM o del .NET CLR, il sistema di test riesce a
"vedere" i flussi indotti da un attacco. Meglio ancora, li può simulare
per prevederli.
Le soluzioni RASP prendono a prestito tale capacità dalle tecniche
IAST e, contemporaneamente, utilizzano la capacità di reazione in
tempo reale dei Web Application Firewall per terminare una sessione
"maligna" o per lanciare un alert in caso di esecuzioni sospette
rilevate dall'Interactive Application Testing.
È quindi la combinazione delle due tecnologie che rende possibile la
Runtime Application Self Protection. Di fatto, la massima efficienza si
ottiene combinando tutte le tipologie di application protection
disponibili, dal testing statico a quello dinamico fino a quello
4 - LA SICUREZZA DELLE APPLICAZIONI
83
interattivo. Non solo, perché le analisi delle vulnerabilità e quelle
degli attacchi condotte da queste tecnologie sono alla base delle
soluzioni RASP. Proprio la loro combinazione realizza la self
protection, permettendo di superare i principali limiti. Se l'analisi
statica permette di sospettare una vulnerabilità in una linea di codice,
solo l'analisi in runtime consente di verificare la consistenza di un
exploit che sfrutta la vulnerabilità ipotizzata. Potrebbe dunque
accorgersene il test dinamico dell'applicazione. Nessun sistema di
test, peraltro, è in grado di fermare un attacco. Può invece farlo il
RASP, prendendo la decisione in base alle informazioni fornite dal
testing applicativo e utilizzando le capacità d'azione real time del
WAF.
In effetti, può avvenire anche il contrario: la componente Web
Application Firewall può rilevare traffico sospetto e "richiede" alla
componente IAST di effettuare un supplemento di analisi testando il
flusso d'elaborazione e di dati durante l'esecuzione.
In ogni caso, la soluzione RASP sfrutta la combinazione delle
tecnologie, ma non le sostituisce. Il Web Application Firewall, infatti,
ha ragione di sussistere anche a sé stante per bloccare un'azione
potenzialmente dannosa, come il collegamento a un sito Web
elencato in una blacklist.
Le soluzioni RASP rappresentano una prima pietra miliare di un
percorso verso il cosiddetto "Application Shielding", che potremmo
tradurre come la "blindatura delle applicazioni". Blindare
un'applicazione per renderla resistente agli attacchi, permettendole
di difendersi direttamente da sola.
Ancora una volta, sottolineiamo che non si tratta di sostituire un
precedente livello di protezione, né, in realtà di aggiungerne uno
nuovo, ma più semplicemente di allargare l'orizzonte di protezione,
per rispondere all'espansione del fronte di attacco.
È ancora presto per capire fino in fondo come si svilupperà
l'Application Shielding o quanto rapidamente si affermeranno le
tecnologie RASP. Anche perché ci sono diversi fattori che
intervengono nel disegnare tale scenario. Per esempio, l'adozione di
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
84
soluzioni per la Runtine Application Self Protection sarebbe
probabilmente accelerata dalle alleanze che i produttori di
applicazioni e/o quelli del middleware per gli ambienti d'elaborazione
potrebbero siglare con i vendor che sviluppano e vendono soluzioni
RASP. In pratica, si potrebbero realizzare ambienti di runtime blindati
alla nascita.
Questo avrebbe anche il benefico effetto di rendere meno invasiva
l'analisi di sicurezza e testing, riducendo il rischio di impatti sulle
capacità di elaborazione.
Un contributo ad accelerare la blindatura delle applicazioni potrebbe
arrivare anche dal cloud, come precedentemente accennato.
L'ambiente di runtime è pressoché totalmente controllato dal cloud
provider. Per costoro è quindi logico installare soluzioni RASP che
garantiscano la sicurezza dell'elaborazione. Con tale garanzia
possono girare la responsabilità di eventuali attacchi alla connessione
di rete utilizzata dal loro cliente.
Lasciare la gestione della soluzione RASP al provider è un vantaggio
anche per il cliente, che non si dovrà più preoccupare di installare e
manutenere tali soluzioni.
In un circuito virtuoso queste soluzioni contribuiscono a sciogliere i
dubbi sulla sicurezza del cloud che rimane uno dei principali ostacoli
alla sua adozione.
HP Application Defender
HP ha introdotto tecniche RASP già da qualche tempo, per esempio
nelle soluzioni HP WebInspect e HP ArcSight Application View.
Soprattutto la tecnologia RASP di HP Fortify Runtime è implementata
come estensione di un debugger Java o di un profiler .NET, appunto a
protezione delle applicazioni Java e .NET. A queste si aggiungono
altre funzioni inserite nei sistemi per il monitoraggio.
Insomma una base significativa, che ha permesso ad HP di maturare
un consistente esperienza in materia di tecnologie RASP.
4 - LA SICUREZZA DELLE APPLICAZIONI
85
Esperienza che è stata ulteriormente messa a frutto con il servizio per
la protezione delle applicazioni in cloud HP Application Defender.
Più precisamente, si tratta di un managed service per
l'autoprotezione delle applicazioni, in risposta alla crescente
pressione degli attacchi informatici ai servizi applicativi online.
Con l'aumentare del numero e della complessità delle applicazioni
aziendali, la superficie esposta agli attacchi cresce considerevolmente
e, come in precedenza osservato, i tradizionali metodi per proteggere
le applicazioni richiedono tempi lunghi, a cominciare dall'installazione
delle patch, mentre le difese perimetrali rappresentano solo una
protezione indiretta.
Per questo motivo HP ha progettato un sistema di autoprotezione
delle applicazioni, basato sull'analisi in tempo reale dell'esecuzione
stessa del codice, monitorandone così l'attività per prevenire le
aggressioni dall'interno dell'applicazione. Grazie al servizio di auto-
protezione delle applicazioni, HP Application Defender consente alle
aziende di identificare automaticamente le vulnerabilità del software
e di proteggersi in tempo reale.
Gli aspetti caratteristici di HP Application Defender
Dopo il processo di configurazione, la piattaforma cloud based
consente ai professionisti della sicurezza d'individuare e bloccare le
aggressioni senza cambiare codice o installare altri dispositivi sulla
rete.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
86
HP Application Defender Threat Management Timeline (in blu le istanze protette, in rosso quelle monitorate)
4 - LA SICUREZZA DELLE APPLICAZIONI
87
La soluzione permette di gestire e riportare i dati di sicurezza in
tempo reale, tramite dashboard interattive e alert che forniscono
informazioni dettagliate sulla natura dell'attacco e sul punto in cui si
è verificato.
L'accuratezza è garantita dal fatto che HP Application Defender
fornisce informazioni dall'interno dell'applicazione. Questo aiuta gli
sviluppatori a risolvere il problema in via permanente nel codice
sorgente, mentre lo stesso viene risolto in maniera virtuale
nell'ambiente di produzione.
Le soluzioni HP Fortify per un codice
sicuro
La diffusione di nuove tecnologie cloud e mobili ha notevolmente
incrementato la richiesta di sviluppo di nuovi software contribuendo
ad accelerare ulteriormente l'esigenza delle software house di fornire
in tempi rapidissimi una risposta alle richieste espresse dai loro
clienti. Tutto ciò sta mettendo alla prova la capacità di molte
organizzazioni di effettuare test di sicurezza approfonditi prima della
distribuzione dell'applicazione e l'elevatissimo numero di
vulnerabilità associato alle applicazioni ne è un'evidenza.
All'interno della propria visione complessiva per la protezione
enterprise, HP colloca le soluzioni della gamma HP Fortify.
Si tratta di una serie di strumenti pensati per favorire uno sviluppo
sicuro ed eliminare alla fonte le possibili vulnerabilità e per
predisporre ambienti di test di tipo statico, dinamico e in tempo reale
adatti a verificare le caratteristiche di sicurezza del codice.
HP Fortify predispone un approccio proattivo di Software Security
Assurance per affrontare in modo sistematico il rischio di
vulnerabilità nel software sulla base del principio che è più efficace e
conveniente proteggere le applicazioni mentre sono in fase di
sviluppo che farlo dopo che sono state rilasciate.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
88
L'ambito di intervento dei componenti della famiglia HP Fortify
HP Fortify definisce quattro livelli di priorità per classificare la gravità
delle vulnerabilità: critico, alto, medio e basso.
I risultati delle valutazioni sono consegnati in un insieme di
semplici grafici basati su un sistema coerente di valutazione a
cinque stelle, che fornisce informazioni sulla probabilità che la
vulnerabilità venga identificata e sfruttata da un outsider e
sull'impatto in termini di danno potenziale che un
malintenzionato potrebbe arrecare al patrimonio aziendale,
sotto forma di perdita finanziaria, violazione della conformità,
perdita di reputazione del marchio, pubblicità negativa o altro.
HP Fortify Software Security Center
HP Fortify Software Security Center è una suite di soluzioni altamente
integrate pensata per automatizzare e gestire la sicurezza applicativa
e prevenire le vulnerabilità di sicurezza all'interno delle applicazioni.
Questa famiglia di soluzioni riduce i rischi di sicurezza legati al
software aziendale garantendone l'affidabilità e la conformità ai
4 - LA SICUREZZA DELLE APPLICAZIONI
89
requisiti aziendali, indipendentemente dal fatto che sia stato
sviluppato in casa o acquisito da terze parti, sia nel caso che sia stato
sviluppato per il desktop o per ambienti mobili o cloud.
HP Fortify Software Security Center consente di testare la sicurezza
delle applicazioni e di identificare le vulnerabilità sia in modalità on-
premises sia on-demand.
Visualizzazione dei trend in Fortify Software Security Center
Questa suite svolge due attività fondamentali a supporto della
gestione di sicurezza del software.
La prima è di mettere a disposizione funzioni di test di sicurezza per
identificare le vulnerabilità lungo il ciclo di vita di un’applicazione, sia
sviluppata internamente sia esternamente, attraverso tecnologie di
test statico, dinamico e di analisi ibrida (statico-dinamica) in tempo
reale.
La seconda attività riguarda l’analisi del ciclo di vita del processo di
sviluppo attraverso funzioni di automazione di gestione,
tracciamento, correzione e governance del rischio associato al
software enterprise.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
90
HP Fortify Runtime
Oltre alla suite di controllo della sicurezza delle applicazioni, HP
Fortify è in grado di fornire anche una protezione attiva in tempo
reale per le applicazioni Web con il componente Fortify Runtime
(in precedenza denominato Runtime Analyzer).
HP Fortify Runtime esegue il monitoraggio, la registrazione e la
protezione delle applicazioni da minacce alla sicurezza; raccoglie dati
sugli attacchi reali ed è in grado di identificare e interrompere
minacce quali gli attacchi di script a più siti.
HP Fortify Runtime è integrato con:
HP Fortify Software Security Center per la gestione,
HP WebInspect per la convalida approfondita delle
vulnerabilità e della protezione della sicurezza delle
applicazioni al runtime (ovvero RASP),
HP ArcSight ESM/Express via Application View per l'intelligence
e la correlazione degli eventi di sicurezza.
L'integrazione tra Fortify Runtime e le altre componenti della sicurezza HP
Questo componente è un agent che si installa sui server che ospitano
le applicazioni basate su Java o .Net e che, monitorando dall’interno
l’esecuzione delle applicazioni stesse, è in grado di riconoscere
quando le richieste fatte a quest’ultime siano lecite o possano
contenere evidenze di un potenziale comportamento illecito.
4 - LA SICUREZZA DELLE APPLICAZIONI
91
Questo è possibile grazie alla particolare esecuzione dei due linguaggi
fatta in ambienti virtuali (CLR per .Net e JVM per Java) che consente
di vedere l’esecuzione dell’applicazione sequenzialmente: se a questo
si aggiunge la capacità globale di HP Global Security Research di
fornire l’intelligenza necessaria a distinguere quando nei processi di
esecuzione dell’applicazione in atto qualche cosa disattende la
normalità e manifesta una netta propensione al comportamento
illecito, il potenziale della protezione esprimibile da questo connubio
è evidente. Non esiste, infatti, un punto di osservazione più interno e
più concreto di questo: dall’interno dell’applicazione poi è possibile
non solo osservare ma anche bloccare questi comportamenti e
generare allarmi che possono essere presi in carico da SIEM come HP
ArcSight.
Fortify Runtime
HP Fortify Static Code Analyzer
HP Fortify Static Code Analyzer (SCA) è la tecnologia sviluppata da HP
per valutare il livello di sicurezza del software e rendere sicuro il
codice legacy mentre questo viene sviluppato. Questa tecnica
analizza ogni percorso che l'esecuzione e i dati possono seguire per
identificare ed eliminare le vulnerabilità di sicurezza nel codice
sorgente.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
92
La soluzione proposta da HP utilizza diversi algoritmi e una base di
conoscenza estesa di regole di codifica sicure per analizzare il codice
sorgente di un'applicazione alla ricerca di vulnerabilità che
potrebbero essere sfruttate in applicazioni distribuite. Fortify SCA ha
la capacità di rilevare più di 500 tipi di vulnerabilità in 21 linguaggi di
sviluppo e più di 700mila componenti a livello di API.
Per verificare che i problemi più gravi siano affrontati per primi,
correla e assegna una priorità ai risultati per fornire una classifica dei
rischi e una guida dettagliata su come risolvere le vulnerabilità a
livello di linea di codice.
A partire dalla versione 4.0, HP Fortify SCA adotta un nuovo
approccio basato sull'analisi di più thread di applicazioni software in
parallelo per migliorare le prestazioni di scansione e per velocizzare il
rilevamento e la risoluzione delle vulnerabilità. In tal modo è
possibile effettuare test di sicurezza più frequenti, consentendo la
scansione completa delle applicazioni senza impattare il processo di
sviluppo. Questo approccio consente di minimizzare i falsi positivi e
mette a disposizione report di analisi della sicurezza software più
dettagliati con classifiche di rischio per applicazioni mobili, Web,
client e server.
HP Fortify SCA mette disposizione opzioni di implementazione
flessibili con possibilità di accesso on-premises oppure on-demand.
ABAP/BSP COBOL Python
ASP.NET JavaScript/Ajax Ruby
C Java (with Android) T-SQL
C# JSP VB6
C++ Objective C VBScript
Classic ASP PHP VB.NET
ColdFusion PL/SQL HTML
Flex XML
Principali linguaggi supportati dall'analisi statica di Fortify
4 - LA SICUREZZA DELLE APPLICAZIONI
93
HP Audit Workbench
HP Fortify Static Code Analyzer è completato dal tool HP Audit
Workbench, che fornisce un'interfaccia grafica utilizzabile per
effettuare la scansione dei progetti software e per organizzare,
investigare e predisporre i livelli di priorità sui risultati delle analisi, in
modo che il team di sviluppo possa risolvere problemi di sicurezza.
Tramite Audit Workbench è possibile visualizzare ed effettuare l'audit
dei file FPR direttamente da HP Fortify Static Code Analyzer, da HP
Fortify Runtime Application Protection e da HP Fortify Program Trace
Analyzer.
La presenza di una serie di template di progetto permette di
organizzare al meglio grandi scansioni.
Un campione di file FPR nell'interfaccia di auditing Fortify Audit Workbench
HP WebInspect
HP WebInspect è uno strumento automatizzato e configurabile che
effettua test dinamici sulla sicurezza delle applicazioni Web e test di
penetrazione. Imita le tecniche di hacking e gli attacchi, consentendo
di analizzare a fondo le applicazioni e i servizi Web per individuare
possibili vulnerabilità di sicurezza.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
94
HP WebInspect
HP WebInspect consente di testare le applicazioni Web dallo sviluppo
alla produzione, di gestire in modo efficiente i risultati dei test e
favorisce la distribuzione di conoscenza sulla sicurezza all'interno
dell'azienda; fornisce, per esempio, la possibilità di verificare se un
server è vulnerabile alla nota minaccia Heartbleed (associata a un
bug delle versioni OpenSSL 1.0.1 e 1.0.2 beta) per porvi rimedio.
HP WebInspect Enterprise
La versione HP WebInspect Enterprise consente di condurre e gestire
migliaia di valutazioni di sicurezza di applicazioni Web distribuite.
Concentrandosi sui punti di ingresso più esposti verso l'esterno,
permette di definire priorità di intervento e di ottenere visibilità
sull'efficacia dei meccanismi di protezione, di controllare
accuratamente i programmi di sicurezza utilizzando una scansione
basata sui ruoli e di predisporre misure necessarie a garantire la
conformità con le normative e le policy interne di sicurezza.
4 - LA SICUREZZA DELLE APPLICAZIONI
95
HP WebInspect Real-Time
HP WebInspect Real-Time combina la tecnologia avanzata di test di
sicurezza applicativa di HP WebInspect con la tecnologia protezione
in tempo reale delle applicazioni di HP Fortify SecurityScope.
Con WebInspect Real-Time è possibile controllare parti
dell'applicazione che non sono presi in considerazione dalle scansioni
normali, raccogliere informazioni sui comportamenti interni di
un'applicazione durante test dinamici e individuare nuovi tipi di
vulnerabilità.
HP QAInspect
Le applicazioni Web sono un punto di ingresso molto sfruttato dai
criminali informatici e con QAInspect HP fornisce uno strumento per
testare la sicurezza delle applicazioni in relazione alle vulnerabilità
prima di andare in produzione.
QAInspect colma il gap tra sviluppo e produzione poiché consente di
incorporare, all'interno del processo di Quality Assurance, il software
per testare la sicurezza delle applicazioni ed effettuarne il controllo di
qualità, rilevando possibili vulnerabilità nel corso del ciclo di sviluppo
ed evitando possibili costi e rischi legati a un loro rilascio in
produzione.
HP Fortify on Demand: sicurezza applicativa come
servizio cloud
HP Fortify on Demand (FoD) è il servizio di tipo Software-as-a-Service
di analisi del codice che consente alle aziende di testare la sicurezza
del software in modo rapido e accurato. Fortify on Demand non
richiede l'acquisto di alcun hardware né l'istallazione di alcun
software: è sufficiente caricare il codice e scegliere il tipo di test che
si desidera effettuare per ottenere un report dettagliato.
HP FoD è disponibile per assessment sia statici sia dinamici e con
diverse opzioni all'interno di ciascuna di queste categorie.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
96
È possibile acquistare singole valutazioni o un abbonamento di un
anno per valutazioni illimitate di una particolare applicazione. È
possibile caricare i file e avviare una valutazione statica del codice
oppure, se è stata acquistata una valutazione dinamica, è possibile
verificare la URL.
Dashboard esecutiva del servizio HP Fortify on Demand
Questo servizio supporta Web, mobile e applicazioni thick-client sia
sviluppati internamente sia da organizzazioni di terze parti, con
quattro livelli di priorità per classificare la gravità delle vulnerabilità
differenziate in base al livello di rischio a cui l'applicazione espone
l'azienda: critico, alto, medio e basso.
Il processo di scansione automatica che effettua la verifica
dell'applicazione in merito alle vulnerabilità di sicurezza prevede che
l'utente fornisca a FortifyMyApp i file di analisi e il codice sorgente e
Fortify esegue test automatici.
L'utente riceve i risultati in 1-3 giorni lavorativi e i risultati delle
valutazioni sono consegnati in un insieme di semplici grafici basati su
un sistema coerente di valutazione a cinque stelle.
4 - LA SICUREZZA DELLE APPLICAZIONI
97
Analisi di sicurezza statica
L'analisi statica di Fortify on Demand permette di valutare il livello di
sicurezza del software e di rendere sicuro il codice legacy mentre
questo viene sviluppato. L'utente carica il codice sorgente, byte o
binario di un'applicazione e riceve risultati recensiti manualmente
solitamente in meno di 24 ore.
La soluzione proposta da HP utilizza diversi algoritmi e una base di
conoscenza estesa di regole di codifica sicure per analizzare il codice
sorgente di un'applicazione alla ricerca di vulnerabilità che
potrebbero essere sfruttate in applicazioni distribuite.
Questa tecnica analizza ogni percorso che l'esecuzione e i dati
possono seguire per identificare ed eliminare più di 500 categorie di
vulnerabilità nel codice sorgente, in 21 linguaggi di sviluppo
esaminando più di 700mila componenti a livello di API.
Analisi di sicurezza dinamica
L'analisi di sicurezza di Fortify on Demand di tipo dinamico combina
l'attività di test automatico con una metodologia di test manuale
svolta da un gruppo di "application penetration tester"
sull'applicazione Web.
Questo tipo di test imita le tecniche di attacco dei cyber criminali,
consentendo di analizzare a fondo le applicazioni e i servizi Web per
individuare possibili vulnerabilità di sicurezza.
LIVELLO DI RISCHIO DELL'APPLICAZIONE
Basso App di Marketing
Medio Identificazione a livello personale
Alto Carta di credito
Basic Standard Premium
Automated Scan
False Positive Removal
Remediation Scan
Manual Testing
Business Logic Testing
Web Services
Static Analysis (Opzionale)
Possibili azioni commisurate al livello di rischio dell'applicazione
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
98
Analisi delle applicazioni mobile
Gli analisti stimano che entro il 2020 i dipendenti aziendali avranno a
loro disposizione circa 6 dispositivi mobili ciascuno. Questa maggiore
connettività porta con sé l'esigenza di migliorare gli sforzi per la
sicurezza mobile.
L'approccio HP Fortify on Demand ai test delle applicazioni mobili
prende in considerazione i tre livelli che costituiscono lo stack
tecnologico: client, rete e server. Questo approccio fa in modo che le
vulnerabilità presenti in un componente (il client, per esempio)
possano essere utilizzate durante il test per delineare un quadro più
veritiero possibile del rischio legato all'applicazione mobile, in modo
simile alla metodologia che potrebbe adottare un hacker.
Gli aspetti di protezione che intervengono per ognuno dei tre
componenti sono i seguenti:
Client
Credenziali in memoria
Credenziali nel file system
Dati memorizzati nel file system
Carenze nella gestione della certificazione
Difetti della privacy (per esempio GPS)
Rete
Credenziali in chiaro
Dati testuali in chiaro
Dati di Backdoor
Data leakage
Server
Difetti di inserimento ("injection")
Autenticazione
Gestione della Sessione
Controllo d'accesso
Difetti Logici
4 - LA SICUREZZA DELLE APPLICAZIONI
99
Il servizio prevede l'installazione iniziale di un'applicazione per poi
eseguire un'analisi preliminare sfruttando tutte le funzioni disponibili.
Questa fase permette di comprendere dove vengono richiesti i dati
sensibili, come si spostano attraverso l'applicazione, come sono
utilizzati e così via. Viene quindi costruito un diagramma di come
questi componenti operano congiuntamente, che viene sfruttato per
determinare la progressione della valutazione.
Il test viene eseguito sia su dispositivi mobili di prova sia utilizzando
dispositivi simulati, a seconda del tipo di applicazione e delle sue
funzionalità.
Tutte le valutazioni HP su applicazioni mobile coprono le prime 10
vulnerabilità definite all'interno dell'Open Web Application Security
Project (OWASP).
Test delle applicazioni in produzione
Troppo frequentemente le applicazioni vengono rilasciate in
produzione in modo frettoloso, con vulnerabilità non risolte .
HP FoD risponde a questo problema fornendo un servizio per
effettuare il test delle applicazioni Web in produzione senza causare
interruzioni dell'attività.
L'approccio seguito da HP parte dal presupposto che le applicazioni di
produzione non dovrebbero essere testate con lo stesso approccio
aggressivo utilizzato nelle fasi di sviluppo (perché quando si è in
produzione sono i dati reali che vengono esposti a un rischio).
Per questo motivo Fortify on Demand offre quattro opzioni
metodologiche per la verifica delle applicazioni in produzione:
Sicuro - Il team HP FoD realizza una mappatura autenticata
dell'intero sito, esamina il sito alla ricerca di vulnerabilità che
non richiedono l'invio di moduli usando tecniche di test
automatizzato e manuale e poi ricerca le vulnerabilità che
possono essere presenti all'interno dei campi modulo.
Verificato - Il team HP FoD verifica che le problematiche
identificate e risolte negli ambienti di pre-produzione siano
state risolte anche nella fase di produzione.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
100
Aggressivo non autenticato - La base di questo metodo è di
verificare l'applicazione similmente a come un hacker o un BOT
attaccherebbero il sistema usando una combinazione di
tecniche manuali e automatizzate.
Combinato - Fornisce una combinazione di tutti i metodi.
Fortify Vendor Software Management (VSM)
Fortify VSM è un sevizio on demand che consente di verificare la
sicurezza di un software di terze parti, lasciando al fornitore del
software la possibilità di mantenere il controllo del processo.
I fornitori di software possono semplicemente caricare i propri codici
binari, sottoporli a scansione, risolvere eventuali problemi e quindi
pubblicare un report che sintetizza la sicurezza della loro
applicazione.
Fortify VSM svolge quindi il compito di un laboratorio indipendente,
in grado di fornire un'analisi imparziale e coerente dell'applicazione e
di produrre una relazione dettagliata di prova che ne attesti il livello
di resistenza a possibili manomissioni.
Questo servizio mette a disposizione:
funzioni di test statico e/o dinamico on demand;
funzioni di test in modalità self-service o con supporto;
una gestione flessibile delle interazioni tra i fornitori;
la disponibilità di un "technical account manager";
supporto e coordinamento dedicato del processo di scansione
e bonifica;
carattere di imparzialità, con un'analisi coerente che restituisce
un rapporto dettagliato sulla resistenza alla manomissione.
Il servizio HP Digital Discovery
Il servizio di Digital Discovery si propone di fornire alle aziende la
visibilità (che spesso viene a mancare) su quali delle loro proprietà
sono su una rete interna o esterna a causa di vari fattori quali:
ristrutturazione e acquisizioni, alterazioni della rete, attività di
4 - LA SICUREZZA DELLE APPLICAZIONI
101
marketing, nuove registrazioni di sottodominio e consumerizzazione
dell'IT.
Il ciclo di assessment fornito da Fortify On Demand consente di
eseguire un'attività di "digital discovery" sia interna sia esterna su
domini e spazi di protocollo Internet di proprietà di un'azienda.
Come parte di questa valutazione il servizio determina quanti siti
Web "live" o sconosciuti l'azienda possiede, quale di questi siti ospita
funzionalità applicative sconosciute e il profilo di rischio di questi siti.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
102
103
SOLUZIONI ENTERPRISE
PER LA PROTEZIONE DEI DATI
Il dato è l'obiettivo finale degli attacchi informatici e,
come tale, va protetto in maniera integrata, sia esso
residente in cloud o nel data center aziendale. Al
controllo delle identità e dei privilegi di chi vi accede,
sempre più si deve aggiungere un livello di sicurezza
intrinseco. Le nuove generazioni di tecniche per la
cifratura e la decodifica dei dati prevedono approcci
innovativi.
HP ESP risponde a queste esigenze con le soluzioni
avanzate della famiglia HP Atalla.
5
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
104
L’approccio gestionale alla sicurezza
dei dati
Il riconosciuto valore dell’informazione per un’azienda,
accompagnato dalla crescita indiscriminata del numero delle stesse,
ha portato nel tempo verso la definizione di regole di tipo standard
per l’organizzazione della sicurezza che non si limiti agli aspetti
tecnologici, ma che prenda in considerazione anche aspetti di tipo
operativo, logico, materiale e legislativo focalizzandosi sugli aspetti di
tipo gestionale.
Le esigenze aziendali che inducono a considerare l’adozione di un
approccio gestionale verso la sicurezza delle informazioni sono
molteplici. Da un lato la risposta a esigenze interne relative a
conseguire un miglioramento dell’efficienza e a ottimizzare
l’organizzazione dei processi di business, dall’altro il desiderio di
ridurre i costi e aumentare il ritorno dagli investimenti effettuati.
A queste si aggiungono una serie di “pressioni” provenienti
dall’esterno e legate, per esempio, alla necessità di adeguarsi
progressivamente a direttive comunitarie unificate, di controbattere
le crescenti minacce provenienti da Internet o, ancora, di rispondere
a specifici requisiti legali relativi alla manutenzione e protezione dei
dati e alla tutela della privacy.
Un Sistema di gestione per la sicurezza delle informazioni (SGSI)
prevede che l'azienda implementi una politica di sicurezza allo scopo
di gestire le aree a rischio. I principi fondamentali alla base di un SGSI
sono di definire una gamma di policy per la sicurezza delle
informazioni, prevedendo l’assegnazione specifica di responsabilità e
l’implementazione di metodologie che considerino la gestione della
business continuity, il report degli incidenti e una serie di controlli
periodici per assicurare il raggiungimento degli obiettivi previsti
nell’ambito della security. Tutto ciò all’interno di un processo di
educazione, sensibilizzazione e training verso le tematiche della
sicurezza.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
105
Il passo successivo è quello di adottare un sistema per verificare il
proprio SGSI, attraverso una certificazione, in conformità ad alcuni
standard specifici. Tutte le organizzazioni possono trarre beneficio da
questo tipo di certificazione ma soprattutto quelle che devono
proporre all’esterno un’immagine di sicurezza come aziende operanti
in ambito finanziario, delle telecomunicazioni, dell’erogazione di
servizi IT o la Pubblica Amministrazione.
Le 3A della sicurezza
Il tema centrale attorno al quale costruire queste politiche di
sicurezza ruota attorno alle cosiddette “3A” ovvero all’insieme delle
tecniche di autenticazione, autorizzazione e "accounting" che,
insieme, svolgono un ruolo coordinato e sinergico all’interno del
processo di protezione dei dati e dei servizi aziendali.
Questi concetti riassumono le procedure e le funzioni necessarie per
lo svolgimento di molti dei processi di sicurezza che avvengono sul
Web. In un contesto di accesso geograficamente distribuito alle
risorse informatiche è indispensabile, infatti, trovare dei metodi e
delle regole in grado di garantire e proteggere il corretto svolgimento
delle operazioni tra le parti che scambiano informazioni.
Le 3A sovrintendono proprio a questo tipo di funzioni. In particolare
l’autenticazione è il processo per garantire in modo univoco l’identità
di chi si appresta ad accedere alle risorse, l’autorizzazione definisce i
privilegi di cui dispone questo utente, mentre l’accounting si riferisce
all’analisi e alla registrazione sistematica delle transazioni associate a
un’attività di business sul Web. La sicurezza di questi processi viene
assicurata da una serie di tecnologie e procedure che si appoggiano
su protocolli e standard.
Implementare un sistema di autenticazione
I trend che alimentano il mercato delle tecnologie di autenticazione
sono molteplici. Innanzitutto va considerata la continua espansione
dell’accessibilità alle informazioni, legata alle nuove categorie di
lavoratori mobili e da remoto nonché alla progressiva apertura del
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
106
network delle grandi aziende verso partner e clienti. Inoltre cresce il
numero di informazioni critiche e, conseguentemente, delle misure
necessarie per controllare il loro accesso. A questi va aggiunta quella
che si potrebbe definire come la “crisi delle password” ormai
definitivamente abbandonate da tutti i principali fornitori di
tecnologie in cerca di soluzioni più affidabili e meglio gestibili.
A controbilanciare questi argomenti concorrono aspetti quali i lunghi
tempi di implementazione (trattandosi spesso di soluzioni che
coinvolgono un grandissimo numero di utenti), i costi associati alla
realizzazione di infrastrutture dedicate, ma anche la giustificazione
dell’investimento rispetto ad altri ambiti tecnologici e di business, in
un momento in cui i budget scarseggiano.
Resta in ogni caso il dilemma della scelta del sistema e della
tecnologia da adottare tra le molteplici opzioni disponibili sul
mercato. La risposta a quest’esigenza risiede nella valutazione di una
serie di motivazioni che devono tenere in considerazione gli aspetti
specifici di ogni azienda e dei suoi processi di business. Come sempre
non esistono ricette uniche ma, di seguito, cercheremo di fornire
alcuni spunti metodologici per orientarsi meglio in questo processo
decisionale.
Il primo e fondamentale punto è quello di riconoscere che
l’individuazione di una soluzione di autenticazione rappresenta un
compromesso tra costi, sicurezza e praticità d’uso e che, pertanto,
ogni decisione in merito dovrebbe essere presa come risultato di
un’analisi di questi tre aspetti. La cosa è complicata dal fatto che si
tratta di parametri generalmente antagonisti fra loro: incrementare il
livello di sicurezza determina costi proporzionalmente crescenti e una
riduzione della flessibilità e semplicità d’uso perché richiede
l’adozione di strumenti, procedure e tecnologie.
Un approccio metodologico dovrebbe partire da una metricizzazione
di tali aspetti, inizialmente da un punto di vista qualitativo delle
implicazioni e, se possibile, successivamente anche di tipo
quantitativo. Per esempio è possibile individuare tutti gli aspetti
significativi e correlarli attribuendo loro un indice numerico.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
107
Anche se a qualcuno potrebbe sembrare un esercizio un po’
accademico, l’adozione di una metodologia di questo tipo permette
di chiarirsi le idee su domande di difficile risposta quali: di quanta
sicurezza ho effettivamente bisogno?
Non da ultimo, permette di facilitare la comprensione di determinate
scelte tecnologiche anche da parte di chi mastica più il linguaggio del
budget che quello tecnologico.
Affrontare l’aspetto dei costi significa, ovviamente, considerare il
Total Cost of Ownership della soluzione, che comprende non solo i
costi di acquisizione, ma anche e soprattutto quelli di deployment e
operativi, che vanno associati alle tecnologie, al personale, ai processi
e alla struttura.
Eseguire un’analisi degli aspetti di sicurezza e praticità è, invece, il
risultato di una valutazione strategica difficilmente ingabbiabile in
regole. Tuttavia è possibile almeno separare gli aspetti legati al valore
di una soluzione di autenticazione rispetto agli utenti e all’azienda.
La praticità e la semplicità d’uso, per esempio, dipendono, in
generale, dalla tipologia di utenti che si stanno considerando e
cambiano a secondo che si tratti di partner, dipendenti o clienti.
Accanto alla complessità di apprendimento va considerata anche la
praticità di utilizzo, che può inibire il suo impiego.
Anche gli aspetti legati alla trasportabilità della soluzione di
autenticazione (indice importante della sua flessibilità) possono
essere sensibilmente differenti in funzione della tipologia di utente e
sono spesso legati a doppio filo con i costi. Per esempio, l’adozione di
soluzioni che richiedono la presenza di un software sul lato client
possono limitare l’accessibilità da aree esterne quali le filiali aziendali.
Un altro esempio può essere quello di soluzioni di autenticazione che
sfruttano dispositivi mobili e che possono essere condizionate
dall’area di copertura del servizio.
Un ulteriore valore per l’utente può essere la versatilità. A volte il
sistema di autenticazione può essere costituito da un dispositivo
specifico, ma in altri casi può combinare in un unico dispositivo una
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
108
pluralità di funzioni: sistema di autenticazione, documento di identità
dotato di foto, strumento di memorizzazione di dati e così via.
Dal punto di vista della valenza strategica per l’azienda l’elemento
primario da considerare è la sicurezza relativa, che deve tenere conto
del livello di protezione offerto dal sistema di autenticazione, della
sicurezza della sua implementazione, dall’adeguatezza a proteggere
la tipologia di informazioni per cui lo si vuole utilizzare e anche della
garanzia di compatibilità con la normativa. A ciò va aggiunta la
possibilità di integrazione all’interno dell’infrastruttura esistente e
l’interoperabilità con i sistemi di back-end.
In una valutazione non va, infine, trascurata la possibilità di lasciarsi
aperte opzioni per le future evoluzioni tecnologiche.
L’identity management
La diffusione attraverso il Web o le reti aziendali di dati ad alto
valore, collegata a transazioni, all’accesso ad applicazioni e a processi
di business che prevedono il trasferimento di informazioni sensibili,
ha accresciuto l’importanza di possedere un’identità digitale sicura.
Determinare un sistema per poter dimostrare ad altri di essere un
individuo con determinate caratteristiche, rappresenta un modo per
interagire con le regole che caratterizzano le attività che svolgiamo.
Disporre di un’identità digitale significa possedere credenziali che
consentono lo svolgimento di determinati compiti, abilitano l’accesso
a informazioni e servizi e permettono l’utilizzo di determinate
applicazioni.
Il parallelo tra l’identità all’interno di un concetto di rete enterprise
virtuale e il mondo reale è fin troppo ovvio. Appare quindi
immediatamente chiaro che una specifica identità digitale deve
essere associata a un unico utente; è inoltre auspicabile che uno
specifico utente possa disporre di un unico set di credenziali per
accedere a ogni tipo di servizio ed è altrettanto importante che un
utente possa disporre delle credenziali ogni volta che gli vengano
richieste. In questi processi la sicurezza rappresenta un requisito
fondamentale.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
109
Resta però il fatto che, in un mondo digitale caratterizzato dalla
distribuzione delle informazioni, dalla loro accessibilità virtualmente
da qualsiasi terminale connesso in rete, in uno scenario di sistemi
informativi eterogenei per tecnologia, protocolli e regole, gestire
un’identità digitale in modo da realizzare i requisiti di sicurezza,
unicità e affidabilità appena espressi, rappresenta un compito
tutt’altro che banale.
La prima osservazione che si può fare è che la gestione di un grande
numero di persone, sistemi, policy e privilegi differenti introduce
possibili cause di inefficienza, errori o compromissione della
sicurezza.
Si deve poi considerare il fatto che soluzioni quali, per esempio, CRM,
ERP o la posta elettronica si sono spesso diffuse all’interno delle
aziende in relazione a specifiche esigenze e, dunque, in modo
separato le une dalle altre per quanto riguarda la gestione del loro
accesso. Pertanto le informazioni relative all’identità sono spesso
frammentate e distribuite attraverso molteplici sistemi.
Infine ci si deve confrontare con l’esigenza, da parte di diverse
funzioni aziendali (quali l’IT, la gestione delle risorse umane e la
sicurezza), di mantenere un certo grado di controllo e visibilità
rispetto ad alcune informazioni relative all’identità di un utente, quali
il tipo di attività svolta, i privilegi di accesso o l’indirizzo di posta
elettronica.
La difficoltà nell’affrontare in modo unificato e automatizzato queste
difficoltà induce spesso ad adottare un sistema di controllo
dell’accesso basto su procedure impostate in modo manuale che,
tuttavia, introducono una serie di rischi per la sicurezza e di ritardi
non accettabili in relazione, per esempio, all’attribuzione o alla
revoca di privilegi.
L’affermazione del concetto di Identity Management e delle
tecnologie a suo supporto nascono proprio da questa esigenza di
gestione efficace dell’accesso e di autenticazione mediante
un’identità digitale univoca.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
110
L’interesse per questa tematica è alimentato (e alimenta a sua volta)
dalla presenza in formato digitale di informazioni critiche per il
successo di un’azienda e dalla progressiva affermazione delle
modalità di erogazione di servizi on-demand.
Si capisce dunque che occuparsi di identity management non significa
parlare di un prodotto, ma di una serie di modalità, regole, processi
che si appoggiano su tecnologie e architetture specifiche e su
un’infrastruttura di supporto per la creazione, il mantenimento e
l’utilizzo di identità digitali. Pertanto, un unico tool o una singola suite
di strumenti non è in grado di risolvere tutti i problemi di gestione
dell’identità e dell’accesso ma serve un approccio di protezione più
strutturato e integrato.
Nella relazione che intercorre tra utente e fornitore di servizio
all’interno di un processo di Identity Management, l’utente deve
essere garantito in termini di sicurezza, affidabilità e tutela della
privacy. Da parte sua, il fornitore dei servizi deve predisporre un
sistema di autenticazione che consenta di potersi fidare dell’identità
dell’utente, deve esercitare un controllo costante attraverso sistemi
di gestione dell’accesso basati su regole ed effettuare un’attività
continua di verifica per assicurarsi che le regole vengano applicate in
modo corretto.
Va detto che nella sua accezione più completa, una soluzione di
identity management si adatta in modo particolare alle esigenze di
una grande azienda, in cui i vantaggi forniti possono essere valorizzati
e bilanciare i costi di implementazione. In aziende con un grande
numero di addetti, una soluzione di questo tipo permette, per
esempio, di mettere immediatamente a disposizione di un nuovo
impiegato tutte le risorse a cui ha necessità di accedere per il suo
lavoro in modo rapido e attraverso una gestione centralizzata nonché
di aggiornare o rimuovere immediatamente i criteri e i privilegi di un
utente che fuoriesce dalla azienda o che cambia mansioni.
Il primo passo verso la realizzazione di una soluzione di Identity
Management è rappresentato dalla disponibilità di Single Sign-On
(SSO) che realizza la possibilità di accedere, con un unico set di
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
111
credenziali, a tutte le applicazioni e i servizi a cui si ha diritto
all’interno di un dominio, nel pieno mantenimento dei criteri di
sicurezza e, per quanto possibile, in modo trasparente, delegando al
sistema la gestione di tutto il sistema di protezione.
L'idea di base è di spostare la complessità dell'architettura di
sicurezza verso il servizio di SSO, liberando così altre parti del sistema
da determinati obblighi di sicurezza. Quindi un utente deve
autenticarsi soltanto una volta, anche se interagisce con una
molteplicità di elementi sicuri presenti all'interno dello stesso
dominio. Il server SSO può essere anche rappresentato da un servizio
cloud che, in un certo senso, “avvolge” l’infrastruttura di sicurezza
che sovrintende alla funzione di autenticazione e autorizzazione.
La Data Loss Prevention
Quando si parla di ICT security si fa generalmente riferimento ai
pericoli che sono al di fuori del perimetro aziendale, ovvero agli
attacchi dei cyber criminali, ai virus, alle intrusioni nei sistemi. Gli
investimenti delle aziende, che mirano a contenere al più basso
livello possibile i rischi per il business, si concentrano su tecnologie
quali i firewall, gli intrusion prevention o i software anti-malware, che
hanno appunto il compito di elevare una sorta di muraglia difensiva
che non fa entrare nella rete aziendale nessun utente e nessuna
porzione di codice considerati pericolosi.
Non ci si preoccupa quasi mai, invece, di quello che i dipendenti, o
comunque persone autorizzate, possono portare via dall’azienda,
ovvero del pericolo che deriva dalla fuoriuscita, intenzionale o meno,
di dati sensibili e informazioni strategiche: anagrafiche clienti, listini,
numeri di telefono, offerte, contratti, documenti con rilevanza legale
e via discorrendo.
In assenza di policy specifiche, di un’adeguata cultura della
prevenzione e di tecnologie ad hoc, è troppo facile, per chiunque
abbia accesso a un pc collegato alla rete aziendale, entrare in
possesso di tali documenti e divulgarli: con una chiavetta USB, con un
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
112
tablet, spedendole via mail, stampandole, faxandole o banalmente
salvandole nel pc portatile che poi viene rubato al bar sotto l’ufficio
mentre il dipendente sta prendendo l’aperitivo. O, ancora, usando
sistemi di e-mail via Web, che spesso sfuggono ai sistemi di controllo
della posta aziendale, o attraverso l’instant messaging, anch’esso
raramente posto sotto osservazione, o semplicemente su fogli di
carta, che quasi mai vengono distrutti prima di essere gettati nei
cestini.
Recenti indagini confermano che il fenomeno ha una portata
significativa.
L'insieme di soluzioni tecnologiche che mirano ad arginare il
problema sono definite con locuzione anglosassone di Data Loss
Prevention (DLP) e vengono spesso associate a quelle di
monitoraggio e filtro dei contenuti, che presentano funzionalità
analoghe.
Tali soluzioni stanno attirando sempre più interesse, anche perché
costituiscono una protezione di secondo livello per le intrusioni
dall’esterno. Se un cyber criminale riesce a entrare nella rete
aziendale, infatti, si troverà poi a dover affrontare il sistema DLP che
gli impedisce di portare fuori le informazioni sensibili, per esempio
con un filtro che non riconosce come valido l’indirizzo IP a cui il
malintenzionato tenta di inviare i dati o con l’impossibilità di aprire il
file protetto. Inoltre, potrebbe essere autorizzato ad aprire un
determinato documento, per esempio un pdf, solo chi è in possesso
di una specifica chiave hardware.
I vantaggi ci sono e alcuni studi lo hanno dimostrato. L'aumento dei
furti di proprietà intellettuale e dati rende pressoché ineluttabile
l'adozione della DLP.
Le soluzioni DLP possono agire a livello di rete o di singolo host,
individuando i comportamenti non conformi alle policy che l’azienda
si è data. A questo punto possono intervenire bloccando l’azione
oppure mettendola in quarantena fino a che qualcuno, in possesso di
opportuna autorizzazione, verifichi se esisto o no una reale
violazione.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
113
La notifica del pericolo può essere indirizzata al responsabile di
settore, a quello delle risorse umane o al manager di area, ma
comunque a qualcuno che sia in grado di valutare il valore
dell’informazione da un punto di vista del business. Anche all’utente
è opportuno segnalare il problema, poiché la maggior parte della
fuoriuscita di dati non è da imputare a cattive intenzioni, ma solo a
imperizia o ignoranza.
Per implementare in modo efficace questo tipo di soluzioni diventa
indispensabile comprendere quali sono i dati da proteggere e qual'è il
rischio che questi vengano resi noti all’esterno dell’organizzazione.
In altre parole è necessaria un’attività di risk assessment mirata a
classificare i dati: un’operazione tutt’altro che banale e che, se non
viene fatta con attenzione, rischia di vanificare anche la tecnologia
più sofisticata.
Il rischio di falsi positivi e l’ampia zona grigia che emerge quando si
cerca di dividere le informazioni da proteggere da quelle poco
sensibili rendono lo scenario complesso e spostano il peso
dell’investimento più sulla parte di servizi di consulenza che su quello
della tecnologia in sé.
Rivedere i processi e coinvolgere i dipendenti
Definire e classificare le informazioni da proteggere è un problema
complesso, ma a volte risulta ancora più complicato individuare tutte
le diverse modalità con le quali i dipendenti riescono a portare le
informazioni al di fuori dell’organizzazione. Ecco perché
implementare una soluzione DLP può avere come risultato sia quello
di rilevare le “fughe” di dati sia di identificare processi di business
poco efficaci e renderli più sicuri, implementando controlli più
rigorosi. In altre parole, è un’occasione per monitorare a fondo le
attività e scoprire i punti deboli, verificando “chi” può accedere a
“cosa”.
Si pone, ancora una volta, il problema di bilanciare le esigenze di
security con quelle di business, ovvero di proteggere l’azienda senza,
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
114
però, porre vincoli operativi troppo stringenti che portano a
inevitabili perdite di tempo e, non ultimo, a malcontento.
Questo tipo di attività richiede il massimo coinvolgimento dei
dipendenti, che devono essere informati dei rischi e devono
uniformarsi alle policy di sicurezza nel trattamento dei dati sensibili
che ogni azienda dovrebbe avere. Tuttavia, nella pratica, ciò avviene
molto raramente.
La sicurezza nell'era
dell'as-a-service e del cloud
L’evoluzione verso il cloud computing rappresenta il punto finale di
un lungo processo di apertura delle aziende verso l’esterno. Le reti
aziendali, una volta roccaforti gelosamente celate a qualsiasi utente
esterno, si sono progressivamente aperte prima ai fornitori, poi verso
i clienti fino ad approdare ai social media.
Con l’avvento del cloud questa apertura è stata estesa non solo
all’accesso delle informazioni, che in precedenza restavano
comunque custodite all’interno di un perimetro di rete ben definito,
ma alle informazioni stesse che, potenzialmente, sono libere di
spostarsi ovunque e anche di allontanarsi molto dall’azienda.
Le soluzioni di protezione hanno quindi dovuto rinnovarsi ed
espandere il livello di protezione perimetrale per “agganciarsi” ai dati
e seguirli nei loro spostamenti.
Ecco allora che nel cloud la protezione diventa sempre più focalizzata
sul dato pur mantenendo le tradizionali difese di tipo perimetrale,
perché gli attacchi di tipo tradizionale continuano e, anzi, sono
costantemente in crescita per numero e sofisticazione.
Il cloud stesso viene poi utilizzato per rafforzare il livello di
protezione: l’analisi delle minacce si avvale, infatti, sempre più spesso
di meccanismi di diffusione collettiva della conoscenza che, non
appena vengono identificate nuove minacce, permettono di
esercitare istantaneamente la protezione su tutti i client connessi per
ridurre al minimo i rischi e i possibili contagi.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
115
Sicurezza negli ambienti private e public cloud
Il tema della sicurezza negli ambienti private cloud è in buona
parte, riconducibile a quello della protezione in ambienti
virtualizzati, che ha alcuni requisiti specifici.
Tra i temi tecnologici da affrontare vi è per esempio quello di
determinare dove collocare il livello di protezione in relazione
all'hypervisor.
Un altro problema che emerge in modo preponderante negli
ambienti virtualizzati (più che in quelli fisici) è quello della
business continuity che sta diventando anch’essa sempre più
un’offerta di servizi. Per rendersene conto basta riflettere
sull’impatto che può derivare dal guasto di un singolo sistema
fisico su cui sono ospitate le immagini anche di migliaia di
macchine virtuali.
Il cloud porta con sé anche nuove opportunità per la protezione
dei sistemi informativi, con servizi di backup as a service e disaster
recovery as a service, mentre si affacciano anche nel nostro Paese
le prime offerte di servizi per il backup dei dati sul cloud e per il
disaster recovery delle virtual machine presenti nel cloud,
effettuati direttamente sul cloud anziché (o in aggiunta) sui
sistemi interni all'azienda.
In molti ritengono che le opportunità più significative aperte dal
cloud computing vadano ricercate nel public cloud. È infatti in
questo caso che la flessibilità diventa massima ed è possibile per
le aziende aggiungere risorse IT a piacere, in modalità on-demand
e pagandole solo per il tempo effettivo di utilizzo, avendo la
possibilità di scavalcare gli alti costi di investimento necessari per
innovare e modernizzare l’infrastruttura informatica, senza
doverci rinunciare.
Il public cloud, però, porta i dati fuori dall’azienda, anche se non
sempre fuori dal controllo dell’azienda. Non è comunque
infrequente che il proprietario delle informazioni, che è anche il
soggetto che risponde di fronte alla legge di eventuali irregolarità,
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
116
non sappia dove fisicamente siano collocati i propri dati o che non
disponga degli strumenti per poter controllare che tutti i processi
che coinvolgono i suoi dati siano conformi alle normative del
proprio Paese o perlomeno alle policy interne aziendali in merito
alla sicurezza.
Va rimarcato che l’esternalizzazione di servizi da parte di aziende
o Pubbliche Amministrazioni che adottano soluzioni di cloud
computing non le esime dalle loro responsabilità legali in merito,
per esempio, al trattamento o alla diffusione di dati sensibili
personali. La responsabilità di assicurarsi che il fornitore di servizi
cloud tratti i dati nel rispetto della Legge e delle finalità del
trattamento resta, infatti, a carico dell’azienda che possiede i dati
e, nel caso di trattamento illecito o diffusione incauta, sarà quella
che ne risponderà direttamente.
Per garantire il livello di protezione necessario per gli ambienti
public cloud sono state messe a punto sofisticate soluzioni di
cifratura e gestione delle chiavi, tool per garantire la conformità,
sistemi di gestione dell’accesso sicuri e operanti all’interno di
strutture federate sicure.
Diventa in ogni caso essenziale scegliere in modo oculato il cloud
service provider a cui affidarsi considerando che il trasferimento
della gestione della sicurezza a un fornitore di servizi esterni
trasforma, di fatto, le pratiche di gestione del rischio in Service
Level Agreement (SLA) contrattuali valutati sulla base di parametri
di riferimento specifici e oggettivi.
Ma dopo aver concordato e definito gli SLA con il security service
provider, l’azienda deve anche avere a disposizione gli strumenti
per monitorarli attraverso strumenti di reportistica e indicatori
che possono preferibilmente anche essere personalizzati in base
alle esigenze specifiche del business. La perdita del controllo
diretto sulla gestione del patrimonio informativo resta, peraltro,
uno dei nodi centrali che attualmente rallentano l’utilizzo dei
servizi public cloud.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
117
La sicurezza delle applicazioni eseguite nel cloud
Il software applicativo che viene sviluppato oppure eseguito
all'interno degli ambienti di cloud computing si trova sottoposto a
una serie di requisiti legati alla sicurezza che dipendono dalla
tipologia di modello di distribuzione cloud a cui è indirizzato.
Per valutare il livello di sicurezza delle applicazioni in un ambiente
cloud, i security manager aziendali si trovano, pertanto, non solo a
dover decidere se sia opportuno sviluppare o eseguire
un'applicazione su una piattaforma di cloud computing ma, nel caso
in cui decidano di farlo, anche di scegliere accuratamente la modalità
più appropriata per farlo.
Per garantire la sicurezza delle applicazioni in un ambiente cloud
almeno due aspetti vanno considerati.
Il primo è di determinare i controlli di sicurezza che un'applicazione
deve fornire in aggiunta al livello di controllo intrinseco alla
piattaforma cloud. Un secondo punto chiave riguarda le modalità che
legano il ciclo di vita di sviluppo a livello enterprise con quello degli
ambienti cloud. Questi due aspetti vanno esaminati in relazione alle
differenti tipologie di piattaforma cloud ovvero IaaS, PaaS e SaaS.
All'interno di un'infrastruttura erogata sotto forma di servizio (IaaS), il
fornitore mette a disposizione dell'utente diversi componenti virtuali
e un primo aspetto da considerare per garantire la sicurezza
applicativa è che l'immagine virtuale fornita dal provider IaaS sia
sottoposta allo stesso livello di controllo di sicurezza e di conformità
a cui sono soggetti gli host presenti all'interno della rete enterprise.
Va poi evidenziato che la maggior parte delle applicazioni interne
all'azienda enterprise non si preoccupa eccessivamente di garantire
la sicurezza della comunicazione tra gli host di un'applicazione
distribuita, poiché il traffico transita solo attraverso una rete sicura.
In un ambiente cloud gli host operano, invece, all'interno di
un'infrastruttura condivisa con altre aziende e, pertanto,
un'applicazione "cloud based" deve farsi carico anche di garantire la
comunicazione tra host per evitare che, durante l'elaborazione, possa
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
118
verificarsi una diffusione non autorizzata di dati sensibili. Tutte le
precauzioni adottate all'interno dell'ambiente enterprise a
protezione dei dati sensibili dovrebbero perciò essere applicate
anche alle applicazioni ospitate all'interno di un ambiente IaaS.
Nel valutare l'impatto del PaaS sull'architettura di sicurezza delle
applicazioni si deve tenere conto che questo tipo di piattaforme
fornisce anche l'ambiente di programmazione per accedere e
utilizzare i componenti applicativi aggiuntivi, il quale ha un impatto
non trascurabile sull'architettura dell'applicazione.
Le tre opzioni d'offerta di servizi cloud
In un ambiente Software as a Service (SaaS) vanno affrontate le
medesime cautele di sicurezza degli ambienti PaaS e IaaS. Come le
piattaforme PaaS, anche il SaaS rappresenta, di fatto, un nuovo
ambiente di programmazione che richiede la messa a punto di
specifici schemi di codifica e di progettazione sicura.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
119
Un'azienda che decide di adottare questo tipo di servizi dovrebbe
anche poter disporre di un modo per stabilire che il ciclo di vita di
sviluppo del proprio fornitore di servizi software sia sicuro quanto
il proprio e dovrebbe, preferibilmente, richiedere SLA contrattuali
e verificabili.
Scegliere il cloud security service provider
Ma quali sono gli elementi ideali che dovrebbero caratterizzare un
fornitore di servizi di sicurezza per l’ambito cloud enterprise?
Perlomeno tre sono gli aspetti che si evidenziano come
particolarmente critici e che, in fase di identificazione, è
opportuno considerare attentamente.
Il primo riguarda l’esistenza di un framework di riferimento che
permetta di traslare le policy e le procedure in servizi reali
applicabili alle attività di business e che fornisca informazioni
inerenti il livello di sicurezza esistente nonché una visione sul
grado di efficacia delle specifiche regole e procedure attivate.
Inoltre, è importante che un fornitore di servizi di sicurezza nel
cloud metta a disposizione delle aziende anche le capacità umane
necessarie per supportarle nello sviluppo di servizi aziendali,
guidandole nella valutazione del livello di sicurezza esistente e
della sua efficacia.
Ultimo aspetto, ma non per importanza, è che l'offerta comprenda
adeguati servizi di Security service management che permettano
di fondere, in un unico insieme, le attività di business e di
sicurezza, favorendo lo sviluppo di un modello di governance e
della valutazione dei risultati dello specifico ambiente business.
Intervenendo in queste aree fondamentali è possibile
personalizzare il sistema di sicurezza in modo che risponda alle
specifiche necessità di un’azienda e del suo modo di condurre il
business e fare in modo che l’approccio basato sul cloud diventi
un’efficace leva competitiva.
Il tema della scelta di un fornitore di servizi cloud (e quindi anche
di servizi di cloud security) è stato affrontato anche dal Garante
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
120
della Privacy che ha messo in evidenza l'importanza di effettuare
delle verifiche sulle certificazioni possedute oltre che sui servizi
offerti e sulla qualità della sua infrastruttura, sull’idoneità della
piattaforma tecnologica, sulle competenze del personale e sulle
misure di sicurezza che garantisce in caso si verifichino situazioni
di criticità.
Se il fornitore non fa parte dell’Unione Europea è meglio verificare
che sia possibile effettuare il trasferimento dei dati personali
verso il Paese in questione (consentito nei casi previsti dal D.lgs.
196/2003) e che ci sia una legislazione che garantisca un adeguato
livello di protezione della privacy. Altrimenti è opportuno
sottoscrivere dei modelli di contratto che siano stati approvati
dalla Commissione Europea e dal Garante della Privacy.
Se, invece, il fornitore svolge un ruolo da intermediario
appoggiandosi a un terzo soggetto, è opportuno non perdere di
vista l’allocazione fisica dei server. L’azienda deve sapere con
certezza sotto quale giurisdizione risiedono i dati per conoscere la
legge applicabile nel caso di controversie tra l’utente e il fornitore
del servizio o in cui l’autorità giudiziaria debba eseguire ordini di
perquisizioni, sequestro e così via.
Nel caso in cui l’azienda decide di trasferire il servizio a un nuovo
fornitore, bisogna accertarsi anche dei tempi che intercorrono
dalla scadenza del contratto alla cancellazione definitiva dei dati
da parte del fornitore che li ha avuti in gestione, il quale deve
garantire di non conservare i dati oltre i termini stabiliti per
contratto.
Sempre nell’ottica di un passaggio ad altro fornitore è utile
privilegiare i servizi che garantiscono la portabilità dei dati, quindi
basati su formati e standard aperti, che facilitino la transizione da
un sistema cloud a un altro, anche se gestiti da fornitori diversi.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
121
La protezione crittografica dei dati
La crittografia è una scienza antica, nata per proteggere le
comunicazioni militari ai tempi di Giulio Cesare. Il concetto è
semplice: inventare una regola che modifica il significato del dato
scritto, cosicché non possa essere compreso da chi non conosce
tale regola.
I sistemi più antichi si basavano sulla trasposizione delle lettere
dell’alfabeto. Il metodo Cesareo, per esempio, sostituiva ogni
lettera con quella successiva: in questo modo ROMA diventava
SPNB. Una versione più evoluta di questi sistemi prevedeva anche
una regola di sostituzione.
La crittografia moderna si basa ancora sui sistemi di sostituzione e
trasposizione, ma la sicurezza non è più affidata alla segretezza
dell’algoritmo di cifratura (i sistemi di crittografia moderni sono,
infatti, rilasciati con i codici sorgenti), ma a quella di una chiave
esterna. Le tecniche di crittografia delle informazioni si basano,
infatti, su sofisticati algoritmi di tipo matematico che utilizzano
una chiave per modificare il dato. Quanto più bit sono utilizzati,
quanto più è lunga la chiave, tanto più, tanta più potenza di
calcolo sarà necessaria per "crackare" il sistema e ottenere la
chiave.
Il limite di un modello di crittografia statica è di non essere in
grado di modificare il tipo di protezione offerta in funzione
dell’esperienza acquisita. In altre parole, una volta superata la
protezione cifrata, il successivo tentativo di intrusione non
incontrerà più ostacoli. Considerando che la disponibilità di
potenza di calcolo è in continua crescita, si intuisce quanto
rapidamente possa aumentare l'obsolescenza di un sistema per la
cifratura, che dipende dalle prestazioni dei computer disponibili e
dagli sviluppi delle tecniche di criptoanalisi. Anche grazie alla
dinamicità offerta dalla virtualizzazione e dal cloud, si stanno
sviluppando nuove tecniche di crittografia che prevedono una
cifratura "interna" al dato stesso, in particolare per applicazioni in
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
122
ambito cloud storage. Su altri fronti, si lavora per migliorare la
criptazione dei canali per la comunicazione.
In ogni caso, le soluzioni di sicurezza crittografiche vanno riviste
periodicamente nel tempo, per garantire che il livello di
protezione si mantenga costante e adeguato.
Da un punto di vista del business, le funzioni di sicurezza garantite
dalla crittografia contribuiscono in modo significativo a estendere
il livello di protezione nel processo di gestione degli accessi,
intervenendo nei seguenti ambiti:
Autenticazione, che assicura che il mittente e il destinatario
di un messaggio siano quelli che affermano di essere;
Confidenzialità, che fa in modo che le informazioni siano
accessibili solo da chi è preposto a farlo;
Integrità, garantendo la non alterazione delle informazioni
da parte di persone non autorizzate;
Non ripudiabilità, impedendo a utenti di negare la paternità
delle informazioni trasmesse;
Identità, verificando l’associazione tra uno specifico
individuo e una risorsa o un’informazione;
Autorizzazione, che definisce i privilegi e le azioni permesse
rispetto a una specifica risorsa.
Le tecniche di crittografia delle informazioni utilizzano sofisticati
algoritmi di tipo matematico per rendere incomprensibili i dati a
un utente non autorizzato e fornire nel contempo, a chi è
autorizzato a farlo, la possibilità di ricostruire le informazioni in un
formato comprensibile riconvertendo il testo cifrato in testo in
chiaro. Lo strumento alla base del processo di
cifratura/decifrazione delle informazioni è quello della gestione
delle chiavi.
I modelli di base da cui discendono le diverse evoluzioni dei
sistemi di gestione delle chiavi sono quelli a chiave condivisa e
chiave pubblica, che vengono brevemente ricordati di seguito.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
123
Il sistema di crittografia simmetrico
o a chiave condivisa
Un sistema di crittografia simmetrica (detto anche a chiave condivisa)
prevede che venga utilizzata un’unica chiave per effettuare le
operazioni di cifratura e decifrazione del testo.
Si tratta di un sistema che si basa sulla reciproca fiducia delle due
parti e in cui i detentori della chiave, che in questo contesto viene
anche detta “privata” (per distinguerla da quella “pubblica”),
confidano sulla protezione che ognuno, reciprocamente, garantirà
alla chiave in suo possesso. Questo sistema richiede una fase di
scambio della chiave tra le due parti che deve essere effettuata in
condizioni di sicurezza.
Si tratta di un metodo che consente di cifrare grandi quantità di dati
in modo rapido e veloce, soprattutto se eseguito in modalità
hardware.
La garanzia di sicurezza in questo sistema è determinata dalla
dimensione della chiave: quanto più è lunga la chiave, tanto più
numerosi sono i tentativi che devono essere effettuati per
individuarla.
Schema di un sistema di crittografia simmetrico basato sull’uso di chiavi private
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
124
Il sistema di crittografia asimmetrico
o a chiave pubblica
La crittografia di tipo asimmetrico prevede l’utilizzo di due chiavi
distinte che interoperano tra loro per realizzare le procedure di
cifratura e decifrazione dei dati. Le due chiavi, una pubblica e una
privata, hanno funzionalità reciproca, in modo che i dati cifrati con
una chiave possono essere decifrati solo con l’altra.
Ogni utente dispone di due chiavi: una chiave privata specifica e
univoca conosciuta solo dal suo possessore e una chiave, detta
pubblica, inserita in un archivio liberamente consultabile e
mantenuto a cura di un ente certificatore (Certification Authority).
Un utente che voglia inviare un messaggio protetto, provvede a
cifrarlo mediante la chiave pubblica del destinatario, il quale potrà
risalire al messaggio originale decifrandolo per mezzo della propria
chiave privata.
Questo sistema si basa sul principio che la conoscenza della chiave di
cifratura non permette di ricostruire alcuna informazione su quella di
decifrazione, poiché le due chiavi non hanno alcun elemento in
comune.
Schema di un sistema di crittografia asimmetrico basato sull’uso di una coppia di chiavi distinte (pubblica e privata)
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
125
I sistemi crittografici di tipo asimmetrico garantiscono un elevato
livello di sicurezza, ma richiedono una notevole potenza di calcolo
e sono più lenti di quelli simmetrici. Richiedono, inoltre, massima
attenzione nella conservazione della chiave privata poiché, in caso
di sua perdita, l’unico modo per recuperare i dati è quello di
ricorrere ad agenti autorizzati.
Una protezione che si sposta nel cloud insieme al
dato
L'esigenza di una crescente sicurezza nell’accesso alle informazioni
è fortemente aumentata con la diffusione di Internet e con lo
sviluppo di modelli di interazione tra aziende che hanno portato a
un concetto di azienda estesa, dove la relazione tra le entità
coinvolte si basa sulla certezza dell’interlocutore (sia esso una
persona fisica o un programma) e sulla inalterabilità dei dati e
delle informazioni (per esempio ordini, fatture, bolle di
spedizione, documenti amministrativi e legali, bollette) che sono
scambiate nel corso delle usuali attività di business.
I nuovi modelli cloud e l'affermazione della mobilità hanno
ulteriormente contribuito a complicare lo scenario della gestione
del rischio. Per esempio, la componente di cloud pubblica rende
difficoltoso sia conoscere la collocazione fisica dei dati di business
affidati al proprio cloud provider sia riuscire a seguirli nei loro
spostamenti.
Indipendentemente dall'approccio di sicurezza seguito, il dato
rappresenta, in ultima analisi, l'elemento da proteggere.
Proteggere i dati significa molte cose: garantirne la disponibilità,
l'accessibilità, la conservazione ma, dal punto di vista del business,
una delle esigenze primarie è quella di impedirne la diffusione non
autorizzata e la riservatezza.
In molti casi mantenere i dati privati e sicuri costituisce anche un
requisito di conformità, per esempio alle norme Sarbanes-Oxley
(SOX), al Payment Card Industry Data Security Standard (PCI DSS) o
alle direttive sulla protezione dei dati dell'Unione Europea che
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
126
richiedono che le organizzazioni proteggano i loro dati a riposo e
garantiscano efficaci difese contro le minacce.
L'adozione di tecnologie di crittografa consente di predisporre un
livello di sicurezza intrinseco al dato stesso, che viene esercitato al
momento stesso della sua creazione e che è in grado di spostarsi
insieme all'informazione.
Questo livello di protezione è alla base dell'offerta di soluzioni
HP Atalla, sviluppate per proteggere i dati inattivi, attivi e in uso
nel corso del loro intero ciclo di vita, all'interno di ambienti cloud,
on-premises e mobili.
La gamma d'offerta è strutturata attorno a tre macro esigenze di
business: soluzioni per la protezione dei dati nel cloud, soluzioni
per la protezione e il controllo dei dati e soluzioni per la sicurezza
dei pagamenti.
L'ambito di intervento delle soluzioni HP Atalla
Crittografia e cloud
Diverse sono i benefici che le aziende possono ottenere spostando
applicazioni e dati nel cloud: dalla scalabilità, all'agilità, alla
riduzione dei costi. Tuttavia, ai potenziali vantaggi sono associati
anche nuovi rischi. Una dimostrazione di ciò giunge anche dal
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
127
survey HP Cloud-public cloud security research che ha messo in
luce come il 16 per cento delle aziende intervistate presenti sul
cloud abbia riportato almeno una violazione del cloud pubblico
negli ultimi 12 mesi.
Peraltro, va ricordato che i cloud provider che offrono servizi di
Infrastructure as a Service (IaaS) e Platform as a Service (PaaS)
propongono solitamente un modello di "responsabilità condivisa"
per le applicazioni e i dati dei loro clienti e, di conseguenza, la
responsabilità della sicurezza dei dati nel cloud è un problema la
cui soluzione spetta alle aziende proprietarie dei dati.
La crittografia dei dati è uno dei metodi più efficaci per proteggere
i dati a riposo nel cloud, ma non tutte le tecnologie sono
identiche. Al fine di selezionare la soluzione più efficace per le
proprie specifiche esigenze aziendali, è importante analizzare
alcuni aspetti fondamentali legati alla gestione del processo di
crittografia e al modo in cui viene esercitata la protezione dei dati
in uso o a riposo attraverso ogni fase del loro ciclo di vita e a come
viene affrontata la gestione e la sicurezza delle chiavi di
crittografia.
Una delle preoccupazioni primarie per chi sceglie modelli cloud di
tipo ibrido o pubblico è proprio quella di garantire la massima
segretezza delle chiavi di cifratura riuscendo, nel contempo, a
mantenerne la proprietà e il controllo: due obiettivi spesso tra
loro antagonisti.
Infatti, tutti i sistemi di crittografia dei dati, sia nel cloud o in un
data center fisico, condividono una vulnerabilità comune: hanno
bisogno di utilizzare le chiavi di crittografia e, quando queste sono
in uso, è possibile, ipoteticamente, rubarle.
Nell'analizzare una soluzione di crittografia è anche opportune
valutarne il livello di versatilità e la sua capacità di supportare i
diversi possibili casi d'uso: crittografia del disco, del database, del
file system e dello storage distribuito.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
128
La protezione Atalla dei dati nel
cloud
Attraverso la divisione Enterprise Security Products, in risposta a tutte
queste esigenze, HP propone HP Atalla Cloud Encryption, una soluzione
che adotta numerose precauzioni conosciute e le combina con altre di
nuovo tipo.
HP Atalla Cloud Encryption
HP Atalla Cloud Encryption, avvalendosi del motore Porticor, combina
cifratura allo stato dell'arte implementata su appliance (fisica o
virtuale) con una tecnologia brevettata di gestione delle chiavi
progettata per proteggere i dati critici in ambienti cloud di tipo
pubblico, ibrido e privato. Questa soluzione permette di crittografare
l'intero layer dei dati, inclusi i principali database (Oracle, MySQL,
Microsoft SQL Server e IBM DB2), i file e lo storage distribuito
all'interno di un Cloud pubblico, ibrido e privato con chiavi che non
risultano mai esposte in modo vulnerabile.
Per fornire protezione nel cloud HP Atalla Cloud Encryption utilizza
tre tecnologie di base:
crittografia dei dati basata su standard gestibile attraverso
un'interfaccia utente molto semplice;
un servizio cloud-ready per la gestione delle chiavi che utilizza
la tecnologia brevettata di cifratura con chiave divisa;
tecniche di crittografia a chiave omomorfica che proteggono le
chiavi anche quando sono in uso.
Come funziona HP Atalla Cloud Encryption
HP Atalla Cloud Encryption fornisce la possibilità di inserire la
soluzione di crittografia tra l'archiviazione dei dati e l'applicazione o il
database server nel cloud. Una volta che è stata concessa
l'autorizzazione, la soluzione di crittografia risulta trasparente per
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
129
l'applicazione e può essere integrata velocemente e con facilità senza
modificare alcuna applicazione.
Ogni volta che un'applicazione (per esempio un database server)
scrive un blocco dati su un disco, questo passa attraverso
un'appliance virtuale sicura in cui i dati vengono crittografati e poi
inviati al volume del disco. Tutte le richieste per leggere i dati dal
disco vengono inviati alla appliance virtuale sicura, che legge i blocchi
di dati cifrati, li decodifica, e quindi invia i dati di testo in chiaro
all'applicazione richiedente.
L'interfaccia grafica per la gestione di HP Atalla Cloud Encryption
HP Atalla Cloud Encryption utilizza l'algoritmo di crittografia
Advanced Encryption Standard (AES) con chiave a 256 bit. Blocchi
multipli sono incatenati con Cipher-Block Chaining (CBC) e lo schema
Encrypted Salt-Sector Initialization Vector (ESSIV) viene utilizzato per
contrastare i cosiddetti attacchi "watermarking" indirizzati ai metodi
di cifratura del disco e in cui la presenza di un blocco di dati
appositamente predisposto (per esempio, un file di richiamo) può
essere rilevato da un attaccante senza conoscere la chiave di
crittografia.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
130
La soluzione proposta da HP può cifrare in modo dinamico:
i volumi di un disco, sia che si presentino alle applicazioni come
dischi NFS o come volumi CIFS;
i volumi di dischi in una SAN, tramite il supporto del protocollo
iSCSI;
lo storage distribuito, nei casi in cui le applicazioni scrivono
l'intero file all'interno di un Web service. Il motore Porticor
supporta sia Amazon S3 (Simple Storage Service) che è
attualmente l'implementazione più diffusa sia consente
l'integrazione con altre implementazioni.
Oltre alla crittografia, HP Atalla Cloud Encryption mette a
disposizione anche altre tecnologie per rafforzare la sicurezza dei dati
quali:
firma digitale per garantire che il dato non venga alterato,
una tecnologia brevettata di dispersione dei dati e di
decostruzione per rendere più difficoltoso trovare i dati nel
cloud,
sistemi di registrazione e di allerta su eventi legati ai dati a
supporto delle azioni di auditing e di compliance.
HP Atalla Cloud Encryption Virtual Key
Management Service
Le best practice di sicurezza prevedono di non memorizzare la chiave
di cifratura accanto ai dati crittografati, in quanto entrambi le
componenti potrebbero risultare vulnerabili al medesimo attacco.
Nel cloud questo rappresenta un obiettivo irrealizzabile: non è
possibile evitare di memorizzare le chiavi nel cloud assieme ai dati
poiché si ha bisogno delle chiavi per accedere ai dati memorizzati sui
server applicativi e sui database server.
L'approccio seguito da HP per ovviare a questa condizione all'interno
della soluzione HP Atalla Cloud Encryption prevede di mettere a
disposizione un servizio di gestione delle chiavi ospitato all'interno
del cloud che eviti di penalizzare la sicurezza grazie all'utilizzo di una
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
131
tecnologia di crittografia a chiave divisa e omomorfica.
Questo servizio denominato HP Atalla Cloud Encryption Virtual Key
Management (VKM) Service è fornito attraverso il cloud ed è
supportato dal partner di HP, Porticor. Il servizio VKM fornisce la
capacità di generare chiavi di crittografia che possono essere
utilizzate dal software HP Atalla Cloud Encryption implementato
nell'infrastruttura cloud.
L'accesso al servizio avviene dal sito Web di HP Atalla Cloud
Encryption su connessione https attraverso l'integrazione con
un'appliance virtuale.
Il servizio è disponibile in modalità 24x7 ed è progettato per fornire
un livello di disponibilità (SLO) del 99,99 per cento. Nel caso in cui un
disastro di varia natura abbia un impatto sul servizio, HP garantisce il
ripristino dell'accesso entro 15 giorni lavorativi.
La cifratura a chiave divisa
La cifratura a chiave divisa utilizzata nella soluzione HP Atalla Cloud
Encryption prevede che ogni "data object" (per esempio un disco o
un file) venga cifrato con un'unica chiave che viene separata in due.
La prima parte, la cosiddetta Master Key, è uguale per tutti i "data
object" nell'applicazione e rimane in possesso solo del proprietario
dell'applicazione mentre è sconosciuta ad HP. La seconda parte della
chiave è differente per ogni "data object" e viene generata
dall'appliance virtuale sicura all'interno del servizio di gestione delle
chiavi e di HP e memorizzata nel Key Management Service dopo
averla ulteriormente cifrata con una chiave privata RSA.
Entrambi le chiavi devono essere utilizzate contemporaneamente per
svolgere le operazioni crittografiche. Quando un'applicazione accede
all'archivio dati, l'appliance combina la chiave master con la seconda
chiave per ottenere una chiave che può effettivamente decifrare un
oggetto.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
132
La soluzione HP Atalla Cloud Encryption
In altre parole, ogni volta che un utente crea un nuovo progetto
(applicazione), si genera una sola chiave Master che viene
memorizzata in modo sicuro su sistemi on-premises. La chiave
Master viene utilizzata dall'appliance virtuale sicura che risiede nel
Cloud dell'utente, ma non viene mai trasferita al Key Management
Service di HP Atalla Cloud Encryption. Quando un volume di disco o
un oggetto Amazon S3 viene crittografato, questo riceve una nuova
chiave che è una combinazione matematica della Master Key e di una
chiave casuale univoca creata dall'appliance virtuale sicura e
conservata in forma crittografata nel Key Management Service. In tal
modo, per ogni applicazione o progetto, l'utente deve tenere traccia
solo di una Master Key.
Quando non è più necessario l'accesso continuato a un "data object",
è possibile utilizzare l'interfaccia di gestione (API) per "bloccare"
l'oggetto. La chiave viene poi cancellata, e solo la seconda parte viene
conservata (criptata) nel virtual Key Management Service.
L'oggetto in tal modo risulta ancora protetto sia dalla Master Key sia
dall'altra chiave e quando la chiave dovesse servire di nuovo per la
riattivazione del volume, può essere prelevato dal virtual Key
Management Service.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
133
Tecnologia omomorfica per proteggere le chiavi in uso
L'operazione con cui l'appliance virtuale combina le due parti delle
chiavi di cifratura solitamente richiederebbe che entrambi le parti
della chiave vengano esposte in modo non cifrato.
HP Atalla Cloud Encryption, invece, mantiene sicuri i dati e le chiavi di
cifratura anche quando sono in uso nel cloud, grazie all'uso di
tecnologia crittografica omomorfica: una tecnica che abilita
l'esecuzione di operazioni matematiche su dati cifrati. Di fatto, con
HP Atalla Cloud Encryption entrambi le parti della chiave sono cifrate
prima e durante il loro utilizzo nell'appliance. Di conseguenza,
l'appliance virtuale fornisce all'applicazione l'accesso all'archivio dei
dati senza mai esporre le chiavi Master in modo non cifrato.
La soluzione Atalla cifra la Master Key in modo differente per ogni
istanza della virtual appliance sicura. Nel caso improbabile che
l'appliance virtuale fosse violata e la chiave di crittografia venisse
rubata, solo l'oggetto dati stocasticamente dipendente che è in
memoria in quel momento sarebbe esposto. Per accedere al resto dei
dati atrchiviati, il ladro avrebbe bisogno della Master Key del
progetto enterprise.
Va osservato che l'esecuzione di un processo di cifratura omomorfica
completo consentirebbe di effettuare tutte le operazioni
matematiche sui dati cifrati ma richiederebbe un'enorme potenza
elaborativa, difficilmente disponibile. Per ovviare a questo
inconveniente HP ha predisposto una tecnologia di cifratura (in
attesa di brevetto) parzialmente omomorfica per combinare e
separare le chiavi di cifratura, che interessa solo il link più critico del
processo di cifratura dei dati all'interno del cloud (di fatto la Master
Key) riducendo, in tal modo, il carico elaborativo complessivo.
HP Atalla Cloud Encryption Agent
L'agent HP Atalla Cloud Encryption, consente agli utenti delle
soluzioni HP Atalla di crittografare i dati su disco direttamente sul
loro server applicativo e anche di generare dischi cifrati virtuali
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
134
all'interno di file regolari in un file system esistente. Tutti i processi di
cifratura e decifratura avvengono localmente sull'host server per
massimizzare le prestazioni.
HP Atalla Cloud Encryption Agent si aggiunge alle funzionalità di
creazione dei dischi crittografati in modalità inline fornite
dall'appliance virtuale di HP Atalla Cloud Encryption.
Come misura di sicurezza aggiuntiva, l'agente HP Atalla Cloud
Encryption viene rilasciato utilizzando una chiave API sicura, che
permette di accedere alle sue chiavi crittografiche gestite ma non alla
Master Key. Le procedure di cifratura del disco avvengono
localmente sull' host server che fa girare HP Atalla Cloud Encryption
Agent, e le chiavi di cifratura sono divise tra la virtual appliance HP
Atalla Cloud Encryption e il HP Atalla Cloud Encryption Virtual Key
Management (VKM) Service.
Le opzioni di offerta di HP Atalla Cloud Encryption
HP Atalla Cloud Encryption viene offerto da HP in molteplici opzioni
di deployment, supportando VMware e Amazon Web Services con
possibilità di supporto 9x5 e 24x7.
In particolare l'offerta prevede
HP Atalla Cloud Encryption for Amazon Web Services per
virtual appliance ovvero rilasciato nell'ambiente cloud del
cliente con un prezzo per appliance virtuale
HP Atalla Cloud Encryption for VMware per virtual appliance
ovvero rilasciato nell'ambiente cloud del cliente con un prezzo
per appliance virtuale
HP Atalla Cloud Encryption agent per istanza su VMware
ovvero rilasciato per l'installazione sull' application server
nell'ambiente cloud del cliente su sistema operativo Linux e un
prezzo per istanza dell'agente su VMware.
HP Atalla Cloud Encryption agent per istanza su AWS ovvero
rilasciato per l'installazione sull' application server
nell'ambiente cloud del cliente su sistema operativo Linux e un
prezzo per istanza dell'agente su AWS.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
135
HP Atalla Information Protection and
Control
HP Atalla Information Protection and Control (IPC) mette a
disposizione una serie di soluzioni per la classificazione e la
protezione delle informazioni all'interno dell'organizzazione
aziendale. L'offerta HP Atalla IPC include software di gestione,
reporting e analytics, moduli per la protezione di file e cartelle,
protezione dei dati delle applicazioni, protezione della posta e dei
dati non strutturati multi-formato.
HP Atalla Information Protection and Control
HP Atalla IPC si avvale del motore della piattaforma IQProtector,
grazie alla partnership con Secure Islands Technologies, per fornire
una protezione incorporata ai dati al momento della loro creazione.
Gli Agenti IQProtector presenti sull'host enterprise, identificano
immediatamente e in modo preciso i dati sensibili nuovi, modificati o
acceduti da qualsiasi origine, applicandogli un livello avanzato di
classificazione, contrassegnandoli e consentendo il controllo
completo sul loro accesso e utilizzo.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
136
La famiglia di software HP Atalla IPC è strutturata nelle seguenti
componenti.
HP Atalla IPC Suite
È la suite centrale per la protezione delle informazioni che include il
software di gestione e i seguenti moduli funzionali:
Persistent Multi-format File Protection;
Persistent Email Protection;
Persistent Web, Application, and Cloud Protection;
Persistent Information Protection Data Analytics;
Persistent Protection for Remote Desktop Services (per
esempio Citrix/Terminal Services);
SharePoint Classification and Protection.
HP Atalla IPC Bridge per i servizi di analisi dei
contenuti
Viene rilasciato su servizi enterprise quali antivirus, DLP, ricerca,
archiviazione, indicizzazione per accedere e scandire contenuti cifrati
senza soluzione di continuità.
HP Atalla IPC Scanner
Una soluzione per la classificazione e la protezione. Si tratta
essenzialmente di un "document crawler" che passa in scansione
classifica e protegge i dati preesistenti sui repository.
Servizio di compliance HP Atalla IPC per Exchange
Un 'offerta che mette a disposizione la possibilità di decifrare le email
e gli allegati protetti per l'archiviazione e per esigenze di conformità.
Questo servizio viene distribuito sui server Microsoft Exchange e
gestito centralmente.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
137
HP Atalla IPC AD RMS extensions for Outlook
Fornisce un modo semplice per applicare la protezione Microsoft
Active Directory Rights Management Services (AD RMS) all'interno di
Microsoft Outlook per incrementare l'effettivo utilizzo dei servizi RMS
all'interno dell'organizzazione. Consente un livello di flessibilità
all'utente finale per applicare permessi che si estendono oltre gli
standard di Microsoft Outlook.
HP Atalla IPC Mobile Support for Microsoft AD RMS
Mette a disposizione delle organizzazioni la possibilità di collaborare
con email ed allegati protetti da servizi di gestione dei diritti (Rights
Management Services, RMS) in modo sicuro sui principali sistemi
operativi e device mobili come iOS, Android, Windows, BlackBerry.
Le soluzioni Atalla per la sicurezza
dei pagamenti
HP Atalla fornisce anche una gamma di soluzioni di sicurezza per
pagamenti e transazioni elettroniche che mette a disposizione chiavi
di crittografia business-critical. Le soluzioni HP Atalla soddisfano i
requisiti degli standard critici per la sicurezza e la conformità dei
servizi finanziari, inclusi NIST, PCI-DSS e HIPAA/HITECH per la
protezione dei dati sensibili e la prevenzione delle frodi.
La soluzione per la sicurezza dei pagamenti prevede due componenti
che operano congiuntamente per garantire una protezione della rete
end-to-end, trasparente per l'utente e a elevate prestazioni.
HP Atalla Network Security Processor (NSP)
Il primo è il modulo di crittografia hardware HP Atalla Network
Security Processor (NSP) che soddisfa i più stringenti standard incluso
FIPS 140-2 livello 3 a supporto delle attività di gestione delle
autorizzazione di pagamento a mezzo carta e delle verifiche di PIN
ATM/POS.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
138
Si tratta di un modulo di sicurezza hardware a prova di
manomissione, pensato per le soluzioni di cifratura sulle reti di
trasferimento elettronico dei fondi, di bancomat e di POS, che
fornisce crittografia ad alte prestazioni e capacità di gestione delle
chiavi per l'autorizzazione dei pagamenti con carta di credito.
HP Atalla Network Security Processor (NSP) A10160
Sono disponibili tre modelli di Network Security Processor, ognuno
dei quali fornisce le medesime funzionalità di sicurezza ma con
differenti livelli prestazionali.
HP Atalla A8160 NSP è una soluzione adatta per ambienti
transazionali caratterizzati da bassi volume, che è in grado di tradurre
80 PIN per secondo.
HP Atalla A9160 NSP è una soluzione per gli ambienti di transazioni di
medio livello che traduce fino a 280 PIN al secondo, mentre HP Atalla
A10160 NSP è la soluzione per gestire ambienti transazionali ad alto
volume di traffico che traduce 1060 PIN al secondo quando utilizzata
con il Key Block Atalla.
Inoltre, tramite Atalla Secure Configuration Assistant, HP mette a
disposizione degli amministratori della sicurezza uno strumento
tablet-based che consente di configurare comandi, definire
parametri, calcolare crittogrammi e inserire chiavi crittografiche
all'interno dei moduli HP Atalla NSP distribuiti in tutto il mondo.
5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI
139
HP Atalla Secure Configuration Assistant
HP Enterprise Secure Key Manager (ESKM)
Il secondo componente è il sistema sicuro di gestione delle chiavi HP
Enterprise Secure Key Manager (ESKM) che consente di ridurre il
rischio di danni ai dati crittografati e alla reputazione e che facilita la
conformità con le normative del settore.
HP ESKM è una soluzione per la creazione, l'archiviazione, la
fornitura, il controllo e l'accesso per esigenze di auditing alle chiavi di
cifratura dei dati; permette di proteggere e preservare l'accesso alle
chiavi di crittografia sia in locale sia da remoto.
HP Enterprise Secure Key Manager
La soluzione Atalla prevede la compatibilità con applicazioni ATM,
POS e EFT personalizzate o fornite dai principali produttori.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
140
141
LA SECURITY INTELLIGENCE
Le minacce sono andate crescendo in complessità e
volumi. Contemporaneamente sono state sviluppate
tecniche di attacco sempre più sofisticate. Il numero
di eventi legati alla sicurezza, registrati dalle
soluzioni di protezione in essere presso le imprese, ha
raggiunto livelli tali da rendere impossibile la loro
gestione senza l'utilizzo di soluzioni "intelligenti", in
grado di attuare meccanismi automatici d'analisi e
intervento.
HP ESP ha raggruppato all'interno della famiglia
HP ArcSight le soluzioni software indirizzate risponde
a queste esigenze
6
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
142
La sofisticatezza degli attacchi
Negli anni si è assistito a un costante aumento delle minacce, ma,
cosa ancora più grave, a un continuo "miglioramento" delle stesse: in
altre parole, sono sempre più sofisticate e difficili da rilevare.
Non è più il tempo dei virus, ma quello di più pericolosi malware e
tecniche di attacco, quali phishing, adware, spyware e botnet, che si
combinano con codici maligni spesso scritti per specifici attacchi e
con exploit kit specializzati.
Si comprende che questo livello di sofisticatezza non è opera dei
cosiddetti “script kid”, giovani in cerca di notorietà che si pongono
obiettivi ambiziosi per mettere alla prova le proprie capacità, ma di
organizzazioni criminali vere e proprie, le quali, talvolta usano ancora
la spinta entusiasta del ragazzo preso e compreso dalla "causa" del
momento e contribuisce con il suo genio informatico alle azioni di
Anonymous o di altri gruppi hacktivisti, ignaro del disegno
complessivo, messo in piedi da associazioni criminali.
Semplificando, possiamo individuare tre tipi di hacker: l'hacktivist, il
cyber criminale e l'ethical hacker. Quest'ultimo è generalmente
considerato l'esperto buono. Può essere colui che lavora presso le
società che combattono il crimine informatico o che cercano di
proteggere le aziende, ma può anche essere un "cane sciolto", che, in
base a una propria morale, sceglie cosa considerare hackerabile e
cosa no. Certamente non trafugherà denaro direttamente, ma
potrebbe trovare giusto piratare del software considerato troppo
costoso.
L'hacktivist compie azioni dimostrative contro enti governativi,
associazioni, imprese, tipicamente attraverso attacchi DDoS, creando
danni a volte consistenti a volte no. La finalità è soprattutto la
"vetrina", cioè il guadagnare un palcoscenico e una platea per
effettuare una denuncia di un qualche tipo.
Il cyber criminale è fortemente motivato dal profitto e può, a sua
volta, essere di due tipi: professionista o dilettante. C'è chi produce e
sviluppa malware e sistemi di attacco che vende o noleggia via Web e
6 - LA SECURITY INTELLIGENCE
143
chi li utilizza per arricchirsi. Anche il ragazzino appena un po'
competente può avviare un'attività illegale compiendo frodi e
attacchi di varia natura. Dopodiché esistono anche organizzazioni che
compiono azioni criminose anche per conto terzi.
Il cybercrime ha dunque fatto un salto di qualità, non solo il tempo
della goliardia è ormai solo un ricordo, ma dalle azioni
"estemporanee" finalizzate a frodi online, si è andato oltre.
La redditività del crimine informatico ha rapidamente portato alla
costituzione di vere e proprie forme di criminalità organizzata. Una
cospicua fetta del Deep Web, tutto il mondo sommerso di Internet,
che ne rappresenta la porzione maggiore, si occupa di sviluppare
strumenti di attacco, mentre altri utenti, non necessariamente
esperti li utilizzano.
Al gioco partecipano anche le organizzazioni di stampo mafioso
"tradizionali", che, perlopiù, agiscono localmente, "noleggiando" i
servizi di attacco per raccogliere denaro, attraverso il furto di
identità, cioè sottraendo e utilizzando in modo fraudolento dati degli
utenti, numeri di carta di credito, password e altro, oppure con il
ricatto, per esempio minacciando un’organizzazione di mettere ko i
suoi sistemi Internet, o ancora sfruttando l’ingenuità di chi riceve
mail mascherate da richieste di beneficenza, pubblicità di prodotti
super economici e via dicendo.
A rendere estremamente efficaci questi messaggi, spesso scritti
anche in italiano maccheronico, sono diversi fattori: l'ignoranza in
materia; l'ingenuità di chi fino a poco fa non navigava su Internet, la
facilità con cui riuscendo al leggere poco o niente si clicca su tutto e
poi si pensa. Da questo punto di vista, la diffusione degli smartphone,
attraverso i quali si collegano a Internet e leggono la posta
elettronica un numero sempre maggiore di utilizzatori, rappresenta
un aiuto insperato per i cyber criminali.
A creare preoccupazione, inoltre, è la sempre maggiore attività di
collaboration nel Deep Web: chi scrive malware oggi condivide
informazioni con i “colleghi”, mentre prima non accadeva o, almeno,
non con le stesse modalità. Ormai vengono seguite le stesse fasi di
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
144
sviluppo del software normale, secondo il modello open source, con
il rilascio successivo di diverse versioni, il debug e via dicendo.
Dalle più recenti analisi, inoltre, si evince che sta aumentando
notevolmente l’utilizzo del social engineering come base per il
phishing. Traducendo: il furto di credenziali elettroniche con le quale
perpetrare frodi informatiche avviene sempre più facilmente
attraverso attacchi non informatici. In passato, era sempre possibile
avvicinare un dipendente per carpire informazioni riservate, con
tecniche di spionaggio tradizionale, ma era costoso e possibile solo su
obiettivi mirati con interventi diretti. Oggi, grazie ai siti di social
networking, è possibile reperire quantità enormi di informazioni
private senza neanche incontrare il o i potenziali target. Gli stessi siti
Web aziendali contengono informazioni apparentemente innocue e
utili per l'immagine (come il "chi siamo" completo di organigramma).
Tanto basta per comporre una mail di "spear phishing"
sufficientemente credibile per trarre in inganno magari un quadro o
un dirigente aziendale, che, inconsapevolmente, consegna le chiavi di
accesso alla rete e, magari, con privilegi di alto livello.
Come accennato queste minacce di ultima generazione vengono
combinate con quelle più vecchie (anche perché alcune vulnerabilità
del software applicativo continuano a essere presenti in molte
imprese) e con diverse tecniche di attacco (compreso il social
engineering offline) per realizzare quelle che vengono chiamate
minacce avanzate o Advanced Persistent Threat (APT).
Le Advanced Persistent Threat (APT)
Tutti i rapporti divulgati dalle principali società impegnate nella
sicurezza concordano su un dato: aumentano il numero degli attacchi
"mirati", cioè condotti con un preciso fine, e di quelli "silenti", cioè
orientati a un obiettivo evitando di "far rumore". Sono quelli che
vengono raccolti nella categoria Advanced Persistent Threat.
Gli APT sono lo strumento principale per perseguire tali obiettivi
illeciti e sono utilizzati in tutti gli ambiti: nello spionaggio industriale o
6 - LA SECURITY INTELLIGENCE
145
governativo, nelle azioni di sabotaggio, nelle frodi, nei furti di
proprietà intellettuale, nella sottrazione di dati e così via.
Gli aggettivi "advanced" e "persistent" indicano le caratteristiche
principali di questi attacchi: l'uso di tecniche sofisticate, la
combinazione delle stesse in una strategia basata su più fasi e la
tenacia con cui questa viene applicata con continuità fino
all'ottenimento dell'obiettivo e oltre. Oltre, perché in casi come lo
spionaggio, il malware è progettato per annidarsi e continuare a
spiare anche per anni, finché non viene scoperto.
Recentemente, per esempio, sono stati trovati malware che
"spiavano" enti governativi e aziende statunitensi, probabilmente di
origine russa (un sospetto dovuto alla presenza di caratteri cirillici in
alcune stringhe di testo incluse nel codice).
Le fasi di un attacco APT sono diverse: secondo alcune classificazioni
5, per altri 6 o 7. Di fatto, non c'è una reale uniformità, perché alcune
di queste fasi possono mancare o, più spesso, essere accorpate in
un'unica azione a seconda dei casi.
Le sette fasi di un attacco APT
La caratteristica principale è l'utilizzo di più tecniche organizzate
secondo una sequenza abbastanza standard, perlopiù rappresentata
in sette fasi. Queste sono:
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
146
1 - Ricognizione – Come detto, gli APT sono perlopiù attacchi mirati,
che, come nella migliore strategia di guerra, sono preceduti da una
fase di studio del "nemico". In questo caso, il cyber criminale cerca
dati sul bersaglio da colpire, partendo, tipicamente, dal sito Web e
facendo sfoggio di capacità deduttive. Per esempio, un'offerta di
lavoro in cui si ricerca personale specializzato in un determinato
applicativo software permette di comprendere quali sistemi vengano
utilizzati in un'azienda, identificando potenzialmente delle
vulnerabilità. In generale, si vuole trovare dati personali tra i profili
online, gli indirizzi e-mail, gli organigramma aziendali, gli hobby e
interessi sui Social Network. Più informazioni si ottengono, maggiori
sono le probabilità di affinare e rendere efficaci le successive fasi di
attacco.
2 -- Adescamento – Questa fase è diventata più facile di quanto si
possa immaginare con la diffusione dei sistemi mobile. La cultura
sulla sicurezza informatica è scarsa ed è facile incuriosire, soprattutto
se si conoscono (vedi fasi uno) i punti deboli della persona cui si
spedisce un messaggio mirato. Inoltre, quando questi messaggi
arrivano sullo smartphone, dove complice la "visibilità ridotta" e
soprattutto l'abitudine a cliccare prima e pensare dopo, è alta la
possibilità che il malcapitato caschi nella trappola. Quasi certamente
non se ne accorgerà, perché il cybercriminale si guarderà bene dal
creare disturbo, magari gli manderà un secondo messaggio di scuse
perché il primo aveva avuto un comportamento strano,
tranquillizzando gli eventuali dubbiosi.
I filtri antispam possono fermare attacchi di massa, ma nel caso di
quelli mirati i messaggi puntano su comunicazioni normalmente
attese dall’utente, che spesso questi filtri considerano attendibili.
Secondo alcune ricerche fra i cinque argomenti più usati come esca
via e-mail sono l’avviso riguardo un ordine, la conferma di un
biglietto, l’annuncio di una consegna di un corriere espresso, un’e-
mail di verifica e una notifica di informazioni sui rimborsi fiscali. Ma
sono tattiche generiche usate da chi vuole sparare nel mucchio. Gli
attacchi mirati usano anche messaggi apparentemente inviati dal
6 - LA SECURITY INTELLIGENCE
147
proprio capo e sfruttano i dati raccolti, quindi la sicurezza aziendale,
teoricamente, andrebbe estesa anche alla pagina Facebook dei
dipendenti. Quantomeno, le informazioni sulle minacce raccolte dai
sistemi di sicurezza aziendali dovrebbero correlare Web ed e-mail,
anche considerando che il 92% dello spam via e-mail contiene un
URL.
3 - Reindirizzamento – L'esca della fase due molto spesso reindirizza
verso un sito Web dove è annidato un exploit kit. Anche in questo
caso, c'è molta differenza tra gli attacchi APT di massa e quelli mirati.
I primi cercano di adescare il maggior numero di persone, ma per
questo non possono essere troppo sofisticati nel messaggio e nel tipo
di trappola. Per quelli mirati, ci si può anche prendere la briga di
attaccare un sito insospettabile per installarvi sopra il kit di malware.
Fa specie che la tecnica tuttora più utilizzata per il redirect è basata
sull'SQL injection, inventata prima della nascita di Internet. Insieme
alla iFrame injection conducono gli utenti ignari verso servizi Web e
contenuti non richiesti. Il cosiddetto “malvertising” (malware
advertising) invece dirotta gli utenti inconsapevoli all’interno di siti
conosciuti. I re-indirizzamenti di nuova generazione, infine,
comprendono i post sulle bacheche dei social network, finti plug-in,
certificati falsi e java script abilmente occultati. Tali reindirizzamenti
sono spesso dinamici, cambiano cioè in continuazione, per cui i
sistemi di Web Filtering avanzati devono poter verificare i link in
tempo reale.
4- Exploit – La fase centrale è fondamentale per l'attacco vero e
proprio, cioè per penetrare all'interno delle difese avversarie. Gli
exploit sono sempre più sofisticati: per esempio i Blackhole utilizzano
sistemi di cifratura difficili da identificare con soluzioni antivirus.
Decisamente più efficaci possono essere i gateway di ultima
generazione, come i Next Generation Firewall, ma non tutti arrivano
a comprendere il reale funzionamento del malware, che, talvolta,
rimane "inattivo" a lungo dopo l'installazione sulla rete del bersaglio.
Rispetto al passato quando i kit erano numericamente di meno e
basati su relativamente poche varianti, era possibile anche filtrare il
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
148
traffico sulla base di signature, ma ormai questi sistemi possono
essere paragonati ai cecchini invece che alle truppe d'assalto. Gli
exploit kit, adesso colpiscono con un malware di tipo dropper (che si
deposita direttamente nel sistema informatico attaccato), solo
quando rileva una porta aperta sicuramente vulnerabile. In caso
contrario devia l’utente verso una pagina web normale e rimane
nascosto, aspettando la prossima occasione.
5 - Installazione – Siamo a quello che viene considerato l'attacco vero
e proprio: il nemico avanza pronto a sfondare le barriere esterne.
Non a caso, dunque, è qui che si concentrano i cosiddetti sistemi di
protezione perimetrale, analizzando ogni file che penetra nella rete
per rilevare eventuale malware. Come accennato, però, non è facile
come prima rilevare i codici maligni di nuova generazione attraverso
signature e pattern, perché questi utilizzano pacchetti dinamici.
6 – Call Back – Una volta compiuta l'installazione del primo malware,
il sistema informativo è presto in balia del cyber criminale. Il malware
contatta un server e attiva il download di strumenti e altro codice
maligno per raccogliere e inviare informazioni sul sistema violato, al
fine di proseguire al suo interno fino all'obiettivo finale.
Evidentemente, per la protezione in questa fase occorre un sistema
che analizzi il traffico in uscita, ma sono ancora poco diffusi. Ne
occorrono di abbastanza sofisticati, infatti, perché attraverso
strumenti semplici, come un DNS dinamico i cyber criminali evitano il
rilevamento delle operazioni di chiamata a casa verso indirizzi statici.
Tuttavia è possibile inibire l'uscita di dati verso sistemi che non siano
noti e quindi inibire l'uso di DNS che rimandano a server di
"command and control". Del resto chi vuole nascondere la propria
ubicazione geografica è in genere sospetto.
Una soluzione efficace viene applicata dalle soluzioni di Data Loss
Prevention integrate con sistemi in grado di effettuare un'analisi
contestuale dei dati: chi è l’utente, dove sono destinati i dati e altre
variabili sono informazioni utili per i prodotti che devono evitare
l'invio di informazioni riservate a Web mail personali, account di
6 - LA SECURITY INTELLIGENCE
149
social network o mandate all’interno di app per la connessione a
cloud storage privati.
7 – Azione – La fase finale è quello in cui l'attacco va tipicamente a
buon fine se non si è riusciti a intervenire prima. Certamente, anche
qui ci sono ancora margini per bloccare il furto dei dati obiettivo dei
cyber criminali, ma occorre disporre di sistemi in grado, per esempio,
d'identificare una password che sta uscendo dalla rete aziendale
oppure di rilevare traffico criptato verso l'esterno con chiavi di
cifratura illecite o estranee al proprio sistema di crittografia. Ci sono
poi tecniche, chiamate drip (gocciolare), che trasferiscono file verso
l’esterno in piccole quantità in tempi dilatati, per rendere più difficile
il rilevamento.
I SIEM "intelligenti"
La crescente complessità dei malware e la sempre maggiore
sofisticatezza degli attacchi hanno reso rapidamente obsoleti quei
sistemi di protezione che non prevedevano azioni automatiche.
In particolare, però, a dimostrare la propria inadeguatezza sono i
SIEM (Security Information Event Manager) di prima generazione.
Inizialmente, la gestione della sicurezza era statica: si installava un
firewall o poco più e, una volta definite le regole per governare il
traffico, gli si lasciava seguire il proprio lavoro.
Man mano si sono aggiunti altri dispositivi e/o software per applicare
alcuni controlli aggiuntivi, resi necessari dall'evoluzione delle
minacce.
La definizione delle policy è un processo che richiede una certa
dinamicità per essere efficace, perché le condizioni del traffico
cambiano nel tempo. Anche la soluzione di sicurezza
tecnologicamente più avanzata è, infatti, destinata a fallire se non è
coadiuvata da regole implementate sulla base della specifica realtà e,
quindi, tali da soddisfare gli obiettivi aziendali e i requisiti di
applicabilità e idoneità.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
150
Il ciclo di definizione e implementazione delle policy
Stabilire una politica di sicurezza significa prevedere tutte le possibili
violazioni alla sicurezza e il modo per proteggersi da esse,
formalizzandole anche in un documento. Documento che è
importante, non solo per la compliance alle normative sulla sicurezza
dei dati, ma perché riguarda la governance stessa dell'impresa. Le
policy di sicurezza, infatti, riguardano questioni quali l’impostazione
del livello di sicurezza relativo ai singoli apparati e alle soluzioni
informatiche, la gestione del rischio di perdite finanziarie associato a
intrusioni e le modalità comportamentali degli impiegati.
Il problema è che questo approccio ha dimostrato rapidamente la sua
inefficacia sia per la rapidità con cui evolvono le minacce, ma
soprattutto per la incredibile pressione che si deve sopportare: i log
dei sistemi per la gestione di informazioni ed eventi di sicurezza
arrivano a registrarne centinaia di migliaia al giorno. Chiaramente
non è possibile analizzarli manualmente, ma neanche con i motori di
correlazione di prima generazione, che riescono a incrociare alcuni
dati, ma non hanno, in realtà, accesso a tutte le informazioni
necessarie a rilevare attacchi ATP.
6 - LA SECURITY INTELLIGENCE
151
Questo scenario pone due problemi che sono stati affrontati
aumentando "l'intelligenza" dei sistemi SIEM e, sotto un altro punto
di vista, anche quella dei dispositivi per la protezione. In particolare,
questi ultimi, come i firewall e gli IPS di nuova generazione sono stati
raffinati per analizzare con maggiore dettaglio il traffico e i pacchetti
che lo compongono. A tali capacità si aggiunge soprattutto una più
semplice definizione delle policy, che non devono più essere
impostate con parametri tecnici comprensibili solo agli esperti, ma
sono espresse con formule "business", quindi più facilmente
comprensibili anche all'interno di quel documento di
programmazione, che viene così a far parte intrinseca del processo di
gestione del rischio e governance aziendale.
Questo livello di semplificazione, dall'altro lato, comporta anche
l'automazione delle regole poi effettivamente applicate e la
possibilità di gestirle centralmente in maniera integrata. In pratica, se
il SIEM è in grado di rilevare un innalzamento del livello di rischio
generale, potrà automaticamente innalzare le soglie d'attenzione dei
dispostivi. In parte, tale capacità può sfruttare le informazioni
provenienti dai dispositivi sulla rete, combinando tecniche di
Information Security utilizzate in diversi ambiti: per esempio quelle
per la Web security e l’application security, con quelle di sicurezza
fisica. Incrociando, per esempio, i dati di autenticazione per l'accesso
alle applicazioni con quelli per la registrazione delle presenze e/o con
i controlli dei varchi d’ingresso nelle aree degli edifici e uffici, si potrà
evidenziare l'anomalia di un utente che non risulta entrato in ufficio,
ma il cui account sta accedendo dal suo desktop al sistema ERP o sta
spedendo informazioni via mail.
Ma, per compiere un salto di qualità è necessario che il SIEM possa
tener conto del livello di rischio su tutta la rete Internet e non solo su
quanto sta accadendo al suo interno. Per questo, non bastano i
semplici motori di correlazione interni. Questi ultimi, infatti, sono in
grado di confrontare l'avvenire di eventi misurati sulla rete aziendale
e quindi registrati nel log del SIEM.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
152
Con gli attacchi ATP, purtroppo, questo è necessario e può spezzare
la sequenza di fasi di un attacco, ma non è detto che sia sufficiente, a
causa della persistenza degli ATP.
Un attacco che comincia con una mail di spear phishing ha buone
probabilità di arrivare indisturbato alla quarta fase e da qui alla
quinta, senza che i sistemi di protezione se ne possano accorgere. A
questo punto potrebbe essere troppo tardi. Peraltro, con un sistema
SIEM in grado di ricevere e selezionare informazioni anche da fonti
esterne alla rete aziendale, cioè di appoggiarsi a un sistema di
"intelligence", l'attacco potrebbe essere bloccato alla fase 2 se non
alla 1.
Per chiarire in cosa consiste un sistema di intelligence ripercorriamo
appunto la sequenza di un attacco APT, dopo la ricognizione, partono
le strategie di adescamento, nella maggior parte dei casi basate
sull'invio di una mail di spear phishing. Un sistema
antispam/antiphishing potrebbe bloccarla, ma è facile che gli sfugga,
perché non è composta con lo stile classico dello spam o del phishing
di massa. Soprattutto non fa parte di massicce campagne di
spamming che vengono rilevate per gli elevati volumi.
In genere contengono un link, ma un'analisi superficiale dei contenuti
cui rimanda non è sufficiente a stabilirne la malevolenza. Peraltro,
un'analisi accurata, per esempio con l'emulazione del
comportamento attraverso tecniche di sandboxing, richiede del
tempo e viene spesso effettuata offline. A meno che l'attacco non sia
condotto a una singola impresa o, addirittura a uno specifico reparto
di una singola impresa, è possibile che tali mail di spear phishing
siano state già "sotto esame" su qualche sistema, magari dall'altra
parte del mondo. Se quest'ultimo dovesse rivelare un elemento
sospetto potrà "firmare" la mail (cioè trovare un elemento che la
contraddistingua e ne permetta l'identificazione) e di trasmettere
immediatamente questa informazione in tutto il mondo.
Quest'ultima fase è quella che viene chiamata di threat intelligence,
anche se le definizioni non sempre coincidono. In buona sostanza un
sistema di threat intelligence è in grado di correlare informazioni di
6 - LA SECURITY INTELLIGENCE
153
sicurezza registrate sulla propria rete e di confrontarle con quelle
raccolte da un network, generalmente appoggiato su cloud. Quindi
svolge una funzione di "intelligence", indagando sulla rete che
gestisce. A sua volta, il sistema diffonderà le informazioni al network
cui appartiene, secondo una logica di collaborazione e condivisione.
Queste soluzioni si stanno rivelando sempre più efficaci e utili,
spingendo le imprese a sviluppare metodi di raccolta dati per
l'intelligence. Partendo dal valutare quali risposte possono arrivare
da soluzioni analitiche interne, vanno selezionate le fonti di
informazioni che sono utili. Fino ad arrivare a un set ritenuto
soddisfacente, eventualmente negoziando acquisizioni o scambi di
dati con fornitori esterni. Quindi si potranno arricchire le analisi
attraverso strumenti di threat intelligence esterni. Ottimizzando tali
processi, inoltre, si può minimizzare l'aumento della capacità storage
necessaria per supportare l'aumento dei log, che, come accennato,
sta diventando critico.
Progettazione ed "enforcement" delle policy
Le istruzioni specificate dalle policy possono essere di tipo generale,
cioè applicate indifferenziatamente a tutta l'impresa, oppure
suddivise per tipologia di risorse aziendali o per aree di
responsabilità. In ogni caso la progettazione di una policy deve
recepire le indicazioni provenienti dall’analisi del rischio in merito alle
risorse da considerare importanti e deve definire opportunamente gli
step da seguire per la loro protezione.
La messa a punto di una policy aziendale deve essere fatta in modo
da favorire il suo effettivo utilizzo, evitando di trasformarsi in un
documento formale per clienti o revisori, ma di nessuna utilità
pratica. Spesso questo aspetto è legato alla presenza, in molte realtà
aziendali, di criteri poco significativi, che restano troppo generici e
non danno indicazioni precise sulle azioni da intraprendere.
L'intelligenza delle più recenti soluzioni per la sicurezza permette di
superare quest'ultimo inconveniente, grazie alla definizione di regole
tecniche basate su definizioni generali, ma occorre comunque che a
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
154
livello strategico si adottino criteri che soddisfano requisiti di
flessibilità, chiarezza negli obiettivi, applicabilità. Inoltre, i criteri per
la sicurezza dovrebbero essere introdotti in modo da evidenziare il
sostegno incondizionato da parte della direzione dell'azienda e
coinvolgere, per quanto possibile, i diretti interessati. Proprio per
questo è stata semplificata la loro definizione.
Se male organizzato, paradossalmente, un criterio di sicurezza può
determinare una riduzione del livello di protezione. Spesso policy
troppo restrittive vengono ignorate, perché ostacolano l’attività
lavorativa. Per esempio, l’utilizzo di password troppo lunghe o
complesse e, pertanto, difficili da ricordare, potrebbe indurre gli
impiegati a scriverle e lasciarle più facilmente in balia di possibili
malintenzionati.
Per essere efficace un criterio di sicurezza deve essere diffuso e
applicato: ci si deve assicurare che tutti gli impiegati conoscano le
relative policy di sicurezza e che ne possano disporre prontamente e
in qualunque momento e va garantita la pronta comunicazione di
ogni loro eventuale cambiamento.
Per la diffusione efficace di ogni criterio è opportuno mettere a punto
un insieme di regole scritte, che definiscono le responsabilità
relativamente a chi progetta le policy, chi le garantisce, le
implementa e la fa rispettare e le relative conseguenze a seguito di
eventuali violazioni.
Infine, sarebbe buona pratica coinvolgere gli utenti influenzati dalle
policy di sicurezza nel loro processo di sviluppo o almeno di revisione.
Si tratta di un'opera di educazione e sensibilizzazione che, da sola,
contribuisce a ridurre drasticamente il rischio: per esempio,
rendendo difficile realizzare una mail di spear phishing.
Le vulnerabilità indotte dal comportamento dei dipendenti
rappresentano il principale punto debole per tutte le imprese e
coinvolgerli permette di ridurre il rischio da loro rappresentato.
Per altro, è utopistico sperare di risolvere i problemi di sicurezza in
questo modo, perché ci sarà sempre il nuovo assunto o l'ultimo dei
6 - LA SECURITY INTELLIGENCE
155
"fannulloni" che non seguirà un comportamento corretto. Senza
contare i casi di violazioni dolose.
Le tecnologie possono aiutare anche in questi casi, ma i risultati migliori
si ottengono grazie agli automatismi che sono stati introdotti in molte
delle soluzioni di ultima generazione, imponendo, di fatto l'enforcement
delle policy di sicurezza, per esempio impedendo che un determinato
file classificato come confidenziale, possa essere spedito via mail, magari
anche solo per sbaglio, senza che sia crittografato con un sistema che ne
impedisce la decodifica se non attraverso un sistema aziendale.
Capacità di tal genere, peraltro, devono accompagnarsi a un SIEM di
nuova generazione, che le potrà mettere a frutto configurando il sistema
di sicurezza aziendale, in modo che sia pronto a fronteggiare le minacce
"in arrivo", cioè quelle rilevate dai sistemi di threat intelligence e
prontamente segnalate al SIEM. Anche tale configurazione dovrà
avvenire il più automaticamente possibile (almeno in base alla flessibilità
posseduta dal sistema di protezione stesso), perché il tempo è tutto
nell'era della globalizzazione e nel mondo interconnesso del terzo
millennio.
Le soluzioni HP ArcSight
HP ha raggruppato all'interno della famiglia ArcSight le soluzioni
software indirizzate a proteggere i dati attraverso il monitoraggio,
l'analisi e la correlazione di eventi di sicurezza provenienti da differenti
tipologie di sorgenti.
Nel suo complesso ArcSight rappresenta una piattaforma integrata di
Security Intelligence e Risk Management in grado di abbinare le
funzionalità di un Sistema di gestione delle informazioni e degli eventi di
sicurezza (SIEM) con un approccio preventivo basato su un modello di
analisi intelligente delle minacce, effettuato su scala globale attraverso
una serie di servizi predisposti da HP.
La piattaforma HP ArcSight Security Intelligence fornisce visibilità sulle
attività che interessano l'intera infrastruttura enterprise correlando log,
ruoli dell’utente e flussi di rete per individuare eventi legati alla sicurezza
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
156
in base ai quali definire priorità e predisporre risposte efficaci e
preventive a minacce di vario tipo. Attraverso una console di sicurezza
unificata e centralizzata (HP ArcSight Management Center) è possibile
configurare, distribuire e gestire l'analisi dei Log su deployment a larga
scala e fornire funzioni unificate di gestione delle modifiche.
L'elemento centrale e abilitante di questa famiglia di soluzioni è il
motore di analisi per la gestione di minacce e rischi HP ArcSight ESM.
HP ArcSight ESM
HP ArcSight ESM rappresenta l'elemento centrale e abilitante di
questa famiglia di soluzioni. Si tratta di una soluzione SIEM per la
raccolta, l’analisi e la correlazione delle informazioni di sicurezza e
degli eventi di rischio, la protezione delle applicazioni e la difesa della
rete e per il Governance, Risk management and Compliance (GRC).
HP ArcSight ESM è in grado di effettuare analisi capaci di correlare:
minacce esterne come malware e attacchi di hacker,
minacce interne come le violazioni di dati e le frodi,
rischi derivanti da flussi applicativi,
modifiche della configurazione,
problemi di conformità che scaturiscono dal mancato
superamento dei controlli.
HP ArcSight ESM
6 - LA SECURITY INTELLIGENCE
157
HP ArcSight ESM automatizza le operazioni di ricerca su Terabyte di
dati, la produzione di report per la compliance e raccoglie dati di
business intelligence.
Il fulcro tecnologico di questa soluzione è costituito dalla quinta
generazione (con prestazioni fino a 30 volte superiori rispetto alla
versione precedente) del motore di correlazione Correlation
Optimized Retention and Retrieval Engine (CORR-Engine) che
permette di scalare nel livello di risposta, in funzione della minaccia
che ci si trova a dover affrontare.
L'integrazione con il file system di Hadoop (HDFS - Hadoop
Distributed File System) consente di sfruttare il CORR-Engine per
effettuare funzioni avanzate di analytics in tempo reale oppure di
inviare ad alta velocità ad Hadoop i log normalizzati dal CORR-Engine
per una lettura da HDFS (per esempio per operazioni di batch
analytics).
Integrazione tra ArcSight ESM e Hadoop Distributed File System (HDFS)
HP ArcSight utilizza anche il motore HP Reputation Security Monitor
che permette di analizzare in tempo reale gli indirizzi IP e i DNS
potenzialmente dannosi, al fine di contrastare gli attacchi che
sfruttano le vulnerabilità delle applicazioni Web.
HP ArcSight Command Center
L'interfaccia HP ArcSight Command Center riunisce funzionalità
amministrative e di reportistica Web-based con funzioni di
configurazione, distribuzione, analisi dei log e gestione delle
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
158
modifiche, attraverso un'impostazione basata su cruscotti altamente
personalizzabili.
Anche le applicazioni di terze parti possono essere integrate
direttamente all'interno del front end Web di HP ArcSight ESM.
HP ArcSight Command Center
HP ArcSight Express
HP ArcSight Express è una soluzione preconfigurata che viene
integrata su un'appliance (disponibile in diverse configurazioni e
modelli). Riunisce la piattaforma SIEM con la gestione dei log e il
monitoraggio dell'attività degli utenti, integrando le funzionalità di
IdentityView, Threat Detector e l'analisi del flusso di rete e utilizzo
della banda.
In pratica, questa soluzione raccoglie i log da qualsiasi origine dati,
consolida le informazioni per migliorare l'efficienza dello storage e
mette in correlazione gli eventi su più dimensioni, tra cui identità,
vulnerabilità, analisi statistica e rilevamento di schemi per
identificare le minacce avanzate prima che possano danneggiare i
sistemi.
6 - LA SECURITY INTELLIGENCE
159
HP ArcSight Logger
All'interno della famiglia ArcSight questa soluzione abilita la raccolta
di log provenienti da diversi dispositivi e in qualsiasi formato
attraverso oltre 300 connettori. I dati raccolti vengono poi unificati
attraverso la normalizzazione e la categorizzazione in un formato
eventi comune (registrazione CEF) per poter effettuare ricerche,
indicizzazione, generare report, analisi e favorirne la conservazione.
È possibile, in tal modo, migliorare le operazioni IT, dalla conformità
alla gestione dei rischi, fino all'intelligence di protezione contro le
minacce interne e quelle avanzate e persistenti (APT).
L'ultima release della soluzione si caratterizza per la maggiore
scalabilità che permette di gestire volumi di dati otto volte maggiori
rispetto alla precedente versione con un incremento di prestazioni
fino dieci volte superiori.
HP ArcSight Logger 6.0
Queste caratteristiche si rendono necessarie per affrontare le sfide
imposte dall'analisi di un volume crescente di dati e favoriscono le
operazioni di monitoraggio continuo e le funzioni di investigazione
contestuale forense ad alta velocità.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
160
Le funzionalità di HP ArcSight Logger includono:
la disponibilità di una app Mobile per attività di monitoraggio
continuo anche in mobilità;
una nuova interfaccia Web 2.0 che migliora l'esperienza
utente;
possibilità di effettuare raccolta e memorizzazione di log
provenienti da oltre 350 fonti;
funzioni di compressione fino a 10:1.
La strategia alla base del portafoglio d'offerta HP ArcSight
6 - LA SECURITY INTELLIGENCE
161
HP ArcSight IdentityView
HP ArcSight IdentityView è una soluzione software pensata per la
protezione delle aziende enterprise da possibili minacce interne. Combina
capacità di raccolta e analisi SIEM con le informazioni legate a utenti e
ruoli relative ai diversi sistemi di accesso utilizzati.
Se l'attività di un utente sulla rete non corrisponde ai controlli di accesso
consentiti o ai comportamenti tipici di un utente (valutati sulla base di dati
storici correlati), la soluzione contrassegna il suo profilo perché venga
sottoposto a indagini approfondite. Questo meccanismo aiuta il team di
sicurezza a distinguere tra attività nocive intenzionali e involontarie. Il
risultato è un meccanismo efficace per la mitigazione del rischio da minacce
interne in tempo reale, che contribuisce a migliorare la governance degli
accessi e che offre la possibilità di eseguire analisi forensi più
rapidamente.
Questa soluzione, inoltre, arricchisce i log di sicurezza con
informazioni sull'utente e il suo ruolo, fornendo un quadro completo delle
attività anche per account ad alto rischio, privilegiati e condivisi.
Con il rilascio della versione 2.5 di ArcSight IdentityView, HP ha
ampliato i meccanismi di correlazione dell'identità, dei ruoli e delle
attività di sicurezza, incrementando di 10 volte il numero di utenti
che una singola istanza è in grado di monitorare.
HP ArcSight Threat Detector
È uno strumento pensato per gli analisti della protezione a cui
fornisce gli strumenti necessari per distinguere un evento sospetto
dai normali eventi che si verificano in rete.
HP ArcSight Threat Detector identifica il traffico normale e gli schemi
di eventi sospetti attraverso un'analisi euristica effettuata sulla base
dei dati storici e una serie di strumenti di visualizzazione e analisi del
flusso dei dati.
Questo tool semplifica l'individuazione di worm "zero-day" e di
attacchi complessi oltre a favorire il rilevamento degli errori di
configurazione dei dispositivi di rete, dei sistemi e delle applicazioni.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
162
Fornisce, inoltre, supporto alla creazione di regole basate su modelli
comportamentali.
HP ArcSight Threat Detector favorisce anche il rilevamento degli
errori di configurazione dei dispositivi di rete, dei sistemi e delle
applicazioni.
HP ArcSight Application View
Uno degli aspetti troppo spesso trascurati o sottovalutati nell'ambito
della sicurezza IT è quello legato alle applicazioni a cui, secondo gli
analisti di mercato, sono riconducibili oltre l'80% delle vulnerabilità
totali. Un tema quanto mai attuale se si pensa che le vulnerabilità
attualmente identificate associate alle applicazioni mobili in
ambiente Android si stanno rapidamente avvicinando alla quota di 2
milioni.
Con il rilascio di ArcSight Application View, HP mette a disposizione
una soluzione per la visibilità sugli eventi di sicurezza delle
applicazioni, combinando le funzionalità di HP Fortify e di ArcSight
ESM.
HP ArcSight Application View è stato progettato in base al
presupposto che, il posto migliore per individuare, comprendere e
mitigare le minacce legate alle applicazioni, risieda nel software
stesso. Questa soluzione controlla automaticamente le applicazioni
per fornire un'analisi intelligente sulle minacce combinando i log
degli eventi di sicurezza generati dalle diverse applicazioni, incluse
quelle legacy o personalizzate che, in molti casi, non sono state
progettate per fornire capacità di registrazione dei log.
HP ArcSight Application View fornisce funzionalità di registrazione dei
log senza la necessità di alcuna personalizzazione e mette i dati
raccolti a disposizione di HP ArcSight ESM, integrandoli nei suoi
dashboard e report.
HP ArcSight Application View è basato su Fortify Runtime e
rappresenta un agent a livello di Application Server, la cui
implementazione non richiede di effettuare modifiche alle
applicazioni.
6 - LA SECURITY INTELLIGENCE
163
Questa soluzione fornisce una capacità di monitoraggio delle
applicazioni (Java, .NET e Cold Fusion) sensibile al contesto e può
essere utilizzata per contribuire a colmare le lacune di sicurezza
legate alle modalità di accesso degli utenti o a un utilizzo improprio
delle applicazioni: per esempio, distingue tra l'accesso di un utente
autorizzato a un'applicazione durante il normale orario di lavoro e il
suo accesso ripetuto di Sabato a mezzanotte.
Rappresenta anche una soluzione complementare al software HP
Identity View focalizzato sul monitoraggio dell'identità degli utenti a
cui, di fatto, può mettere a disposizione ulteriori dati legati alla
sicurezza. Inoltre, consente di correlare le informazioni sugli eventi
legati alle applicazioni con quelle associate ai sistemi IDS/IPS: per
esempio gli attacchi intercettati dai sistemi IDS/IPS possono essere
correlati a uno specifico login alla applicazione, per conseguire una
migliore visibilità su ciò che l'attaccante sta cercando di ottenere.
HP ArcSight Application View individua e rende disponibili ad altre
soluzioni della famiglia ArcSight una serie molto estesa di fenomeni di
sicurezza tra cui citiamo, per esempio, errori nel controllo
dell'autorizzazione, link interrotti, tentativi di forzare l'accesso in
modalità "forza bruta", Denial of Service, modifiche ai privilegi
dell'utente, navigazione nelle directory, buffer overflow, sicurezza dei
cookie, violazioni della privacy, sottrazioni dei dati della carta di
credito e attacchi spam.
L'azione complementare di HP ArcSight Identity View e Application View
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
164
HP ArcSight Risk Insight
HP ArcSight Risk Insight è una delle soluzioni software aggiunte più
recentemente da HP al suo portafoglio d'offerta.
Abilita, tramite ArcSight ESM, funzioni di analisi del rischio e di
impatto sul business, fornendo:
una mappa del rischio dei servizi di business,
una mappatura degli asset che estende il modello di ArcSight
ESM,
Mappa degli asset in HP ArcSight Risk Insight
funzioni per l'analisi di conformità dei processi di business.
una serie di indicatori di rischio capaci di aggregare molteplici
fonti,
Indicatori di rischio in ArcSight Risk Insight
6 - LA SECURITY INTELLIGENCE
165
HP ArcSight Management Center
HP ArcSight Management Center è la console di sicurezza unificata e
centralizzata di HP che permette di configurare, distribuire e gestire
l'analisi dei Log su deployment a larga scala e di fornire funzioni
unificate di gestione delle modifiche.
HP ArcSight Threat Response Manager
HP ArcSight Threat Response Manager (TRM) mette a disposizione
funzionalità cloud-ready per accelerare il rilevamento delle minacce e
le azioni di risposta alle APT.
Rilasciato come un add-on cloud-ready per la piattaforma HP
ArcSight di Security Information and Event Management (SIEM),
ArcSight TRM è una soluzione end-to-end di sicurezza di rete e
monitoraggio che accelera il rilevamento delle minacce e automatizza
l'intero processo di risposta.
Questa soluzione consente di:
gestire e elaborare ad alta velocità le informazioni di sicurezza,
analizzare i dati (strutturati e non strutturati),
monitorare gli eventi
predisporre azioni automatiche una volta che una minaccia è
stata rilevata.
In caso di rilevamento, prima che il personale di sicurezza provveda a
disattivare manualmente l'account, ArcSight TRM interviene per
interrompere immediatamente l'accesso.
ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS
166
167
CONCLUSIONI
Attraverso un'offerta di soluzioni hardware e software ampia e diversificata,
HP Enterprise Security Products mette a disposizione della aziende enterprise
un insieme di componenti e strumenti adatto a rispondere alle esigenze di
rilevamento delle minacce esterne e interne e a predisporre azioni di risposta
che intervengono per proteggere dati, rete e applicazioni.
I centri di ricerca e l'offerta di servizi distribuiti a livello globale mettono a
disposizione delle aziende una "intelligence" di sicurezza globale e aggiornata
in tempo quasi reale che contribuisce ad accelerare la risposta a minacce e
predisporre azioni proattive nei confronti di nuove minacce come le APT.
L'offerta di HP ESP è in costante ampliamento e la costante attività rivolta a
incrementare il livello di integrazione tra le differenti famiglie di soluzioni non
potrà che contribuire a incrementare ulteriormente l'efficacia complessiva
dell'approccio alla sicurezza proposto dal vendor.
Le soluzioni HP TippingPoint NGFW, rappresentano un ulteriore tassello che
completa e incrementa li livello di protezione enterprise, in uno scenario
caratterizzato da cloud computing, virtualizzazione, mobilità e
consumerizzazione dell'IT. I sistemi per la prevenzione delle intrusioni di nuova
generazione HP TippingPoint NGIPS mettono a disposizione dei security
manager contromisure che intervengono in modo differenziato e granulare
per proteggere la rete aziendale, ormai senza confini, da minacce e intrusioni
che sfruttano tutti i vettori disponibili, dai dispositivi mobili alle applicazioni.
Con le soluzioni HP Fortify HP ESP fornisce una risposta efficace alle esigenze
di sviluppare codice sicuro, mentre la gamma HP Atalla interviene per
proteggere il dato nei suoi spostamenti adattandosi alle esigenze di
protezione del cloud.
Con le soluzioni HP ArcSight, il vendor completa il quadro di una protezione
integrata fornendo un'analisi intelligente a supporto dell'individuazione di
minacce note e di nuovo tipo.
L'insieme di queste soluzioni, risorse e servizi da corpo a una piattaforma
integrata di security intelligence e risk management che mette a disposizione
della aziende gli strumenti adatti a rispondere alle esigenze legate
all'evoluzione dei modelli di protezione.
ICT Security per le nuove esigenze di business
L'evoluzione dei modelli di protezione e
le soluzioni di HP Enterprise Security Products
Copyright © Reportec S.r.l. - 2015 - Tutti i diritti riservati