Sei sulla pagina 1di 226

Inoltre, essere etici, per G Data significa anche - spiega Vada -, supportare i

INFORMATION SECURITY
&
DATA PROTECTION
Prevenzione dalle minacce, risposta gli incidenti, protezione degli endpoint
Dallo object storage alla biometria, alla intelligence per una difesa globale per
la salvaguardia del business

Giuseppe Saccardi - Gaetano Di Blasio - Riccardo Florio


Avvertenze

Tutti i marchi contenuti in questo libro sono registrati e di propriet delle


relative societ. Tutti i diritti sono riservati. Va notato che le informazioni
contenute possono cambiare senza preavviso; le informazioni contenute sono
reputate essere corrette e affidabili anche se non sono garantite. La descrizione
delle tecnologie non implica un suggerimento alluso delluna o dellaltra cos
come il parere espresso su alcuni argomenti da parte di Reportec puramente
personale. La vastit dellargomento affrontato e la sua rapida evoluzione
possono avere portato a inaccuratezze di cui Reportec non si ritiene
responsabile, pur avendo espletato i possibili controlli sulla correttezza delle
informazioni medesime; il libro non rappresenta una presa di posizione a favore
di una o laltra delle tecnologie, standard o prodotti ivi riportati n garantisce
che le architetture, apparati, prodotti hardware e software siano stati
personalmente verificati nelle funzionalit espresse; le descrizioni delle
architetture, delle piattaforme, dei servizi e dei dati aziendali sono stati
elaborati in base alle informazioni fornite dalle aziende, con le quali gli stessi
sono stati analizzati e ridiscussi.

Copyright Reportec 2017


www.reportec.it
SOMMARIO
1 RESILIENZA, GOVERNANCE E INCIDENT RESPONSE .............................. 1

Ora e sempre resilienza ........................................................................... 2


Una strategia per la sicurezza .................................................................... 5
Il GDPR e le nuove regole dell'Unione Europea .......................................... 9
Il costo di una violazione alla sicurezza dei dati ....................................... 12
La digital technology elimina i confini delle imprese ................................ 16
Sicurezza e social network ....................................................................... 19

I dieci attacchi pi gravi scoperti nel 2016 .............................................. 21

2 - L'EVOLUZIONE DELLE MINACCE E LA SICUREZZA INTELLIGENTE .......... 25

Dagli attacchi sofisticati a quelli di massa ............................................... 26


Le diverse facce di un hacker ................................................................... 26

Le nuove minacce .................................................................................. 30


Il ransomware per tutti ............................................................................ 32
Le Advanced Persistent Threat (APT) ....................................................... 35
Il Phishing................................................................................................. 39
Lo spear phishing ..................................................................................... 41
Il social engineering ................................................................................. 43
Il furto di identit ..................................................................................... 46
L'Internet of Things e le nuove botnet ...................................................... 47

La Security Intelligence .......................................................................... 48


I SIEM "intelligenti" .................................................................................. 49
Progettazione ed enforcement delle policy .............................................. 53

3 - LA MOBILE SECURITY ........................................................................ 56

La centralit della sicurezza nella mobility aziendale .............................. 57


Le criticit del BYOD ................................................................................. 59
Una consapevolezza che cresce ............................................................... 61

La disponibilit del servizio wireless ...................................................... 64


Il Cloud Wi-Fi ............................................................................................ 68
Sette requisiti per un Cloud WiFi a prova di business ................................. 69

I
Mobile Device Management.................................................................. 70

4 - SICUREZZA DEL DATO E BUSINESS CONTINUITY NELLERA DEL SOFTWARE


DEFINED DATA CENTER ......................................................................... 74

Il data center del futuro ........................................................................ 75


Il data management ................................................................................ 78

Una sicurezza basata sulla business continuity e il disaster recovery ....... 79


Laspetto impiantistico ............................................................................. 80
Alimentazione e condizionamento sempre pi efficienti .......................... 83
Come aumentare la sicurezza e ridurre i consumi .................................... 86
Ottimizzare la climatizzazione e ridurre i costi e i fuori servizio ............... 88
Il problema dei blade e dellalta densit .................................................. 89
Monitorare e controllare lambiente per un IT sicuro .............................. 91
Architetture tradizionali per il disaster recovery ...................................... 92

Malfunzionamenti e disastri .................................................................. 94


Impatto economico del fermo di unapplicazione .................................... 95
La pianificazione alla base della sicurezza operativa ............................... 96
Il Business Continuity Plan ....................................................................... 97

La Business Impact Analysis ................................................................... 98


Scegliere la gerarchia di sicurezza e di ripristino: RTO e RPO ....................... 98
Modalit di protezione dei dati ................................................................ 99
Clustering e Disaster Recovery ............................................................... 101
Il ripristino su scala locale, metropolitana e geografica......................... 102
Laspetto economico di una soluzione tradizionale ................................ 104
Software di gestione .............................................................................. 105
Data Center remoti e backup in outsourcing.......................................... 105
Limportanza del partner ....................................................................... 106

5 - LA NETWORK SECURITY "POST PERIMETRALE" ................................ 109

La sicurezza delle reti .......................................................................... 110


L'evoluzione della network security ....................................................... 111
Gli attacchi DDoS (Distributed Denial of Service) ................................... 113
Le Virtual Private Network (VPN) ........................................................... 115

II
Larchitettura IPsec ................................................................................ 117
Rispondere alle minacce in tempo reale ................................................ 117
Controllare chi o cosa vuole entrare nella rete: i rischi degli endpoint .. 119
Le vulnerabilit dei sistemi SCADA ......................................................... 120

Verso i firewall e gli IPS di prossima generazione.................................. 122


L'evoluzione del firewall ......................................................................... 123
Firewall packet filtering ............................................................................. 123
Firewall Stateful Inspection ....................................................................... 123
Application Firewall, IPS e Web Filtering ................................................... 123
Firewall Unified Threat Management ....................................................... 124
Next Generation Firewall .......................................................................... 124
Le ragioni per adottare un NGFW/NGIPS ............................................... 125

6 - LA SICUREZZA DELLE APPLICAZIONI ................................................. 128

Una protezione multilivello ................................................................. 129


Design sicuro e vulnerability patching ................................................... 130

L'analisi del traffico applicativo............................................................ 132


Applicazioni e RASP ................................................................................ 133
Le soluzioni Runtime Application Self Protection ................................... 134
Web Application Firewall e Interactive Application Security Testing ..... 136

7 - BIOMETRIA E VIDEOSORVEGLIANZA: LA SICUREZZA LOGICA INCONTRA


QUELLA FISICA .................................................................................... 139

La convergenza tra sicurezza logica e sicurezza fisica ........................... 140

La biometria........................................................................................ 141
Metodi di confronto ............................................................................... 141
I rischi della biometria............................................................................ 143
Caratteristiche e tipologie dei sistemi biometrici ................................... 144
Ciclo di vita e conservazione dei dati biometrici .................................... 147
Lintervento del Garante della Privacy ................................................... 148

Levoluzione della videosorveglianza ................................................... 149


Un cambiamento epocale ...................................................................... 151
Una gestione semplificata ..................................................................... 152

III
Le opportunit del wireless nella videosorveglianza .............................. 154

La sicurezza negli edifici intelligenti ..................................................... 155

8 - sOLUZIONI PER LA PROTEZIONE DEI DATI ........................................ 157

Lapproccio gestionale alla sicurezza dei dati........................................ 158


Le 3A della sicurezza .............................................................................. 159
Implementare un sistema di autenticazione .......................................... 159
Lidentity management .......................................................................... 162

La Data Loss Prevention ...................................................................... 164


Rivedere i processi e coinvolgere i dipendenti ........................................ 166

La sicurezza nell'era dell'as-a-service e del cloud ................................. 167


Sicurezza negli ambienti private e public cloud ...................................... 167
La sicurezza delle applicazioni eseguite nel cloud .................................. 169
Scegliere il cloud security service provider ............................................. 171

La protezione crittografica dei dati ...................................................... 173


Il sistema di crittografia simmetrico o a chiave condivisa ...................... 175
Il sistema di crittografia asimmetrico o a chiave pubblica ..................... 176
Protezione nel cloud con una crittografia embedded ............................. 177
Crittografia e cloud ................................................................................ 178

STRATEGIE E SOLUZIONI PER LA SICUREZZA E LA PROTEZIONE DEL DATO181

F-Secure.............................................................................................. 183
Dati sempre pi preoccupanti ................................................................ 183
La risposta agli attacchi: scansione e gestione delle vulnerabilit ......... 184
Mappatura e scansione ......................................................................... 185
F-Secure Radar: vulnerability scanning and management .................... 186

Forcepoint .......................................................................................... 189


Le nuove aree di business ....................................................................... 190
Forcepoint Stonesoft NGFW 6.1 ............................................................. 191
Skyfence potenzia cloud security e DLP .................................................. 193

G Data ................................................................................................ 194


Vendere sicurezza e non prodotti ........................................................... 195

IV
Il caso Ducati Corse ................................................................................ 197

HPE Security........................................................................................ 200


HPE Security ArcSight: la piattaforma SIEM ........................................... 200
HPE Security Fortify: la sicurezza delle applicazioni ............................... 203
HPE Data Security per la protezione e crittografia dei dati .................... 204

Veeam ................................................................................................ 208


Availability nel Cloud con DRaaS ............................................................ 209
Availability for the Modern Data Center ................................................ 209
Always-on per un'azienda efficiente ...................................................... 210
Un approccio Software Defined allAlways-on ....................................... 210
La Veeam Availability Suite .................................................................... 211
Veeam Cloud Connect: ripristini veloci e a basso costo .......................... 212

V
1
1 RESILIENZA,
GOVERNANCE E INCIDENT
RESPONSE

Contrastare i "pericoli" online necessario , ma la


pressione degli attacchi tale da rendere praticamente
inevitabile il subire una violazione alla sicurezza.
Occorre una strategia che, se da un lato permetta di
cavalcare l'onda della "Digital Technology", dall'altro
prepari a superare gli incidenti alla e permetta di
ripristinare la piena operativit aziendale.

1
INFORMATION SECURITY & DATA PROTECTION

Ora e sempre resilienza


"Le aziende si dividono in due categorie: quelle che hanno subito una violazione
della sicurezza informatica e quelle che hanno subito una violazione della
sicurezza informatica, ma ancora non lo sanno". Lo ripetono da anni gli esperti
di sicurezza, lo ha ribadito il Ceo di Cisco, John Chambers e, ormai, questo si pu
ritenere un assunto, in quanto dimostrato nei fatti a pi riprese.
Il concetto stato spiegato nel rapporto2016 del Clusit, una delle pi importanti
associazioni italiane di professionisti del settore Information Security. La
situazione fotografata dal rapporto del 2017 di un ulteriore peggioramento.
Gli autori dell'analisi relativa agli incidenti noti pi gravi (e sottolineiamo solo
quelli di dominio pubblico, quindi un campione molto ridotto, considerato che
solo negli Usa esiste un obbligo di denuncia) hanno utilizzato termini
apocalittici, ritenendo si debba operare in condizioni di costante allarme rosso.
La diffusione della digital transformation non fa che aumentare il rischio,
esponendo una superficie di attacco sempre maggiore. Non esiste pi un
perimetro aziendale definibile, basti pensare allo smart working, sempre pi di
"moda", che comporta per l'utilizzo di tecnologie mobili, cloud e social, senza
una distinzione netta tra uso lavorativo e domestico della tecnologia.
In sostanza, nessuno al sicuro, per in tanti, soprattutto in Italia, un paese di
naviganti, poeti, inventori e "furbi" patentati", continuano a credere di non
essere un bersaglio appetibile e, immancabilmente il/la titolare di turno chiede:
"Perch dovrebbero attaccare proprio noi? Siamo piccoli". Infatti non che
attacchino proprio loro, che attaccano tutti.
La maggior parte degli attacchi, infatti, sono automatizzati e colpiscono tutto
quello che trovano online. L'analisi degli eventi relativi alla sicurezza registrati
dal SOC di Fastweb, come riportato nel rapporto Clusit 2016, ha infatti mostrato
che il 98% degli eventi era generato da malware utilizzato proprio per attacchi
automatici.
Peraltro, Da Cryptoloker (il pi fanoso tra i malware classificati come
ramsonware) in poi, gli imprenditori hanno violentemente compreso che la
violazione del sistema informatico ha un impatto economico diretto
sull'azienda. Il ramsomware ha avuto e avr ancora per molto successo perch
mette in relazione il cyber criminale e la vittima senza intermediari, rendendo

2
1. Resilienza, Governance e incident response

semplice al criminale la monetizzazione, al contrario, per esempio, di una frode


economica che richiede una forma di riciclaggio del denaro.
Questa minaccia, che approfondiremo nel prossimo capitolo, sta portando il
crimine informatico a un livello superiore. Si tratta di vere e proprie estorsioni. I
criminali bloccano i dati non solo degli smartphone, ma anche di interi data
center e pretendono riscatti che possono arrivare e superare i 50-100mila
dollari. Sono infatti in grado di calcolare qual il costo che per l'impresa vittima
conveniente pagare perch inferiore al costo di ripristino. Il problema che
non sempre possibile ripristinare lo stato ante attacco, perch non esiste in
azienda una politica rigorosa sul backup e il disaster recovery, n una strategia
di incident response.
La diffusione del ramsonware massiccia anche perch ormai compiuto da
criminali "comuni", che acquistano o affittano un kit nel deep Web e che non
hanno alcuno scrupolo anche ad attaccare reparti d'ospedale. Detto questo,
tutti hanno dati che vale la pena copiare, per esempio credenziali di accesso. Il
furto di identit una delle attivit pi remunerative, sia per chi le "ruba" per
poi utilizzarle per effettuare direttamente delle frodi o per compiere azioni di
spionaggio, sia per chi le vuole semplicemente rivendere.
Stabilito che non c' pi n un se n un quando si verr attaccati, l'unica
variabile l'ammontare del danno. Quest'ultimo dipende in buona parte dal
livello di protezione che si impostato. da manuale, per esempio, il caso di
Target, un retailer statunitense, che a fine 2013 ha scoperto di essere stato
attaccato: avevano copiato, direttamente dai sistemi collegati alle casse,
migliaia di dati relativi alle carte di pagamento. Il problema che, per arrivare a
Target, i cybercriminali sono passati attraverso un piccolo fornitore del grande
distributore. Questo piccolo fornitore non aveva "nulla che valesse la pena
rubare", tranne le credenziali per accedere alla rete di Target, con le quali il
partner poteva monitorare il funzionamento dei frigoriferi nei supermercati,
mentre ai malintenzionati sono serviti per entrare nei sistemi e poter agire
indisturbati.
Uno dei rischi pi comuni per le piccole e medie imprese legato alle botnet,
per realizzare le quali i cybercriminali puntano a ottenere il il controllo dei
computer presenti in azienda. Le vittime non si accorgevano praticamente di
nulla, perch lo stesso amministratore della botnet era interessato a non

3
INFORMATION SECURITY & DATA PROTECTION

"disturbare" troppo, cercando di limitare i disservizi in termini di prestazioni.


Almeno fino al momento in cui doveva sferrare un attacco.
Oggi le botnet stanno scalando, grazie non solo all'aumento della potenza
elaborativa dei singoli dispositivi, ma soprattutto per la disponibilit di un
numero vertiginosamente crescente di dispositivi connessi: il contro altare
dell'Internet of Things.
Secondo l'analisi effettuata dal SOC di Fastweb nel 2016 sono state registrate
oltre 12mila anomalie riconducibili a possibili attacchi DDoS, pi o meno la
stessa quantit dello scorso anno, ma il volume della banda impiegata in media
pari a 11 Gbps, oltre il 50% in pi rispetto al 2015.
Anche in questo caso si assiste a un'industrializzazione del cyber crime, che
rende sempre meno interessante gestire una botnet per chi vuole effettuare un
attacco: molto pi semplice attivare un servizio cloud in hosting, che si usa per
un mese o anche meno mettendo a segno qualche attacco e poi si cambia, in
piena logica pay per use.
Sempre il Clusit, nel rapporto 2017, riporta che per il 32% dei 1050 attacchi
avvenuti nel 2016 considerati gravi non stato possibile risalire alla tecnica
impiegata (erano il 23% nel 2015). Il che dimostra quanto avanzati siano i
sistemi impiegati e come stia aumentando il divario tra le competenze
tecnologiche dei cyber criminali, i "cattivi" con il cappello nero, e quelle dei
buoni, gli hacker con il cappello bianco.
Un divario che appare incolmabile considerate le forze economiche in gioco:
basti pensare che, secondo alcune stime del Clusit, il ROI (Return on Investment)
del crimine informatico immediato in termini di tempo e con tassi di guadagno
pari a oltre il 750% settimanale!
Esistono aziende che vendono malware: con le stesse logiche di una qualsiasi
societ che sviluppa software, e spesso tali sono considerate dai governi del loro
Paese a causa di legislazioni compiacenti. Queste imprese investono una parte
dei proventi in ricerca e sviluppo, forniscono assistenza e supporto tecnico
tramite call center e danno garanzie soddisfatti o rimborsati, riuscendo a essere
estremamente efficienti. Anche se, per fortuna, non cos facile raggiungerle,
praticamente chiunque potrebbe realizzare attacchi "semplici" ma molto
remunerativi, come quelli basati sui ransomware: alla fine si tratta di far cliccare
un link e aspettare i soldi del riscatto.

4
1. Resilienza, Governance e incident response

Una strategia per la sicurezza


Ovviamente non tutti gli attacchi vanno a buon fine, anzi, fortunatamente ci
avviene in molti casi. Un sistema malevolo che attacca essenzialmente alla ceca
non ha necessariamente una grande efficacia, per pu contare sulla statistica,
conducendo presumibilmente innumerevoli attacchi. Inoltre, per quanto la lotta
sembri impari, molti attacchi si riescono a bloccare e tanti in pi potrebbero
risultare inefficaci se si attuasse una buona gestione delle patch e delle
vulnerabilit.
Certo, riuscire a fermare gli attacchi dovrebbe essere la logica conseguenza di
un investimento in sicurezza informatica, ma questo vero solo se
l'investimento stato oculato, il che significa anche economicamente adeguato.
La totale sicurezza informatica non un obiettivo raggiungibile. Innanzitutto
perch anche il pi sofisticato, articolato e integrato sistema di protezione deve
rispondere alla teoria dei sistemi, ben nota in ingegneria, per cui il livello di
sicurezza pari a quello del suo elemento pi debole. In tutte le aziende questo
rappresentato dal fattore umano.
Esistono soluzioni di pi o meno recente generazione che introducono diversi
automatismi con l'obiettivo di arginare il pi possibile l'impatto di un errore
umano, ma il pi possibile non il 100%.
Ogni nuova ricerca che indaga le cause primarie degli incidenti alla sicurezza
aziendale indica l'errore del dipendente al primo posto. Pu essere un errore
dovuto all'ingenuit del suo comportamento, come l'aver cliccato su una mail
palesemente falsa, l'attaccare un post-it con la password sul monitor, oppure un
errore dovuto a una casualit, come l'aver spedito un file confidenziale alla
persona sbagliata o, ancora, l'aver perso un dispositivo mobile su cui
risiedevano dati importanti.
La stragrande maggioranza (tra l'85% e il 95%, in base alle ricerche pubblicate
pi di recente) dei pi clamorosi incidenti verificatisi negli ultimi due anni sono
dovuti a errori di questo tipo.
Peraltro, pu anche trattarsi di un comportamento volutamente doloso, opera
di un dipendente infedele o scontento. Un approccio concreto, dunque, mette
in conto l'incidente, ma prevede anche di mitigare l'impatto dello stesso. Come
detto si pu ed anzi fondamentale ridurre il pi possibile l'esposizione

5
INFORMATION SECURITY & DATA PROTECTION

all'attacco, renderlo cio pi difficile e, in secondo luogo, si possono attivare


sistemi di protezione dinamici che contrastano l'attacco in corso per bloccarlo.
Infine, opportuno impostare sistemi di analisi forense, per comprendere fino
in fondo l'accaduto ed evitare che si ripeta. A tal proposito fondamentale
intraprendere un percorso di condivisione delle informazioni relative agli
incidenti di sicurezza informatica, come strettamente consigliato sia dal CERT
italiano sia dall'Enisa (European Network and Information Security Agency,
l'Agenzia europea per la sicurezza delle reti e dell'informazione) e come
previsto dalla Piattaforma europea su Network e Information Security (NIS).
Assodato che la sicurezza assoluta non esiste, una corretta strategia per
lenterprise security prevede un processo ciclico che alterna: vulnerability
assessment, analisi del rischio, definizione di un piano di contenimento del
rischio, realizzazione di tale piano. Le tecnologie che andranno implementate
sono, di volta in volta, dipendenti dalle condizioni al contorno, oltre che dalle
esigenze delle specifiche imprese.
Il problema tipicamente fare i conti con il budget a disposizione, che troppo
spesso risulta insufficiente a realizzare il sistema di sicurezza idealmente definito
dal piano. Del resto, i costi per questultimo continuano a lievitare, mentre i
budget IT si contraggono drasticamente ed sempre pi difficile giustificare
spese senza presentare un valore previsto di ROI (Return On Investiment). Ma
se gi difficile calcolare il ritorno di un investimento infrastrutturale, qual
tipicamente quello in Information e Communication Technology, come
possibile quantificare il valore di una soluzione di sicurezza, quando, se tutto va
bene, non succede niente?
La risposta in realt banale nella forma, un po meno nella pratica.
Chiaramente il problema se lo sono gi posto i vendor del settore che da sempre
hanno trovato le loro difficolt a vendere i sistemi di protezione contro qualcosa
di impalpabile come le minacce Internet.
Come si accennava precedentemente, il valore di un sistema di sicurezza deve
essere correlato al livello di rischio accettabile per unimpresa. Dove per rischio
sintende il danno economico che si avrebbe in caso di un attacco andato a buon
fine, di un disservizio totale o parziale e cos via. Il primo passo da compiere per
il calcolo del ROI coincide con quello che necessario per definire quale sistema

6
1. Resilienza, Governance e incident response

di sicurezza implementare: effettuare unanalisi delle vulnerabilit cui esposta


lazienda e del livello di rischio relativo.
Non si tratta di unoperazione banale, tanto che codificata in precisi standard
ISO, meglio noti con la sigla BS7799. Per effettuare tale operazione bene
affidarsi a una societ indipendente, ovviamente dotata delle opportune
certificazioni, poich non di rado in questa fase si fanno vere e proprie scoperte:
per esempio, applicazioni o servizi ritenuti poco importanti, se confrontati con
limpatto reale sul business, possono risultare molto pi critici di quanto creduto
fino a quel momento.
Condotta con tutti i crismi, tale analisi produce una documentazione oggettiva
che sar molto utile per valutazioni successive, soprattutto ricordando che
questa fase deve essere ciclicamente ripercorsa.
Per valutare il rischio correttamente, quindi correlando alle dinamiche le logiche
di business, necessario coinvolgere il management aziendale a vari livelli.
Questo il principale vantaggio di tutta loperazione, nonch la vera chiave di
volta per il calcolo del ROI. Infatti, costretti a riflettere sulle ripercussioni di un
attacco informatico, i manager svilupperanno quella sensibilit verso i temi della
sicurezza che per anni stata il cruccio degli addetti ai lavori.
Il risk assessment, inoltre, produce un numero, cio il valore del danno che si
potrebbe creare in funzione del grado di vulnerabilit reale determinato
dallattuale sistema di sicurezza. Un dato facilmente comprensibile anche dal
consiglio di amministrazione, tanto pi quando certificato da una societ
indipendente.
Una volta stabilito quale deve essere il piano di contenimento del rischio, quindi
quali misure devono essere implementate per ridurre le vulnerabilit e
aumentare il grado di protezione, necessario realizzare un security plan
dettagliato.
Questo deve considerare levoluzione nel tempo e conteggiare il TCO (Total Cost
of Ownership) di tutte le soluzioni.
importante osservare che in molti casi il prezzo di acquisto di un prodotto
solo il primo elemento di spesa: in ambito sicurezza, non vanno trascurati i costi
dei servizi di aggiornamento, senza i quali le soluzioni diventano presto
(praticamente immediatamente) obsolete e inutili. Un piano della sicurezza ben
dettagliato utile per confrontarlo con un modello del rischio. Mettendo in una

7
INFORMATION SECURITY & DATA PROTECTION

sorta di matrice la spesa necessaria per tappare una potenziale falla e il rischio
economico che la falla lasciata aperta potrebbe causare (eventualmente
ipotizzando pi eventi correlati a tale vulnerabilit trascurata), si ottiene uno
strumento di immediato raffronto.

Rappresentazione grafica degli investimenti in sicurezza

Allatto pratico, una soluzione di sicurezza deve raggiungere almeno uno dei
seguenti obiettivi per poter dimostrare di avere un ROI sostenibile: ridurre i
costi correnti, ridurre i costi futuri, ridurre il rischio finanziario, aumentare la
produttivit, aumentare il fatturato.
Molto spesso ci sono benefici intangibili che difficile calcolare, ma bene non
esagerare nel cercare di aumentare il valore del sistema di sicurezza al solo fine
di convincere il management a investire. Anche perch importanti argomenti
sono stati forniti dal Testo Unico sulla privacy, che, unitamente alle precedenti
disposizioni legislative, sta imponendo ladozione di misure minime, spingendo
molte aziende a effettuare analisi di vulnerability assessment con ottimi risultati
di sensibilizzazione. A questo si aggiungono le direttive dell'Unione Europea che
entro il 2018 dovranno essere implementate dalle imprese.

8
1. Resilienza, Governance e incident response

Il GDPR e le nuove regole dell'Unione Europea


Il campo della sicurezza vede un'Europa comunitaria molto attiva e il
contenzioso che per anni l'ha vista contrapposta agli Stati Uniti in termini di
riservatezza dei dati dei cittadini europei residenti su data center situati negli
USA ne la evidente dimostrazione.
Quello di definire in modo preciso la riservatezza dei dati solo uno dei filoni di
interesse comunitario quando si tratta di sicurezza. Un altro filone riguarda la
propriet dei dati stessi. Al termine di un lavoro durato tre anni e con un
percorso burocratico non del tutto completato, tuttavia stato emanato
dall'Unione Europea il testo della legge sulla protezione dei dati personali
(General Data Protection Regulation GDPR) che sancisce il diritto alla privacy
dei cittadini.
Non mancher di creare qualche problema alle imprese, che dovranno
rapidamente adeguarsi alle nuove regole. L'aspetto chiave che viene stabilito
che i dati personali appartengono agli individui e non alle imprese.
Il framework rappresentato dal GDPR sostituir i regolamenti dei singoli paesi e
per molti risulter pi restrittivo delle normative esistenti. Potrebbe non essere
il caso dell'Italia, che piuttosto all'avanguardia sul fronte delle norme in
proposito di propriet dati e privacy.
Qualche problema, come evidenziato, potrebbe per derivare da tempi di
attuazione troppo stringenti. Alcuni esperti ritengono infatti che il mondo del
business non sia pronto per recepire i complessi cambiamenti legali che il nuovo
regolamento impone, con le ripercussioni in termini di compliance, auditing e
rischio di un aumento di cause/ricorsi.
Le imprese che gestiscono un numero significativo di dati sensibili saranno
tenute a nominare un data protection officer. Lo stesso se monitorizzano il
comportamento di numerosi consumatori.
Di fatto, si richiede e si impone alle aziende un'attenzione maggiore alla
sicurezza (con i relativi oneri economici da sostenere). Inoltre, si sancisce che i
dati appartengono all'individuo, ma se ne permette anche l'utilizzo, purch
l'individuo ne dia esplicito consenso.
una limitazione per molti paesi comunitari, ma non per l'Italia, che gi ha
adottato questa politica da tempo.

9
INFORMATION SECURITY & DATA PROTECTION

Il nuovo regolamento prevede che dalla data di pubblicazione i Paesi interessati


abbiano due anni di tempo per adeguarsi alla nuova normativa.
Un'analisi del tema e dei suoi effetti stata fatta da GetSolution, una societ
che si occupa di Privacy Law e di sicurezza dei sistemi informativi, svolgendo
progetti molto complessi presso clienti di medie e grandi dimensioni, sia italiani
che internazionali. I maggiori cambiamenti evidenziati comprendono:
Le responsabilit che ha lincaricato del trattamento riferito oggi come
responsabile del trattamento rispetto a quelle attuali.
La possibilit da parte dellincaricato del trattamento di subappaltare
attivit a un fornitore solamente a seguito dellottenimento
dellautorizzazione da parte del Responsabile del Trattamento (il
Titolare del Trattamento).
La valutazione dimpatto (analisi dei rischi) come base sulla quale
costruire la sicurezza delle informazioni attraverso limplementazione di
contromisure di sicurezza tecnologiche, procedurali e fisiche
Le procedure di Data Breach da implementare in modo efficace ed
efficiente, in quanto non solo necessario notificare la violazione dei
dati personali allautorit di controllo competente, ma nel caso in cui la
violazione presenti un rischio elevato per i diritti e le libert delle
persone fisiche, il responsabile del trattamento (il Titolare) deve
comunicare tale violazione allinteressato.
La possibilit da parte dellinteressato di chiedere al Responsabile del
Trattamento e/o allincaricato del Trattamento il risarcimento dei danni
materiali e immateriali.
Le sanzioni di carattere amministrativo, .
La figura del Data Protection Officer e cio il responsabile della
protezione dei dati, figura che corrisponde al Privacy Officer attuale
con per responsabilit certamente maggiori.
Per quanto concerne la valutazione di impatto va osservato che. richiesta in
particolare nel caso di una valutazione sistematica e globale di aspetti personali
relativi a persone fisiche basata sul trattamento automatizzato (profilazione
compresa), nel trattamento su larga scala di categorie particolari di dati o di dati
relativi a condanne penali e a reati di cui allarticolo 9 bis, nel caso di
sorveglianza sistematica di una zona accessibile al pubblico.

10
1. Resilienza, Governance e incident response

Attenzione ai termini, evidenzia la societ di ricerca. La precisazione in


particolare riportata nel comma 2 dellarticolo n. 33 non vuol dire che
obbligatoria solo nei 3 suddetti casi. da intendersi che obbligatoria per tutti
anche perch nellart. 30 che parla della Sicurezza del Trattamento, il
Responsabile del Trattamento come anche lincaricato del trattamento, devono
mettere in atto misure tecniche e organizzative adeguate per garantire un livello
di sicurezza proporzionato al rischio.
In sostanza, si rende necessaria lanalisi dei rischi che permetta di definire le
adeguate contromisure di sicurezza tecniche e organizzative al fine di garantire
la sicurezza del trattamento
Come evidenziato le aziende avranno due anni dalla pubblicazione del
regolamento per implementare gli adempimenti previsti. Cosa fare? Quello che
la societ di consulenza suggerisce :
Attendere che lAutorit di Controllo Italiana dia indicazioni in merito
allapproccio da adottare relativamente allimplementazione degli
adempimenti.
Rivolgersi se privi di specifici esperti aziendali a una societ di
consulenza esperta in ambito Privacy che possa affiancare lazienda
nel passaggio al nuovo Regolamento, che appare tortuoso e prevede nei
due anni di transizione molteplici adempimenti.
Iniziare con la valutazione dimpatto /analisi dei rischi. Nellanalisi dei
rischi devono essere mappate le categorie di dati personali che lazienda
tratta identificando finalit e modalit, valutate la probabilit e i relativi
impatti che potrebbero causare la perdita di riservatezza, calcolato il
livello di rischio per i dati personali e definite le contromisure tecniche,
organizzative e fisiche da implementare. A questo si aggiunge la
necessit di disporre di un DPO, anche se non strettamente
obbligatorio,
Quello che viene suggerito poi che lazienda mantenga costantemente nel
tempo la compliance al Regolamento Generale anche perch Il Regolamento
stato ideato proprio per spingere le aziende a considerare il processo relativo
alla gestione dei dati personali come un aspetto fondamentale dellazienda
stessa e quindi da gestire, migliorare e modificare costantemente.

11
INFORMATION SECURITY & DATA PROTECTION

Il Nuovo Regolamento Generale, si evidenzia essere migliorativo rispetto al


precedente, perch frutto dellesperienza dellapplicazione dei singoli decreti
legislativi in ambito Privacy in essere ormai da anni nei Paesi UE, anche se non
stato completamente raggiunto l'obiettivo di uniformare la norma e di renderla
uguale per tutti i Paesi comunitari perch il Regolamento lascia ampi margini di
modifica a ogni Stato Membro anche su aspetti fondamentali.
Cosa che rappresenter di certo un problema per le aziende che operano in un
contesto internazionale europeo, gi alle prese con le differenze normative
riguardo la riservatezza dei dati esistenti tra UE e USA, per non parlare di altre
aree mondiali dove la riservatezza ancor pi aleatoria.

Il costo di una violazione alla sicurezza dei dati


Chiaramente, ridurre l'esposizione ha un costo e ciascuna impresa deve valutare
qual il livello d'investimento pi adeguato alle proprie esigenze e a proteggere
il proprio business.

Ripartizione del costo di una violazione in 6 macro voci

Fonte: Ponemon Institute (2015)

Pu sembrare assurdo, ma nella maggior parte delle aziende non si ha alcuna


idea di quali siano le strategie pi opportune. La sicurezza introdotta in

12
1. Resilienza, Governance e incident response

azienda solo per rispettare la legge sulla Privacy. Si spende per la sicurezza fisica,
senza rendersi conto che gli asset sono ormai perlopi immateriali.
Per proteggere il patrimonio economico delle imprese o le infrastrutture critiche
dello Stato, sono state promulgate normative sempre pi stringenti in tema di
sicurezza dei dati: ingannevolmente catalogate come "privacy", tali normative
non servono a proteggere la riservatezza di chi si mette gi a nudo sui social
network, ma forniscono, soprattutto alle imprese, un'indicazione e direttive
sull'importanza di proteggere i proprio asset, brevetti compresi, che nel terzo
millennio sono appunto digitali.
La compliance alle normative per vista quasi esclusivamente come un obbligo
dalle imprese, che non affrontano il problema con un'adeguata strategia, non
avendo la certezza di essere realmente protette.
L'opera di sensibilizzazione da parte del Garante della Privacy e, pi
recentemente, dell'Agenzia per il Digitale, hanno certamente reso le imprese pi
consapevoli "dell'insicurezza" nella quale si trovano a operare, ma manca
ancora una reale conoscenza del fenomeno e, soprattutto, manca una cultura
della sicurezza in azienda.
Il CERT ha cominciato una politica di raccolta dei dati sugli incidenti informatici,
ma sono troppo poche le imprese italiane che denunciano gli attacchi subiti e
ancora meno quelle che ne condividono le caratteristiche. Eppure il mettere a
fattore comune queste informazioni un elemento sempre pi fondamentale
per le attivit forensi e, soprattutto per quelle di prevenzione degli attacchi.
Purtroppo ancora non accade, come avviene negli USA, dove, per, esiste un
obbligo di legge che riguarda tutte le aziende, mentre in Italia il vincolo si
applica solo ad alcune categorie che maneggiano grandi quantitativi di dati
considerati sensibili, quali telco e banche.
I suddetti timori sono poi infondati, perch comunque possibile mettere a
disposizione le informazioni in maniera anonima. Sempre il Rapporto Clusit
riporta infatti i dati provenienti dal monitoraggio della rete di Fastweb, che
mostrano uno scenario preoccupante: la sicurezza delle aziende italiane
continua a scendere, pure a fronte di un incremento o mantenimento dei
budget e mentre cresce il mercato della sicurezza informatica e continua a
registrarsi una richiesta di figure professionali in quest'ambito superiore alla
disponibilit.

13
INFORMATION SECURITY & DATA PROTECTION

A determinare questa paradossale situazione contribuisce in massima parte


l'incapacit da parte della classe dirigente di comprendere il costo per l'azienda
della perdita di un dato.
Intanto, il dato non viene "rubato" ma copiato. A essere compromessa la sua
riservatezza e buona parte del costo dipende dall'utilizzo che il cybercriminale
pu farne. Per esempio, una nota azienda d'abbigliamento italiana ha subito un
furto di dati, ma se ne accorta solo mesi dopo, quando in alcuni negozi esteri
sono stati messi in vendita capi uguali ai bozzetti della nuova collezione.
Questa non neanche classificabile come contraffazione, ma si somma a questa
nel conto economico negativo. Inoltre, una violazione dei dati pu comportare
un danno enorme per l'impresa che la subisce, e va ben oltre gli aspetti
finanziari. In gioco ci sono infatti la fidelizzazione dei clienti e la reputazione del
marchio. Per esempio, un incidente di sicurezza per una banca mette
certamente in discussione il rapporto di fiducia che alla base della relazione
con la clientela.

Rapporto tra il tempo medio per rilevare una violazione alla sicurezza dei dati e costo
medio espresso in milioni di dollari

Ancora troppi imprenditori e dirigenti hanno bisogno di comprendere in quali


modi i dati aziendali possono essere compromessi e come ci possa
pregiudicare l'attivit della loro impresa. Si tratta di un aspetto fondamentale,
perch senza questa comprensione e senza stimare il valore da assegnare ai
dati, non possibile calcolare quale budget e quali azioni sia adeguato riservare
alle risorse per la prevenzione, il rilevamento e la risoluzione di un incidente.

14
1. Resilienza, Governance e incident response

Queste sono tutte fasi importanti, anche perch, come hanno mostrato gli
analisti del Ponemon Institute nel loro studio "2016 Global Report on the Cost of
Cyber Crime", il rapporto tra costo e tempo occorso per rimediare al danno
proporzionale.
In altre parole, tornando al rapporto del Clusit, non comprendendo il fenomeno
e l'importanza della sicurezza, rapportata ai propri dati, si rischia di investire
tanto, poco o troppo poco e, soprattutto, nella direzione sbagliata.
Ci sono procedure che aiutano le imprese a effettuare un'analisi del rischio e a
valutare il valore del dato, per non pu essere il responsabile della sicurezza
informatica a effettuare queste valutazioni, ma necessario che siano coinvolti i
business manager, che possono assegnare un costo alla perdita di ciascun dato.
Per questo importante che il responsabile della sicurezza possa contare sulla
collaborazione di tutti i dirigenti aziendali.
Prima di investire il budget per la sicurezza in maniera sbagliata, opportuno
valutare una soluzione che possa identificare le vulnerabilit della sicurezza
nell'ambiente ICT aziendale, arrivando a supportare le imprese nel determinare
una roadmap delle attivit, in modo da prevenire la violazione dei dati e la
compromissione della rete.
Secondo il "2016 Global Report on the Cost of Cyber Crime" realizzato
annualmente dal Ponemon Institute a livello internazionale, la perdita delle
aziende per ogni singolo record compromesso in media quantificabile in 158
dollari. Le violazioni nei settori altamente regolamentati sono state ancora pi
onerose, raggiungendo nella sanit i 355 dollari per record, ben 100 dollari in
pi rispetto al 2013.
Secondo lo studio, inoltre, la presenza di un team di risposta agli incidenti il
fattore che pi ha inciso sulla riduzione dei costi di una violazione dei dati,
permettendo alle aziende di risparmiare in media quasi 400mila dollari (o 16
dollari per record). In effetti, le attivit di risposta agli incidenti, quali le indagini,
le comunicazioni, le spese legali e i mandati delle autorit di regolamentazione,
rappresentano il 59% del costo di una violazione dei dati .
A influire i numeri c' ovviamente un fattore matematico, ma c' anche da
valutare che le grandi imprese subiscono anche un volume maggiore di attacchi.
Un approccio orientato al costo della violazione e alla gestione del rischio,
permette di valorizzare la sicurezza, inserendola tra gli elementi abilitatori del

15
INFORMATION SECURITY & DATA PROTECTION

business. In altre parole, significa riconoscere che la sicurezza informatica


contribuisce ai ricavi. Questo deve essere chiaro non solo nel caso delle
transazioni finanziarie, ma in tutti i processi di business, come nell'esempio
prima riportato riguardante l'azienda di abbigliamento.
Contenuto anch'esso nel Rapporto del Clusit uno studio molto interessante
proprio sul ritorno economico della sicurezza o ROSI (Return on Security
Investment). In questo studio viene evidenziato l'effetto positivo della "digital
technology" sulla sicurezza.

Rapporto tra le cause di un'avvenuta violazione e il numero di giorni occorsi per il suo
rilevamento (MTTI Mean Time To Identifie) e il suo contenimento (MTTC Mean Time
To Contain
Fonte: Ponemon Institute (2016)

La digital technology elimina i confini delle imprese


Diversi fattori hanno contribuito a cambiare il punto di vista e a considerare la
sicurezza un vantaggio e, in taluni casi, un motore per il business. Il primo, dal
punto di vista cronologico, di questi fattori la mobility, cio linsieme di
opportunit derivanti dallutilizzo di strumenti wireless e dallaccesso alle risorse
IT aziendali da remoto e in mobilit. Lutilizzo sempre pi diffuso della posta
elettronica mobile, in particolare, ha spinto molte aziende ad attivare una serie
aggiuntiva di servizi usufruibili via cellulare o smartphone, a partire da societ di
telecomunicazioni e banche. evidente che attivit del genere presentano un

16
1. Resilienza, Governance e incident response

prerequisito imprescindibile di sicurezza, per garantire la riservatezza delle


transazioni, di qualunque natura esse siano.
Lo sviluppo di Internet, con il fenomeno del cosiddetto Web 2.0 consolidatosi
nei social network e con l'always on, cio la continua disponibilit di una
connessione, ha permesso la diffusione di tecnologie vecchie e nuove. Vecchie,
come la videoconferenza, esplosa dopo la definizione di standard per la
compressione e la trasmissione ottimizzata su IP, che la rendono efficace,
economica e, soprattutto, semplice. Nuove come molto di quello che sta
nascendo in cloud e che spesso viene rappresentato in una app.
Pure dirompente stato il fenomeno della cosiddetta "consumerization", cio di
quel passaggio che oggi si consolidato nella "digital technology".
La "consumerizzazione", in sintesi, consiste nell'ingresso in azienda di tecnologie
nate per il mondo consumer e, pertanto, non progettate con i requisiti tipici di
affidabilit e sicurezza delle soluzioni di classe enterprise. In passato, l'IT
aziendale rappresentava il livello pi alto dell'innovazione elettronica, perch
alti erano gli investimenti necessari. Con lo sviluppo tecnologico, il rapporto si
andato progressivamente ribaltando, mettendo a disposizione del consumatore
privato strumenti molto potenti e versatili a costi sostenibili.
L'affermazione del Web 2.0, con la nascita dei social network che ha contribuito
a favorire la diffusione dei computer e, soprattutto, con lo sviluppo del cloud
computing, che ha consentito di potenziare un'offerta di servizi online, si
assistito a una progressiva "digitalizzazione" dei consumatori. A consacrare il
tutto sono arrivati i dispositivi mobili di ultima generazione e la crescita di un
ecosistema di applicazioni che hanno integrato Web, cloud e connettivit nella
"digital transformation".
Quest'ultima oltrepassa l'ambito della tecnologia, riguardando direttamente
aspetti sociali e coinvolgendo l'organizzazione del lavoro e i processi di business.
Sono sempre di pi gli studi che testimoniano come, perlomeno in taluni ambiti
funzionali (come il marketing) o settori industriali (anche, ma non solo, quelli
dedicati al consumer), lutilizzo oculato di Facebook, Twitter, Youtube o altri
strumenti analoghi, pu essere utile per il business aziendale, non solo in
termini di immagine. In ogni caso, esiste una spinta costante allutilizzo di tali
strumenti da parte dei dipendenti che gi hanno account personali su tali siti. Si
sono, al riguardo, anche verificati casi spiacevoli, con informazioni divulgate

17
INFORMATION SECURITY & DATA PROTECTION

ingenuamente attraverso questi canali o, pi banalmente, a causa di commenti


sui colleghi postati online.
Come accennato anche le migliaia di applicazioni disponibili per smartphone e
tablet sono diventate uno strumento irrinunciabile per milioni di persone che le
usano per organizzare le proprie attivit nel tempo libero, pi che per
divertimento.
Per tali individui, diventa naturale usare le loro "app" anche nel lavoro e farlo
attraverso il loro dispositivo personale, cui sono abituati e che si sono scelti. Si
sviluppato cos il meccanismo del BYOD (Bring Your Own Device): le aziende
concedono ai dipendenti di usare per lavoro i loro dispositivi personali, non solo
quelli mobili.
Tutto ci genera grandi rischi per la sicurezza dei dati, nonch la perdita di
controllo sugli strumenti di lavoro da parte dell'azienda.
Pi in generale, lestensione in rete dellazienda, il successo di Internet, intranet
ed extranet hanno favorito lo sviluppo di soluzioni e strumenti informatici, sia
hardware sia software, che rispondono a esigenze di protezione differenti dal
passato. Un mondo quindi completamente nuovo che coglie impreparate molte
aziende, ma per il quale ci si pu e si deve organizzare, anche perch le minacce
hanno cambiato forma e obiettivi: il mondo virtuale della Rete sta diventando
sempre pi simile a quello reale, solo un po pi cattivo, perch pi distaccato.
Teoricamente, lunico sistema completamente sicuro quello totalmente
isolato dal resto del mondo. Evidentemente, non pu essere un sistema
aziendale, che altrimenti risulterebbe asfittico. Certamente, se si pensa
comunque al mondo informatico di qualche anno fa, ci si potrebbe chiedere
quali sono le ragioni che portano ad aprire lazienda verso lesterno e, quindi,
che obbligano allintroduzione di un pi o meno accurato sistema di sicurezza.
Se si guarda, invece, alle potenzialit fornite dalla digital technology, con gli
smartphone in testa, abbinate allIT aziendale, evidente che le imprese
conviene aprirle, come, del resto sta accadendo.
Si moltiplicano, infatti, le reti di imprese, come pure si spinge alla realizzazione
dei distretti.
Ci sono poi situazioni anche pi complicate, come nelle nuove forme di
collaborazione, per esempio la cosiddetta coopetition, misto tra cooperazione
e competizione, tipica dellindustria automobilistica.

18
1. Resilienza, Governance e incident response

Qui, case concorrenti si alleano e uniscono, magari temporaneamente, gruppi di


lavoro per sviluppare componenti comuni (telai, motori o altro), in modo da
attivare sinergie sulla produzione, mantenendo la possibilit di differenziare i
prodotti finali. Si ottengono risparmi e si innalza linnovazione.
Si incide su fatturato e costi, ma il presupposto la sicurezza dei dati, affinch si
possa aprire l'azienda a queste formule che rispondono alla crisi, alle necessit
di aumentare la massa critica e alla globalizzazione.
Di fatto, volendo identificare con Internet la causa primaria di tutte le minacce
alla sicurezza del sistema informativo aziendale, andare online pu
rappresentare un rischio elevato. Un rischio che non si pu per fare a meno di
correre: per restare al passo con i tempi, per sfruttare i vantaggi competitivi
delle nuove tecnologie, per poter godere di particolari condizioni che una
societ pu riservare ai partner commerciali comunicanti in intranet, per
migliorare la comunicazione aziendale, per fornire servizi ai propri clienti, per
implementare un'attivit di commercio elettronico, per aumentare la
produttivit aziendale.
Quello del rapporto con la clientela un capitolo particolarmente vasto, proprio
per quanto esposto finora, cio il crescente utilizzo di strumenti digitali presso i
consumatori, che si aspettano di trovare un'app sul proprio app store preferito
tramite la quale colloquiare con i fornitori di beni e servizi. Senza dimenticare i
social network.

Sicurezza e social network


Uno tra i pi labili confini per le aziende rappresentato dai social network.
Sono utilizzati da moltissime imprese, soprattutto quelle che si rivolgono al
consumatore finale e, soprattutto, sono "vissuti" da molti dipendenti. Peccato
che i social network siano anche tra i pi semplici e quindi pi utilizzati vettori di
attacco per la diffusione di malware e per le frodi basate sul social engineering,
come sottolineano gli esperti del Clusit.
In particolare, i siti che sono gi stati utilizzati per scopi malevoli e sempre pi lo
saranno sono i pi diffusi: Facebook, Linkedin e Twitter. Lo saranno, in
particolare, attraverso i dispositivi mobili, utilizzati con eccessiva confidenza e
"fiducia" per accedere quotidianamente ai social media e, grazie al fenomeno
del Bring Your Own Device, per collegarsi alla rete aziendale. Cliccare su un link

19
INFORMATION SECURITY & DATA PROTECTION

condiviso da qualcuno che probabilmente si conosce facile, ma nell'accesso a


tale link sar sempre pi facile incontrare un malware che si installer sul
proprio dispositivo. Proprio gli attualmente in voga ransomware si stanno
propagando anche attraverso questa strada. Elenchiamo le prime 5 minacce sui
social network secondo gli esperti:
1 - Mobile ransomware
I malware di tipo "crittografari" hanno subito un duro colpo con la chiusura del
botnet Zeus, ma le strade del "profondo blu" sono infinite e nuovi ransomware
stanno trovando altre vie. Ormai. Occorre effettuare un'opera educativa
continua presso i propri dipendenti per evitare che clicchino su link contenuti
all'interno di email, che non siano di provenienza pi che certa. pi Conviene
ignorare tutti i messaggi che vi accusano di crimini osceni contro animali o
bambini. Purtroppo, talvolta, non sono cos espliciti.
2 Trojan e video raccapriccianti
Sfruttando il gusto del macabro, piuttosto diffuso a giudicare dal successo di
alcune serie televisive, i cybercriminali legano i malware, trojan in particolare
sembrerebbe, a video su delitti efferati, come decapitazioni o peggio.
3 Attacchi scam da account Linkedin
Meno truculenti, ma anche pi pericolosi sono gli attacchi scam, condotti
tipicamente, attraverso messaggi email. Sono in crescita quelli mandati da falsi
indirizzi Linkedin, che promettono guadagni facili con un comodo lavoro da casa,
poco impegnativo e molto remunerativo. Una volta abboccato tutti i vostri dati
personali saranno con ogni probabilit utilizzati per frodi dirette a voi e/o altri.
4 Scam o spam legati alle ricerche popolari
Come gi in tante occasioni (tra le ultime, tuttora in voga, Ebola), i
cybercriminali sfruttano l'attenzione a specifici temi e, con la tecnica detta di
search o SEO poisoning, fanno in modo che siti Web creati ad hoc risultino tra i
primi risultati nelle parole pi popolari sui motori di ricerca. Non un caso se la
classifica delle ricerche su Google ha una corrispondenza quasi uno a uno con le
campagne di spam. In particolare, i cybercriminali non mancano mai di sfruttare
la morte di una qualche celebrit.
5 Pubblicit malevola sui social network
La pubblicit maligna, cio che reindirizza a pagine Web contenenti malware,
utilizzata da tempo, per esempio per il ransomware collegato a siti porno o

20
1. Resilienza, Governance e incident response

peer-to-peer. Sono direttamente le reti pubblicitarie che distribuiscono minacce


integrate in Web advertising, ovviamente non consapevolmente, ma,
quantomeno, perch non si pongono il problema e non controllano i file dei
banner che l'inserzionista manda loro. Tali network evidentemente non hanno
sistemi di sicurezza adeguati e, indirettamente, tradiscono la fiducia del sito che
gli ha affidato la vendita di spazi pubblicitari. Risultato, per esempio, che
anche la piattaforma advertising di Facebook, dotato di ottima reputazione,
ospita adware.

I dieci attacchi pi gravi scoperti nel 2016


Il numero di attacchi che si sono verificati nel 1016 confermano la tendenza in
peggioramento anche in termine non solo di complessit ma anche di impatto
negativo su chi soggetto allattacco. In ogni caso, gli attacchi sono in costante
aumento. Il problema che non fa dormire sonni tranquilli a responsabili IT, della
sicurezza e agli utilizzatori delle applicazioni aziendali che oltre a quelli che
hanno come target grosse aziende e sono molto complessi e difficili da
individuare, crescono anche gli attacchi di classe inferiori ma comunque che
hanno effetti pericolosi per la perdita di dati che causano o il loro trafugamento.
Il ransomware in costante diffusione per esempio bloccabile dai sistemi di
sicurezza delle aziende ma facilmente penetra quelle del singolo individuo ed
fonte di disservizio o di perdita definitiva di dati.
La crescita di questo tipo di attacchi deriva indubbiamente dal fatto che sono
pi facili da fare degli attacchi mirati che richiedono un impegno nel loro
sviluppo e anche economico per i cybercriminali.
Un attacco mirato, al contrario di quelli erga omnes non permette di far ricorso
a strumenti software che automatizzano il processo di attacco, anche se
comunque possibile utilizzare malware noti che possono essere abbinati ad altri
strumenti facilmente reperibili per apportare una prima fase di attacco,
penetrare le difese e poi proseguire con quello pi critico una volta che sono
state scompaginate.
In questo scenario fortemente fluido e preoccupante i paragrafi seguenti
illustrano cosa hanno scoperto e come hanno classificato gli esperti del Clusit i
dieci attacchi che hanno ritenuto pi gravi avvenuti nel corso del 2016.

21
INFORMATION SECURITY & DATA PROTECTION

1 - Hollywood Presbyterian Medical Center - un attacco portato da


cybercrime di tipo ransomware ed ha avuto leffetto di bloccare tramite la
cifratura dei dati loperativit dellospedale rendendo illeggibili le cartelle
cliniche dei pazienti. Per ottenere la chiave di decifratura lospedale ha dovuto
pagare un riscatto di 17.000 dollari.
Nel corso del 2016 non per stato lunico attacco apportato a strutture
ospedaliere di questo tipo, e non solo in USA. Il successo degli attacchi stato
anche determinato dal fatto che si trattava di strutture poco protette e
propense a pagare cifre consistenti per poter continuare nella propria
operativit e cura de pazienti.
2 - FriendFinder Network - Lattacco stato classificato da Clusit nella categoria
del cybercrime e si basato su tecniche di vulnerabilit delle difese. Lattacco ha
portato al furto dalla nota piattaforma di appuntamenti on line (nonch con una
componente pornografica) dei dati inerenti oltre 400 milioni di clienti, e cosa
ancor pi grave anche di 15 milioni di account che perlomeno formalmente
erano stati cancellati dai relativi proprietari. Lattacco, ha riportato il Clusit,
stato tutto sommato apportato sfruttando una vulnerabilit abbastanza banale
di tipo Local File Inclusion. Il tutto aggravato dal fatto che buona parte delle
password era conservato in chiaro o come semplice hash SHA-1, cosa che ne ha
facilitato leffrazione.
3 - Bangladesh Bank - Anche in questo caso lattacco stato portato da
cybercrime, ma si basato su tecniche di attacco multiple. Si trattata con tutta
probabilit (perch societ che riescono a nascondere lattacco sono poco
propense a parlarne) dellattacco con la peggior perdita economica subita
dallattaccato nel corso del 2016. Il danno stimato risultato superiore agli 80
milioni di dollari. In una prima fase gli attaccanti hanno puntato con successo a
compromettere alcuni sistemi della banca e poi hanno introdotto nel circuito
Swift delle transazioni fraudolente mediante le quali hanno effettuato il
trasferimento di fondi. Il totale sarebbe dovuto ammontare a oltre un miliardo
ma per fortuna della banca solo il primo lotto di 81 milioni ha avuto successo.
4- ADUPS Technology - In questo caso si trattato di cyberspionaggio e gli
attaccanti sono ricorsi a tecniche multiple. Si trattato di un caso da legge del
taglione, visto che buona parte degli attacchi ha la sua origine proprio in Cina.

22
1. Resilienza, Governance e incident response

Lattacco ha infatti causato la violazione dei sistemi della societ cinese e ha


permesso agli attaccanti di modificare il firmware dei device con sistema
operativo Android, introducendovi una backdoor, dei prodotti dallazienda
commercializzati tramite svariati vendor in diversi paesi mondiali.
Lobiettivo dellinfezione era quello di raccogliere i dati relativi a IMEI, IMSI,
MAC address, dati sulloperatore telefonico e sulle chiamate, e a intervalli di
tempo inviare le informazioni collezionate a un server situato in Cina. La cosa
grave stata che tale attivit di esportazione di dati perdurata oltre sei mesi
prima che venisse scoperta.
5 - San Francisco Transport System - Lattacco stato portato da cybercrime e
aveva le caratteristiche di un ransomware. Sono stati infettati circa 2000 tra
server, client e anche macchine di biglietteria. Il riscatto richiesto stato di oltre
70.000 dollari ma a questo va aggiunto il danno derivante dal dover lasciare
aperti i tornelli gratuitamente.
6 - Demcrat National Commettee - Lattacco stato classificato come
cyberspionaggio ed ha usato tecniche multiple per penetrare le difese. La
conseguenza stata che Wikileaks ha pubblicato quasi 20.000 mail inerenti il
comitato del partito democratico, non escluso alcune molto compromettenti. La
cosa stato oggetto di infuocati articoli per mesi sui giornali nazionali e
internazionali.
7 Yahoo - stato il pi grande caso registrato di attacco di cybercrime e anche
in questo caso stato fatto uso di tecniche multiple. I dati non sono certi ma
sembra che sano stati violati i dati di oltre un miliardo di account. In pratica,
sarebbero stati sottratti i dati di anagrafica degli iscritti, come indirizzi mail, date
di nascita, telefono, password criptate, eccetera. Il tutto potrebbe aver fornito
sul dark web, una volta messo in vendita, oltre 300.000 dollari ma le stime
potrebbero essere conservative. Consistente poi probabilmente proprio a causa
di questa effrazione, la perdita di quotazione di Yahoo.
8 DynDNS - stato lennesimo caso di cybercrime registrato nel corso
dellanno ed stato del tipo DDoS/IoT. Leffetto che ha avuto stato di far si
che gli utenti della costa est degli Stati Uniti si sono trovati per un giorno nella
impossibilit di raggiungere la maggior parte dei siti Internet. Lattacco stato
portato utilizzando centinaia di migliaia di dispositivi IoT, in modo particolare
tramite telecamere in precedenza compromesse.

23
INFORMATION SECURITY & DATA PROTECTION

9 - Tesco Bank - Anche in questo caso si trattato di cybercrime realizzato con


tecniche multiple. Il risultato stato che circa 20.000 clienti della banca inglese
si sono trovati derubati da hacker che hanno operato nel corso del fine
settimana, cosa che ha costretto la banca a dover bloccare conti correnti online
e carte di credito.
10 - Ministero degli Esteri italiano - In questo caso sembra che il tutto sia
partito dalla Russia e lattacco portato con tecniche multiple. La notizia stata
lanciata in primis dal giornale inglese Guardian e poi ripreso dai principali
quotidiani. Il ministero italiano ha confermato lattacco subito ma ha affermato
che non aveva avuto nessun effetto su sistemi e dati classificati.

24
2- L'EVOLUZIONE DELLE
MINACCE E LA SICUREZZA
INTELLIGENTE

La prepotenza del ransomware, la potenza dei DDoS


gonfiati dall'IoT, l'efficacia del phishing negli attacchi
mirati, l'emergere del cyber warfare e dell'information
warfare di propaganda. Lo scenario del rischio si
trasforma con l'industrializzazione del cyber crime .
.

25
INFORMATION SECURITY & DATA PROTECTION

Dagli attacchi sofisticati a quelli di massa


Negli anni si assistito a un costante aumento delle minacce, ma, cosa ancora
pi grave, a un continuo "miglioramento" delle stesse: in altre parole, sono
sempre pi sofisticate e difficili da rilevare. Soprattutto: sono pi dannose e
cattive. Meno poetiche anche: nel 2000 il worm "I Love You" era stato
progettato per intasare i POP e riempire i server di file. In pratica, il suo unico
scopo era quello di propagarsi il pi rapidamente possibile. Fu stabilito un
record da battere: effettuare il giro del mondo il pi rapidamente possibile. Cre
certamente danni e fermi del servizio Internet e di molte intranet interne alle
aziende, ma i danni economici furono relativamente contenuti e indiretti.
Oggi gli strumenti di propagazione vengono impiegati per diffondere
ransomware, dove ransom significa "riscatto" in inglese. una vera e propria
estorsione, che prevede il blocco del dispositivo e una richiesta appunto di
riscatto per liberarlo. In altri casi, sono i trojan (cavalli di Troia) a essere
propagati, i quali, una volta annidatisi "silenziosamente" sul dispositivo della
vittima, aprono una porta sul retro (backdoor) per consentire al malintenzionato
di prendere possesso del dispositivo stesso. L'obiettivo, per, quello di non
disturbare l'utente, anzi, ci sono anche casi in cui il sistema viene ottimizzato.
Quando occorre, per verr sfruttata la capacit elaborativa, collegandola a
quella di migliaia di altri sistemi, per ottenere supercomputer che costituiscono
una botnet, utile come piattaforma di attacco (per esempio per decodificare
password o decifrare dati crittografati.

Le diverse facce di un hacker


Una volta cerano gli hacker e il loro spirito goliardico. Lo stesso termine to
hack, nato negli anni Cinquanta al MIT di Boston indicava uninnocua infrazione
del regolamento interno: sfidare i divieti di accesso ad aree riservate per
sfruttare i tunnel sotterranei come scorciatoie tra i padiglioni del campus
universitario. Uno spirito goliardico testimoniato dalle firme nascoste nel codice
e lasciate per acquisire gloria quantomeno negli ambienti underground.
Dalliniziale obiettivo di mostrare il proprio valore penetrando in sistemi
considerati inviolabili, il passaggio a unattivit criminale vera e propria non
stato breve, ma si ormai compiuto. Non pi, dunque, il tempo dei virus di

26
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

una volta, ma quello di pi pericolosi malware e tecniche di attacco, quali


phishing, adware, spyware e botnet, che si combinano con codici maligni spesso
scritti per specifici attacchi e con exploit kit specializzati.
Si comprende che questo livello di sofisticatezza opera di organizzazioni
criminali vere e proprie, le quali, talvolta, usano ancora la spinta entusiasta del
ragazzo preso e compreso dalla "causa" del momento e contribuisce con il suo
genio informatico alle azioni di Anonymous o di altri gruppi hacktivisti, ignaro
del disegno complessivo, messo in piedi da associazioni criminali.
Semplificando, possiamo individuare tre tipi di hacker: l'hacktivist, il
cybercriminale e l'ethical hacker. Quest'ultimo generalmente considerato
l'esperto buono. Pu essere colui che lavora presso le societ che combattono il
crimine informatico o che cercano di proteggere le aziende, ma pu anche
essere un "cane sciolto", che, in base a una propria morale, sceglie cosa
considerare hackerabile e cosa no. Difficilmente trafugher denaro
direttamente, ma potrebbe trovare giusto piratare del software o altro
contenuto protetto da copyright, considerandolo eccessivamente costoso.
L'hacktivist, molto spesso un individuo relativamente giovane, in generale
colui che compie azioni dimostrative contro enti governativi, associazioni,
imprese, tipicamente attraverso attacchi DDoS (Distributed Denial of Service),
creando danni a volte consistenti a volte no. La finalit soprattutto la
"vetrina", cio il guadagnare un palcoscenico e una platea per effettuare una
denuncia di un qualche tipo.
Si tratta, per, di un fenomeno in calo negli ultimi anni, secondo le analisi
contenute nei Rapporti Clusit degli ultimi due anni. In buona parte il calo
imputabile alla sempre minor visibilit che le azioni di disturbo compiute
tipicamente dagli hacktivist, come il defacement di un sito Web, ottengono in
cronaca. Da un altro lato, il fenomeno correlato quello del cyber terrorismo,
che cresciuto, insieme al cyber warfare. In sostanza, alcuni ex hacktivisti,
crescendo o hanno perso il fervore verso la causa o, al contrario, sono passati ad
azioni meno dimostrative e pi pericolose. La crescita dei sabotaggi e degli
attacchi imputabili a veri e propri gruppi terroristici contribuisce ad accreditare
questa teoria.
Di fatto, lo strumento DDoS ancora molto utilizzato, ma essenzialmente stabile
se si conta il numero di attacchi.

27
INFORMATION SECURITY & DATA PROTECTION

A crescere sono soprattutto i volumi degli attacchi stessi, come ha mostrato il


rapporto Clusit 2017.
Diverse le ragioni che, probabilmente, stanno determinato una riduzione degli
attacchi da parte di attivisti online.
Il primo che l'esposizione mediatica di queste azioni passata in secondo
piano, non suscitando pi la soddisfazione attesa.
Un secondo aspetto da considerare sono i cambiamenti degli scenari globali, in
particolare, le guerre nel mondo arabo e in Ucraina portano alcuni hacktivist a
fare un "salto di qualit", passando da azioni di protesta a vere e proprie azioni
terroristiche o di guerra. Del resto molti degli attivisti sono adolescenti, che una
volta diventati adulti cambiano prospettive e non mancano quelli che decidono
di schierarsi con i white hat per combattere il lato oscuro.
Tra questi, c' anche chi stato individuato e condannato, addivenendo a pi
miti consigli.
Il cybercriminale fortemente motivato dal profitto e pu, a sua volta, essere di
due tipi: professionista o dilettante. C' chi produce e sviluppa malware e
sistemi di attacco che vende o noleggia via Web e chi li utilizza per arricchirsi.
Anche il ragazzino appena un po' competente pu avviare un'attivit illegale
compiendo frodi e attacchi di varia natura. Dopodich esistono anche
organizzazioni che compiono azioni criminose per conto terzi.
Il cybercrime ha dunque fatto un salto di qualit, non solo il tempo della
goliardia ormai solo un ricordo, ma dalle azioni "estemporanee" finalizzate a
frodi online, si andato ben oltre.
La redditivit del crimine informatico ha rapidamente portato alla costituzione
di vere e proprie forme di criminalit organizzata. Una cospicua fetta del Deep
Web, tutto il mondo sommerso di Internet, che ne rappresenta la porzione
maggiore, si occupa di sviluppare strumenti di attacco, mentre altri utenti, non
necessariamente esperti li utilizzano.
Al "gioco" partecipano anche le organizzazioni di stampo mafioso "tradizionali",
che, perlopi, agiscono localmente, "noleggiando" i servizi di attacco per
raccogliere denaro, attraverso il furto di identit, cio sottraendo e utilizzando
in modo fraudolento dati degli utenti, numeri di carta di credito, password e
altro, oppure con il ricatto, per esempio minacciando unorganizzazione di
mettere ko i suoi sistemi Internet, o ancora sfruttando lingenuit di chi riceve

28
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

mail mascherate da richieste di beneficenza, pubblicit di prodotti super


economici e via dicendo.
A rendere estremamente efficaci questi messaggi, spesso scritti anche in italiano
maccheronico, sono diversi fattori: l'ignoranza in materia; l'ingenuit di chi fino
a poco fa non navigava su Internet, la facilit con cui riuscendo al leggere poco o
niente si clicca su tutto e poi si pensa. Da questo punto di vista, la diffusione
degli smartphone, attraverso i quali si collegano a Internet e leggono la posta
elettronica un numero sempre maggiore di utilizzatori, rappresenta un aiuto
insperato per i cybercriminali.
A creare preoccupazione, inoltre, la sempre maggiore attivit di collaboration
nel Deep Web: chi scrive malware oggi condivide informazioni con i colleghi,
mentre prima non accadeva o, almeno, non con le stesse modalit. Ormai
vengono seguite le stesse fasi di sviluppo del software normale, secondo il
modello open source, con il rilascio successivo di diverse versioni, il debug e via
dicendo.
Dalle pi recenti analisi, inoltre, si evince che sta aumentando notevolmente
lutilizzo del social engineering come base per il phishing. Traducendo: il furto di
credenziali elettroniche con le quale perpetrare frodi informatiche avviene
sempre pi facilmente attraverso attacchi non informatici. In passato, era
sempre possibile avvicinare un dipendente per carpire informazioni riservate,
con tecniche di spionaggio tradizionale, ma era costoso e possibile solo su
obiettivi mirati con interventi diretti.
Oggi, grazie ai siti di social networking, possibile reperire quantit enormi di
informazioni private senza neanche incontrare il o i potenziali target. Gli stessi
siti Web aziendali contengono informazioni apparentemente innocue e utili per
l'immagine (come il "chi siamo" completo di organigramma).
Tanto basta per comporre una mail di "spear phishing" sufficientemente
credibile per trarre in inganno magari un quadro o un dirigente aziendale, che,
inconsapevolmente, consegna le chiavi di accesso alla rete e, magari, con
privilegi di alto livello.
Come accennato queste minacce di ultima generazione vengono combinate con
quelle pi vecchie (anche perch alcune vulnerabilit del software applicativo
continuano a essere presenti in molte imprese) e con diverse tecniche di attacco
(compreso il social engineering offline) per realizzare quelle che vengono

29
INFORMATION SECURITY & DATA PROTECTION

chiamate minacce avanzate o Advanced Persistent Threat (APT), il cui fattore


comune, in realt, l'utilizzo di tecniche miste, non necessariamente avanzate.

Le nuove minacce
Passata la moda del Web 2.0 o della cosiddetta social collaboration, Internet
continua a evolvere, passando da una certa staticit a una maggiore dinamicit,
che deriva dalle sue capacit di strumento di collaborazione, condivisione,
scambio, interazione, comunicazione, partecipazione collettiva. Il Web
diventato il terreno di incontro tra tutti gli abitanti del pianeta che hanno la
possibilit di collegarsi in Rete attraverso un computer o altri dispositivi che lo
permettono. Nel Web possibile informarsi (Wiki), socializzare (social
networking), scambiare file (P2P networking), creare pagine di opinioni
personali (blog) e, anche e soprattutto utilizzando dispositivi mobile e
applicazioni pure mobile, possibile organizzare la propria vita personale,
affettiva e lavorativa. Il Web diventato un mondo senza confini e aperto a
chiunque voglia parteciparvi per portare il proprio contributo.
Purtroppo proprio questa apertura totale lo rende unattrattiva interessante per
chi ha ben altri scopi, non del tutto leciti, come i cybercriminali intenzionati a
compiere frodi a danno degli utenti, spesso inconsapevoli dei pericoli che
corrono.
Un aspetto di cui si continua a discutere riguarda la sicurezza dei dati sensibili,
non soltanto quelli degli utenti privati che condividono e scambiano
informazioni nel Web, ma anche a livello di aziende e organizzazioni. Queste
ultime potrebbero a loro insaputa subire fughe di dati diffusi ingenuamente o
inconsapevolmente dai propri dipendenti, che spesso utilizzano il computer
aziendale (magari un notebook) anche per scopo personale di intrattenimento.
Navigando nei blog e nei siti di social networking gli utenti si espongono a
diversi pericoli.
Uno dei rischi maggiori consiste nel diventare il mezzo di trasmissione di un
malware, condividendo un contenuto o un link diretto che porta a scaricare un
codice maligno. Altrettanto frequente il diffondere informazioni
apparentemente innocue, che compongono un tassello di una strategia di social
engineering, priva fase di un attacco a tecniche multiple. Non a caso, un tipo di

30
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

minaccia legata inizialmente al mondo delle e-mail, ma che ha trovato ampio


terreno nel Web 2.0, sono gli attacchi di phishing, che inducono gli utenti a
inviare informazioni confidenziali e password allinterno di una riproduzione
fedele ma illegittima di un sito Web. Questi siti di phishing, creati facilmente
utilizzando le Rich Internet Application (RIA), arrivano a trarre in inganno anche
gli utilizzatori pi esperti. Lutilizzo delle RIA si rivelato da un lato
estremamente vantaggioso, poich rende pi veloce lesecuzione di programmi
attraverso il Web e sposta la maggior parte dei compiti di elaborazione a livello
di client. La presenza di un client eseguibile, tuttavia pu diventare facilmente
un vettore per il trasferimento di codici maligni e, in particolare, le RIA che
utilizzano plug-in basati su ActiveX risultano particolarmente vulnerabili.
Non solo le false riproduzioni di pagine Web possono rappresentare una
minaccia per lutente, ma anche i siti legittimi possono diventare pericolosi
poich in essi possibile che malintenzionati inseriscano malware allinterno di
eseguibili XML, come gi successo per esempio nel popolare sito di My Space
o sullhome page del Superbowl statunitense di qualche anno fa.
Un altro pericolo arriva dal video streaming. Attraverso la fruizione di video on-
line, per esempio dal sito di YouTube, possibile che un inconsapevole utente
scarichi sul suo computer trojan horse, ovvero programmi che potrebbero
contenere codice dannoso in grado di sottrarre dati confidenziali.
Un altro elemento di rischio pu essere posto dai siti Web che utilizzano la
cifratura SLL (Secure Socket Layer). Infatti, molti sistemi di sicurezza non
esaminano il tunnel SSL allinterno del quale vengono trasportati in modalit
punto-a-punto i dati criptati, rendendo il traffico SLL un possibile vettore da
sfruttare per predisporre azioni indirizzate alla sottrazione dei dati. Lutilizzo del
protocollo SSL in Web server predisposti da malintenzionati pu anche
diventare un veicolo con cui trasportare trojan e bot al di l della protezione del
firewall e farli penetrare nella rete aziendale protetta. Una volta installati i bot
sono in grado di costruire reti di collegamento tra computer che sfruttano
analoghe sessioni SLL per far fuoriuscire informazioni dallazienda o per
introdurre virus informatici e trojan.
Le minacce si vanno dunque variegando, cos pure le tecniche di attacco. Il dato
realmente preoccupante, se si guarda alle rilevazioni del Clusit, appunto la
distribuzione delle tecniche impiegate: nel 2011 e nel 2012 al primo posto si

31
INFORMATION SECURITY & DATA PROTECTION

trovava l'SQL injection, ma gi nel 2012 al secondo posto figura la voce


"unknown": cio non stato cio possibile comprendere come sia stato
eseguito l'attacco.
Dal 2014 tale incertezza al primo posto e anche nel 2016, la prima voce, con il
32% l'unknown. Resta la speranza che qualcosa in pi si invece capito, ma si
preferito tacere dettagli magari imbarazzanti.
Secondo IDC, nel 2016 alcuni fattori essenziali, riconducibili a tendenze di lungo
periodo, potranno influenzare l'evoluzione delle tecnologie per la sicurezza. La
prima consiste nella crescita esponenziale di nuovi dispositivi e sensori
intelligenti, dalla domotica all'IoT, con nuove problematiche di vulnerabilit
(come sottolineano allarmati gli esperti del Clusit, si tratta di dispositivi non
pensati "con la sicurezza a bordo" e, anzi, utilizzanti protocolli molto semplici.
Va poi evidenziata l'attenuazione del confine tra vita privata e pubblica, anche a
causa della mobility e pi in generale della digitalizzazione. Ambivalente poi
l'erosione graduale della privacy sul Web: da una parte regole sempre pi
stringenti (si veda il GDPR), dall'altro l'introduzione di tecnologie sofisticate di
sorveglianza per tracciare il digital footprint, in nome della sicurezza fisica e
della lotta al terrorismo.
Per ultima, ma probabilmente prima per importanza, la tendenza che vede
sempre pi aumentare la carenza di competenze e professionalit. Questo,
secondo gli analisti di IDC, non solo a livello di mercato, presso le imprese, ma
proprio a livello di settore, con una competizione sempre pi accesa tra i vendo
della sicurezza nell'acquisire competenze, tecnologie ed expertise.

Il ransomware per tutti


Cryptolocker stata quasi certamente una delle pi importanti minacce del
2014, mentre CryptoWall stato certamente il pi impattante malware del
2015. Il ransomware, cio la categoria cui appartengono questi due codici
malevoli, stato, come avevano previsto gli esperti che producono il rapporto
Clusit, il protagonista del 2016, il peggior anno per la sicurezza dal 2011 (anno in
cui stato pubblicato il primo rapporto della nota associazione per la sicurezza
informatica).

32
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

Il 2017 andr ancora peggio e tale categoria di malware sar sempre pi diffusa.
Il motivo di questo successo semplice: consente ai cybercriminali di
guadagnare tanto in poco tempo, con poco sforzo e meno rischi.
Ransom in inglese significa riscatto. Il dispositivo infettato viene bloccato e il
codice maligno chiede di pagare un riscatto al proprietario per "liberarlo". Nel
2014 venivano attaccati i singoli dispositivi, nel 2016 si arrivati a bloccare interi
data center, cominciando a crittografare il sistema di backup, prima di bloccare
il sistema centrale, mettendo le imprese colpite con le spalle al muro.
La logica del ricatto atavica e forse non tutti sanno che anche il ricatto
informatico nato molto tempo fa. Addirittura forse il primo virus progettato
per ottenere un guadagno. Nei primi anni Ottanta, un medico realizz un
programma per i primi sistemi DOS, che proponeva un questionario diagnostico
presentato come utile per gli ambulatori.
Il software accessibile da floppy disk, veniva regalato. Durante l'esecuzione il
codice esplorava il file system e cambiando le estensioni dei file li rendeva di
fatto inaccessibili. A questo punto partiva il ricatto e il sedicente dottore
ripristinava dietro compenso i documenti.
Pi recentemente, i ransomware venivano annidati soprattutto nella pubblicit
sui siti pornografici, bloccando il computer su una videata alquanto esplicita e,
per taluni, imbarazzante. Il successo stato per notevole e nel 2014 si passati
a un uso pi massiccio con una nuova generazione di malware. I primi, infatti,
solo apparentemente bloccavano il computer, ma il realt fermavano la videata
che era relativamente semplice da eliminare. Con la nuova generazione di
ransomware, il computer effettivamente bloccato, perch i dati vengono
crittografati.
Inoltre, nel 2014 sono comparsi i primi codice di questo tipo indirizzati ai
dispositivi mobili come smartphone e tablet: facile immaginare il panico di chi
si vede bloccata quella che per tanti diventata un'estensione vitale del proprio
io. La crescita costante dall'introduzione della prima variante che ha preso di
mira i dispositivi iOS, alla prima variante per Android che crittografa i dati del
dispositivo.
Sono quattro i mobile ransomware pi dannosi scoperti nel 2014: Simplocker,
Cryptolocker, iCloud "Oleg Pliss" e FakeDefend. Il pi importante stato
Cryptolocker, scoperto a maggio 2014, che veniva camuffato come

33
INFORMATION SECURITY & DATA PROTECTION

un'applicazione BaDoink per scaricare video. Anche se il malware non causa


danni ai dati del telefono, visualizza una schermata di blocco ad opera della
polizia locale, personalizzato in base alla geolocalizzazione dell'utente finale. Il
blocco dello schermo viene lanciato ogni 5 secondi rendendo difficoltoso il
funzionamento del dispositivo senza la disinstallazione del malware.
iCloud "Oleg Pliss", scoperto anch'esso a maggio 2014 il primo caso segnalato
di ransomware per dispositivi Apple. In effetti non si tratta di un malware vero e
proprio, perch gli attacchi avvengono tramite account iCloud compromessi in
combinazione con alcune tecniche di social engineering.
Con l'arrivo di CryptoWall si scalati a un livello successivo, in particolare, con la
versione 4.0 dello stesso lanciata a gennaio di quest'anno, che dimostra come
anche nel 2016 si dovranno temere le estorsioni e i ricatti dei ransomware.
Il ritorno d'investimento per i cybercriminali alto, vista la diffusione dei
dispositivi mobili, per questo si ipotizza che i ransomware saranno sempre pi
indirizzati verso gli smartphone. C' un ulteriore vantaggio, rappresentato dalla
minore consapevolezza dei rischi che hanno gli utenti di dispositivi mobili,
rispetto ai "vecchi lupi di mare della navigazione da pc". Ciononostante anche i
pc vengono colpiti.
CryptoWall 4.0, come per ogni nuovo prodotto "di grido" pi caro, visto che
chiede 700 dollari per "liberare" i dati della vittima.
Forse vale la pena di ricordare che il malware sottost alle logiche di mercato
quanto i software legittimi: anche i cyber criminali, infatti, scelgono gli strumenti
pi efficaci e con il miglior rapporto prezzo/prestazioni. Gli autori dei malware
ne tengono conto e possono permettersi di investire nella ricerca e sviluppo.
Con CryptoWall 4.0 arrivano dunque nuove funzionalit.
Non cambia molto la minaccia mostrata sullo schermo che avvisa dell'avvenuta
criptazione dei dati e chiede un riscatto di 700 dollari (erano 300 nella 3.0)
fornendo le istruzioni per ottenere lo strumento che riporter in chiaro i dati.
Attenzione, per: si tratta di "un'offerta": infatti, il prezzo valido per una
settimana, al termine della quale raddoppia.
I cyber criminali devono aver sperimentato l'ingenuit e l'inesperienza delle loro
vittime e si permettono di sbeffeggiarle, anche nelle istruzioni per il pagamento
e per la risoluzione del problema, con frasi del tipo: "apri il tuo browser, se non
sai cos' un browser, apri Internet Explorer".

34
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

Pi in generale, rispetto al passato gli autori dell'estorsione cambiano tono, che


diventa sfrontato fin quasi a essere offensivo, visto che scrivono: "CryptoWall
non malevolo e non intende danneggiare i tuoi dati. Insieme possiamo
rendere Internet un posto migliore e pi sicuro".
Intanto, per spaventare ulteriormente la vittima, stata aggiunta una "vecchia"
caratteristica: oltre a cifrare i dati, vengono anche cambiati i nomi dei file,
sostituiti con nomi casuali, quindi non solo non si riescono pi ad aprire, ma non
si riesce pi nemmeno a sapere quali erano i file originali.
Bastone e carota: una nuova funzione mira a tranquillizzare il malcapitato. Si
tratta di un free decrypter che consente di ripristinare un file. In pratica come
una foto con giornale che dimostra l'esistenza in vita del "rapito". Una garanzia,
quindi, della loro "seriet", per cui, se paghi, potrai riavere tutto. Cosa che non
sempre scontata.

Le Advanced Persistent Threat (APT)


I ramsonware hanno ridotto l'impatto dei cosiddetti attacchi mirati. Questi
ultimi sono molto onerosi da condurre, ma la loro efficacia li rendeva molto
utilizzati per ottenere informazioni da rivendere. La semplicit dei ricatti, che
comprende anche la rapidit di monetizzazione senza i rischi delle frodi che
richiedono di riciclare i proventi illeciti, grazie all'utilizzo dei BitCoin e di
transazioni non tracciabili, hanno confinato gli APT a veri e propri attacchi
mirati.
Questi sono comunque in aumento, ma con un tasso d'incremento ridotto,
sostenuto dal fenomeno dello spionaggio informatico e del cyber warfare, in
preoccupante crescita.
Gli attacchi mirati, cio condotti con un preciso fine, si accompagnano a quelli
"silenti", cio orientati a uno specifico obiettivo evitando di "far rumore". Sono
quelli che vengono raccolti nella categoria Advanced Persistent Threat.
Gli APT sono sono utilizzati in tutti gli ambiti: nello spionaggio industriale o
governativo, nelle azioni di sabotaggio, nei furti di propriet intellettuale, nella
sottrazione di dati e cos via, anche se, come accennato, sempre meno per frodi
monetarie.
Gli aggettivi "advanced" e "persistent" indicano le caratteristiche principali di
questi attacchi: l'uso di tecniche sofisticate, la combinazione delle stesse in una

35
INFORMATION SECURITY & DATA PROTECTION

strategia basata su pi fasi e la tenacia con cui questa viene applicata con
continuit fino all'ottenimento dell'obiettivo e oltre. Oltre, perch in casi come
lo spionaggio, il malware progettato per annidarsi e continuare a spiare anche
per anni, finch non viene scoperto.
Recentemente, per esempio, sono stati trovati malware che "spiavano" enti
governativi e aziende statunitensi, probabilmente di origine russa (un sospetto
dovuto alla presenza di caratteri cirillici in alcune stringhe di testo incluse nel
codice).
Le fasi di un attacco APT sono diverse: secondo alcune classificazioni 5, per altri
6 o 7. Di fatto, non c' una reale uniformit, perch alcune di queste fasi
possono mancare o, pi spesso, essere accorpate in un'unica azione a seconda
dei casi.

Le sette fasi di un attacco APT

La caratteristica principale l'utilizzo di pi tecniche organizzate secondo una


sequenza abbastanza standard, perlopi rappresentata in sette fasi. Queste
sono:
1 - Ricognizione Come detto, gli APT sono perlopi attacchi mirati, che, come
nella migliore strategia di guerra, sono preceduti da una fase di studio del
"nemico". In questo caso, il cybercriminale cerca dati sul bersaglio da colpire,
partendo, tipicamente, dal sito Web e facendo sfoggio di capacit deduttive. Per

36
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

esempio, un'offerta di lavoro in cui si ricerca personale specializzato in un


determinato applicativo software permette di comprendere quali sistemi
vengano utilizzati in un'azienda, identificando potenzialmente delle
vulnerabilit. In generale, si vuole trovare dati personali tra i profili online, gli
indirizzi e-mail, gli organigramma aziendali, gli hobby e interessi sui Social
Network. Pi informazioni si ottengono, maggiori sono le probabilit di affinare
e rendere efficaci le successive fasi di attacco.
2 -- Adescamento Questa fase diventata pi facile di quanto si possa
immaginare con la diffusione dei sistemi mobile. La cultura sulla sicurezza
informatica scarsa ed facile incuriosire, soprattutto se si conoscono (vedi fasi
uno) i punti deboli della persona cui si spedisce un messaggio mirato. Inoltre,
quando questi messaggi arrivano sullo smartphone, dove complice la "visibilit
ridotta" e soprattutto l'abitudine a cliccare prima e pensare dopo, alta la
possibilit che il malcapitato caschi nella trappola. Quasi certamente non se ne
accorger, perch il cybercriminale si guarder bene dal creare disturbo, magari
gli mander un secondo messaggio di scuse perch il primo aveva avuto un
comportamento strano, tranquillizzando gli eventuali dubbiosi.
I filtri antispam possono fermare attacchi di massa, ma nel caso di quelli mirati i
messaggi puntano su comunicazioni normalmente attese dallutente, che spesso
questi filtri considerano attendibili. Secondo alcune ricerche fra i cinque
argomenti pi usati come esca via e-mail sono lavviso riguardo un ordine, la
conferma di un biglietto, lannuncio di una consegna di un corriere espresso,
une-mail di verifica e una notifica di informazioni sui rimborsi fiscali. Ma sono
tattiche generiche usate da chi vuole sparare nel mucchio. Gli attacchi mirati
usano anche messaggi apparentemente inviati dal proprio capo e sfruttano i
dati raccolti, quindi la sicurezza aziendale, teoricamente, andrebbe estesa anche
alla pagina Facebook dei dipendenti. Quantomeno, le informazioni sulle
minacce raccolte dai sistemi di sicurezza aziendali dovrebbero correlare Web ed
e-mail, anche considerando che il 92% dello spam via e-mail contiene un URL.
3 - Reindirizzamento L'esca della fase due molto spesso reindirizza verso un
sito Web dove annidato un exploit kit. Anche in questo caso, c' molta
differenza tra gli attacchi APT di massa e quelli mirati. I primi cercano di
adescare il maggior numero di persone, ma per questo non possono essere
troppo sofisticati nel messaggio e nel tipo di trappola. Per quelli mirati, ci si pu

37
INFORMATION SECURITY & DATA PROTECTION

anche prendere la briga di attaccare un sito insospettabile per installarvi sopra il


kit di malware.
Fa specie che la tecnica tuttora pi utilizzata per il redirect basata sull'SQL
injection, inventata prima della nascita di Internet. Insieme alla iFrame injection
conducono gli utenti ignari verso servizi Web e contenuti non richiesti. Il
cosiddetto malvertising (malware advertising) invece dirotta gli utenti
inconsapevoli allinterno di siti conosciuti. I re-indirizzamenti di nuova
generazione, infine, comprendono i post sulle bacheche dei social network, finti
plug-in, certificati falsi e java script abilmente occultati. Tali reindirizzamenti
sono spesso dinamici, cambiano cio in continuazione, per cui i sistemi di Web
Filtering avanzati devono poter verificare i link in tempo reale.
4- Exploit La fase centrale fondamentale per l'attacco vero e proprio, cio
per penetrare all'interno delle difese avversarie. Gli exploit sono sempre pi
sofisticati: per esempio i Blackhole utilizzano sistemi di cifratura difficili da
identificare con soluzioni antivirus. Decisamente pi efficaci possono essere i
gateway di ultima generazione, come i Next Generation Firewall, ma non tutti
arrivano a comprendere il reale funzionamento del malware, che, talvolta,
rimane "inattivo" a lungo dopo l'installazione sulla rete del bersaglio. Rispetto al
passato quando i kit erano numericamente di meno e basati su relativamente
poche varianti, era possibile anche filtrare il traffico sulla base di signature, ma
ormai questi sistemi possono essere paragonati ai cecchini invece che alle
truppe d'assalto. Gli exploit kit, adesso colpiscono con un malware di tipo
dropper (che si deposita direttamente nel sistema informatico attaccato), solo
quando rileva una porta aperta sicuramente vulnerabile. In caso contrario devia
lutente verso una pagina web normale e rimane nascosto, aspettando la
prossima occasione.
5 - Installazione Siamo a quello che viene considerato l'attacco vero e proprio:
il nemico avanza pronto a sfondare le barriere esterne. Non a caso, dunque,
qui che si concentrano i cosiddetti sistemi di protezione perimetrale,
analizzando ogni file che penetra nella rete per rilevare eventuale malware.
Come accennato, per, non facile come prima rilevare i codici maligni di nuova
generazione attraverso signature e pattern, perch questi utilizzano pacchetti
dinamici.

38
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

6 Call Back Una volta compiuta l'installazione del primo malware, il sistema
informativo presto in balia del cybercriminale. Il malware contatta un server e
attiva il download di strumenti e altro codice maligno per raccogliere e inviare
informazioni sul sistema violato, al fine di proseguire al suo interno fino
all'obiettivo finale. Evidentemente, per la protezione in questa fase occorre un
sistema che analizzi il traffico in uscita, ma sono ancora poco diffusi. Ne
occorrono di abbastanza sofisticati, infatti, perch attraverso strumenti
semplici, come un DNS dinamico i cybercriminali evitano il rilevamento delle
operazioni di chiamata a casa verso indirizzi statici. Tuttavia possibile inibire
l'uscita di dati verso sistemi che non siano noti e quindi inibire l'uso di DNS che
rimandano a server di "command and control". Del resto chi vuole nascondere
la propria ubicazione geografica in genere sospetto.
Una soluzione efficace viene applicata dalle soluzioni di Data Loss Prevention
integrate con sistemi in grado di effettuare un'analisi contestuale dei dati: chi
lutente, dove sono destinati i dati e altre variabili sono informazioni utili per i
prodotti che devono evitare l'invio di informazioni riservate a Web mail
personali, account di social network o mandate allinterno di app per la
connessione a cloud storage privati.
7 Azione La fase finale quello in cui l'attacco va tipicamente a buon fine se
non si riusciti a intervenire prima. Certamente, anche qui ci sono ancora
margini per bloccare il furto dei dati obiettivo dei cybercriminali, ma occorre
disporre di sistemi in grado, per esempio, d'identificare una password che sta
uscendo dalla rete aziendale oppure di rilevare traffico criptato verso l'esterno
con chiavi di cifratura illecite o estranee al proprio sistema di crittografia. Ci
sono poi tecniche, chiamate drip (gocciolare), che trasferiscono file verso
lesterno in piccole quantit in tempi dilatati, per rendere pi difficile il
rilevamento.

Il Phishing
Lo spam molto utilizzato per il phishing, termine con la medesima pronuncia,
ma storpiato nellortografia, dell'inglese "fishing", pescare.
Si tratta di un sistema inizialmente indirizzato a carpire dati personali e,
tipicamente, numeri di carta di credito, grazie alla collaborazione, in buona fede,
delle vittime della frode. Il sistema , concettualmente, molto semplice e

39
INFORMATION SECURITY & DATA PROTECTION

perlopi condotto via e-mail; il bersaglio si vede recapitato un e-mail da parte di


unorganizzazione o di una banca nota, in cui lo si informa che, a causa di
inconvenienti di vario tipo, si sono verificati problemi relativi al suo conto
oppure che un acquisto da lui effettuato mediante la carta di credito non
potuto andare a buon fine. Lutente viene, quindi, invitato a collegarsi a un sito
in cui inserire nuovamente i suoi dati, cliccando su un link contenuto allinterno
del messaggio di posta elettronica che, apparentemente, corrisponde a quello
del mittente del messaggio. Il sito , ovviamente, fasullo, ma replica in modo
perfetto quello originario, in modo da carpire le informazioni che lo stesso
utente a inserire.
Le-mail, apparentemente, ha tutte le caratteristiche di un messaggio ufficiale
riportando logo, informazioni di copyright, slogan e messaggi di marketing
identici a quelli utilizzati tipicamente dalle presunte aziende o banche mittenti.
Spesso sono contenuti dati personali carpiti magari attraverso siti di social
networking, dando limpressione che effettivamente ci si trovi davanti a un
messaggio reale. I principali target di questo tipo di attacchi sono le banche e i
siti finanziari e, tra le organizzazioni prese di mira, vi anche la casa daste on
line e-bay, che ha prontamente avvisato i propri utenti che linvio di messaggi di
questo tipo non rientra nelle proprie modalit operative.
Il contenuto delle mail pu far riferimento alla necessit di inserire nuovamente
i propri dati per una verifica del proprio conto, al fine di prevenire possibili frodi
o di verificare che presunte violazioni che hanno interessato lorganizzazione
finanziaria non abbiano arrecato danni allo specifico utente. Il tono pu essere
minimale, invitando a eseguire operazioni che vengono descritte come di
routine, oppure pi allarmista, sottolineando limportanza e lurgenza di
collegarsi al sito e reinserire i dati; anche possibile che inviti lutente a
scaricare e installare security update presenti in allegato al messaggio e
contenenti codice maligno. Sebbene, apparentemente, possa sembrare un
approccio ingenuo, il successo che ottiene questa tecnica sorprendente.
Il phishing in forte aumento e risulta tra le tipologie di attacchi pi sviluppati
negli ultimi anni con tecniche che si affinano molto. Le tecniche di social
engineering, spesso adottate in abbinamento al phishing, hanno visto
aumentare la loro efficacia con la diffusione del Web 2.0. Al successo di questo
fenomeno si accompagna, secondo gli addetti ai lavori, un aumento delle

40
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

problematiche di sicurezza, prima fra tutte il furto di identit: gli utenti si


sentono fiduciosi e pubblicano in rete non solo i propri dati anagrafici, ma anche
svariate informazioni sulla propria vita privata, tutti dati utili per truffe mirate.
Peraltro, oggi i tool necessari per attivit di spamming e phishing sono
pubblicamente disponibili su Internet e strumenti pi sofisticati sono comunque
in vendita online, mentre possibile acquistare elenchi di indirizzi validi con
milioni di nominativi per poche decine di euro. Il successo dello spamming
dovuto proprio ai grandi numeri: gli spammer vengono pagati pochi centesimi
per ogni click registrato su un sito da loro indirizzato, ma pochi centesimi per
decine di milioni di messaggi spediti fanno un sacco di soldi, pur considerando
basse percentuali di messaggi andati a buon fine.
Esistono anche varianti del phishing, come il pharming (che fa riferimento alla
manipolazione delle informazioni Domain Name Server per reindirizzare lutente
in modo inconsapevole su siti Web falsi), lo spear phishing (utilizzato per
indicare attacchi indirizzati in modo molto mirato a specifici target), lo
smishing (che fa riferimento ad attacchi portati sfruttando i servizi SMS
disponibili sui telefoni cellulari) e il vishing o voice phishing (che sfrutta la
messaggistica vocale e, in particolare, il Voice over IP (VoIP), il cui vantaggio per
gli attacker che offre garanzie ai truffatori di non essere individuati poich
molti servizi telefonici via IP non prevedono un preciso punto di partenza della
chiamata).

Lo spear phishing
La posta elettronica resta uno dei veicoli d'infezione preferiti o, quantomeno,
uno degli strumenti utilizzati per le sofisticate tecniche di phishing o "spear
phishing", quello, cio, mirato. Lo spam tradizionale infatti in calo, stando ad
alcuni rilevamenti, ma sta crescendo quello collegato ai social network. Al
contrario, sempre pi efficaci si dimostrano gli attacchi mirati che partono con
una mail di phishing appunto.
Quest'ultima tecnica si evoluta, per cui bloccare tali email molto pi difficile
che in passato, in quanto non si tratta di messaggi rivolti alla massa, quindi
standardizzati e facilmente riconoscibili. Lo spear phishing si basa su dati
appositamente raccolti per colpire uno specifico target. Si tratta di email

41
INFORMATION SECURITY & DATA PROTECTION

personalizzate, che non sono state osservate da altri sistemi precedentemente e


che non sembrano "estranee" all'azienda.
Gli attacchi di phishing, in passato, erano tutti basati sulla stessa procedure:
l'email inviata a centinaia di migliaia di indirizzi contava sulla legge dei grandi
numeri. Statisticamente una piccola percentuale di destinatari reagiva alla mail
finendo nella trappola dei cybercriminali e infettando il pc.
L'efficacia del sistema si basava sulla statistica e sull'ingenuit degli utilizzatori.
Anche se di poco, per, la cultura di questi ultimi sulla sicurezza andata
aumentando negli anni e, parallelamente, calata l'efficacia del phishing
tradizionale. Ovviamente la maggior parte del merito va al miglioramento dei
sistemi antispam e antiphishing, che adesso includono tecnologie come: la
"reputation" del mittente, che classifica gli indirizzi di spedizione per bloccare
quelli che notoriamente riversano spam; lanalisi lessicale sul contenuto delle
email per individuare frasi e combinazioni di parole o schemi usati di solito per
lo spam; l'integrazione con gli antivirus, che identificano i codici maligni noti
abbinati alla posta elettronica.
L'efficacia della protezione, porta i cybercriminali professionisti a cercare nuove
strade. Di fatto, la ricerca e sviluppo sul "lato oscuro" avanti, preparando le
tecniche innovative mentre ancora quelle tradizionali portano i loro frutti.
Il modello degli attacchi di phishing quindi evoluto di conseguenza negli ultimi
anni e, soprattutto, si fatto ancora pi mirato: indirizzandosi a piccole
comunit, come possono essere i dipendenti o, pi in dettaglio, i quadri di una
specifica impresa. Si anche semplificato, perch non contiene direttamente il
malware, ma un link a un sito Web, non di rado legittimo, dove per stato
annidato il kit maligno. Inoltre, i server utilizzati non risentono di una cattiva
reputazione, perch inviano pochi messaggi che non sono riconosciuti come
spam.
Chiaramente questo presuppone qualche sforzo in pi, per esempio per
compromettere un sito legittimo senza che i suoi gestori se ne accorgano, anche
solo per il tempo necessario a portare a termine l'attacco.
Il successo della tecnica resta ancorato alla ingenuit/diffidenza del dipendente,
ma l'accuratezza di questi attacchi "ripaga" il malintenzionato. C' da dire che
l'errore o il dolo del dipendente interno rappresenta sempre il rischio maggiore,
come dimostrano costantemente tutte le ricerche del settore.

42
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

Rispetto allo spam, il phishing ha tassi di redemption pi elevati, se poi mirato


l'efficacia alta. Tali sforzi andranno ripagati, quindi il bottino sar ricco: per
esempio un numero elevato di dati, come i numeri di carte di credito o propriet
intellettuali (per esempio brevetti).
Anche l'analisi lessicale fallisce e lascia passare il phishing sofisticato, perch i
contenuti, essendo mirati, sono compatibili con il contesto e non riconosciuti
come spam. Gli antivirus non trovano malware da analizzare e bloccare.

Costo delle tipologie di attacco: il rischio interno il pi costoso (fonte Ponemon)

Occorrono soluzioni pi sofisticate, che eventualmente siano in grado di seguire


il link verso il codice maligno, riconoscerlo come tale e bloccare il download di
dati compromessi. Meglio se possono operare in tempo reale.

Il social engineering
Pu sembrare strano, ma uno degli strumenti pi efficaci nella compromissione
della sicurezza informatica condotto senza lutilizzo di strumenti informatici. Si
tratta del cosiddetto social engineering, una tipologia di attacco indirizzata a
carpire informazioni sensibili attraverso luso del contatto umano, utilizzando
come complici inconsapevoli gli stessi obiettivi dellattacco. Di fronte a sistemi
evoluti progettati per analizzare traffico sulle porte, signature o anomalie di

43
INFORMATION SECURITY & DATA PROTECTION

protocollo, il social engineering sfrutta una delle principali vulnerabilit nella


sicurezza informatica di unazienda: lelemento umano.
Le motivazioni che inducono i cybercriminali allutilizzo di tecniche di social
engineering sono molteplici. Innanzitutto si tratta di un metodo pi semplice
rispetto alla violazione di un sistema e che non richiede costi elevati o tool
sofisticati. Permette, inoltre, di aggirare sistemi di intrusion detection e non
influenzato dalla piattaforma operativa utilizzata allinterno dellazienda target.
I bersagli tipici sono rappresentati dal personale di help desk, dagli addetti al
customer service, da assistenti amministrativi, personale vendite, sistemisti o
tecnici. Questo perch, da un punto di vista generale, i soggetti sono tanto pi
disponibili a fornire informazioni, quanto meno sono direttamente coinvolti o
interessati dalla richiesta. Spesso, alle vittime di tali attacchi manca la
consapevolezza del rischio o anche solo linteresse a discutere o esaminare le
motivazioni alla base di richieste che non sono direttamente pertinenti ai loro
compiti specifici.
Un attacco giunto a buon fine pu fornire numeri di dial-in o procedure di
accesso remoto, permettere di creare un account o modificare privilegi o diritti
di accesso fino a determinare lesecuzione di programmi potenzialmente
dannosi quali trojan horse. Questo tipo di attacco pu anche essere indirizzato a
carpire informazioni quali, per esempio, liste di clienti, dati finanziari, offerte
associate a contratti o informazioni riservate sui processi produttivi. I metodi
utilizzati per carpire informazioni sono vari e dipendono solo dalla fantasia
dellattaccante.
Una tecnica quella di raccogliere preventivamente una serie di informazioni
che possano fornire un pretesto credibile per la costruzione di un attacco e
permettano di guadagnare la fiducia di chi subisce lattacco. Tipicamente, infatti,
il social engineering una tecnica preparata e costruita in step successivi e
basata su una precisa strategia, che preveda anche contro-argomenti in caso di
possibili obiezioni e vie di uscita ragionevoli per non bruciarsi il lavoro svolto.
Va poi ricordato che, a differenza di un firewall, lessere umano
tendenzialmente portato a fidarsi degli altri o ad avere illusione che certe cose
a lui non possano capitare. Spesso accade anche che venga sottostimato il
valore dellinformazione o si abbia poca consapevolezza dalle conseguenze di
azioni apparentemente innocue.

44
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

Altre tecniche sono indirizzate a costruire un rapporto di fiducia attraverso una


serie di contatti ripetuti completamente innocui. Un metodo molto efficace
quello di raccogliere una serie di piccole informazioni che, singolarmente, non
hanno utilizzo pratico ma che, se considerate nel loro complesso, possono
rappresentare una fonte di informazione di valore elevato. Frammenti di
informazione utili a tal fine possono essere facilmente recuperabili da un
cybercriminale tramite i siti Web, lorganigramma aziendale, attraverso
newsletter o anche documenti di marketing. Altre informazioni di carattere
personale possono essere ricavate da siti Web che contengono nomi di parenti
o di interessi specifici, a cui spesso un utente si ispira per elaborare le proprie
password.
Inoltre, poich luomo naturalmente curioso, altri trucchi sono di lasciare
supporti quali CD ROM o floppy contenenti codici maligni presso specifiche
postazioni sperando che vengano aperti ed esaminati oppure inviare e-mail che
invitano a visitare siti Web potenzialmente dannosi.
Un esempio di attacco di social engineering pu partire dallindividuazione, da
un documento di marketing, del nominativo di una persona che ricopre una
specifica carica aziendale. Telefonando al centralino e chiedendo di essere
messo in comunicazione con quella persona (citando nome e cognome) facile
che si venga passati al suo numero interno. Se la telefonata avviene in un giorno
in cui questa persona non sicuramente in ufficio, per esempio perch dal sito
Web viene annunciata la sua partecipazione a un evento o a una conferenza,
non infrequente poter recuperare il numero dellinterno dal sistema di
risposta automatica che invita a lasciare un messaggio. A questo punto si
dispone gi di un numero di informazioni utili a lanciare un attacco. Con un po
di astuzia possibile, per esempio, ricavare informazioni riservate da un collega,
ottenendo la sua fiducia adducendo motivazioni di urgenza, la stretta
conoscenza del contatto sfortunatamente mancato e supportando le proprie
affermazioni con i dati in proprio possesso. Spesso basta conoscere anche solo
poche informazioni personali di un individuo per lasciare presupporre a qualcun
altro una sua conoscenza approfondita.
Unulteriore fonte di informazioni rappresentata dai rifiuti. Documenti, bozze,
annotazioni o anche nomi di piani e di progetti, trovano spazio su documenti
cartacei che vengono gettati nellimmondizia. Ancora pi rischioso gettare

45
INFORMATION SECURITY & DATA PROTECTION

supporti di memorizzazione danneggiati quali hard disk o sistemi removibili da


cui sempre possibile ricavare informazioni parziali. Inoltre, lappropriazione dei
rifiuti altrui non , di per se stessa, una pratica illegale.
Gli aspetti psicologici sono un elemento essenziale nel social engineering. In
generale un attaccante che utilizza queste tecniche pu essere individuato dal
fatto che fa richieste fuori dallordinario o adotta comportamenti anomali, quali
manifestare estrema urgenza in modo immotivato, utilizzare toni autoritari o
intimidatori, offrire aiuto per risolvere un problema sconosciuto o citare il
management come ente autorizzatore della richiesta. Particolari condizioni
lavorative possono aumentare il rischio associato a tali attacchi. Per esempio,
una forte pressione a svolgere i lavori in tempi rapidi, la presenza di uffici
distribuiti in varie localit o lutilizzo di personale esterno allazienda, sono tutti
elementi che possono contribuire a facilitare le condizioni affinch un attacco di
social engineering abbia successo. Lunico sistema per proteggersi
efficacemente quello di aumentare la cultura della sicurezza in azienda, in
modo che questa non sia percepita come una perdita di tempo o un ostacolo
allattivit lavorativa, predisponendo procedure apposite per la gestione delle
informazioni e la loro classificazione e mettendo a punto policy per la pulizia
della postazione di lavoro. La contromisura pi efficace resta quella di attivare
sessioni di addestramento indirizzate alla consapevolezza dellimportanza della
sicurezza e dei possibili rischi associati a comportamenti superficiali.

Il furto di identit
La cronaca, a onor del vero, d maggior risalto a fenomeni di massa, come i vari
worm o pseudo tali che di tanto in tanto riescono a perforare le difese
diffondendosi in tutto il mondo, ma le attivit realmente criminali si
concentrano su altri fronti: primo fra tutti il furto di identit.
Rubare lidentit di qualcun altro significa riuscire a raccogliere sufficienti
informazioni al fine di spacciarsi per lo stesso, ad esempio, per commettere
frodi, aprire conti correnti, navigare su siti pornografici, carpire dati aziendali
riservati o quantaltro. Alle volte lo scopo indiretto, come nel caso dei
database costituiti illegalmente tramite strumenti di spamming.
Unidentit pu essere utilizzata per sferrare attacchi contro terzi o frodarli, con
il rischio di dover anche affrontare spese legali per dimostrare la propria

46
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

innocenza. Oltre al phishing, un metodo molto in voga per reperire/rubare


informazioni collegato allutilizzo di programmi cosiddetti spyware, il cui scopo
quello di registrare il comportamento di navigazione, esplorare il disco rigido,
esportare dati raccolti, intercettare posta elettronica o file, catturare dati
immessi in sistemi Web (per esempio con i keylogger, che memorizzano i tasti
premuti) e altro ancora. Con uno o pi strumenti del genere possibile
assemblare sufficienti dati per mettere insieme lidentit di un individuo.

L'Internet of Things e le nuove botnet


Dopo il Web 2.0, si cominciato a parlare di Web 3.0, una definizione che
stata presto abbandonata a vantaggio di due altre diciture: Machine to Machine
(M2M) o Internet of Things (IoT). Di fatto, il Web sempre stato concepito
come l'interazione tra un individuo e una macchina (server), poi si passati al
2.0, che prevede l'interazione tra gli individui, comunque mediata da una
macchina. Il terzo passo l'interazione diretta tra macchine.
Prima di lasciarsi andare a scenari apocalittici stile Matrix, si rifletta sul fatto
che, al contrario dell'essere umano, le macchine non posseggono l'istinto della
sopravvivenza n quello della perpetuazione della specie. Istinti poco
programmabili.
Di fatto, sar presto maggioritario il numero di dispositivi posti in rete per
svolgere compiti diversi da quelli di mettere in comunicazione individui o fornire
informazioni a questi stessi. Si tratta di, per esempio, sistemi di controllo di
impianti industriali collegati a sensori che rilevano determinati parametri.
Quando questi ultimi superano una soglia potrebbe partire un allarme e il
sistema di controllo genera unazione corrispondente. La possibilit di utilizzare
la rete IP e Internet in particolare per attuare una soluzione del genere gi
stata presa in considerazione. Ancora una volta, sono le problematiche di
sicurezza che faranno la differenza. Quali saranno le sfide del futuro per le
aziende che si occupano di sicurezza, una cosa certa: non possono continuare
a giocare a nascondino con i ragazzi cattivi. Una rincorsa senza sosta da una
minaccia a un nuovo rimedio non ha senso. necessario modificare le regole del
gioco: cambiare approccio e anticipare le mosse dellavversario, scendendo sul
suo stesso terreno e partendo dagli obiettivi che si pone.

47
INFORMATION SECURITY & DATA PROTECTION

Le minacce rivolte all'IoT che, oggi, sono ipotizzabili, riguardano in primo luogo
la disponibilit del servizio: un DDoS mette in seria difficolt la trasmissione
delle informazioni cui le macchine in rete sono preposte.
Ovviamente, gli attacchi a infrastrutture critiche rivolte a sistemi SCADA
rappresentano un fronte di "guerra" e scenari da vera e propria Cyber War sono
certamente realistici. In questi contesti ipotizzabile che enti governativi
possano stanziare i fondi necessari per sviluppare kit di attacco mirati, al fine di
colpire un singolo obiettivo.
Gi il costo per un sabotaggio poco probabile sia sostenibile per colpire un
concorrente, ma se si tratta di un "nemico" lo scenario cambia.
Il cybercrime, invece, si sta attrezzando per abbandonare le botnet cos come
oggi le conosciamo, cio composte da pc e server, e sta sfruttando la maggiore
superficie di attacco, grazie al fatto che un numero consistente di dispositivi
M2M in Rete utilizzano sistemi noti come Linux.
Botnet complesse, composte da dispositivi di differente natura, sono gi una
realt: stato, infatti, registrato il primo caso di frigorifero utilizzato in una sorta
di botnet per mandare spam. Il grosso rischio, in questo contesto, che in molti
di questi dispositivi vengano utilizzati vecchi pezzi di codice o, comunque,
software open source che difficilmente saranno aggiornati: chi si occuper
dell'upgrade del firmware del forno a micronde o della lavatrice?
La probabilit che buona parte delle macchine in rete resti indifesa rende l'IoT
una miniera d'oro per chi cerca una macchina da usare gratuitamente.
, infine, ipotizzabile un futuro in cui avverr il passaggio dalla minaccia
informatica a quella fisica: gi oggi alcuni modelli di automobile dispongono di
componenti elettronici e computer di bordo raggiungibili da remoto via
wireless, che potrebbero essere manomessi provocando un incidente.
A quel punto la sensibilizzazione verso l'importanza della cyber security sar
compiuta.

La Security Intelligence
Quando fu introdotto il concetto di UTM (Universal o Unified Threath
Management), diversi anni or sono, cominci a essere chiaro che non si poteva
affidare la difesa da ogni singola minaccia a un dispositivo specifico. All'inizio si

48
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

punto sull'efficienza dell'analisi del traffico, concentrandola in un unico


passaggio, ma ben presto si comprese che questo non era sufficiente e che
servisse poter valutare i dati raccolti da ciascuna tipologia d'analisi correlandoli
tra loro. Questo perch le tecniche di attacco avevano cominciato a
frammentare le attivit maligne e diventava difficile intercettare una "firma" per
bloccare l'intrusione o il traffico maligno.
Con le minacce che diventavano sempre pi sofisticate e rapide, si compreso
che le tecniche per mantenere aggiornati i sistemi e per correlare le
informazioni non solo dovevano accelerare fino al real time, ma dovevano
anche contare su una maggiore intelligenza.
Si sono cos sviluppati approcci nuovi che sfruttano il cloud, mettendo a fattore
comune le informazioni provenienti da pi fonti per creare motori di intelligence
in grado di contare su sistemi a elevate prestazioni per realizzare le correlazioni
o per testare il funzionamento di un codice in una sandbox (letteralmente
scatola di sabbia il quadrato in cui possono giocare al sicuro i bambini ai
giardini pubblici) e poter cos valutare la sua pericolosit o la sua attendibilit.
Dopodich l'informazione pu essere condivisa con tutti i dispositivi collegati al
sistema di intelligence.
Diversi vendo hanno sviluppato il proprio, ma ve ne sono diversi in "consorzio",
perch il punto di forza di questi sistemi sta proprio nella condivisione delle
informazioni, da cui tutti traggono beneficio. La differenziazione potranno farlo
le capacit di tradurre l'informazione in un'azione protettiva pi o meno rapida
e/o efficace.
Inoltre, molti di questi sistemi possono integrarsi con il sistema interno di
gestione degli eventi di sicurezza, che pu utilizzare funzioni in pi, per esempio
una capacit d'analisi avanzata, in grado di esaminare grandi quanti di dati: i
cosiddetti Big Data della sicurezza.

I SIEM "intelligenti"
La crescente complessit dei malware e la sempre maggiore sofisticatezza degli
attacchi hanno reso rapidamente obsoleti quei sistemi di protezione che non
prevedevano azioni automatiche.
In particolare, per, a dimostrare la propria inadeguatezza sono i SIEM (Security
Information Event Manager) di prima generazione.

49
INFORMATION SECURITY & DATA PROTECTION

Inizialmente, la gestione della sicurezza era statica: si installava un firewall o


poco pi e, una volta definite le regole per governare il traffico, gli si lasciava
seguire il proprio lavoro.
Man mano si sono aggiunti altri dispositivi e/o software per applicare alcuni
controlli aggiuntivi, resi necessari dall'evoluzione delle minacce.
La definizione delle policy un processo che richiede una certa dinamicit per
essere efficace, perch le condizioni del traffico cambiano nel tempo. Anche la
soluzione di sicurezza tecnologicamente pi avanzata , infatti, destinata a
fallire se non coadiuvata da regole implementate sulla base della specifica
realt e, quindi, tali da soddisfare gli obiettivi aziendali e i requisiti di
applicabilit e idoneit.

Il ciclo di definizione e implementazione delle policy

Stabilire una politica di sicurezza significa prevedere tutte le possibili violazioni


alla sicurezza e il modo per proteggersi da esse, formalizzandole anche in un
documento. Documento che importante, non solo per la compliance alle
normative sulla sicurezza dei dati, ma perch riguarda la governance stessa
dell'impresa. Le policy di sicurezza, infatti, riguardano questioni quali
limpostazione del livello di sicurezza relativo ai singoli apparati e alle soluzioni

50
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

informatiche, la gestione del rischio di perdite finanziarie associato a intrusioni e


le modalit comportamentali degli impiegati.
Il problema che questo approccio ha dimostrato rapidamente la sua inefficacia
sia per la rapidit con cui evolvono le minacce, ma soprattutto per la incredibile
pressione che si deve sopportare: i log dei sistemi per la gestione di informazioni
ed eventi di sicurezza arrivano a registrarne centinaia di migliaia al giorno.
Chiaramente non possibile analizzarli manualmente, ma neanche con i motori
di correlazione di prima generazione, che riescono a incrociare alcuni dati, ma
non hanno, in realt, accesso a tutte le informazioni necessarie a rilevare
attacchi ATP.
Questo scenario pone due problemi che sono stati affrontati aumentando
"l'intelligenza" dei sistemi SIEM e, sotto un altro punto di vista, anche quella dei
dispositivi per la protezione. In particolare, questi ultimi, come i firewall e gli IPS
di nuova generazione sono stati raffinati per analizzare con maggiore dettaglio il
traffico e i pacchetti che lo compongono. A tali capacit si aggiunge soprattutto
una pi semplice definizione delle policy, che non devono pi essere impostate
con parametri tecnici comprensibili solo agli esperti, ma sono espresse con
formule "business", quindi pi facilmente comprensibili anche all'interno di quel
documento di programmazione, che viene cos a far parte intrinseca del
processo di gestione del rischio e governance aziendale.
Questo livello di semplificazione, dall'altro lato, comporta anche l'automazione
delle regole poi effettivamente applicate e la possibilit di gestirle centralmente
in maniera integrata. In pratica, se il SIEM in grado di rilevare un innalzamento
del livello di rischio generale, potr automaticamente innalzare le soglie
d'attenzione dei dispostivi. In parte, tale capacit pu sfruttare le informazioni
provenienti dai dispositivi sulla rete, combinando tecniche di Information
Security utilizzate in diversi ambiti: per esempio quelle per la Web security e
lapplication security, con quelle di sicurezza fisica. Incrociando, per esempio, i
dati di autenticazione per l'accesso alle applicazioni con quelli per la
registrazione delle presenze e/o con i controlli dei varchi dingresso nelle aree
degli edifici e uffici, si potr evidenziare l'anomalia di un utente che non risulta
entrato in ufficio, ma il cui account sta accedendo dal suo desktop al sistema
ERP o sta spedendo informazioni via mail.

51
INFORMATION SECURITY & DATA PROTECTION

Ma, per compiere un salto di qualit necessario che il SIEM possa tener conto
del livello di rischio su tutta la rete Internet e non solo su quanto sta accadendo
al suo interno. Per questo, non bastano i semplici motori di correlazione interni.
Questi ultimi, infatti, sono in grado di confrontare l'avvenire di eventi misurati
sulla rete aziendale e quindi registrati nel log del SIEM. Con gli attacchi ATP,
purtroppo, questo necessario e pu spezzare la sequenza di fasi di un attacco,
ma non detto che sia sufficiente, a causa della persistenza degli ATP.
Un attacco che comincia con una mail di spear phishing ha buone probabilit di
arrivare indisturbato alla quarta fase e da qui alla quinta, senza che i sistemi di
protezione se ne possano accorgere. A questo punto potrebbe essere troppo
tardi. Peraltro, con un sistema SIEM in grado di ricevere e selezionare
informazioni anche da fonti esterne alla rete aziendale, cio di appoggiarsi a un
sistema di "intelligence", l'attacco potrebbe essere bloccato alla fase 2 se non
alla 1.
Per chiarire in cosa consiste un sistema di intelligence ripercorriamo appunto la
sequenza di un attacco APT, dopo la ricognizione, partono le strategie di
adescamento, nella maggior parte dei casi basate sull'invio di una mail di spear
phishing. Un sistema antispam/antiphishing potrebbe bloccarla, ma facile che
gli sfugga, perch non composta con lo stile classico dello spam o del phishing
di massa. Soprattutto non fa parte di massicce campagne di spamming che
vengono rilevate per gli elevati volumi. In genere contengono un link, ma
un'analisi superficiale dei contenuti cui rimanda non sufficiente a stabilirne la
malevolenza. Peraltro, un'analisi accurata, per esempio con l'emulazione del
comportamento attraverso tecniche di sandboxing, richiede del tempo e viene
spesso effettuata offline. A meno che l'attacco non sia condotto a una singola
impresa o, addirittura a uno specifico reparto di una singola impresa, possibile
che tali mail di spear phishing siano state gi "sotto esame" su qualche sistema,
magari dall'altra parte del mondo. Se quest'ultimo dovesse rivelare un elemento
sospetto potr "firmare" la mail (cio trovare un elemento che la
contraddistingua e ne permetta l'identificazione) e di trasmettere
immediatamente questa informazione in tutto il mondo.
Quest'ultima fase quella che viene chiamata di threat intelligence, anche se le
definizioni non sempre coincidono. In buona sostanza un sistema di threat
intelligence in grado di correlare informazioni di sicurezza registrate sulla

52
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

propria rete e di confrontarle con quelle raccolte da un network, generalmente


appoggiato su cloud. Quindi svolge una funzione di "intelligence", indagando
sulla rete che gestisce. A sua volta, il sistema diffonder le informazioni al
network cui appartiene, secondo una logica di collaborazione e condivisione.
Queste soluzioni si stanno rivelando sempre pi efficaci e utili, spingendo le
imprese a sviluppare metodi di raccolta dati per l'intelligence. Partendo dal
valutare quali risposte possono arrivare da soluzioni analitiche interne, vanno
selezionate le fonti di informazioni che sono utili. Fino ad arrivare a un set
ritenuto soddisfacente, eventualmente negoziando acquisizioni o scambi di dati
con fornitori esterni. Quindi si potranno arricchire le analisi attraverso strumenti
di threat intelligence esterni. Ottimizzando tali processi, inoltre, si pu
minimizzare l'aumento della capacit storage necessaria per supportare
l'aumento dei log, che, come accennato, sta diventando critico.

Progettazione ed enforcement delle policy


Le istruzioni specificate dalle policy possono essere di tipo generale, cio applicate
indifferenziatamente a tutta l'impresa, oppure suddivise per tipologia di risorse
aziendali o per aree di responsabilit. In ogni caso la progettazione di una policy deve
recepire le indicazioni provenienti dallanalisi del rischio in merito alle risorse da
considerare importanti e deve definire opportunamente gli step da seguire per la loro
protezione. La messa a punto di una policy aziendale deve essere fatta in modo da
favorire il suo effettivo utilizzo, evitando di trasformarsi in un documento formale per
clienti o revisori, ma di nessuna utilit pratica. Spesso questo aspetto legato alla
presenza, in molte realt aziendali, di criteri poco significativi, che restano troppo
generici e non danno indicazioni precise sulle azioni da intraprendere.
L'intelligenza delle pi recenti soluzioni per la sicurezza permette di superare
quest'ultimo inconveniente, grazie alla definizione di regole tecniche basate su
definizioni generali, ma occorre comunque che a livello strategico si adottino criteri
che soddisfano requisiti di flessibilit, chiarezza negli obiettivi, applicabilit. Inoltre, i
criteri per la sicurezza dovrebbero essere introdotti in modo da evidenziare il
sostegno incondizionato da parte della direzione dell'azienda e coinvolgere, per
quanto possibile, i diretti interessati. Proprio per questo stata semplificata la loro
definizione.

53
INFORMATION SECURITY & DATA PROTECTION

Se male organizzato, paradossalmente, un criterio di sicurezza pu determinare una


riduzione del livello di protezione. Spesso policy troppo restrittive vengono ignorate,
perch ostacolano lattivit lavorativa. Per esempio, lutilizzo di password troppo
lunghe o complesse e, pertanto, difficili da ricordare, potrebbe indurre gli impiegati a
scriverle e lasciarle pi facilmente in balia di possibili malintenzionati.
Per essere efficace un criterio di sicurezza deve essere diffuso e applicato: ci si
deve assicurare che tutti gli impiegati conoscano le relative policy di sicurezza e
che ne possano disporre prontamente e in qualunque momento e va garantita
la pronta comunicazione di ogni loro eventuale cambiamento.
Per la diffusione efficace di ogni criterio opportuno mettere a punto un
insieme di regole scritte, che definiscono le responsabilit relativamente a chi
progetta le policy, chi le garantisce, le implementa e la fa rispettare e le relative
conseguenze a seguito di eventuali violazioni.
Infine, sarebbe buona pratica coinvolgere gli utenti influenzati dalle policy di
sicurezza nel loro processo di sviluppo o almeno di revisione. Si tratta di
un'opera di educazione e sensibilizzazione che, da sola, contribuisce a ridurre
drasticamente il rischio: per esempio, rendendo difficile realizzare una mail di
spear phishing.
Le vulnerabilit indotte dal comportamento dei dipendenti rappresentano il
principale punto debole per tutte le imprese e coinvolgerli permette di ridurre il
rischio da loro rappresentato. Per altro, utopistico sperare di risolvere i
problemi di sicurezza in questo modo, perch ci sar sempre il nuovo assunto o
l'ultimo dei "fannulloni" che non seguir un comportamento corretto. Senza
contare i casi di violazioni dolose.
Le tecnologie possono aiutare anche in questi casi, ma i risultati migliori si
ottengono grazie agli automatismi che sono stati introdotti in molte delle
soluzioni di ultima generazione, imponendo, di fatto l'enforcement delle policy
di sicurezza, per esempio impedendo che un determinato file classificato come
confidenziale, possa essere spedito via mail, magari anche solo per sbaglio,
senza che sia crittografato con un sistema che ne impedisce la decodifica se non
attraverso un sistema aziendale.
Capacit di tal genere, peraltro, devono accompagnarsi a un SIEM di nuova
generazione, che le potr mettere a frutto configurando il sistema di sicurezza
aziendale, in modo che sia pronto a fronteggiare le minacce "in arrivo", cio

54
2. L'evoluzione delle minacce e l'emergere della Security Intelligence

quelle rilevate dai sistemi di threat intelligence e prontamente segnalate al


SIEM. Anche tale configurazione dovr avvenire il pi automaticamente
possibile (almeno in base alla flessibilit posseduta dal sistema di protezione
stesso), perch il tempo tutto nell'era della globalizzazione e nel mondo
interconnesso del terzo millennio.

55
3- LA MOBILE SECURITY

La diffusione dei dispositivi mobili rende questi ultimi


l'obiettivo primario dei cybercriminali, aumentando il
rischio per le imprese a causa di piani aziendali di BYOD
non sempre supportati da un adeguato sistema di
sicurezza. Soluzioni di Mobile Device Management di
ultima generazione possono supportare strategie di
Enterprise Mobility in grado di rinnovare i processi di
business e aumentare produttivit e competitivit.

56
3. La mobile security

La centralit della sicurezza nella mobility


aziendale
La mobilit, nellodierno contesto lavorativo, non rappresenta una scelta ma
unesigenza dettata da mutate condizioni di gestione dei rapporti di unazienda
con i suoi partner, clienti e fornitori in unottica di massima apertura e in uno
scenario di competizione estesa sempre pi su scala globale. Unesigenza che
porta con s molti benefici perch permette di incrementare la produttivit
personale, ottimizzare la gestione dei tempi e favorire una collaborazione pi
proficua e sinergica allinterno dellazienda stessa. Ma che richiede,
innanzitutto, la disponibilit di dispositivi personali abilitanti per un lavoro
efficace in mobilit.
Con la diffusione dei telefoni cellulari cominciato il cosiddetto lavoro in
mobilit, grazie a una pi facile reperibilit dei lavorato costretti a "uscire"
dall'impresa. I laptop hanno contemporaneamente consentito di dotare tali
lavoratori di una capacit computazionale che li rendeva operativamente pi
produttivi.
qui inutile ripercorrere tutta la storia dei pc portatili che continuano a
rappresentare uno strumento fondamentale per l'utilizzatore aziendale, al
contrario di quanto sta accadendo sul fronte dell'utilizzatore consumer. Pi
precisamente, una ricerca condotta da Redshift Research ha rivelato che,
secondo i CIO intervistati, i pc desktop sono destinati a rimanere il componente
hardware dominante nelle aziende e si prevede che nel 2020 verranno ancora
utilizzati quasi dalla met dei dipendenti (46%). Analogamente, per i notebook
previsto un utilizzo del 29% nel 2020, pari a quello attuale.
Globalmente, comunque, avvenuto il sorpasso da parte di smartphone e
tablet nei confronti dei notebook, il che presenta particolari criticit dal punto di
vista della sicurezza aziendale.
Il primo aspetto da considerare l'abitudine all'utilizzo: come ormai da qualche
anno ha insegnato la consumerization o quella che oggi preferibile chiamare
digital transformation, gli utilizzatori sono avvezzi a utilizzare strumenti semplici
e si aspettano la stessa "user experience" in azienda. Come raccontato da un
CISO (Chief Information Security Officer) di una nota casa del lusso, se prima

57
INFORMATION SECURITY & DATA PROTECTION

arrivavano all'IT richieste del tipo "ho bisogno di fare questa cosa", oggi il
business manager chiede: "mi serve una app per fare questa cosa".
Il cambiamento epocale e non c' possibilit che si torni indietro. Questo
implica ripensare i processi in chiave mobile e immaginare i futuri servizi sempre
in quest'ottica. Alla base di questa rivisitazione deve esserci un'attenzione
costante per la sicurezza, da porre al centro. Lo stesso Cisco di prima concludeva
il racconto affermando che non vede altro modo di supportare queste esigenze
integrando la sicurezza direttamente nell'applicazione mobile.
L'attenzione verso la sicurezza delle applicazioni non riguarda solo il mondo
mobile, ma centrale per tutta l'Information Security, poich le applicazioni
sono diventate un tramite per penetrare sulla rete aziendale sfruttandone le
vulnerabilit e perch, sempre pi, sono un obiettivo per arrivare ai dati.
Ovviamente, essendo questi ultimi l'obiettivo finale, anche direttamente sui
dati che va impostato il sistema di sicurezza.
Come accennato, dispositivi come gli smartphone e i tablet ci hanno abituato a
trovare online tutti i contatti e gli strumenti che servono per organizzare la
nostra vita sociale e professionale, contribuendo in maniera sostanziosa al
processo di "business transformation", che ridefinisce completamente i processi
aziendali, aumentando la produttivit, cambiando le relazioni di lavoro e
sviluppando attivit completamente nuove.
I nuovi modelli di lavoro in mobilit rappresentano la fase finale di quel
processo di allargamento del perimetro aziendale cominciato con l'avvento di
Internet di cui la mobilit ha rimosso gli ultimi limiti in termini di spazio e tempo,
non solo per l'azienda ma anche per i suoi clienti e fornitori.
Le tematiche di sicurezza legate alla mobilit sono riconducibili a quelli che oggi
le aziende si trovano a gestire nel loro complesso. Il primo problema che la
quasi totalit dei dispositivi mobili sono progettati e costruiti per il mondo
consumer. Le prime generazioni di smartphone e tablet non consentivano di
installare un antivirus, per esempio. Oggi che i device mobili intelligenti, cio
dotati di capacit computazionale, sono pi diffusi di quelli "fissi", l'attenzione
dei cybercriminali si spostata e le minacce direttamente rivolte a tali dispositivi
aumentata. Questo, se aumenta il rischio generale, dall'altro lato ha portato le
aziende produttrici a progettare con pi attenzione i dispositivi e sta favorendo
lo sviluppo di soluzioni specifiche per la sicurezza dei device mobili.

58
3. La mobile security

Ci premesso, va sottolineato che le tecniche con cui nei dispositivi mobili si


insidiano malware ed eventi di exploiting presentano la medesima complessit
di quelli che attaccano i comuni pc e ne condividono i medesimi deleteri effetti.
In alcuni casi possono causare un immediato danno economico, per esempio
connettendo il dispositivo a servizi a pagamento, effettuando telefonate o
spedendo SMS verso numeri Premium che applicano tariffazioni a consumo, o
danni indiretti, magari esportando fraudolentemente dati.

Le criticit del BYOD


Un terzo fondamentale aspetto riguarda le modalit di utilizzo dei dispositivi
mobili. ormai entrata linguaggio comune la sigla BYOD (Bring You Own
Device), che rappresenta una conseguenza del fenomeno pi ampio della digital
trasformation o consumerizzazione, portando con s i rischi legati a un uso
promiscuo, personale e aziendale, di dispositivi informatici.
Una soluzione parziale al problema stata fornita dai principali produttori di
software con soluzioni o appliance per la protezione degli endpoint, che si
preoccupano di verificare che un dispositivo mobile che si vuole connettere alla
rete aziendale soddisfi i requisiti di sicurezza e conformit necessari: per
esempio che abbia installato l'ultima patch del sistema operativo o che non
abbia disattivato funzioni di protezione.
Queste soluzioni forniscono una protezione efficace per evitare di portare
all'interno della rete aziendale malware contratti all'esterno, ma non c'
tecnologia che tenga per proteggersi dalla superficialit e dalla noncuranza
manifestata troppo spesso dagli utenti.
La possibilit di lasciare incustodito il proprio dispositivo mobile o di connettersi
a una rete domestica che non dispone dei sistemi di protezione di quella
aziendale, lascia aperta la possibilit di smarrire o di diffondere informazioni
aziendali importanti e riservate, incluse password di accesso alla rete aziendale,
dati sensibili o business critical.
Tuttora ogni persona dispone di pi di un device personale, anche se
ipotizzabile un certo consolidamento nel tempo. Gi oggi sono molti i sistemi
"convertibili" che, per esempio, possono essere utilizzati come un pc portatile o
come un tablet. D'altro canto, si stanno anche diffondendo i phablet, cio
smartphone dotati di un display maggiore di 5 pollici che consentono di navigare

59
INFORMATION SECURITY & DATA PROTECTION

su Internet con maggiore facilit che con gli smartphone e di telefonare anche
senza un auricolare e certamente pi agevolmente che con un tablet.
Quale che sia il dispositivo scelto, la tendenza comunque di usarne uno solo
sia per le attivit personali sia per quelle attinenti alla sfera lavorativa. Da qui
nasce il problema generato dall'ospitare sul quest'unico dispositivo mobile dati
fondamentali per l'azienda: per esempio password di accesso alla rete che, di
fatto, lasciano una porta aperta per entrare nell'intero network aziendale.
Altro ambito delicato quello delle app. facile che l'abitudine a utilizzare app e
servizi per i propri dati personali venga "trasferita" anche ai dati aziendali. Per
esempio, usando servizi come Dropbox per tutto o sincronizzando tutti i dati
dell'iPhone su iCloud di Apple, senza preoccuparsi che i dati aziendali possano
essere copiati, come accaduto per le immagini private di alcune celebrit.
Spesso manca la consapevolezza dei rischi.
L'utilizzo indiscriminato delle app porta altre implicazioni pericolose per le
imprese. Per avere un'idea della portata del rischio si pensi che il numero di App
potenzialmente nocive per Android stato stimato abbia superato
l'impressionante numero di due milioni.

Si stima in circa 2 milioni il numero di app contenenti malware sull'app store Android

Si tratta di un fenomeno che ricorda quello che ha caratterizzato altri sistemi


operativi di grandissima diffusione, come Windows, con la differenza che lo
sviluppo tecnologico sta rendendo tutto pi rapido portando il numero di
minacce a crescere costantemente sia in numero sia in pericolosit.

60
3. La mobile security

In sintesi, i rischi che si corrono nell'utilizzo di dispositivi mobili sono


sintetizzabili nei seguenti:
Malware (adware, ransomware, app malevole);
Perdita o furto (con corredo di dati residenti sul dispositivo;
Intercettazione di dati durante le comunicazioni;
Exploit e uso inappropriato;
Attacchi diretti (APT).

Una consapevolezza che cresce


La diffusione crescente di queste minacce sta portando anche nell'ambito
mobile un po' di quella conoscenza che si era diffusa presso gli utilizzatori di pc.
In particolare, in base a uno studio condotto dall'istituto Redshift Research, le
aziende stanno adottando una maggiore prudenza verso le iniziative BYOD
perch hanno constatato che viene compromessa la sicurezza
dell'organizzazione, almeno secondo la met degli intervistati.
Tra i risultati di questo studio, emerge che il 20% delle aziende le quali hanno
implementato un'iniziativa BYOD, ha subito almeno una violazione della
sicurezza nell'ultimo anno. Inoltre, sempre negli ultimi dodici mesi, il 2% dei
responsabili IT ha segnalato pi di cinque violazioni correlate al BYOD. Tra i
responsabili dei sistemi informativi, per, il 43% certo che i dispositivi
personali sono adeguatamente protetti per l'ambiente aziendale, mentre il 36%
dichiara di essere preoccupato soprattutto per il trasferimento di malware e
virus da tali dispositivi alla rete aziendale.
Oltre a esaminare l'atteggiamento attuale nei confronti del BYOD, la ricerca ha
anche analizzato l'adozione dei dispositivi di mobilit aziendale, determinando
che meno di un quarto dei responsabili dei sistemi informativi (24%) ritiene che
la propria azienda sia adeguatamente attrezzata per il lavoro mobile.
Un ulteriore 8% pensa che la propria azienda non sia affatto equipaggiata. Il che
corrobora le previsioni di un incremento consistente nella diffusione di
dispositivi mobili entro il 2020. In particolare, secondo lo studio di Redshift
Research, i tablet cresceranno del 17% e gli smartphone dell'11%.
Tra i fenomeni che recentemente hanno contribuito a creare sensibilit verso la
sicurezza del mobile, vanno ricordati alcuni recenti attacchi con codici maligni
noti come ransomware, che hanno provocato un certo panico tra gli utilizzatori

61
INFORMATION SECURITY & DATA PROTECTION

dei dispositivi mobili, i quali si sono trovati lo smartphone bloccato e una


richiesta di riscatto per poterlo utilizzare di nuovo.
Nella maggior parte dei casi, purtroppo, non ci sono protezioni automatiche
sufficientemente potenti da poter risolvere il problema. invece molto pi
efficace seguire alcune regole comportamentali. Tre, in particolare, sono i
suggerimenti che si possono seguire per evitare i ransomware o infezioni da
malware:
installare un antivirus, che, quantomeno, lancia un allarme quando si
cerca di installare qualcosa di sospetto;
installare le applicazioni solo se provenienti da fonti note e da
sviluppatori affidabili o, in alternativa, indirettamente certificate dai
commenti degli utenti, leggendoli con attenzione per valutarne la
legittimit;
attivare e impostare il codice di accesso sugli iPhone e iPad, in modo da
imporre l'uso di tale codice di accesso per l'attivazione della funzionalit
"Trova il mio iPhone", che viene sfruttata dai ransomware.
Queste e altre azioni preventive dovranno diventare un'abitudine, perch, come
del resto stato per i dispositivi fissi afflitti da virus, trojan, malware e via
dicendo, si dovr imparare a convivere con le minacce rivolte anche ai dispositivi
mobili e a prendere le contromisure adatte a garantire la sicurezza di
comunicazioni e dati. Fortunatamente, in parte, si potr contare sul supporto
dei fornitori di servizi, che si sono o si stanno attrezzando in tal senso.
Gli utilizzi pi disparati sui si prestano soprattutto gli smartphone accresce
l'interesse da parte dei malintenzionati: basti pensare alle applicazioni NFC
(Near Field Communications) e, in particolare, alluso del dispositivo come
tramite per pagamenti elettronici. In sostanza, pi i dispositivi mobili verranno
usati per pagare o effettuare operazioni bancarie che richiedano limmissione di
password e dati sensibili maggiore sar linteresse per intercettarli e usare in
modo fraudolento le informazioni bancarie inerenti il proprietario cos ottenute.
Di pari passo ci si attende che crescano SMS e MMS malevoli.
Considerando che la totale eliminazione del rischio in ogni caso impossibile, si
tratta di identificare il break-even tra l'ammontare degli investimenti economici
in sistemi, software e applicazioni di sicurezza che si ritiene siano necessari, cui
vanno aggiunti gli sforzi che si disposti a sostenere dal punto di vista

62
3. La mobile security

procedurale, e la somma dei rischi (economici, amministrativi, legali e cos via),


che si pu considerare accettabile aziendalmente.
A titolo esemplificativo e non esaustivo, si pu prevedere di prendere una serie
di provvedimenti:
Sistemi anti-malware sul dispositivo per proteggerlo da applicazioni
infette, spyware, schede SD corrotte e altri attacchi.
Client SSL VPN per proteggere i dati sulla connessione logica e fisica e
assicurare unadeguata autenticazione dei dati e dei partecipanti a una
sessione di comunicazione.
Centralizzazione dellamministrazione dei dispositivi mobili, attivit di
blocco del dispositivo (on site o da remoto), cancellazione dati, back up,
ripristino dei dispositivi persi e/o rubati centralizzate.
Rinforzare le policy di sicurezza.
Utilizzare strumenti che aiutino nel monitorare lattivit del dispositivo
in caso di perdita dei dati o di un suo uso inappropriato.
Le politiche di enforcing della sicurezza vengono attuate di solito o dal
provider del servizio o a livello aziendale da parte dellentit preposta,
usualmente il reparto IT.
Nellambito aziendale poi di rilevanza il coprire sia gli aspetti inerenti le
modalit di accesso alle applicazioni business da parte di un dispositivo mobile
che quanto concerne alla sua protezione da possibili e come si visto molto
probabili attacchi esterni.
Entrando nel dettaglio di una possibile policy aziendale per la sicurezza dei
dispositivi mobili ci sono quindi diverse cose che si possono fare, in parte
attinenti alla rete e ai sistemi informativi e in parte alla flotta di dispositivi,
qualsiasi essi siano, perch oramai con le ultime generazioni di apparati, dal
telefonino alla stampante, sono tutti dotati o dotabili di indirizzo IP e possono
quindi essere oggetto di attacchi malevoli attuati allo scopo di prelevare
informazioni e dati sensibili. Un forte controllo centrale, per esempio, pu
servire per impedire non solo laccesso a certi dispositivi a determinate
applicazioni (ottenibile definendo specifici profili di utente) ma anche per
impedire che lo stesso sia usato per accedere a siti non sicuri, o per impedirgli di
esportare informazioni sensibili tramite per esempio una semplice connessione
diretta di tipo bluetooth.

63
INFORMATION SECURITY & DATA PROTECTION

Un esempio di gruppi funzionali di azioni e interventi preventivi da attuare al


fine di incrementare il grado di sicurezza e la resistenza nei confronti di possibili
attacchi pu essere il seguente:
Antivirus
Protezione in tempo reale da virus.
Aggiornamento automatico del software antivirus e delle loro impronte.
Scansione periodica dei file residenti sul dispositivo.
Scansione costante delle connessioni.
Firewall:
Filtraggio delle chiamate in ingresso e in uscita.
Allarmi e logging delle attivit a fini statistici e forensi.
Personalizzazione funzionale e profilazione degli utenti.
Antispam:
Blocco di sms e di connessioni in fonia non autorizzate.
Filtraggio in base a blacklist.
Diniego di chiamate o connessioni.
Protezione da perdita e furti:
Blocco locale o remoto del dispositivo in caso di furto o di suo
smarrimento.
Backup e restore dei dati su un dispositivo alternative o sul medesimo
quando ritrovato.
Localizzazione del dispositivo via GPS per facilitarne il recupero.
Notifica di variazioni della SIM.
Controllo dei dispositivi:
Inventario delle applicazioni.
Monitoraggio dei contenuti.

La disponibilit del servizio wireless


L'organizzazione aziendale risente delle nuove modalit operative, cambiando i
modelli di conseguenza, ne un esempio importante la crescita dei progetti di
smart working che prevedono la realizzazione di spazi per il co-working in
azienda. La rete deve necessariamente supportare queste nuove esigenze che si

64
3. La mobile security

stanno posizionando alla base dell'innovazione nelle imprese. La connessione


wireless diventa un imperativo.
Oggi sono sempre pi le imprese che stanno implementando infrastrutture
completamente wireless in azienda. Pi precisamente, secondo lo studio
Network Purchase Intention realizzato da ZK Research nel 2015, circa il 70%
delle imprese interpellate avevano gi implementato (15%) un'infrastruttura di
rete "completamente" wireless o hanno espresso l'intenzione di implementarla
entro il 2018, dove per completamente s'intende una rete wireless cui si collega
pi del 90% dei dispositivi client.
C' poi un ulteriore tendenza in atto che pone il wireless sotto i riflettori: si
tratta dell'IoT (Internet of Things). Siamo solo agli inizi di quella che si prospetta
come una vera rivoluzione. Ci sono molte imprese che stanno sviluppato
progetti e applicazioni IoT. La maggior parte sono grandi imprese che hanno
fatto da apripista, ma delle medie sta crescendo e, presto, arriver l'ondata
delle piccole, cui gli operatori telco, in primis, forniranno soluzioni chiavi in
mano, anche gestite.
Alle reti aziendali, dunque, saranno connessi anche numerosi dispositivi che
nulla hanno a che vedere con pc, stampanti e altri dispositivi tipicamente
informatici, appartenendo alla variegata categoria della operational tecnology.
Sensori connessi alle catene di montaggio, telecamere di videosorveglianza,
dispositivi per il monitoraggio sanitario, sonde tra le pi disparate
rappresentano e sempre pi rappresenteranno un mondo interconnesso per la
maggior parte attraverso reti wireless. Gli analisti di ZK Research prevedono che
nel 2020 ci saranno oltre 50 miliardi di dispositivi connessi.
una rivincita per le WLAN (Wireless Local Area Network), che hanno avuto una
vita difficile in Italia, dove la loro installazione era sostanzialmente vietata o
vincolata fin quasi alla fine degli anni Novanta. Le prestazioni erano penalizzate
dal blocco di alcune frequenze e anche a livello internazionale lo sviluppo degli
standard ha sempre viaggiato a rilento, ampiamente surclassato da quello
relativo alle reti cablate. Oggi, per, non pi necessario scegliere fra i vantaggi
del wireless e le prestazioni di Ethernet: LAN e WLAN sono ormai comparabili.
Questo non significa che tutte le reti wireless siano uguali e che non ci siano
criticit da considerare nell'implementazione di un'infrastruttura, la quale deve
evidentemente garantire affidabilit e sicurezza, senza aggravare i costi

65
INFORMATION SECURITY & DATA PROTECTION

operativi. Non dimenticando, inoltre, che, a seconda dei casi, pu essere


richiesta un'elevata scalabilit.
Le prime implementazioni WiFi "appiattivano" le differenze, proponendo
tipologie e topologie standardizzate, senza considerare che contesti di
dimensioni e settori diversi non sono assimilabili: se gi esistono differenze
importanti da un negozio familiare e un grande magazzino, facile figurarsi
come lo stesso WiFi non possa funzionare in un campus universitario, in un
grattacielo di uffici o in un ospedale. Sono quindi nate nuove architetture e
topologie, che, normalmente, mantengono l'interoperabilit con dispositivi
esistenti.
Secondo le esigenze e gli scenari di utilizzo, potranno risultare migliori reti
impostate diversamente: in pratica sono quattro le "variabili" da considerare in
modo da realizzare reti:
con o senza controller;
gestite on premise o in cloud;
basate su canali multi-cella o a singola cella;
con gestione e sicurezza delle applicazioni integrata o separata.
Tali variabili dovranno trovare posto in un'equazione che soddisfi le esigenze
specifiche di ciascuna azienda, sempre considerando centrali i temi della
gestibilit e della sicurezza. Oggi sono disponibili diverse soluzioni per realizzare
reti wireless, alcune decisamente evolute rispetto le prime installazioni. Nel
seguito si approfondiranno quelle proposte da Fortinet. Prima di esaminare
l'evoluzione, soprattutto in chiave cloud, delle WLAN si evidenzieranno le
problematiche legate alla sicurezza, che influenzano le scelte tecnologiche
anche in termini di topologia di rete.
Va innanzitutto considerato che la trasmissione via etere e onde radio
intrinsecamente, per sua stessa natura, pi esposta a intercettazioni di quella
realizzata tramite reti fisse, perch non nemmeno necessario collegarsi a un
cavo (cosa poi particolarmente difficile nel caso di dorsali ottiche Wan o Lan),
ma sufficiente disporre di strumenti in grado di intercettare le frequenze Wi-Fi
(Sniffing o MITM acronimo di Man in the Middle) e di decodificare i dati sui
diversi canali trasmissivi. Sono attacchi molto difficili da evidenziare perch
operano a un livello trasparente per il proprietario di un dispositivo. Lo sniffing
si limita semplicemente a intercettare e decodificare le trasmissioni e se queste

66
3. La mobile security

sono in chiaro (e cio non cifrate mediante opportuni algoritmi) il gioco fatto.
Ancora pi subdola la metodologia di attacco MITM, che consiste
sostanzialmente nel frapporsi tra due interlocutori.
vero che esistono contromisure in proposito, ma spesso non vengono prese
perch molti utilizzatori ritengono che il solo utilizzo di protocolli sicuri, quali
HTTPS ed SSH, siano pi che adeguati per proteggere i dati trasferiti nel corso
della sessione. Va osservato che normalmente questo vero, ma si tratta di
protocolli che spesso sono implementati nei livelli alti della pila ISO/OSI (un
modello definito negli anni settanta che rappresenta il riferimento generale per
la realizzazione di sistemi informatici), e che possono per essere aperti ad
attacchi portati ai livelli inferiori, quali appunto quelli di trasmissione radio delle
informazioni.
In sostanza, tramite opportuni dispositivi, viene intercettato il segnale emesso
dal dispositivo di origine e a quella che sarebbe la connessione diretta
chiamante chiamato si sostituisce un flusso che diventa "chiamante sniffer
chiamato". Lo sniffer ha cos la possibilit di intercettare i dati nelle due
direzioni e sostituirli a piacere, modificarli, registrarli, eccetera, il tutto senza che
n il chiamante n il chiamato ne siano consci.
Una soluzione che supporti la Mobility aziendale deve comprendere tutti gli
aspetti legati all'usufruibilit delle applicazioni e dei servizi. Quindi la garanzia
non solo della disponibilit, ma anche di un livello minimo garantito di
prestazioni. Soprattutto, per, questo significa poter utilizzare soluzioni che
supportino appieno i processi aziendali.
Le suddette tematiche devono dunque essere affrontate con gli opportuni
approcci tecnologici e, come gi rimarcato, la strada per il futuro certamente il
cloud o IT as a Service, per la quale ciascuna azienda dovr trovare la propria
ideale combinazione tra private e public.
In questa chiave va dunque presa in considerazione l'organizzazione delle
infrastrutture necessarie per fornire il servizio di mobility ai diversi utilizzatori in
azienda. Ovviamente, la connettivit esterna alle sedi aziendali non potr che
essere acquisita presso gli operatori, mentre internamente si potranno utilizzare
le reti Wi-Fi. Per quanto concerne, invece, la soluzione dei requisiti prima
enunciati, si potranno effettuare le scelte pi opportune a seconda dei casi.

67
INFORMATION SECURITY & DATA PROTECTION

Quanto occorre dunque una piattaforma MaaS (Mobility-as-a-Service), cio


una piattaforma di tipo "always on" di livello Enterprise, atta a erogare servizi di
mobilit a un ampio numero di terminali di utente, dal comune telefono al pi
complesso terminale mobile. Il suo obiettivo primario quello di abilitare la
connessione di un utente e, tramite il dispositivo di cui equipaggiato,
permettergli di accedere alle proprie applicazioni e dati, il tutto con i processi di
business che controllano il processo e cio se l'utente autorizzato a farlo, a che
dati accede, che applicazioni richiede, quali dati generare cos via.

Il Cloud Wi-Fi
Come prima accennato, una delle scelte da compiere, quando si vuole installare
o rimodernare una rete WiFi decidere se basarla su controller tradizionali o
meno.
Oggi, infatti, sono ormai diffuse sul mercato soluzioni basate su servizi gestiti in
cloud, che consentono di non installare i costosi e onerosi, in termini di
gestione, controller.
In ambienti ad alta densit, con centinaia o migliaia di access point installati i
controller sono probabilmente necessari, ma le imprese che hanno pochi punti
di accesso wireless nonch quelle molto distribuite, che pure hanno pochi
access point per sede, devono valutare i vantaggi offerti dalle soluzioni WiFi
gestite nel cloud, che consentono ai clienti di acquistare solo gli access point,
potendo fare a meno di controller o server di gestione.
Non un caso, infatti che tali soluzioni siano nate soprattutto per sgravare le
aziende molto distribuite dall'onere dei numerosi controller da installare.
I vantaggi non si fermano qui, anche considerando che queste soluzioni sono pi
recenti, quindi nate nell'epoca della user experience, con tutto ci che ne
consegue in termini di interfacce semplificate e maggiore gestibilit.
Un altro beneficio consiste nella flessibilit, tipica del cloud, che in questo caso,
per un'azienda significa poter iniziare con un solo access point per poi crescere
in base alle sopravvenute esigenze.
Tuttavia, il cloud pu non essere un salto qualitativo completo, anche se riduce
la complessit e i costi. La maggior parte delle soluzioni Cloud WiFi, per,
deludono in termini di contenuti e sicurezza delle applicazioni. Esse, infatti, non
spostano i paradigmi delle reti wireless basate su controller: semplicemente

68
3. La mobile security

spostano questi ultimi fisicamente dall'azienda al data center del provider. Il che
introduce anche problematiche, a cominciare da un potenziale point of failure
dell'infrastruttura wireless, qualora la connessione con il cloud dovesse cadere.
Inoltre, anche la sicurezza fornita nel cloud, ma i punti di accesso restano
ovviamente on premise, aprendo il fronte a nuove vulnerabilit.
Affinch una soluzione Cloud WiFi possa rispondere alle esigenze di un'impresa
necessario che risponda a una serie di attributi, soprattutto per realizzare una
infrastruttura completamente wireless.

Sette requisiti per un Cloud WiFi a prova di business


Coerentemente con quanto finora esposto, la gestibilit va messa in primo
piano: occorre un sistema di management completo per il provisioning di
aggiornamenti e configurazioni degli access point. I controller, on premise o in
cloud sono efficacissimi, ma l'evoluzione delle minacce informatiche, come
prima illustrato, pongono l'esigenza di superare le forme di controllo basiche, a
beneficio di una console unica la gestione di sicurezza e infrastruttura sullintera
rete. Un sistema di gestione in grado di scalare a piacere.
Il secondo requisito riguarda il provisioning, che, essendo in cloud, non deve
prevedere interventi manuali. In pratica, ancora una volta a beneficio delle
imprese molto distribuite, deve essere possibile distribuire nuovi access point da
remoto, ovunque nel mondo, senza dover ricorrere al supporto tecnico locale.
Per esempio, dovrebbe bastare collegare l'apparato, che, una volta online, viene
registrato automaticamente nel cloud, scaricando le configurazioni predefinite
per quella specifica azienda insieme al firmware pi recente.
Terzo punto fondamentale la visibilit granulare delle applicazioni.
fondamentale riconoscere il traffico che attraversa la rete e distinguere tra
quello che sensibile ai tempi di latenza o richiede larga banda. La molteplicit
di servizi che oggi usano la rete rende ancora pi necessario poter gestire al
meglio la QoS (Quality of Service) sulle reti wireless.
Questo vale anche per svolgere gli adeguati e sempre pi sofisticati controlli di
sicurezza e, a tal riguardo, fondamentale che le configurazioni eseguite nel
cloud scaricano le relative policy negli access point in tempo reale.
L'autenticazione degli utenti su specifici SSID il quarto requisito da soddisfare,
affinch il personale IT possa creare profili di accesso separati per diversi gruppi

69
INFORMATION SECURITY & DATA PROTECTION

allinterno dellazienda: per esempio per definere policy diverse tra studenti,
insegnanti e personale ATA in una scuola.
Un gruppo che viene tipicamente trattato a parte quello dei "guest", per i
quali occorre sia previsto (quinto punto) un captive portal apposito.
L'indagine Network Purchase Intention di ZK Research, cui si gi fatto
riferimento, poneva laccesso di utenti guest al secondo posto fra le applicazioni
che le aziende intendevano implementare su WLAN.
La rete WiFi dovrebbe consentire la configurazione di SSID senza limiti
quantitativi.
Il sesto attributo nuovamente legato alla sicurezza, per la quale, come detto,
non basta il controllo accessi, ma occorre poter analizzare lo stato e l'utilizzo
delle applicazioni layer 7, in modo da consentire l'impostazione di un modello
gestionale predittivo. opportuno monitorare utilizzo e consumo di banda delle
applicazioni e da parte di chi. Informazioni che servono per la sicurezza e per
attivit di manutenzione preventiva e programmazione.
Per ultimo, ma non ultimo, il settimo punto riguarda la capacit di supportare
una sicurezza pensata per infrastrutture di rete completamente wireless.
Si tratta di supportare le evoluzioni evidenziate in incipit. Secondo gli analisti di
ZK Research la sicurezza rappresenta lostacolo principale nella diffusione
dell'IoT.
Un sistema di sicurezza completo non pu fermarsi all'autenticazione, come
avviene per la maggioranza delle Cloud WiFi, e deve, invece, comprendere
intrusion prevention e tutte le soluzioni che occorrono per mitigare la crescente
ondata di minacce cyber.
La soluzione Cloud WiFi di Fortinet, che analizziamo in seguito, prevede funzioni
di sicurezza avanzata integrate direttamente nellhardware dell'access point, il
che evita di dover installare in cloud le diverse soluzioni per la sicurezza che
occorrerebbero.

Mobile Device Management


Il controllo un prerequisito importante per la sicurezza mobile aziendale, in
quanto esiste la possibilit di accedere alla rete tramite i dispositivi mobili e la
quella che su tali apparati possano risiedere dati confidenziali.

70
3. La mobile security

La soluzione base per la gestione di smartphone e tablet tipicamente


denominata sistema di Mobile Device Management (MDM), che possiede
alcune funzionalit di protezione e di sicurezza. Di livello pi alto sono le
soluzioni nominate sistemi di Enterprise Mobility Management (EMM), che
all'MDM aggiungono almeno la capacit di gestire le app aziendali, spesso
attraverso un vero e proprio app store privato.
I sistemi MDM ed EMM supportano le strategie aziendali relative alla mobility,
qualunque queste siano. Tre sono i possibili modelli: il tradizionale COBO
(Corporate Owned Business Only), l'affermato BYOD (Bring Your Own Device) e
l'articolato COPE (Corporate Owned Personal Enabled).
La scelta deve soddisfare i tre fattori critici per il successo di una strategia di
enterprise mobility:
l'appagamento dell'utilizzatore finale;
la sicurezza dei dati aziendali;
la gestione dei dispositivi e delle applicazioni che su questi sono
disponibili.
Tali obiettivi non sono indipendenti tra loro, anzi sono strettamente correlati e,
per certi aspetti, contrapposti, in ogni caso sono frutto del prodotto dei tre
abilitatori della mobility: la rete, i dispositivi e il cloud, che insieme
contribuiscono a realizzare l'infrastruttura tecnologica su cui si appoggiano i
processi, la sicurezza e, per ultima ma non ultima, la user experience.

I tre abilitatori della Mobility

71
INFORMATION SECURITY & DATA PROTECTION

Questi tre abilitatori, anche se in misura diversa, possono essere considerati le


leve su cui si innescato il profondo cambiamento in corso. Le aziende stanno
affrontando la trasformazione della propria infrastruttura accentrando e al
tempo stesso "allargando" il data center in chiave cloud, sia esso ibrido o
totalmente basato su infrastrutture pubbliche.
La connettivit ormai data per acquisita, anche se rimangano differenze
notevoli di servizio in alcune aree disagiate del Paese. Sul fronte dei dispositivi
mobili, invece, l'evoluzione continua deve ancora esprimere ulteriori
potenzialit di cambiamento. Le imprese, peraltro, sono oggi chiamate a scelte
importanti, sotto la spinta anche delle richieste provenienti dal "basso", cio
dalla forza lavoro che con tali dispositivi ha ormai una confidenzialit
quotidiana.
La user experience fondamentale per ottenere l'appagamento dell'utilizzatore
finale e dipende quasi completamente (ma non solo) dal dispositivo. per
questo motivo che nella realt si sta affermando il BYOD. Intanto questa una
risposta implicita al COBO, che impone l'utilizzo di un dispositivo scelto
dall'impresa e utilizzabile solo per le attivit di lavoro. Probabilmente la scelta
pi sicura, certamente quella che garantisce il maggior controllo da parte
dell'azienda, ma anche quella che stata scartata dal mercato sia perch
l'utilizzatore non era soddisfatto sia perch quest'ultimo eludeva le policy
aziendali e usava il proprio dispositivo anche per lavorare.
All'inizio molte imprese hanno visto l'opportunit di risparmio sull'acquisto
dell'equipaggiamento e hanno incoraggiato questo fenomeno. Finch si trattava
del giovane nuovo dipendente che preferiva usare il Mac al pc, poco male, ma
quando si trattato di configurare e gestire il tablet o lo smartphone di grido
dell'amministratore delegato, si verificato che i conti non sempre tornavano: a
fronte di un risparmio sull'acquisto si aveva un considerevole aumento dei costi
sull'help desk.
Peraltro,il BYOD si affermato "in nome dell'experience", per, comporta due
complicazioni: il suddetto aumento dei costi operativi per la gestione dei
dispositivi e un incremento del rischio che possano avvenire violazioni alla
sicurezza dei dati aziendali. In pratica, consentire ai dipendenti di utilizzare un
proprio dispositivo per il lavoro permette di conseguire il primo requisito per il

72
3. La mobile security

successo della mobility, quello sull'appagamento dell'utilizzatore finale, ma


contemporaneamente ostacola il soddisfacimento degli altri due.
Un'alternativa pu essere il COPE, che prevede l'utilizzo da parte del dipendente
di un dispositivo messogli a disposizione dall'azienda. Una pratica logica, perch
effettivamente l'azienda a dover fornire al lavoratore gli strumenti per
consentirgli di lavorare. interesse dell'azienda permettere al lavoratore di
produrre nel miglior modo possibile ed sempre interesse dell'azienda che
possa farlo senza mettere a rischio la sicurezza dei dati e dell'impresa stessa.
Secondo la logica del modello COPE, l'azienda, in pratica, torna a fornire il
dispositivo al dipendente, ma gli permette di utilizzarlo anche per scopi
personali. Questo cambia radicalmente la strategia attuabile, perch d il
permesso all'azienda di gestire l'apparecchio, di cui proprietaria.
Per mantenere anche i vantaggi del BYOD, per, occorre un sistema di gestione
che consenta di supportare qualsiasi tipo di dispositivo: solo cos, infatti,
l'azienda potr comunque lasciare ai dipendenti una scelta ampia e non
obbligare l'uso di un sistema operativo non gradito.
Altra caratteristica fondamentale per abilitare il COPE consiste nella capacit di
"containerization", cio la possibilit di tenere quanto pi separati possibile i
due diversi tipi di utilizzo. In altre parole, separare app e dati del lavoro da app e
dati della sfera privata. Solo isolando e potendo intervenire sulla parte aziendale
da remoto, salvaguardando la privacy del dipendente da incursioni dell'impresa
e, al tempo stesso, evitando che un comportamento insicuro metta a rischio i
dati aziendali, si possono prendere gli aspetti migliori del BYOD e quelli del
modello COBO.

73
4- SICUREZZA DEL DATO E
BUSINESS CONTINUITY
NELLERA DEL SOFTWARE
DEFINED DATA CENTER

L'operativit aziendale dipende dalla disponibilit di


informazioni e servizi a supporto del business. Ci
rende il data center un asset sempre pi importante e
costoso. Nuove tecnologie ne migliorano l'agilit nella
gestione delle risorse informatiche, quali server e
storage, ma ne rendono ancora pi critici gli aspetti
legati all'amministrazione dell'infrastruttura operativa,
trasformando la sicurezza, l'affidabilit e
l'ottimizzazione dei consumi in obiettivi di business

74
4. Sicurezza del dato e business continuity nellera del software defined data center

Il data center del futuro


Il data center come lo conoscevamo negli ultimi anni profondamente mutato. I
trend che lhanno interessato e lo stanno tuttora interessando, sono numerosi.
Vediamo di elencarli, anche se non in ordine temporale o di importanza e
abbinando aspetti puramente architetturali con altri pi operativi.
Nellinsieme danno per una idea dei problemi che un CIO e il suo staff si
trovano giornalmente ad affrontare e quali decisioni si trovano a dover
prendere. La virtualizzazione, il cloud, la ri-centralizzazione delle funzioni prima
demandate ai server in unarchitettura client-server che ha dominato le scene
sino a ora, la virtualizzazione dei desktop, il BYOD e cosa ci implica per la
sicurezza dei dati e la gestione delle immagini e dei dati attinenti i dispositivi
remoti, il cloud nelle sue diverse incarnazioni (public, private o hybrid) e, ultimo
in ordine di tempo ma con un effetto dirompente, il Software Defined Data
Center (SDDC).
Con questultimo termine, in sostanza, si intende la capacit di organizzare un
data center in modo che sia facilmente gestibile via software, con un
disaccoppiamento tra hardware e la sua immagine virtuale cos come viene
proposta allo strato delle applicazioni e con la implicita possibilit di gestire in
modo trasparente le diverse tipologie di risorse, che si tratti dei server, dello
storage o della rete. immediato capire come una tale evoluzione sia
congruente con le esigenze di chi desidera adottare un cloud di tipo sia ibrido
sia public.
La complicazione ovviamente non si ferma al contorno, perch se Software
Defined deve essere un data center, software defined devono necessariamente
essere tutte le sue componenti, come per esempio lo storage e il substrato di
rete. Non a caso parallelamente allinteresse degli utilizzatori fortemente
cresciuto linteresse e il coinvolgimento dei produttori per il Software Defined
Storage (SDS) e il Software Defined Networking (SDN).
Quella dellSDDC unevoluzione che era nellaria e sembra essere la
conseguenza diretta della virtualizzazione, oramai fortemente attuata dalle
aziende, e dalla crescente diffusione del cloud, soprattutto di tipo ibrido, che
appare sempre pi essere la strada che imboccheranno le aziende nel passaggio

75
INFORMATION SECURITY & DATA PROTECTION

a un nuovo modo di concepire e fruire di un infrastruttura ICT il pi possibile


basato sul concetto di dinamicit nelluso delle risorse, e del loro pagamento.
Esaminiamo due degli elementi fondanti di questa evoluzione, quella dello
storage e quella della rete e le relative implicazioni. Prima per vediamo perch
interessa sia gli operatori sia lo staff IT aziendale.
Dal lato degli utilizzatori e cio dal punto di vista di chi gestisce un data center,
software e servizi interessano la maggior parte delle risorse e assorbono buona
parte degli investimenti. Fin qui nulla di particolarmente diverso rispetto al
passato, ma cambiano radicalmente le modalit operative, abilitando un grado
di libert e una rapidit di intervento nettamente superiore a quella
sperimentata finora.
Naturalmente quello che chiaro e auspicato come punto di arrivo, cio
lindipendenza teoricamente assoluta tra applicazioni e infrastruttura hardware,
richieder del tempo per essere raggiunta, ma comunque un processo in
itinere che appare oramai inarrestabile.
In sostanza, quello che ci si aspetta abiliti concettualmente un SDDC di
disaccoppiare del tutto le applicazioni dalla componente fisica sottostante, e
tramite un strato software e un insieme di API (che permettano alle diverse
componenti di interagire in modo standardizzato), far si che a una applicazione
vengano automaticamente assegnate le risorse che le servono in funzione di
parametri prestabiliti, come la potenza elaborativa necessaria, il volume di dati
da trattare, il grado di sicurezza, il livello RAID, la dispersione geografica dei dati
da accedere, eccetera.
Ci vuol dire poter orchestrare automaticamente lassegnazione delle risorse
alle singole applicazioni e farlo non solo in modo fisso, ma anche in base alle
esigenze del momento.
Per esempio, se unapplicazione di BI o ERP deve analizzare una certa mole di
dati per estrarne informazioni decisionali utili, ma deve farlo in un tempo
massimo prestabilito, si deve vedere assegnata in modo automatico la capacit
di elaborazione e di storage necessaria, nonch la banda e le connessioni di rete
conseguenti, senza che per farlo si debba procedere manualmente.
In pratica, ci corrisponde a un affinamento dellassegnazione delle risorse fatto
in modo tale da ottimizzare al massimo le risorse stesse, con in pi il vantaggio
che, avvenendo linterazione tra strato di orchestrazione e macchine fisiche in

76
4. Sicurezza del dato e business continuity nellera del software defined data center

accordo a protocolli e API standardizzate, questultime possono essere sostituite


(per manutenzione, upgrade o a causa di guasti) senza interrompere il
funzionamento e in modo trasparente per lapplicazione. In pratica, ci si viene a
trovare in presenza di un sistema che in grado di scalare automaticamente sia
verso lalto sia orizzontalmente, garantendo (perlomeno teoricamente)
l'assoluta continuit del servizio.
Altro corollario riguarda la possibilit di poter adottare hardware di terze parti
senza essere vincolati a un unico fornitore. Questo perch lorchestrazione delle
risorse gestita, tramite interfacce standard definite da enti o associazioni
dedicate (si pensi per esempio a Open Stack e a Open Flow), da un livello
software soprastante il piano fisico che disaccoppia applicazioni e infrastruttura.
Se un server non ha la capacit di memoria necessaria, o un dispositivo di
storage non ha il tipo di RAID richiesto dalla applicazione, diventa impossibile
adottarlo anche se costa di meno di unaltra macchina perch altrimenti avrei
un degrado delle prestazioni complessive e limpossibilit di soddisfare specifici
SLA. Prevedibilmente, in un quadro di progressiva standardizzazione a livello di
interfacce sar su questi aspetti che i produttori si giocheranno la loro quota di
mercato nello spazio che si apre per la realizzazione di questo nuovo concetto di
data center.
Per quanto concerne la componete rete di un SDDC vale quanto esposto in
generale, e cio linteresse nel poter impostare a software le caratteristiche che
deve avere il substrato di trasporto in funzione delle esigenze applicative.
Ci dal punto di vista architetturale e nel contesto della rete ottenuto
adottando un principio da tempo usato nei grandi sistemi di comunicazione
pubblici e internazionali dove lesigenza di poter far interagire reti costituite da
apparati di fornitori diversi esiste da decenni.
In pratica, si adottato il medesimo sistema di operare su due piani, un piano di
alto livello software e un piano fisico di connettivit costituito dai nodi di
commutazione, in sostanza i router di backbone o periferici. compito del piano
di controllo (e cio del software che risiede su una macchina specifica o a sua
volta distribuito) determinare quale risorsa, quale canale quale banda va
assegnata alla applicazione, e che si preoccupa di orchestrare il tutto in modo da
garantire ai dati di quellapplicazione un canale di comunicazione per il tempo
necessario corrispondete alle esigenze, allo SLA e cos via.

77
INFORMATION SECURITY & DATA PROTECTION

Come sempre, dato un accordo di massima tra gli operatori di mercato, il


diavolo si nasconde nei dettagli ed esistono punti di vista diversi sotto il profilo
terminologico. Per alcuni il punto centrale di un tale approccio, che
effettivamente permette di creare una infrastruttura di rete molto flessibile e
potenzialmente del tutto indipendente dal fornitore, nella separazione tra
piano di controllo e apparati di rete mentre altri puntano sulla trasformazione in
accordo al concetto di openess delle interfacce di controllo sugli apparati quali i
router.
In realt lo scenario si presenta ben pi complesso anche se entrambi i punti di
vista ne possono far a ragione parte e il concetto di separazione tra piani gi
noto e attuato da anni.
Un consistente passo avanti quello che si posto come obiettivo la definizione
del protocollo Open-Flow, che dal campo accademico, una volta che stato
adottato dalla Open Networking Foundation (ONF), ha finito con il costituire un
solido riferimento nel lavoro di standardizzazione in questo critico settore del
data center.
Come tutti gli standard nella loro fase iniziale i problemi non sono mancati e alla
sua definizione iniziale sono seguite attivit di messa a punto favorite anche dal
crescente interesse e coinvolgimento da parte dei produttori. Quale sia il punto
di arrivo di una tale evoluzione difficile da dire al momento, ma prevedibile
che sul carro del software defined in breve saltino anche i pochi che ancora
non lhanno fatto, fosse solo per opportunit di marketing. Una storia che si
gi vista con il cloud computing.

Il data management
Un'infrastruttura basata sulla virtualizzazione e l'orchestrazione delle risorse
virtualizzate in chiave software defined, rende evidentemente obsolete le
infrastrutture di backup, restore e disaster recovery basate sulla copia dei dati, il
vaulting fisico e tutte quelle procedure complesse e costose che, soprattutto,
non sempre veniva condotte pienamente. In particolare, troppo
frequentemente veniva saltata la fase di test con il rischio che, al momento del
bisogno, non si riuscisse a effettuare il ripristino cos come lo si era ipotizzato e,
quindi, tornando allo stato ante disastro.

78
4. Sicurezza del dato e business continuity nellera del software defined data center

Peraltro, proprio la complessit di questi sistemi rende difficile abbandonarli in


tempi rapidi, senza contare i vincoli legacy e quelli legali, che impongono di
poter accedere a determinati contenuti e di rispettare alcune normative anche
di settore.
Il risultato che presso le aziende si in una fase di transizione, passando ove
possibile a nuove architetture incentrante sulla gestione dei dati, non pi con le
vecchie logiche di backup e restore, ma con nuove garanzie di availability del
dato. Intere risorse e applicazioni possono essere memorizzate sostanzialmente
in un file, i dati duplicati nel cloud e l'immagine del proprio sistema informatico,
nel suo complesso ripristinata in tempi rapidi a piacere in qualsiasi parte del
globo terrestre. Pi facile a dirsi che a farsi, ma comunque possibile e, in futuro,
sostanzialmente situazione standard.

Una sicurezza basata sulla business


continuity e il disaster recovery
Laspetto fondamentale di una strategia di business volta a salvaguardare i dati,
le informazioni e i processi aziendali prevede un primo passaggio obbligatorio: la
salvaguardia della continuit operativa del business. Pu sembrare banale ma
inutile pensare e investire nella protezione di dati dai malintenzionati, ovunque
questi si trovino, se per prima cosa non si garantisce che, quando necessario,
questi dati possano essere fruiti e utilizzati per le esigenze applicative, il CRM, la
business intelligence, le applicazioni amministrative, di magazzino e via dicendo
senza dimenticare praticamente nessun ambito e processo aziendale, tanto
l'Information e Communication Technology integrata in un'impresa.
Il punto centrale e iniziale di una strategia volta ad assicurare la sicurezza e la
disponibilit dei dati aziendali e del funzionamento delle applicazioni business o
di produzione , in sostanza, il data center, intendendo con questo quel luogo (o
linsieme dei siti decentralizzati) dove si trova il mainframe o i server e i
dispositivi di storage e di rete che elaborano i dati e li trasformano in elementi
fruibili dalle applicazioni tramite i dispositivi fissi e mobili di utente.
Da questo punto di vista, sicurezza e continuit vanno a braccetto e garantire,
rendere sicure e ottimizzare le soluzioni per la business continuity, considerando

79
INFORMATION SECURITY & DATA PROTECTION

tutta linfrastruttura del data center, non solo indispensabile ma pu


sorprendentemente portare a importanti risparmi economici
La continuit del business oramai un imperativo per qualsiasi azienda,
indipendentemente dal settore in cui opera, ma il business dipende dalle
applicazioni office o di produzione, e queste a loro volta dipendono dai dati e
dalle capacit di elaborarli in tempi utili. In sostanza, tra quello che si desidera e
quello che si ottiene si interpongono dei fattori che se non sono ben calcolati
possono intervenire spiacevolmente e far si che unapplicazione non funzioni o
che uninformazione non sia disponibile proprio quando serve e dove serve.
Certe volte la continuit del business per un concetto aleatorio di cui se ne
scopre limportanza quando troppo tardi e ci si trova a un passo da eventi
disastrosi o, peggio, il limite stato superato.
Cionondimeno, le interruzioni delloperativit aziendale possono essere
improvvise, drammatiche e terribilmente estese e le stesse cause possono
andare dai fenomeni naturali agli errori umani, dai guasti meccanici sino a
eventi con carattere doloso.
A fronte di una crescente dipendenza delle applicazioni e delloperativit
quotidiana dai dati e dalle-business, si delinea sempre pi chiaramente
limportanza di elaborare, attuare e mantenere piani efficaci e aggiornati di
business continuity e disaster recovery, anche sotto forma di semplici
provvedimenti cautelativi.
Quello tra Business Continuity e Sicurezza rappresenta, in definitiva, un binomio
inseparabile.
Ma dal punto di vista pratico? In pratica c da chiedersi se la propria azienda sia
effettivamente pronta e sicura come dovrebbe e se sia in grado di progettare
una riorganizzazione della propria infrastruttura in tempi rapidi. In ogni caso
meglio muoversi in fretta e valutare attentamente almeno due fattori: le
competenze dei partner e i ritorni economici delle soluzioni proposte.

Laspetto impiantistico
Per essere in grado di supportare applicazioni che, con la proiezione di
unazienda nel pi ampio contesto Internet, devono essere attive 24 ore su 24,
lIT aziendale si dovuto trasformare profondamente e linsieme delle
apparecchiature che lo costituisce sta necessariamente incorporando

80
4. Sicurezza del dato e business continuity nellera del software defined data center

caratteristiche di tipo enterprise class, ovvero in grado di assicurare un livello di


funzionamento continuo del 99,999%.
Sottosistema storage, server, network e infrastruttura, compreso impianto di
alimentazione e raffreddamento, necessario e in ogni caso auspicabile, che
adottino il medesimo approccio implementativo, scalabile, modulare, ridondato
e con componenti sostituibili a caldo in caso di guasto.
Resta da valutare se le soluzioni pratiche per un tale approccio sono disponibili e
realizzabili concretamente. La risposta a questo dubbio positiva.
Soluzioni recentemente introdotte sul mercato stanno effettivamente aprendo
la strada alla realizzazione di data center di nuova generazione, in cui i diversi
sottosistemi operano con caratteristiche omogenee. Larchitettura per la
realizzazione delle infrastrutture che ne risultata basata su armadi standard
che comprendono gli apparati attivi, le batterie di backup, le componenti
elettriche, il cablaggio e cos via.
In sostanza, si pu realizzare uninfrastruttura distribuita e modulare che pu
arrivare a disporre, nelle configurazioni maggiori, di un livello di ridondanza
basata su array (e cio un insieme distribuito di moduli base) che pu garantire
una disponibilit statistica superiore al 99,9999%, pari a un fuori servizio di
pochi secondi annui.
Dal punto di vista delle applicazioni il data center, va rimarcato, lelemento
centrale nellassicurare la continuit operativa e la salvaguardia delle
informazioni, tramite un suo opportuno progetto e la predisposizione di
procedure di backup e di recovery che rientrino in un piano periodicamente
aggiornato di business continuity.
Il ricorso alle procedure di backup solo il pi eclatante degli accorgimenti che
necessario prendere per tutelarsi da problemi soprattutto relativi al disaster
recovery.
Se la possibilit di poter recuperare dati fondamentale, molto se non
altrettanto importante appare anche la necessit di garantire ai propri utenti
una continuit del servizio e una disponibilit dello stesso, oltre che dei dati.
Questo implica che non solo lo storage situato in un data center sia protetto con
soluzioni di replicazione dei dati a distanza, ma anche che il resto delle
infrastrutture sia, se non duplicato, quanto meno fornito delle caratteristiche

81
INFORMATION SECURITY & DATA PROTECTION

idonee ad assicurare il livello di servizio minimo per poter portare avanti le


attivit aziendali.
Nel far funzionare correttamente gli apparati di un data center un ruolo
fondamentale lo gioca lambiente e linfrastruttura di supporto e, in sostanza,
quanto attinente al condizionamento ambientale e allalimentazione energetica.
La loro qualit lelemento indispensabile perch il sistema nel suo insieme
funzioni correttamente e risulti sicuro. Sono svariati i problemi connessi
allinfrastruttura e, in primis,quello energetico e quello ingegneristico.
I costi per il consumo energetico rappresentano una quota in costante e rapido
aumento del Total Cost of Ownership delle sale CED (Centro Elaborazioni Dati) o
data center. Il problema costituito dal contenimento dei consumi energetici
interessa poi sia aspetti legati alle caratteristiche degli apparati IT sia
allinfrastruttura fisica.

Distribuzione dei consumi energetici in un data center tradizionale

Un primo elemento riguarda il dimensionamento dellinfrastruttura. Le


apparecchiature IT utilizzano, infatti, solo una parte dell'elettricit complessiva
immessa nel CED. Di solito questa percentuale corrisponde a circa il 50% mentre
il restante 50% dellelettricit utilizzato dai sistemi di raffreddamento, dagli

82
4. Sicurezza del dato e business continuity nellera del software defined data center

UPS, dai sistemi di condizionamento, dalle unit di distribuzione


dell'alimentazione e da altri componenti vari.
Questo significa che un punto importante da cui partire per risparmiare energia
(e quindi ridurre i costi operativi) coinvolge la parte infrastrutturale che, da sola,
utilizza perlomeno la met dell'alimentazione richiesta per il funzionamento di
un data center e delle apparecchiature IT che contiene.
Lattenzione allefficienza va riposta anche ai sistemi di continuit elettrica, il cui
contributo pu essere considerato trascurabile nel caso di ambienti con pochi
sistemi, ma rappresenta un costo significativo nel caso di ambienti ad alta
densit con carichi che possono superare gli 1 MW, dove un risparmio di
qualche punto percentuale determina un consistente risparmio economico.
Anche utilizzare un'architettura e un sistema di condizionamento dell'aria pi
efficiente diventa essenziale allinterno del data center. Diverse sono le
modalit per ottenere questo risultato.
Alcune opzioni possono consistere nellutilizzare una serie di unit di
raffreddamento anzich un sistema di raffreddamento unico per lintera sala
CED. Questo approccio pu risultare particolarmente efficace negli ambienti ad
alta densit. Peraltro, si sta rivelando molto utile anche la nuova generazione di
soluzioni per il raffreddamento ad acqua, che permette di intervenire
esattamente dove serve dissipare il calore prodotto senza essere costretti a
condizionare costosamente un intero ambiente.
Va poi osservato che adottare soluzioni recenti permette anche di fruire delle
migliori qualit progettuali e di una architettura modulare che permette di
ridurre il rischio di guasto totale di un impianto e migliorare la sicurezza
complessiva del sistema informativo dal punto di vista funzionale.

Alimentazione e condizionamento sempre pi efficienti


Le tecnologie per la continuit dellalimentazione sono in massima parte gi
giunte da tempo a buoni livelli di efficienza, tuttavia, quelle di ultima
generazione arrivano a superare il limite del 90% di efficienza, anche di diversi
punti percentuali.
Ma anche sul fronte del raffreddamento che possibile ottenere grandi
incrementi. In passato, infatti, si molto trascurata la progettazione di un data
center efficiente, senza preoccuparsi di controllare leventuale formazione di

83
INFORMATION SECURITY & DATA PROTECTION

sacche di calore. Non esistevano, inoltre, le attuali tecnologie di precision


cooling, che consentono di raffreddare solo dove occorre e con lintensit
strettamente necessaria. Altri accorgimenti, inoltre, permettono di sfruttare
anche la fredda temperatura esterna nei mesi invernali o la vicinanza di corsi
dacqua a bassa temperatura, sia di fonte glaciale che di tipo sorgivo.
Ci sono, in altre parole, diverse soluzioni proposte dai principali protagonisti del
settore che consentono di conseguire importanti risparmi sul costo dellenergia
e di ridurre lemissione di anidride carbonica (CO2), con un conseguente rispetto
dellambiente che non guasta mai. Queste tecnologie, inoltre, non solo
mantengono ma anzi aumentano laffidabilit della protezione, incrementando
il livello di disponibilit, per esempio, perch riducono gli interventi di
manutenzione, consentendo anche un controllo e un monitoraggio da remoto.
Si tratta, peraltro, di soluzioni che si basano, nella loro ultima incarnazione, su
piattaforme ad alta efficienza, che permettono di aumentare la resa delle
apparecchiature installate e ottenere un risparmio di fino al 50% dei costi
energetici sinora sostenuti.
Anche se difficile dire se a livello industriale lottimizzazione dei sistemi IT e
dei consumi energetici derivi pi da un amore reale per lambiente o da una
maggior attenzione ai costi strutturali, una cosa certa, il primo congresso
mondiale sul cambiamento climatico si svolto circa trentanni fa e da allora
passato molto tempo.
Nel frattempo si di molto sviluppata la consapevolezza di eco sostenibilit e di
rispetto ambientale e i consumatori sono in modo crescente attivamente
coinvolti nel tentativo di ridurre limpatto sullambiente derivante dal costante
sviluppo economico e dei consumi nonch dalla progressiva antropizzazione del
territorio. La conseguenza che, sia per ridurre i consumi che per mitigare
limpatto ambientale (riferito in letteratura, soprattutto anglosassone, come la
carbon footprint) anche il mercato si sta sempre pi orientando verso prodotti
rispettosi dellambiente.
La necessit di soluzioni a basso consumo ed ecocompatibili deriva anche dalle
normative in vigore, che interessano e coinvolgono nel processo di
rinnovamento tecnologico anche quelle societ che, per vari motivi, sono
potenzialmente sono meno attente a questo trend evolutivo.

84
4. Sicurezza del dato e business continuity nellera del software defined data center

Uno degli ambienti che maggiormente possono essere interessati dalle


normative, oltre che dallinteresse a ridurre i consumi anche per motivi di
budget, proprio quello dei data center.
Va osservato che minori consumi espongono anche a minori rischi per quanto
concerne la mancanza di energia necessaria al funzionamento, implicano luso di
macchine meno esigenti dal punto di vista dimensionale e in sostanza quello che
ne deriva sono strutture che risultano meno critiche e pi sicure
Non stupisce quindi che aziende del settore abbiano avviato la definizione di
nuove architetture per quanto concerne i sistemi di supporto alle macchine IT
(in particolare per lalimentazione e la dissipazione del calore) che hanno
lobiettivo di ottimizzare il consumo globale, che inizia con i risparmi delle
apparecchiature IT e si estende alle infrastrutture in modo da dare il via a un
risparmio in cascata. Grazie alle nuove soluzioni limpatto significativo sia per
quanto concerne data center di grossa dimensioni che, soprattutto, per quelli di
medie e piccole dimensioni, che meglio corrispondono alla realt del tessuto
industriale italiano. Chi gestisce, e anche chi progetta Data Center, si trova
continuamente alle prese con lesigenza di far fronte a carichi pi elevati e il
disporre, ai costi attuali, di soluzioni che permettono di ripagare un
investimento in server o altri apparati IT con il risparmio energetico ottenibile
nel loro ciclo medio di vita di certo attraente.

Struttura e disposizione tipica di un data center

85
INFORMATION SECURITY & DATA PROTECTION

In sostanza, con le soluzioni ora disponibili sul mercato possibile ridurre i costi
energetici fino al 50% senza per questo impattare su affidabilit e performance.
In genere, ridurre i consumi e ridurre la produzione di calore ha invece un
impatto positivo sulla durata delle macchine e quindi sulla sicurezza di poter
continuare a godere delle applicazioni IT.

Come aumentare la sicurezza e ridurre i consumi


Se non il massimo dei benefici che i produttori comprensibilmente evidenziano
ed enfatizzano, perlomeno una parte significativa di questi possibile ottenerla
e un insieme di regole comportamentale pu essere in questo di aiuto. Per
esempio:
Utilizzare Processori di ultima generazione a basso consumo energetico.
Adottare alimentatori per i server e altri apparati IT ad alta efficienza.
Avere una gestione attiva delle alimentazioni.
Realizzare ambienti server e storage virtualizzati.
Adottare Blade Server, che possono essere singolarmente disattivati
quando non utilizzati e che aumentano la sicurezza complessiva perch
nativamente ad alta ridondanza.
Ottimizzare le unit per il condizionamento (per esempio adottando
condizionatori a resa variabile).
Optare, quando possibile, per soluzioni ad alta densit.
Monitorare in modo attivo i sistemi di condizionamento.
Limportanza per la sicurezza e per lambiente che deriva da una elevata
efficienza di un data center ha fatto si che associazioni di settore, consulenti e
venditori abbiano promosso delle best practice a cui si pu fare riferimento per
migliorare lefficienza energetica di un data center.
Si tratta di regole che prendono in considerazione diversi aspetti quali, per
esempio, il tipo di illuminazione o il sistema di raffreddamento e che offrono alle
aziende, qualora adottati, la possibilit di invertire o perlomeno rallentare il
gradiente di incremento del consumo energetico del proprio data center.
Se lefficienza energetica ha assunto un ruolo di linea guida nello sviluppo di un
data center e dellIT in generale, per opportuno distinguere tra una

86
4. Sicurezza del dato e business continuity nellera del software defined data center

tecnologia green e una che sia sostenibile dal punto ambientale e che al
contempo aumenti la sicurezza dellambiente IT.
In particolare, mentre un apparato green rappresenta un intervento una
tantum, questultima si basa invece su una pianificazione a lungo termine e
richiede investimenti in infrastrutture flessibili, anche di tipo strutturale.
A fronte di investimenti iniziali pi elevati per lapproccio che permette di
ottenere nel tempo i maggiori risparmi in risorse.
Ad esempio, pensare in prospettiva vuol dire non solo ottimizzare la struttura
fisica di un edificio, ma anche adottare strategie di provisioning delle
apparecchiature IT nel quadro di una architettura virtuale che permette di
ridurre il numero di macchine, utilizzarle invece del 20% sino all80% o oltre
delle loro capacit o sviluppare una strategia di thin provisioning delle risorse IT,
una strategia cio che permetta di approvvigionarsi degli apparati solo quando
strettamente necessario.
Peraltro, una strada facilmente percorribile adottando le soluzioni pi recenti
che sono state sviluppate proprio per permettere la realizzazione di ambienti
server e storage virtuali.
Esempi sul campo hanno ampiamente dimostrato come sia possibile ridurre di
un ordine di grandezza e anche oltre le macchine server e storage necessarie al
funzionamento delle applicazioni, ottenendo contemporaneamente una base
elaborativa per le applicazioni business estremamente sicura e performante,
che maschera allutilizzatore limprovviso fuori servizio di un server perch
lapplicazione pu essere trasferita in modo trasparente per il fruitore su
un'altra macchina simile, il tutto in modo automatico.
Un medesimo discorso vale per lo storage o per le soluzioni di business
continuity che prevedano data center distribuiti sul territorio anche a grandi
distanze geografiche.
In pratica, quindi, la virtualizzazione di server e storage e le tecnologie che la
rendono possibile, a partire dai processori di base, associate con il concetto di
thin provisioning, permettono alle aziende di consolidare i propri sistemi e
accrescerne le possibilit dutilizzo, riducendo in modo significativo lammontare
dellenergia richiesta per il loro funzionamento e, come conseguenza diretta,
per la climatizzazione.

87
INFORMATION SECURITY & DATA PROTECTION

Se si considera che lammontare di energia richiesta per far funzionare gli


apparati (compreso quelli che lenergia la generano) corrisponde grosso modo a
quella richiesta per il condizionamento il risparmio che se ne ottiene quindi
doppio.

Ottimizzare la climatizzazione e ridurre i costi e i fuori


servizio
Il problema della ottimizzazione della climatizzazione non sorto di recente.
sempre esistito. Solo che sinora la tecnologia a disposizione e i metodi di
controllo non permettevano di procedere in modo puntuale e analitico come
invece ora possibile.
In molti data center best practice per la climatizzazione sono gi state poste in
pratica o sono in via di attuazione, tra queste la disposizione dei rack e degli
armadi a corridoi alternati caldo/freddo.
Esistono per altre possibilit di intervento, per esempio prevedendo
linstallazione di pannelli di chiusura degli spazi liberi fra i diversi armadi in
modo da evitare che vi sia la miscelazione fra laria calda e quella fredda.
LASHRAE (American Society of Heating, Refrigerating and Air-Conditioning
Engineers) ha pubblicato in proposito numerosi articoli relativi a tali pratiche.
Applicando questi suggerimenti in fase di costruzione del proprio data center
possibile incrementa quasi del 5% la sua efficienza energetica, con una riduzione
che stimata nellordine dell1% nei costi dei sistemi ausiliari, e questo senza
che sia richiesto alcun investimento in nuove tecnologie.
Un secondo punto riguarda poi il problema della resa dellimpianto.
I sistemi di climatizzazione dei data center sono dimensionati, come avveniva
per i server prima della virtualizzazione e dello sviluppo di sofisticati sistemi di
gestione automatica) per far fronte ai picchi di carico, eventualit questa che si
presenta raramente ma che non si pu ignorare, anche se il sistema di
climatizzazione ambientale normalmente non funziona a pieno carico.
I fattori sono diversi. per esempio, le condizioni ambientali esterne variano sia
nel corso della giornata che delle stagioni, il carico termico di server e storage
funzione del loro grado di fruizione, oppure pu cambiare il grado di umidit per
cui le unit di climatizzazione sono state dimensionate.

88
4. Sicurezza del dato e business continuity nellera del software defined data center

Linsieme di questi motivi porta a un sovradimensionamento rispetto alle


esigenze reali che si traduce in macchine pi grosse e potenzialmente pi
critiche. Lo sviluppo di nuove soluzioni tecnologiche affronta proprio questi
problemi e consente, per esempio, di disporre di alte efficienze anche con
carichi parziali, il tutto anche tramite un controllo pi preciso e accurato della
temperatura ambientale.
Ad esempio, la compressione di tipo Digital Scroll rispetto a quella tradizionale
permette di spostare dal tipico 20% a un 50% il coefficiente di rendimento della
potenza erogata. Recenti tecnologie hanno permesso di spostare ulteriormente
verso lalto il grado di rendimento, per esempio riducendo il numero di
avviamenti del compressore, un fattore che contribuisce a incrementare
lefficienza energetica e a prolungare significativamente la vita del sistema.

Il problema dei blade e dellalta densit


La diffusione dei blade ha aperto la strada alla virtualizzazione delle risorse e al
forte incremento della sicurezza per quanto concerne la continuit operativa.
Esiste per laltra faccia della medaglia. La necessit energetica e il
corrispondente carico termico che in passato si trovava in un intero Data Center
viene ora a trovarsi concentrato in un solo armadio. Una spinta in tale direzione
stata data dalla disponibilit di tecnologie server a blade, ovverossia delle
schede che possono essere inserite in un rack con una elevata densit e che
possono alloggiare un numero elevato di processori multicore. La capacit di
calcolo concentrata in una sola scheda enorme, ma altrettanto lo diventa
lesigenza di energia per funzionare e il calore prodotto nonostante ladozione di
processori a basso consumo di ultimissima generazione.
Quello che ne deriva che si creano delle zone ad alta densit di calore che
necessitano non solo di sistemi di alimentazione pi potenti ma soprattutto di
un tipo di condizionamento specifico, perch quelli usuali richiederebbero uno
spazio di molti metri quadrati.
In sostanza, ci si deve spostare da sistemi di tipo tradizionale (a 3kW per rack)
ad ambienti che possano supportare densit molto pi alte di fino a 30 kW o
oltre. Ci ha richiesto ai produttori un approccio nuovo, per esempio con unit
centrali e supplementari che possano essere installate direttamente sopra o a

89
INFORMATION SECURITY & DATA PROTECTION

fianco degli armadi che alloggiano gli apparati che costituiscono la sorgente del
carico termico.

Posizionamento del condizionamento e flussi daria

Secondo dati dei costruttori, queste unit supplementari, confrontate con i


sistemi tradizionali, permettono di ottenere una riduzione anche del 30% dei
costi per la climatizzazione.
In sintesi, il risparmio deriva dal fatto che erogando la potenza termica dove
necessaria possibile ridurre la potenza elettrica dei ventilatori che
movimentano la portata daria in gioco.
La mossa dei produttori consistita quindi nello sviluppo di unit di nuova
generazione molto compatte che possono essere anche montate a soffitto e
riprendono laria dai corridoi caldi e mandano aria fredda nei corridoi freddi
dove sono installate. Si tratta di soluzioni che abilitano un forte risparmio
energetico e non occupano spazio utile per linstallazione di altri armadi di
apparati server o storage.

90
4. Sicurezza del dato e business continuity nellera del software defined data center

Vedute laterali di simulazioni flusso dinamiche che evidenziano limportanza di


interventi di condizionamento puntuale

Altre soluzioni prevedono invece lutilizzo di moduli che possono essere posti in
linea con gli armadi. In questi casi laria che proviene da un corridoio caldo entra
nella parte posteriore dellunit, viene trattata e mandata nel corridoio freddo.

Monitorare e controllare lambiente per un IT sicuro


Anche se le pi recenti architetture IT si basano su dispositivi storage, server e di
rete con fattore di forma a blade, esiste comunque una certa disomogeneit tra
quello che ancora installato e allocato nei diversi armadi di un data center.
La diversit di apparati, con volumi, fattori di forma e caratteristiche fisiche ed
elettriche diverse, una delle cause di una parte dellaumento dei carichi
termici che larmadio o il rack sopporta.
Questo perch la non uniformit stessa che impedisce una circolazione
ottimale dei flussi di raffreddamento e di estrazione anchessa ottimale dei flussi
caldi. Peraltro, a secondo del grado di utilizzo e senza interventi di
ottimizzazione, ci pu causare pericolosi sovra riscaldamenti e portare a un
cattivo funzionamento degli apparati e dei processori che li equipaggiano, sino a
giungere, nel peggiore dei casi, al loro fuori servizio.
per questo che soluzioni recenti di monitoraggio e controllo prevedono la
distribuzione di sensori nei diversi punti di un data center e allinterno degli
armadi stessi, sensori che si affiancano anche ai sensori che sono presenti in
processori di ultima generazione o negli apparati, siano essi a blade o di tipo pi
convenzionale.
La funzione di questi moderni sistemi di controllo del raffreddamento di
monitorare in tempo reale le condizioni termiche dei data center, coordinare le

91
INFORMATION SECURITY & DATA PROTECTION

attivit delle varie unit che forniscono il condizionamento, evitando conflitti e


abilitando una raccolta di informazioni centralizzate che possono essere fruite
integrandole con quelle inerenti lo stato di funzionamento (o di
malfunzionamento ) di server e storage.
In pratica, possibile correlare il degrado delle prestazioni di un server e dei
suoi processori con la condizione termica dellarmadio in cui questo server
allocato e avviare rapidamente, manualmente o automaticamente, gli interventi
necessari a risolvere il problema. per esempio aumentando esclusivamente in
quellarmadio il flusso di raffreddamento o diminuendo la velocit di
funzionamento dei processori che lo equipaggiano.

Architetture tradizionali per il disaster recovery


Il problema della sicurezza di funzionamento, e cio la continuit operativa e la
disponibilit dei dati, oltre che su un impianto infrastrutturale adeguato si basa
anche su una architettura informatica che permetta di salvare in modo sicuro i
dati e ripristinarli quando necessario e, a causa di un disastro naturale o di un
semplice errore, siano andati persi.
Correlato alla continuit di funzionamento vi quindi il problema di come far
fronte a disastri che minino in parte o in toto la disponibilit dei dati aziendali e
la continuit di unelaborazione degli stessi.
Una tale considerazione porta, immediatamente, a cercare di stabilire cosa
rientra nella definizione di disastro che infici la sicurezza della continuit
operativa e, soprattutto, in quali condizioni si verr a trovare lazienda al suo
verificarsi, ammesso che sia in grado di sopravvivere allo stesso.
Non che definire cosa si intende per disastro sia facile. Si pu per essere
fondamentalmente daccordo nel considerare in questa categoria eventi come
lo Tsunami in Thailandia, l'uragano Katrina a New Orleans o il tragico attentato
alle Torri Gemelle di New York.
Se lelemento pi appariscente che costituisce il denominatore comune
limpatto che hanno avuto sulla vita umana, perch immediato, non va tuttavia
trascurato leffetto a lungo termine costituito dalla minaccia alla continuazione
dellattivit delle aziende coinvolte, che possono anche non sopravvivere.
L'alluvione di Genova, il terremoto in Emilia Romagna o il blocco dell'autostrada
per la protesta degli autotrasportatori, anche se, fortunatamente, non hanno

92
4. Sicurezza del dato e business continuity nellera del software defined data center

presentato un conto salato in vite umane, hanno comunque avuto un impatto


sul business.
In effetti, la sicurezza di unazienda non sempre viene messa a cos dura prova e
la maggior parte delle minacce si manifesta su una scala di gravit minore. Per
esempio, sotto forma di guasti hardware, di errori nelle applicazioni o di errori
operativi da parte degli addetti che causano il crash dei sistemi e la conseguente
indisponibilit delle informazioni.
Poich questi eventi non possono essere del tutto evitati, la capacit di
unazienda di contenere queste minacce dipende essenzialmente dal suo stato
di preparazione, in quanto buona parte dei potenziali malfunzionamenti
derivanti da un evento catastrofico possono essere evitati con unadeguata
pianificazione, implementazione e sperimentazione di un adeguato piano di
emergenza.
Un piano accurato del tipo what if pu assicurare la continuit operativa
(Business Continuity Plan, in sigla BCP). In sostanza, un BCP consiste in unanalisi
sullimpatto sulle proprie attivit (in inglese BIA, acronimo di Business Impact
Analysis) e nella elaborazione di adeguati piani di disaster recovery. Un tale
approccio permette a una azienda di incrementare la garanzia della continuit
operativa al verificarsi di eventi critici, che possano porre in forse servizi o intere
infrastrutture.
A prescindere dalle sue dimensioni, unazienda che abbia predisposto degli
interventi significativi per assicurare la continuit operativa pronta ad
affrontare eventuali eventi calamitosi, grandi o piccoli che siano.
Va per osservato che, anche se sono le catastrofi maggiori che attirano
lattenzione dei media, tra gli eventi potenzialmente rischiosi vanno annoverati
sia i guasti minori dellhardware quanto gli errori umani dalle conseguenze gravi.
Peraltro, eventi qualificabili come vere e proprie catastrofi sono usualmente
leccezione mentre generalmente i motivi di un fermo di sistemi e applicazioni
sono, nellordine:
errori operativi (40%);
errori hardware (40%);
malfunzionamenti applicativi (12 %);
disastri (5 %);
altre cause ambientali (3 %).

93
INFORMATION SECURITY & DATA PROTECTION

Lesperienza sul campo indica in circa un ottanta per cento i fermi macchina
provocati da malfunzionamenti dellhardware o da interruzioni operative dovute
a errori umani, anche se non ne deriva che il relativo impatto sullazienda sia
meno devastante.

Malfunzionamenti e disastri
La sicurezza di unapplicazione copre sia aspetti temporali, connessi alla sua
erogazione, che topologici, connessi allarea in cui la stessa viene erogata (si
tralasciano, qui, gli aspetti correlati alla sicurezza logica e le relative misure,
quali crittografia, antivirus, firewalling e cos via).
In entrambi gli aspetti, presi in considerazione, emerge che la prima dimensione
da considerare per un malfunzionamento la sua sfera dinteresse. Gli effetti di
un malfunzionamento possono avere, infatti, portata ed estensione variabili e
finire con il coinvolgere e avere un impatto su una specifica applicazione oppure
su unintera area geografica della rete aziendale.
Gli aspetti e le problematiche attinenti alla sicurezza dei dati e al ripristino di
applicazioni e sistemi di ambito locale sono usualmente note e generalmente
sono risolte tramite strategie di backup e recovery atte a evitare la potenziale
alterazione dei dati tramite la creazione di copie di sicurezza dei dati e delle
applicazioni da conservare in unaltra sede aziendale o in apposite strutture di
outsourcing. Ci che invece spesso difficile controllare sono le minacce alla
sicurezza attinenti a un edificio o allarea geografica circostante la sede
aziendale, comprendendo in questo sabotaggi, incendi, inondazioni, uragani,
terremoti e mancanza di alimentazione elettrica, eventi che non a caso di solito
vengono riferiti in contratti di assistenza e di garanzia come acts of God, al
fine di giustificarne lesclusione dalla usuale responsabilit connessa alla
fornitura o erogazione di un servizio.
Appare comunque evidente che un adeguato livello di sicurezza inserito in un
piano riguardante un fuori servizio provocato da un disastro di portata locale o
regionale deve prevedere la disponibilit di una sede alternativa, posizionata a
una congrua distanza dallarea potenzialmente soggetta a un disastro.
Un secondo aspetto connesso a un guasto informatico rappresentato dal costo
dei fermi di sistema e delle relative applicazioni. Anche se i dati si riferiscono a

94
4. Sicurezza del dato e business continuity nellera del software defined data center

realt di dimensioni medie superiori a quelle usuali europee (e italiane in


particolare), un rapporto pubblicato da Contingency Planning Research in
merito alle conseguenze finanziarie dellindisponibilit delle applicazioni
evidenzia come il costo dei fuori servizio possa variare in misura notevole a
seconda del settore e dellapplicazione, ma che in ogni caso le interruzioni
operative finiscono con lavere un impatto significativo sulle revenue aziendali.

Impatto economico del fermo di unapplicazione


I costi riportati in tabella relativi ai fermi applicativi danno unindicazione
concreta dellimportanza di unapplicazione ai fini della sopravvivenza di
unimpresa investita da un disastro e quindi dellimportanza connessa alla
sicurezza nellerogazione di unapplicazione.
Un esame pi analitico permette poi di distinguere due componenti, il software
infrastrutturale e i dati correnti. In linea di massima, pu non essere difficile
rimpiazzare
il software applicativo anche se non va sottovalutato linsieme delle attivit
tecnico sistemistiche necessarie per leventuale personalizzazione dello stesso,
prima che possa diventare eseguibile.
Discorso analogo vale poi anche per quanto riguarda i sistemi operativi e il
software che gira sui server.

I costi di un fermo del sistema informativo per settore industriale


(Fonte: Contingency Planning Research)

95
INFORMATION SECURITY & DATA PROTECTION

Se si prescinde dalla vita umana, che ovviamente non ha prezzo, sono i dati il
patrimonio pi prezioso di unazienda e, a seconda del livello di criticit di
unapplicazione, cresce parimenti limportanza di disporre di dati che siano
aggiornati, vecchi anche di alcuni giorni in alcuni casi (piuttosto che non
disporne affatto!) o, per applicazioni fortemente critiche, aggiornati in tempo
reale.

La pianificazione alla base della sicurezza operativa


Un elemento fondamentale per la sicurezza operativa rappresentato dalla
pianificazione.
Spesso per i termini stessi del problema sono confusi e, per esempio, non sono
pochi coloro che utilizzano i termini di Business Continuity Plan (BCP), Business
Impact Analysis (BIA) e Disaster Recovery come dei sinonimi, quando invece tra
essi le differenze sono fondamentali.
Il Business Continuity Plan, riferito a volte anche come Contingency Plan,
interessa lintero spettro di attivit a partire dallindividuazione e dalla
valutazione dei rischi per limpresa, fino alla pianificazione degli interventi
risolutivi o assicurativi individuati come necessari.
Interessati sono anche i meccanismi che consentano allazienda di essere
operativa (in pratica di continuare a esistere in quanto tale) sia nella fase di
recovery sia durante il ripristino delloperativit vera e propria conseguente al
verificarsi di un disastro.
nel piano di continuit che unazienda valuta tanto la probabilit dei diversi
scenari, quanto il livello di tolleranza nei confronti dei costi relativi agli
interventi pianificati.
La Business Impact Analysis invece un elemento chiave allinterno del Business
Continuity Plan che prende in considerazione le diverse tipologie di eventi
distruttivi, in modo da quantificare e qualificare quello che si ritiene necessario
fare per evitarli.
Il Disaster Recovery un ulteriore elemento in gioco al fine di assicurare
loperativit aziendale e consiste in un piano operativo quanto pi dettagliato
possibile che illustra come reagire in presenza di un disastro e come procedere
nel ripristino dei sistemi critici, privilegiando aspetti quali la rapidit, lefficienza
e leconomicit.

96
4. Sicurezza del dato e business continuity nellera del software defined data center

Il Business Continuity Plan


La realizzazione del Business Continuity Plan (BCP) una attivit che pu essere
gestita internamente in azienda oppure affidata a consulenti esterni che siano
esperti nella pianificazione. In entrambi i casi coinvolge in modo esteso
hardware, software, dati, infrastrutture, personale e applicazioni.
Il punto di partenza consiste nellanalisi dettagliata dellasset aziendale al fine di
individuare i processi critici per loperativit aziendale stessa e cio, in sostanza,
i processi da ripristinare prioritariamente entro un intervallo di tempo molto
breve, per esempio le quattro ore. La selezione ha lobiettivo di consentire la
classificazione di applicazioni e processi sotto il profilo della loro priorit a
seconda dellurgenza con cui devono essere ripristinati nonch di contenere i
costi stessi del ripristino. Un ripristino immediato, ovviamente costoso, riguarda
in genere le applicazioni contenenti dati che servono a erogare servizi ai clienti
esterni, come per esempio avviene in ambienti bancari per quanto riguarda
operazioni di sportello o applicazioni connesse al pagamento mediante carte di
credito e terminali Eft-Pos e ATM. Il BCP deve considerare anche quanto
connesso ai sistemi trasmissivi, alle strutture alternative, per arrivare sino alla
sicurezza dei dipendenti. Definire un piano ottimale per solo il primo passo,
necessario ma non sufficiente. La garanzia (ragionevole) di una sua riuscita
richiede che lo stesso sia noto e accettato da tutto il personale coinvolto.
Gli elementi che ne determinano il successo possono essere riassunti nei
seguenti punti:
Presa visione e accettazione da parte del Management
Analisi e riduzione dei rischi
Valutazione di minacce, risorse e alternative potenziali
Business Impact Analysis con la quantificazione degli impatti operativi,
finanziari, legali e normativi
Strategie di ripristino (dispiegamento delle risorse atte a garantire la
continuazione delle funzioni aziendali in caso di disastro; elaborazione e
documentazione di un piano; identificazione della sfera di influenza;
individuazione della linea di comando; istituzione delle procedure).
Opera di sensibilizzazione, addestramento, implementazione e
aggiornamento periodico

97
INFORMATION SECURITY & DATA PROTECTION

La Business Impact Analysis


La Business Impact Analysis il primo step nella definizione di un piano di
continuit e consiste in un processo che consente allazienda di definire,
quantificare e classificare le proprie esigenze in base allimportanza che
rivestono per la strategia di business continuity.
Lanalisi che viene realizzata consiste, in essenza, nel porre delle domande e
trovare delle risposte. Nel caso dellIT, lanalisi ha lobiettivo di valutare i rischi
relativi ad apparecchiature, applicazioni e dati e di rispondere a domande quali:
Quali sono le funzioni aziendali veramente critiche?
Quale il costo di ogni ora in cui viene meno una determinata funzione
aziendale?
Quant il peso delle-commerce per limpresa?
Qual il suo attuale stato di preparazione?
Con quale rapidit e in quale ordine devono essere ripristinati i vari
sistemi?
Lelenco, non esaustivo, serve a stabilire quali sono le attivit critiche, quelle
importanti e quelle che possono essere procrastinate senza pregiudicare
loperativit aziendale. In pratica ci vuol dire identificare le aree dove concentrare,
inizialmente, le risorse umane e finanziarie.
Una tale attivit, proprio per il tipo di risorse che coinvolge, nel momento in cui
sono definite le priorit, richiede il coinvolgimento del top management e questo
non solo per gli aspetti connessi ai budget da allocare da parte delle diverse
divisioni, ma anche per assicurare il sostegno di tutta lazienda a tutti i livelli, che
opportuno non dare per scontato.

Scegliere la gerarchia di sicurezza e di ripristino: RTO e RPO


Nel ripristino di sistemi e applicazioni di estrema importanza definire una
gerarchia ben precisa. Una tale gerarchia pu essere costruita analizzando la
quantit, il tipo e il valore del software e dei dati presenti in impresa, classificando
ogni componente in ordine dimportanza e tenendo conto del potenziale impatto
finanziario che la indisponibilit di un elemento o di un insieme di elementi (dati,
apparati, eccetera) finirebbe con lavere sullorganizzazione. In questa costruzione
gerarchica e in presenza di una realt operativa permeata da Internet, alcune

98
4. Sicurezza del dato e business continuity nellera del software defined data center

applicazioni e dati devono essere costantemente disponibili, cosa che implica


maggiori complessit, un maggior dispiego di risorse e, di conseguenza, maggiori
costi. In generale, pi pressante lurgenza pi elevato il costo di un ripristino.
Uno schema di classificazione di applicazioni, dati, funzioni e processi in ordine di
priorit pu per esempio basarsi su unesigenza di disponibilit temporale. Per
esempio, con insiemi di processi per cui si richiede una disponibilit:
immediata,
entro le 4 ore
in giornata o entro le 8 ore
entro le 24 ore
entro le 72 ore
oltre le 72 ore
In pratica, si tratta di definire un parametro noto come Recovery Time Objective
(RTO), cio entro quanto tempo un determinato servizio di business deve essere
ripristinato. Non si pu effettuare un calcolo approssimativo, perch anche solo
un millesimo o un centesimo percentuale di disponibilit corrisponde a una
differenza dellordine di centinaia di migliaia di euro.

Modalit di protezione dei dati


Una classificazione pu poi essere fatta anche raggruppando i dati per categoria
dappartenenza suddividendoli in insiemi comprendenti:
Dati critici: funzioni appartenenti al livello pi costoso che comprendono
sistemi, applicazioni e dati cruciali per loperativit aziendale, utilizzati
nei processi strategici chiave oppure obbligatori per legge.
Dati vitali: meno oneroso rispetto ai dati critici ed un gruppo che
include dati e/o applicazioni senza i quali lazienda in grado di operare
per brevi periodi di tempo. In questa categoria rientrano i dati utilizzati
nei processi aziendali standard o che rappresentano un investimento
significativo e sono difficili da ricostruire.
Dati nevralgici: sono considerati nevralgici i dati utilizzati nelle
operazioni quotidiane per i quali esistono, tuttavia, delle fonti
alternative, cos come quelli ricostruibili con una certa facilit.

99
INFORMATION SECURITY & DATA PROTECTION

Dati non critici: sono dati ricostruibili a un costo molto basso e


includono gli elementi gi duplicati che hanno bassi requisiti di
sicurezza.
Unanalisi efficace permette di identificare le risorse necessarie a gestire le
funzioni critiche sia nel breve che nel lungo periodo, individuando le risorse
necessarie per far passare lazienda dalla fase di ripristino a quella di normale
attivit.
Si tratta di definire un parametro normalmente indicato come RPO (Recovery
Point Objective): identificare, in sintesi, quali punti del sistema informativo sono
pi critici, quali servizi pi importanti per il business.
Determinata la portata della propria vulnerabilit, unazienda pu decidere di
adottare dei provvedimenti atti a farvi fronte. Approcci tattici di tal genere ne
sono stati sviluppati diversi e sono alla base degli interventi da parte di societ
specializzate nei sistemi operativi o in settori pesantemente coinvolti nella
sicurezza aziendale dei dati, come quello dello storage, dove alcune societ
hanno gi maturato una consistente esperienza in proposito.
Il piano deve contemplare la conservazione di copie multiple dei dati in diverse
localit geografiche a una certa distanza di sicurezza dalla sede principale, da
stabilire in base alle probabilit di un sinistro; per esempio, le misure da
adottare in previsione di un incendio non richiederanno la stessa distribuzione
geografica necessaria per un sisma o un uragano.
Altrettanto critica la sostituzione dellinfrastruttura informatica primaria. Le
copie dei dati critici sono di ben poco valore, se poi non esistono
apparecchiature su cui utilizzarle: server, storage, reti e configurazioni devono
essere disponibili entro un lasso di tempo ragionevole.
Una volta disponibile linfrastruttura IT, si devono ripristinare i processi critici
del business per consentire la ripresa del servizio alla clientela.
Ma quali sono gli elementi di un recovery? Applicazioni ad alta criticit, come i
database, possono richiedere un hot site dotato di energia elettrica,
apparecchiature e funzionalit di comunicazione.
A questo scopo alcune aziende preferiscono utilizzare delle strutture secondarie
predisposte in maniera pressoch identica al CED principale, con i dati che
vengono trasferiti elettronicamente dal centro primario a quello ridondante con
metodi diversi.

100
4. Sicurezza del dato e business continuity nellera del software defined data center

In alcuni casi i locali secondari ospitano delle applicazioni attive in unottica di


load sharing dove i dati, come quelli transazionali, vengono spostati
dinamicamente dal centro primario a quello ridondante. Sotto questo aspetto,
la sicurezza dei dati ha visto di recente affermarsi due meccanismi per
proteggere i dati in un sottosistema a dischi: lo shadowing e il mirroring.
Lo shadowing un processo di natura asincrona che mantiene una replica dei
database e dei file system (che definiscono il metodo per archiviare e
recuperare i dati) rilevando in continuo eventuali modifiche che verranno
successivamente applicate alla copia presente nel centro di recovery. I tempi del
ripristino si riducono notevolmente, tipicamente fino a uno/otto ore, a seconda
del tempo richiesto per lapplicazione dei file di log.
Il mirroring mantiene, invece, una replica dei database e dei file system
applicando eventuali modifiche al centro di backup in modo sincrono rispetto a
quelle apportate presso il centro principale. In questo caso, unoperazione di I/O
si considera completata non appena viene aggiornata la copia primaria, mentre
la copia secondaria pu anche essere aggiornata in un secondo tempo.
Ne risulta una riduzione dei tempi di recovery compresa tra 20 minuti e alcune
ore, mentre il ripristino dai file di log si limita alla sola perdita delle transazioni
non portate a termine. Il mirroring richiede una banda trasmissiva
significativamente pi ampia rispetto allo shadowing; se lampiezza di banda
troppo esigua o le latenze troppo elevate, la performance dei sistemi di
produzione risulta degradata. Questo il motivo per cui in genere non si utilizza
il mirroring per ambienti caratterizzati da alti volumi di transazioni.
Il trucco sta nel sapere qual il meccanismo pi adatto in ogni situazione. Se
la ripresa dei processi elaborativi pu essere rimandata di un giorno o due,
probabilmente sufficiente un cold site in cui installare e configurare le
apparecchiature solo dopo la messa in opera del piano di ripristino. Pur essendo
decisamente meno costoso da manutenere rispetto a un hot site, un cold site
pu richiedere accordi sulla consegna delle apparecchiature con i principali
fornitori dove il fattore tempo svolge un ruolo fondamentale.

Clustering e Disaster Recovery


Come evidenziato, in un numero sempre maggiore di aziende anche un piccolo
downtime dei sistemi, sia imprevisto che pianificato, rappresenta un evento in

101
INFORMATION SECURITY & DATA PROTECTION

grado di avere impatto sul business in termini di fatturato o di immagine. Per


queste ragioni, alta disponibilit e disaster recovery rappresentano ormai due
concetti di importanza fondamentale e che si fondono luno nellaltro.
La scelta dellarchitettura pi adatta per implementare una soluzione di disaster
recovery va valutata in base alla tipologia di business e di servizio erogato e
cercando di conciliare le esigenze di protezione dei dati con quelle dei costi di
implementazione e dellinfrastruttura disponibile
La continuit delle operazioni e il ripristino dei dati in una situazione di disaster
recovery possono essere garantiti attraverso architetture di clustering
implementate a livello locale, metropolitano o geografico. I differenti approcci
architetturali di clustering per il disaster recovery, restano caratterizzati da
specifici vantaggi e svantaggi, in relazione alla capacit infrastrutturale
preesistente, ai fondi disponibili, alla quantit di dati che ammissibile perdere
e alle pianificazioni future.

Il ripristino su scala locale, metropolitana e geografica


Il primo e pi semplice modo di utilizzare un cluster a livello locale, per
garantire lalta disponibilit e il recovery dei dati in caso di failover di server,
applicazioni o database.
In questa configurazione tutte le componenti del cluster risiedono allinterno di
un singolo data center e tutti i nodi condividono tra loro le risorse di storage
disponibili in rete.
Questa architettura permette di ripristinare le applicazioni e il database in tempi
estremamente rapidi senza alcuna perdita dei dati, utilizzando le informazioni
presenti sulle risorse di storage condivise.
Si tratta di un sistema adatto a fronteggiare situazioni di failover locale, legato a
singoli server, ma che non in grado di fornire protezione nel caso di incidenti
che coinvolgano lintero edificio in cui si trova il data center. In altre parole, il
data center rappresenta un single point of failure.
Per garantire una maggiore protezione delle applicazioni e ripristinare un
servizio che venuto a mancare a seguito di un disastro che ha coinvolto lintero
data center necessario prevedere la presenza di un secondo sito, che possa
entrare in funzione e sostituire le funzioni del primo. Quando si considera un

102
4. Sicurezza del dato e business continuity nellera del software defined data center

sito preposto alla funzione di disaster recovery, si tende di solito a pensarlo


situato a una grandissima distanza dal primo (anche migliaia di Km).
Tuttavia la maggior parte di cause in grado di mettere fuori uso un data center
sono spesso confinate su distanze molto pi contenute. Si pu pensare, per
esempio, a blackout prolungati, incendi, allagamenti o crolli.
Per garantire funzioni di disaster recovery su distanze che rientrano, per
esempio, nei confini di una stessa citt, possibile utilizzare unarchitettura
clustering a livello metropolitano. Si tratta di una soluzione che prevede, in un
certo senso, di estendere al di fuori delledificio il concetto di cluster locale,
realizzando una connessione in fibra ottica che collega due o pi cluster.
Poich, topologicamente, si tratta ancora di una stessa sottorete, esiste un
limite sulla massima distanza che separa i due siti determinato dalla tecnologia
Fibre Channel (FC). Questo tipo di architettura si adatta a casi in cui esiste gi
una infrastruttura SAN FC e permette di scalare facilmente verso una soluzione
pi completa di disaster recovery.
Prevede il mirroring remoto dei dati in modalit sincrona tra i due siti, evitando
la possibile perdita di dati: se sussistono problemi sul sito principale, viene
attivato quello secondario su cui sono gi presenti i dati aggiornati.
Unalternativa possibile, nei casi in cui unazienda non preveda di installare
uninfrastruttura SAN su FC, quella di prevedere un clustering metropolitano
in cui i dati vengono replicati sui nodi presenti sul secondo sito, utilizzando il
protocollo IP su una connessione Ethernet.
A fronte di un risparmio nei costi questa architettura resta limitata a due siti e
fornisce prestazioni di ripristino inferiori (la replicazione meno efficiente del
mirroring). Inoltre, la replica dei dati per un recovery automatico deve essere
necessariamente effettuata in modo sincrono e questo pu penalizzare le
prestazioni delle applicazioni.
Il caso che offre la massima protezione rappresentato da un clustering a livello
geografico (Wide Area). In tal caso i due siti sono due data center distintiti,
appartenenti a due sottoreti separate. I dati vengono replicati in modo sincrono
o asincrono da un sito allaltro mediante una connessione IP. Nei casi in cui la
replica venga fatta in modalit asincrona esiste la possibilit di perdita di parte
dei dati.

103
INFORMATION SECURITY & DATA PROTECTION

Una tale architettura ha il vantaggio di offrire massima protezione anche da


disastri che avvengono su scala metropolitana (per esempio terremoti di grandi
proporzioni, zone di guerra); la scelta del sito secondario dovrebbe, pertanto,
essere scelta in modo accorto, evitando per esempio, di collocarsi sulla stessa
dorsale di alimentazione elettrica, piuttosto che vicino ad aeroporti o zone
critiche. Questo tipo di architettura molto costosa e viene di solito
implementata da societ che sono obbligate a farlo per soddisfare requisiti
legali o governativi.
Lesigenza di fornire soluzioni di protezioni di questo livello e, nel contempo, di
contenere i costi, pu indurre a considerare la possibilit di utilizzare sedi
distaccate allestero per realizzare unarchitettura di clustering di tipo
geografico.

Laspetto economico di una soluzione tradizionale


Fondamentale, in quanto connesso alla sicurezza operativa, laspetto
economico. Oggigiorno, la maggior parte delle attivit informatiche necessita di
una soluzione equilibrata che supporti una molteplicit di applicazioni mission-
critical e ausiliarie. Per soddisfare nel modo ottimale i fabbisogni finanziari e i
requisiti di trasferimento e riduzione dei rischi quindi indispensabile prendere
in considerazione un insieme di alternative che vanno dai servizi di outsourcing
a quelli di gestione remota .
Le applicazioni mission-critical a impatto elevato e i database che richiedono
installazioni hot site ricavano un consistente beneficio da funzioni di mirroring
elettronico in tempo reale. Le soluzioni di virtualizzazione storage che si sono
diffuse sul mercato negli ultimi tempi e che utilizzano il meccanismo PPRC (Peer-
to-Peer Remote Copy) sono, per esempio, in grado di soddisfare i requisiti di
piani di ripristino mission-critical in hot site, soprattutto per la loro capacit di
eseguire il mirroring dei dati compressi e ridurre gli overhead quali i dati sullo
spazio libero occorrente.
Le soluzioni costituite da nastroteche automatizzate sono un altro metodo
molto conveniente per archiviare grandi quantitativi di dati nel raggio di una
vasta area geografica. Rimovibili e trasportabili, le soluzioni basate su nastri
sono disponibili sul mercato per ogni livello di esigenza, a partire dalla fascia
bassa fino a nastroteche dal mirroring completo con capacit pressoch

104
4. Sicurezza del dato e business continuity nellera del software defined data center

illimitata. Le nastroteche possono anche avvalersi di soluzioni di virtual storage


management usate per creare unit a nastri virtuali, cosa che permette di
risparmiare sui costi, ridurre i tempi e semplificare la gestione.
Nel caso di applicazioni con minore impatto sul business si pu poi optare per
soluzioni quali gli Automated Cartridge System, che assicurano la ridondanza dei
dati a prezzi molto convenienti. In caso di interruzione, le copie su nastro sono
subito disponibili presso il centro di recovery, cosa che elimina la necessit di
farsi inviare le copie da un centro gestito da terze parti.
Funzioni ora disponibili, quali la migrazione automatica dei dati dai dischi ai
nastri, consentono anche di eseguire in modo economico il backup articolandolo
su diverse generazioni. Va infatti considerato, quando si parla di dati, che nel
caso dei dischi gli errori o i problemi di corruzione dei dati primari vengono
automaticamente riprodotti nelle copie remote, per cui gli utenti possono
essere costretti a risalire di diverse generazioni, prima di trovare una copia
integra dei dati. Con i nastri, invece, le copie multigenerazionali sono poco
costose e si recuperano rapidamente.

Software di gestione
In caso di un evento catastrofico che porti alla perdita di dati, il software svolge
un ruolo sempre pi chiave nel trasferimento rapido dei file, perch consente di
ripristinare anche file di grandi dimensioni nel giro di pochi minuti. Recenti
rilasci sfruttano in modo intensivo gli sviluppi che si sono avuti nella
virtualizzazione dello storage per automatizzare la gestione e il recupero dei dati
allinterno della gerarchia di storage. Il tutto si basa su apposite policy definite
dagli utenti per scaricare i dati dalla cache su disco ai nastri in modo da creare
copie multiple per il centro primario, il caveau e larchiviazione in remoto.

Data Center remoti e backup in outsourcing


La tendenza ad affidarsi a servizi esterni per quanto riguarda applicazioni anche
critiche, come il backup, discende dalla complessit di gestione e, soprattutto,
dalla maggiore efficacia che una soluzione appoggiata al data center di un
provider remoto pu garantire.
La crescente dipendenza dai sistemi informativi delle imprese, del resto, rende
fondamentale lefficienza della protezione: backup e restore non possono

105
INFORMATION SECURITY & DATA PROTECTION

essere trascurati, come troppo spesso si faceva in passato, n, per molte realt,
risultano accettabili tempi lunghi.
Fino a non molti anni fa, le finestre notturne erano sufficienti a coprire le
esigenze di backup della maggior parte se non totalit delle imprese. Oggi, la
crescita smodata dei dati in azienda ha finito con il rendere obsolete molte
architetture e strumenti per il salvataggio dei dati. Dallaltro lato, tempi di
ripristino lunghi, anche se non portano necessariamente al fallimento di
unimpresa, certamente ne condizionano la produttivit e rappresentano un
importante spreco di risorse.
Se a questo si abbina lopportunit dintegrare il backup con politiche di disaster
recovery, che sono del resto imposte anche da precise normative di legge, ecco
che si comprende il successo di un mercato emergente quale quello dei servizi di
backup e disaster recovery appunto.

Limportanza del partner


Naturalmente, le imprese possono scegliere di ricorrere a un partner esterno
anche solo per lhosting di propri apparati e soluzioni, ma in ogni caso, il
fornitore prescelto dovr rispondere a precisi requisiti.
A parte il gioco di parole, evidente che per garantire laffidabilit di soluzioni e
servizi dovr essere affidabile, ma, nel caso si richiedano anche servizi di system
integration, necessario valutare attentamente anche lesperienza maturata
nellimplementazione di soluzioni dedicate alla gestione e al salvataggio dei dati
in ambienti eterogenei. Una tale esperienza comunque opportuna, anche solo
considerando che, come per il resto del lIT, fondamentale gestire
consolidamento, pianificazione e ottimizzazione degli ambienti di backup. Per
questo, peraltro, importante che il provider abbia una precisa esperienza nel
monitoraggio e controllo del backup: dalla pianificazione (capacity planning) alla
gestione della robotica e dei dispositivi (Device Management). In funzione del
livello di disponibilit che ci si vuole garantire, potr essere opportuno, oltre al
valore tecnico e allesperienza, cercare in un partner la capacit di fornire
risorse e servizi dedicati, organizzazione locale, supporto 24 ore su 24 per 7
giorni la settimana e 365 giorni lanno.
Va considerato che le soluzioni di backup e restore devono comprendere tutte
le estensioni della rete, le piattaforme, i sistemi operativi e i database, oltre che

106
4. Sicurezza del dato e business continuity nellera del software defined data center

i sistemi di storage e le funzionalit software in esse integrate, garantendo in tal


modo il salvataggio di tutti i dati presenti in azienda.
La protezione deve essere dettata da una politica unificata, schedulazioni
automatiche e policy di protezione dinamiche. determinante quindi il pieno
supporto per i pi diffusi database e applicativi presenti in commercio: tra cui,
Oracle, Informix, Sybase, IBM DB2, Microsoft SQL Server, SAP R/3, Lotus Notes,
Microsoft Exchange Server. Oltre che dei file system pi importanti quali:
Windows, Linux, NetWare, MacOS, Irix, OpenVMS, Solaris, AIX, HPUX. Per la
gestione, poi opportuno che la programmazione del backup sia gestita da
uninterfaccia grafica intuitiva e flessibile.
Considerata anche la dinamicit del mercato, proprio per non dover cambiare
architettura di backup alla rincorsa delle ultime tecnologie, opportuno
ricercare lefficienza gi nella scelta di un sistema di backup in grado di garantire
flessibilit e affidabilit nel tempo.
In questo senso la soluzione scelta opportuno che sia sufficientemente diffusa
sul mercato perch garantisca una certa longevit e, al tempo stesso, una
relativamente facile reperibilit di partner e tecnici esperti nella sua operativit.
Inoltre, opportuno che sia indipendente, in grado cio di garantire anche il
supporto di dispositivi e applicazioni terze e la piena compatibilit con un ampio
numero di piattaforme e sistemi operativi. Indipendente, ma ovviamente
abilitata a utilizzare prodotti certificati e supportati dalle pi importanti societ
del settore. Infine, importante che la soluzione sia basata su standard e
sufficientemente aperta per consentire di sfruttare sistemi e programmi
sviluppati da terze parti di riferimento per il mercato del mass storage e
archiviazione dati, quali applicazioni dedicate allottimizzazione dei processi di
backup (specie in ambienti complessi) e di gestione e controllo delle attivit e
dellimpatto economico che lambiente di backup ha nel contesto complessivo
aziendale.
La grande maggioranza delle soluzioni di backup o, quantomeno, tutte quelle
dei principali fornitori utilizzano il modello client/server per il salvataggio dei
dati e, in generale, supportano pi sistemi operativi, piattaforme hardware,
database e applicativi, garantendo cos la massima apertura e scalabilit. Grazie
a questo modello, infatti, i client e il server di backup costituiscono due ambienti

107
INFORMATION SECURITY & DATA PROTECTION

che sono funzionalmente cooperanti, condividono la stessa interfaccia grafica, si


integrano a tutti i livelli e sono progettati per lavorare insieme.
Limplementazione dellarchitettura, peraltro, non cos banale. intanto
opportuno che il software di backup possa essere installato su di un server
collegato direttamente a tutti i nodi della rete o, laddove non sia possibile, al
meno che possa raggiungerli in qualche modo. Le tecniche di virtualizzazione
moderne aiutano in tal senso, ma solo nel nascondere la complessit
sottostante. Il concetto quello di realizzare una gestione integrata, che
fornisce uno strumento di controllo centralizzato del backup e consente
lattuazione di procedure volte a garantire la massima sicurezza nella
conservazione dei dati.
Un ulteriore vantaggio dato dalla capacit di effettuare contemporaneamente
le operazioni di salvataggio dei dati su pi dispositivi di memorizzazione: sistemi
RAID, NAS, DAS, CAS, soluzioni nastro, dispositivi ottici riducendo e ottimizzando
la durata delle operazioni. Le esigenze prestazionali nella fase di resto re
costringono a un recupero dei file salvati quanto pi semplice e veloce. Per
questo, opportuno che i file memorizzati con le precedenti operazioni di
backup risiedano in uno speciale database online, tramite cui possibile
rintracciare un file in pochi secondi, semplicemente specificando il nome del file
o della directory. Infine, limpiego di logiche multilivello sar di supporto alle
eventuali politiche di Information Lifecycle Management impostate in azienda.

108
5- LA NETWORK SECURITY
"POST PERIMETRALE"

Una volta le chiamavano "autostrade dell'informazione"


ed evidente che le reti restano l'elemento abilitante
per la realizzazione di qualsiasi servizio IT a supporto
del business aziendale. Questo significa che devono
essere intrinsecamente sicure e un elemento attivo
nella protezione degli asset informativi aziendali. Pur
restando il punto di accesso all'infrastruttura, per,
non ne costituiscono pi il perimetro. Per questo i
firewall, che da sempre rappresentano la prima linea di
difesa per il network aziendale, hanno dovuto evolvere
per riuscire a fronteggiare nuove minacce. I dispositivi
di nuova generazione sono ancora pi integrati, pi
granulari nell'analisi e pi efficaci nella difesa.

109
INFORMATION SECURITY & DATA PROTECTION

La sicurezza delle reti


Il problema di come impostare una strategia per linfrastruttura di rete
aziendale si abbina, in una buona parte delle realizzazioni, al modo di
predisporre la migrazione e la sostituzione partendo dalla situazione
preesistente e trovando il modo pi adatto per perseguire una trasformazione
che determini il minor impatto possibile.
Da questa esigenza specifica, ma basilare nel contesto di unoperativit
aziendale che non pu subire interruzioni, non possono prescindere i fornitori di
piattaforme, che si trovano a dover predisporre modelli architetturali in grado di
adattarsi da subito a nuove esigenze e requisiti di business, integrando
lesistente, elevando le prestazioni e mantenendosi aperti per unevoluzione
scalabile.
I requisiti sono sempre pi legati ai temi di sicurezza, convergenza, gestione
unificata fisso-mobile, virtualizzazione. Tutto ci contribuisce a delineare
unevoluzione tecnologica e una strategia di trasformazione delle reti in una
direzione ben identificata in grado di dare agli utilizzatori (aziende e operatori)
una risposta alle loro necessit.
Il legame tra requisiti applicativi caratteristiche dellinfrastruttura di rete e un
progressivo orientamento verso un modello orientato ai servizi ha portato
lapproccio al networking sempre pi vicino a quello dellIT. Per questa ragione
perseguire un approccio che punti semplicemente alle prestazioni pu
rappresentare, ora pi che mai, una scelta miope. Per esempio laspetto della
semplicit e dellunificazione gestionale diventa sempre pi importante. Per le
aziende semplificare le reti significa poter ridurre sostanzialmente i costi di
manutenzione, incrementare i servizi esistenti offrendone altri multimediali e
integrati, incrementare laffidabilit e il controllo. Ci che a volte si sottovaluta
quanto questi aspetti (si pensi per esempio alla semplificazione) contribuiscano
anche in modo significativo ad aumentare la capacit di controllo del rischio e
favorire un maggiore livello di sicurezza.
A livello di sicurezza, la crescente sofisticazione degli attacchi e il fatto che
questi avvengano tramite una rete trasmissiva obbligano il manager dei sistemi
informativi a considerare quali possono essere le soluzioni al problema in
termini progettuali, le strategie da attuare e la localizzazione pi adatta degli

110
5. La network security

strumenti e delle applicazioni che a questi attacchi si devono opporre. In pratica,


sia che si tratti della rete di un carrier, di una rete virtuale privata (VPN) o di una
rete aziendale, il problema consiste nell'abbinare le funzioni di sicurezza con
quelle di trasporto della rete in modo che le stesse risultino sinergiche ed
efficaci, idealmente massimizzando i livelli sia di protezione sia di servizio.
Un ulteriore elemento in grado di caratterizzare il modello architetturale e
condizionare lefficacia di una rete a supportare innovativi modelli di business
la capacit di implementare un livello di intelligenza e di distribuirlo in base agli
specifici requisiti di business. Per queste ragioni, sempre pi spesso, le funzioni
di sicurezza sono affidate a dispositivi posti sulla rete e integrati con quelli
preposti a realizzare le funzioni di switching e routing, mentre cresce la
diffusione di appliance dedicate, pronte a integrare allinterno di quelli che in
passato erano semplici switch (anche periferici) una serie di funzionalit in
costante evoluzione. Tutto ci si va sempre pi combinando con modelli as a
service e "cloud based".

L'evoluzione della network security


Il settore tecnologico in rapido mutamento sotto la spinta contemporanea di
pi trend tra loro correlati e ognuno dei quali racchiude in s le potenzialit per
rivoluzionare il modo di concepire l'IT stesso. Parliamo di fenomeni quali cloud
computing, virtualizzazione, mobilit e BYOD che cambiano non solo il
paradigma tecnologico, ma anche e soprattutto il modo con cui le aziende
conducono il proprio business. Questi fenomeni creano non solo opportunit
ma anche nuovi rischi di sicurezza.
Il cloud computing introduce nuove modalit per accedere alle applicazioni
allesterno dei confini aziendali, imponendo alle aziende di predisporre le
condizioni per proteggere le interazioni con le applicazioni enterprise su cloud,
come nel caso del Software-as-a-Service e del cloud storage.
La mobility richiede un controllo e una visibilit delle applicazioni pi ampi,
indipendentemente dal punto di accesso. Le aziende devono tutelarsi
dall'introduzione di malware o da potenziali brecce che potrebbero essere
determinate dall'accesso da dispositivo mobile alla rete aziendale.
Il BYOD ha introdotto un utilizzo promiscuo dei dispostivi mobili per attivit
private e aziendali al fine di favorire la produttivit e il coinvolgimento dei

111
INFORMATION SECURITY & DATA PROTECTION

dipendenti. Tuttavia, tali dispositivi si collocano ai confini della rete e sono


perci fuori dalla portata dei tradizionali sistemi IPS e per proteggere le reti
dalle potenziali minacce introdotte da questi dispositivi, le aziende devono
mettere in atto controlli capaci di operare ai margini esterni della rete.
I rischi si espandono anche verso l'orizzonte applicativo influenzando i metodi di
test dei processi di sviluppo e richiedendo modelli di protezione basati
sull'analisi comportamentale anzich sulla mera classificazione del malware.
A livello di rete cresce l'impatto degli attacchi DDoS (Distributed Denial of
Service) e si affacciano le APT (Advanced Persistent Threat) mentre i sistemi di
difesa di tipo pi tradizionale mostrano i propri limiti nel rilevare le nuove
tipologie di intrusioni o nel contrastare la sofisticazione dei malware pi recenti.
Infine, la crescente diffusione dell'uso di risorse IT sotto forma di servizio o nel
cloud estende le problematiche legate alla conformit normativa poich sposta i
dati aziendali in un Web privo di confini nazionali.
Le conseguenze di questo rinnovato scenario sono che le aziende si trovano ad
avere un minor controllo sui punti di accesso alla rete. Ne deriva l'esigenza di
disporre di soluzioni di sicurezza capaci di estendere la protezione oltre il
perimetro della rete aziendale, di realizzare una pi profonda integrazione delle
soluzioni IT per difendere le interazioni degli utenti da potenziali minacce alla
sicurezza e di predisporre una protezione dinamica basata su meccanismi
automatizzati e strumenti costantemente aggiornati.
Per stare un passo avanti rispetto all'evoluzione delle minacce servono sistemi e
dispositivi di nuova generazione che sappiano intervenire in modo pi mirato e
dispongano del livello di "intelligenza" necessario a valutare in modo pi
approfondito e circostanziato i dati di sicurezza.
Predisporre misure efficaci di sicurezza significa anche affrontare una revisione
della rete non solo di natura tecnologica, ma anche di carattere strategico.
Un tema da sottolineare nell'evoluzione della network security riguarda il
legame tra i requisiti applicativi e le caratteristiche dell'infrastruttura di rete
nonch il progressivo orientamento verso un modello orientato ai servizi e al
cloud.
Il passaggio da una visione centrata sulla parte "tecnica" di una rete a quella
"applicativa" ha profonde implicazioni a livello di sicurezza, anche perch
coinvolge nel processo decisionale e di cambiamento un insieme di figure

112
5. La network security

manageriali e aree di responsabilit aziendale pi orientate al business e che,


per molto tempo, sono state sostanzialmente non interessate a quanto era
ritenuto di esclusiva competenza del reparto IT.
La sicurezza del futuro non potr, quindi, essere un elemento aggiuntivo del
sistema informativo o dell'infrastruttura aziendale ma, dovr invece essere un
componente pervasivo e integrato di entrambi, come pure di tutti gli elementi
tecnologici, anche non IT, presenti in azienda. Un primo elemento che emerge
che sicurezza e rete sono due cose che sempre pi opportuno siano pensate e
sviluppate in modo parallelo. Una tale sinergia appare poi tanto pi necessaria
quanto pi la rete agisce come integratore e come base per applicazioni
convergenti e per l'erogazione di servizi.
Si tratta del punto di arrivo di un processo di convergenza tra security e
networking che parte da lontano: quando gli switch hanno cominciato a fare i
router e questi ultimi hanno iniziato a controllare gli accessi tramite le ACL
(Access Control List).

Gli attacchi DDoS (Distributed Denial of Service)


Gli attacchi di tipo Distributed Denial of Service (DDoS) sono oggi il principale
elemento di criticit per le reti, perch, di fatto, minano la loro utilit alla base.
Metaforicamente, se guardiamo la rete come l'autostrada dell'informazione, il
DDoS equivale a un immenso ingorgo che ci impedisce di far viaggiare i nostri
dati.
I DDoS, in estrema sintesi, consistono nel "bombardare" una rete o uno
specifico servizio, generalmente un servizio Web, con grandi volumi di traffico,
fino a metterlo in tilt. Sono diventati noti perch strumento preferito per le
azioni dimostrative dei gruppi Anonymous, che hanno avuto una grande eco
mediatica.
Negli ultimi dieci anni, gli attacchi DDoS si sono moltiplicati, allargando gli ambiti
di impiego. Crescono, per esempio, gli attacchi mirati di sabotaggio. Sabotaggi
che riguardano soprattutto il mondo aziendale, con episodi di concorrenza
sleale, per esempio nell'ambito del gaming online e del commercio elettronico.
Va infatti considerato che l'industria dei servizi online sta crescendo
notevolmente, affiancando anche attivit tradizionali: non inusuale, per
esempio, che piccole aziende agricole riescano a vendere i propri prodotti DOP

113
INFORMATION SECURITY & DATA PROTECTION

o IGP in tutto il mondo attraverso Internet. C' chi sente sicuro, magari perch
ritiene di non avere concorrenti o di essere troppo benvoluto per diventare un
bersaglio. Il problema, per, sono i danni collaterali: si sono verificati, infatti,
attacchi destinati a data center di provider, che hanno colpito pi servizi. Per le
Telco e i service provider quello dei DDoS sta diventando un problema serio.

I 3 principali obbiettivi degli attacchi DDoS diretti verso i clienti Fastweb nel 2015
(fonte Fastweb Rapporto Clusit 2016)

Dallo spionaggio industriale a quello dei servizi segreti, il passo purtroppo


breve e la Cyber War una preoccupazione che agita molti governi. Il primo
caso di Cyber War che viene citato l'attacco che nel 2007 ha isolato da
Internet l'ex Repubblica sovietica d'Estonia proprio con attacchi DDoS. La Russia,
principale indiziato nega. Da allora la guerra informatica si intensificata e,
come riportato dal Rapporto Clusit 2015 gli attacchi informatici a supporto di
azioni militari o paramilitari sono aumentati del 68% nell'ultimo anno.
In nome della Cyber Defense si investe, ricordando la Guerra Fredda, nella corsa
agli "armamenti", in termini di CyberWarefare, cio nel dotarsi di competenze,
risorse umane e "armi" informatiche, compresi gli strumenti DDoS.
In generale, si sta assistendo a un calo degli attacchi dimostrativi condotti da
hacktivist, come quelli del gruppo Anonymous, ma l'uso dei DDoS cresciuto
notevolmente. In Italia, in particolare, sono disponibili i dati delle rilevazioni
effettuate da Fastweb sulla propria rete. Dati che sono stati inclusi nel rapporto
Clusit gi lo scorso anno. Dal 2014 al 2015 si passati da mille attacchi a oltre

114
5. La network security

16mila. Tre gli obiettivi principali: istituzioni governative (ministeri, PA centrale e


locale e cos via), banche e settore industriale.
L'incremento si avuto soprattutto nella seconda met dell'anno e, in
particolare, a fine 2015. I servizi pi colpiti sono quelli Web (una quota pari al
57% degli attacchi era indirizzata alla porta 80 dei firewall contro i http e https.

Distribuzione attacchi DDoS in Italia registrati sulla rete Fastweb nel 2014
(fonte: Fastweb - Rapporto Clusit 2015)

La sempre maggiore diffusione della banda larga permette di condurre attacchi


volumetrici massicci. Nel 2014, in particolare, sulla rete di Fastweb stato
registrato una media del volume di attacco di 9,5 Gbps, escludendo, per due
picchi, rispettivamente da 80 e da 140 Gbps.

Le Virtual Private Network (VPN)


La consolidata affermazione delle reti private virtuali (VPN) basate su protocollo
IP legata al presupposto di realizzazione a basso costo di una rete privata end-
to-end che sfrutti la gratuit di Internet.
Vi sono fondamentalmente due modi con cui utilizzare vantaggiosamente una
rete VPN nel contesto aziendale. Il primo, disponendo di un adeguato accesso a

115
INFORMATION SECURITY & DATA PROTECTION

Internet, prevede lobiettivo principale di espandere le relazioni con i propri


clienti. Il secondo, pi complesso, consiste nell'utilizzare Internet o il protocollo
IP, canalizzato tramite un carrier, non solo per i propri clienti ma anche per
interconnettere le proprie sedi aziendali. In pratica, con una VPN si ha la
realizzazione di uninterconnessione geografica da sede a sede (generalmente
da LAN a LAN) con un costo che solo una frazione di quello tipico delle reti
geografiche.

Una VPN utilizza uninfrastruttura condivisa per la connessione delle diverse sedi
aziendali

Una VPN virtualmente privata, proprio perch utilizza infrastrutture di rete


condivise anche da altri utenti. Internet, poi, una classica rete "aperta", quindi,
in linea di massima, aperta lo anche una VPN. Per questo necessario che
siano implementati opportuni criteri sia da parte del fornitore sia
dellutilizzatore della VPN stessa.
I dati immessi in rete nel punto di origine, per arrivare al punto di destinazione,
attraversano nodi appartenenti a sottoreti diverse, che assicurano come
funzione di base la commutazione o routing dei pacchetti IP verso il nodo di
destinazione. Proprio questa "multipropriet" apre la strada ad attacchi
dall'esterno e, in sostanza, chi si appresta a utilizzare una VPN, ha la necessit di
essere protetto dall'accesso ai suoi dati da parte di persone non autorizzate.

116
5. La network security

Esistono oggi risposte concrete a queste esigenze, di cui alcune sviluppate


proprio per lambito IP, come lIPsec (Internet Protocol Security), uno standard
specifico per Internet e applicazioni di commercio elettronico su Internet.

Larchitettura IPsec
La suite di protocolli per la sicurezza del livello di rete IPsec prevede la
realizzazione di due diverse modalit di protezione dei dati. La prima permette
di autenticare i dati inviati, la seconda aggiunge a questo anche la cifratura degli
stessi. IPsec costituisce una vera e propria architettura aperta per la
realizzazione di reti sicure che consente di inserire nuovi metodi di cifratura
mano a mano che vengono sviluppati o che i sistemi utilizzabili per attaccare i
dati si perfezionano.
Le aree che sono state affrontare nella definizione di IPsec sono:
Autenticazione dei dati di origine per verificare che gli stessi siano stati
inviati effettivamente dal mittente.
Protezione dal rischio che i dati possano essere intercettati e ritrasmessi
in un momento successivo.
Integrit dei dati per verificare che quanto inserito nei datagrammi non
sia stato alterato.
Gestione automatica delle chiavi di cifratura in modo da poter stabilire
una politica di rete che non richieda continui interventi manuali.
Le tecnologie di autenticazione possono anche utilizzare elementi esterni, come
i token, ma tali meccanismi rimangono esterni allarchitettura VPN
propriamente detta. Cos come lo il protocollo tipicamente usato nelle reti per
la realizzazione di una sessione sicura su Internet, cio il Secure Socket Layer
(SSL).

Rispondere alle minacce in tempo reale


A monte di qualsiasi progetto per la sicurezza necessario effettuare
unoperazione culturale. Errare humanum est e appunto sfruttando lingenuit,
lignoranza o comportamenti irresponsabili dei dipendenti, gli attacker
penetrano nei sistemi e reti aziendali.

117
INFORMATION SECURITY & DATA PROTECTION

Negli anni sono aumentati gli attacchi perpetrati attraverso il social engineering.
facile credere a una mail che arriva apparentemente da un dirigente aziendale
con un tono minaccioso e quindi cascare in trappole tese da un malintenzionato
che era riuscito a impossessarsi di un paio di informazioni, magari raccolte su un
sito di social networking, dove in molti si confessano liberamente. Il phishing, in
particolare, nato proprio con il concetto di sfruttare lingenuit delle persone
e, utilizzando tecniche di spamming, colpisce sempre pi facilmente nel segno.
Statisticamente, inviando centinaia di migliaia di e-mail, c certamente
qualcuno che crede a messaggi sempre pi plausibili e clicca sul link-esca.
Le logiche dei grandi numeri fanno il resto: se abbocca l1% dei destinatari (
una percentuale stimata da diversi security advisor), significa migliaia di identit
elettroniche, numeri di carta di credito, password o altre informazioni rubate.
Anche percentuali inferiori portano a risultati interessanti, che spesso
rappresentano solo la base di partenza per ulteriori crimini.
Conoscenza e consapevolezza riducono il rischio, ma, soprattutto nelle grandi
imprese, non facile diffondere una cultura sulla sicurezza a tutti i dipendenti.
Senza contare che combattere la pigrizia e la debolezza della natura umana
una battaglia persa in partenza.
Allora la guerra va combattuta e vinta su altri terreni e, vista la sofisticazione e la
crescente rapidit degli attacchi, lunica strategia possibile consiste
nellapplicare strumenti automatici.
Un esempio pu aiutare a comprendere le dimensioni del problema. A partire
dalla seconda met del 2007, si assistito allaffermazione di una tecnica
preoccupante: linfezione di siti insospettabili.
Su home page e pagine interne di Web facenti capo a enti governativi,
universit, aziende anche note sono stati inseriti link che attivano il download di
codici maligni. evidente che qui non centra la cultura e solo un software di
protezione pu impedire allutente ignavo di scaricare malware. Peraltro, il
sistema di sicurezza deve essere sofisticato e aggiornato in tempo reale: in altre
parole, automatico. Altrimenti non pu essere efficace. Basta infatti considerare
che viene pubblicata una pagina infetta ogni 5 secondi e una percentuale
sempre pi alta di tali pagine appartiene a siti innocenti.
Siti che non ricevono alcun danno e, quindi, difficilmente possono percepire che
c qualcosa di sbagliato, almeno non in tempi rapidi. Il punto che queste

118
5. La network security

azioni sono rapidissime: viene pubblicata la pagina infetta, contestualmente


vengono mandate centomila e-mail utilizzando pc puliti allinsaputa del
proprietario (questo s colpevole di scarsa protezione). Nel giro di pochi minuti,
se non secondi, circa mille malcapitati (l1% dei destinatari) avranno cliccato sul
link trappola.
Oggi, esistono soluzioni che proteggono da tecniche come queste, ma non tutti
ne dispongono. I primi passi in questa direzione sono stati compiuti con le
soluzioni NAC (Network Access Control) che consentono di verificare il livello di
sicurezza dei client prima di concedergli laccesso alla rete aziendale. Ma in
realt il problema da affrontare quello accelerare laggiornamento dei sistemi
aziendali per diffondere la protezione a ogni sistema contemporaneamente.
Nellultimo periodo soprattutto tra gli ambiti emersi come i pi critici
nellambito della network security possiamo ricordare: l'esigenza di protezione
degli endpoint in uno scenario di mobilit crescente, gli attacchi DDoS
(Distributed Denial of Service), le minacce APT e la lotta alle intrusioni che ha
portato allo sviluppo di Firewall e IPS (Intrusion prevention system) di prossima
generazione".

Controllare chi o cosa vuole entrare nella rete:


i rischi degli endpoint
Il punto di partenza che non solo qualunque utente, ma anche qualsiasi
sistema dovesse chiedere accesso alla rete potrebbe portare traffico nocivo.
Abbandonando il concetto di perimetro, gli endpoint sono da sempre un
pregiato oggetto di attacco. Oggi pi che in passato, perch molte delle tecniche
emergenti, oltre a tentare di sfruttare lignoranza o la disattenzione
dellutilizzatore, sono state sviluppate proprio per agganciare un endpoint e
usarlo come chiave daccesso al sistema aziendale. Il tutto alloscuro del
proprietario del mezzo, cui si cerca di dare meno fastidio possibile.
Per questo, lapproccio al controllo degli accessi profondamente cambiato nel
giro di pochi anni e, se in passato appariva sufficiente controllare lidentit di chi
chiedeva laccesso, oggi risulta sempre pi importante verificare anche le
condizioni del sistema utilizzato per il collegamento. In altre parole opportuno
capire se il computer con cui un utente si vuole connettere dotato di quei
requisiti di sicurezza che si ritengono necessari.

119
INFORMATION SECURITY & DATA PROTECTION

Questo controllo importante tanto per il pc dellutente occasionale (il partner,


il fornitore, il cliente) quanto, anzi di pi, per quello del dipendente. Non pi
pensabile affidarsi alle policy aziendali, che vengono sistematicamente disattese
(troppi utenti, per esempio, disattivano lantivirus o la suite di sicurezza perch
rallenta troppo le applicazioni, ancora oggi che le soluzioni sono decisamente
pi performanti di un tempo). Non un caso che, negli anni, si assistito a un
proliferare delle caratteristiche di enforcement allinterno delle soluzioni per
la protezione del pc: queste sono necessarie per obbligare lutente a mantenere
adeguato il livello di sicurezza della propria macchina. La probabilit dellattacco
e la rapidit dello stesso, infatti, non consentono di avere un pc scoperto.
Lerrore dellutente, dolente o nolente, statisticamente tra le principali cause
di problemi per la sicurezza ed ovvio che i malintenzionati cercheranno
sempre di approfittarne. Per questi motivo, l'adozione di sistemi automatizzati
per la protezione degli endpoint diventata ancor pi cruciale con la diffusione
di minacce nascoste, che si annidano sul terminale per poi trasferirsi allinterno
del sistema aziendale una volta che il pc si connette alla rete. Anche senza dolo,
lutilizzatore potrebbe essere il punto debole attraverso il quale viene sferrato
un attacco.
Il problema ha assunto un ulteriore carattere durgenza, con il proliferare di
sistemi portatili, spesso impiegati anche per attivit personali e frequentemente
collegati a reti e sistemi di terze parti, sulla cui sicurezza lazienda fatica ad
esercitare un controllo. Ma anche perch sempre pi necessario e frequente
far entrare anche utenti occasionali, come partner e fornitori.

Le vulnerabilit dei sistemi SCADA


Un tema collegato alla Cyber War e al cyber terrorismo e che riguarda la
network security quello delle infrastrutture critiche che erogano servizi
essenziali ai cittadini.
In particolare, il tema riguarda gli Industrial Control Systems (ICS) che sono
dispositivi, sistemi, reti e controlli utilizzati per operare e/o automatizzare i
processi industriali, presenti in quasi ogni settore, dalla produzione di veicoli al
trasporto, dallenergia al trattamento delle acque. Gli ICS comunicano con i
sistemi e le reti SCADA (Supervisory Control And Data Acquisition) che

120
5. La network security

forniscono agli operatori i dati per le attivit di supervisione e la capacit di


controllo per la gestione dei processi.
La sicurezza di sistemi ICS/SCADA resta un tema importante perch sono
comunemente utilizzati per il funzionamento di industrie di grande rilevanza e
per il monitoraggio e controllo della maggiore parte dei servizi essenziali ai
cittadini, come la fornitura di acqua, elettricit, gas e anche i mezzi di trasporto.
In ambito industriale i sistemi ICS/ SCADA sono utilizzati da tempo e, mano a
mano che lautomazione continua a evolversi e diventa pi importante a livello
mondiale, la loro diffusione e importanza cresce. Una crescita a cui, purtroppo,
fa eco una mancanza di protezione ben documentata e ampiamente conosciuta.
noto, per esempio, che attraverso Internet si possono effettuare ricerche che
restituiscono facilmente laccesso ai pannelli di controllo di sistemi SCADA,
lidentificazione delle macchine e delle loro funzioni. Altri siti vengono sempre
pi spesso utilizzati per la diffusione di informazioni legate ai dispositivi
ICS/SCADA come, per esempio, i loro indirizzi IP.
Tutto ci ha favorito e continua a favorire le azioni del cyber crimine che, negli
ultimi anni, ha segnato importanti punti a proprio favore con minacce quali
Stuxnet considerato uno dei codici malware pi sofisticati che sia mai stato
scritto.
Va rimarcato che i sistemi ICS/SCADA, sebbene simili nelle funzioni ai sistemi di
ICT Security, differiscono notevolmente da questi ultimi nel modo di
interpretare lesigenza di sicurezza. La prima priorit dei sistemi IT di sicurezza
tipicamente la protezione dei dati mentre nei dispositivi ICS/SCADA si tende a
privilegiare laffidabilit e laccessibilit dei dati per non compromettere la
produttivit.
Ogni sistema SCADA presenta poi caratteristiche specifiche in termini di requisiti
di disponibilit, architettura, obiettivi e requisiti prestazionali e questo richiede
che vengano trattati in modo unico. Solitamente i sistemi SCADA non prevedono
di default la presenza di soluzioni anti malware. Questo legato sia alla loro
natura intrinsecamente legacy sia perch si tratta di macchine deputate al
controllo di altri strumenti per cui una qualsiasi forma di ritardo nel calcolo
computazionale introdotta da un sistema di controllo potrebbe causare
inconvenienti. Per questa ragione solitamente il controllo dei sistemi SCADA

121
INFORMATION SECURITY & DATA PROTECTION

viene effettuato a livello di singola macchina in modalit batch e, in molti casi,


non neppure possibile effettuare controlli in rete.
Un altro problema di cui le aziende solitamente non si preoccupano che le
macchine SCADA sono gestite e manutenute da terze parti. Pertanto, se non si
ha la possibilit di esercitare unazione di controllo sui processi di queste
operatori o se non si mette a loro disposizione un sistema per effettuare un
controllo in linea della macchina, il rischio di introdurre malware su uno di
questi dispositivi diventa elevato.
In base a queste considerazione, l'approccio pi efficace che emerge per la
protezione di questi sistemi (analogo a quello utile per fronteggiare le APT) di
predisporre un modello di security intelligence in grado di fornire un
monitoraggio affidabile e continuo del comportamento di reti e sistemi per
segnalare prontamente eventuali anomalie sospette.

Verso i firewall e gli IPS di prossima


generazione
Uno dei primi problemi che le aziende si sono poste con l'apertura verso il Web
stato il controllo degli accessi alla rete aziendale, per il quale sono stati
sviluppati opportuni protocolli di autenticazione.
stato per subito evidente che dalla Rete potevano arrivare sul sistema e sul
Web aziendale dei malintenzionati. Inizialmente, si temeva pi che creassero
danni per gioco, mentre oggi si sa che vogliono colpire in maniera mirata per
sottrarre informazioni di business da rivendere o sfruttare ai propri fini.
Sono nati i firewall, che si preoccupavano di "chiudere" alcune porte della rete,
permettendo il passaggio solo di "traffico giusto". Nel corso del tempo, tuttavia,
i firewall di tipo tradizionale si sono dimostrati inadatti a filtrare in modo
efficace il traffico di rete per bloccare le minacce avanzate che sono diventate
anche capaci di eludere, con piccole modifiche al codice, il sistema di rilevazione
degli IPS tradizionali, basato sulla corrispondenza tra "signature" di sicurezza ed
exploit.

122
5. La network security

L'evoluzione del firewall


I firewall sono nati nei primi anni '90 con lo scopo di controllare il traffico in
ingresso e lasciar passare solo quello "lecito", in linea generale verificando la
correttezza dei protocolli. Da un'azione sostanzialmente di monitoring si
rapidamente passati ad attuare dei controlli via via pi accurati. Sono cos
arrivati diversi tipi di firewall.
Firewall packet filtering
Nei primi anni 90 stata commercializzata una delle prime tecnologie firewall
(filtraggio dei pacchetti), che veniva integrata principalmente nei router e negli
switch per filtrare determinati protocolli e indirizzi IP. Quindi stata sviluppata
una versione migliorata del filtraggio dei pacchetti, detta stateful inspection.

Firewall Stateful Inspection


A differenza del semplice filtraggio dei pacchetti, il firewall stateful inspection
era in grado di mantenere informazioni sullo stato, che gli permettevano una
maggiore sicurezza nella metodologia di ispezione. Anche se la tecnologia
stateful inspection eseguiva controlli efficaci sui livelli inferiori dello stack OSI,
non era altrettanto affidabile quando si trattava di capire e proteggere i dati al
livello applicativo.

Application Firewall, IPS e Web Filtering


Alcuni anni dopo sono stati realizzati i firewall applicativi, in grado di capire
determinati protocolli e applicazioni comuni negli ambienti aziendali. Anche se i
firewall applicativi sono in grado di capire e decifrare il traffico di tipo HTTP
(web) o SMTP (email), possono incidere pesantemente sulle prestazioni di rete e
richiedono molti interventi di ottimizzazione e aggiornamento per funzionare
correttamente. La necessit di comprendere il contesto applicativo ha inoltre
portato allo sviluppo di soluzioni di sicurezza specializzate, come i sistemi di
intrusion prevention (IPS) e i prodotti di web filtering, che sono infine diventati
prodotti di sicurezza con una propria area specifica di applicazione.
Spesso i responsabili della sicurezza nelle aziende distribuivano sia firewall
stateful inspection che applicativi per la difesa del perimetro principale. Ci
portava a una complessit elevata e a sfide collegate alla gestione e
configurazione delle svariate tecnologie di sicurezza di rete.

123
INFORMATION SECURITY & DATA PROTECTION

Firewall Unified Threat Management


Intorno agli anni 2000 entr sulla scena la tecnologia Unified Threat
Management (UTM), che consentiva di combinare, elaborare e gestire i controlli
stateful e applicativi da una singola piattaforma. Il firewall UTM (coniato da IDC)
si riferiva a un prodotto di sicurezza all-inclusive che combinava firewall di rete e
altre tecnologie di ispezione a livello applicativo, come IPS, web filtering,
antispam e antivirus, in un unico fattore di forma. Dal momento che i firewall
UTM all-inclusive richiedevano risorse di elaborazione massicce, vennero
adottati nelle piccole e medie imprese, dove i requisiti di larghezza di banda
erano minori. A causa di considerazioni economiche e di esigenze
consolidamento di diverse tecnologie di sicurezza a livello di applicazione, le
imprese IT allinterno di questi mercati vincolati dal budget adottarono questa
soluzione su larga scala.
Dal momento che i firewall UTM mancavano della granularit e del controllo
necessari per alcune delle funzioni di sicurezza pi avanzate (ad esempio IPS,
web filtering, antispam), le imprese pi grandi continuarono con il modello di
difesa tradizionale, che prevedeva sia un firewall stateful che diverse forme di
tecnologie di sicurezza a livello applicativo distribuiti lungo il perimetro
aziendale esteso. La separazione e la scarsa comunicazione tra i diversi controlli
di sicurezza non contribuivano a risolvere il problema della complessit di
gestione e manutenzione di soluzioni di pi fornitori.

Next Generation Firewall


La terminologia NGFW (firewall di nuova generazione), stata coniata da
Gartner, che nel suo "Magic Quadrant for Enterprise Network Firewalls" del
2009 individua come requisiti caratterizzanti per questo tipo di soluzioni
l'integrazione delle seguenti funzioni:
analisi approfondita dei pacchetti (Deep Packet Inspection),
Intrusion Detection,
capacit di riconoscere le applicazioni,
capacit di controllo granulare.
Inoltre i Next Generation Firewall differiscono dai firewall tradizionali nella
loro efficacia quando operano anche come sistemi di Intrusion Prevention
(IPS).

124
5. La network security

Le ragioni per adottare un NGFW/NGIPS


Di fatto, la logica dei Next Generation Firewall e Next Generation IPS parte
dallidea di una gestione unificata delle minacce (Unified o anche Universal
Threath Management UTM). Inizialmente questa visione si concretizz in
appliance che idealmente unificavano i controlli dei vari protocolli, cercando
soprattutto l'efficienza, la quale era fondamentale per un'efficace protezione: i
tempi di latenza dei molteplici controlli, infatti, rischiavano d'inficiare la
funzionalit stessa dei dispositi.
Si svilupparono quindi soluzioni per una sicurezza all-in-one, orientandone
levoluzione verso i requisiti di scalabilit degli ambienti aziendali pi grandi.
Per diversi anni la tecnologia NGFW ha ampliato le funzioni di sicurezza, salendo
ai "piani alti" della pila OSI, fino ai protocolli a livello di applicazione,
aumentando la quantit di controlli e la granularit per rispondere alle esigenze
prospettate dagli esperti di sicurezza aziendale. Oltre a ulteriori controlli di
sicurezza, il firewall NGFW ha inoltre integrato una maggiore potenza di
elaborazione per la sicurezza di rete, per stare al passo con gli elevati requisiti di
throughput degli ambienti pi grandi.
Oggi i Next Generation Firewall rappresentano uno degli ultimi stadi di
questo percorso evolutivo, rispondendo all'esigenza delle imprese di
incrementare il livello di sicurezza e, nel contempo, di conseguire una minore
complessit grazie all'elevato livello di integrazione. Pi specificatamente, le
ragioni per indirizzarsi verso un NGFW/NGIPS sono molteplici ma possiamo
individuarne almeno tre.
La prima riguarda la possibilit di controllo a livello di applicazioni, le cui
vulnerabilit rappresentano ormai il veicolo prevalente di tutte le violazioni.
Si tratta, in realt, di una conseguenza dell'evoluzione e dell'innovazione di
approccio degli attacchi che si stanno spostando dalla rete, per sfruttare le
falle anche dei sistemi operativi e delle applicazioni. Di conseguenza, dato
che il cyber crimine trova modi sempre pi ingegnosi nello scoprire nuovi
percorsi dati, fondamentale rendere sicuro l'intero flusso.
Un controllo a livello di applicazione di fondamentale importanza, perch
permette alle organizzazioni di impostare policy specifiche per un utente,
per ogni applicazione che utilizza.

125
INFORMATION SECURITY & DATA PROTECTION

Una seconda motivazione riguarda la diffusione della mobilit e la crescita


fenomenale di App che, come dimostrano diversi studi gi da alcuni anni (si
confronti per esempio il Cyber Risk Report 2014 di Ponemon), presentano
per la maggior parte vulnerabilit in relazione alla possibile perdita o
fuoriuscita di dati.
Un risultato che non sorprende se si considera che i campioni unici di
minacce indirizzati al sistema Android si contano in grandezze di milioni.
Infine, l'utilizzo dei sistemi di ultima generazione rappresenta un tassello
fondamentale per fronteggiare la peggiore minaccia del momento: i
ramsonware. Questa categoria di malware particolarmente insidiosa
perch fa leva sull'errore umano, l'anello pi debole della strategia per la
sicurezza dei dati.
I NGFW si sono dimostrati abbastanza efficaci nella lotta agli APT, che, per
certi versi presentano delle analogie con le tecniche del ramsonware. La
prima fase degli attacchi APT consiste infatti nel penetrare le difese di rete
in modo inosservato, il che avviene tipicamente con una mail o un
messaggio di spear phishing. Dopo la realizzazione di questo obiettivo, il
cyber criminale pu eseguire una serie di azioni, come il furto di dati
sensibili, il sabotaggio dei sistemi o l'utilizzo illecito delle risorse di calcolo.
Lo spear phishing lo strumento privilegiato anche per gli attacchi
ramsonware, per quanto, in questo caso si operi un attacco a volume e non
mirato, tanto che basta un messaggio anche elementare.
I NGFW possono intercettare le prime fasi di un attacco APT e mitigare
anche il rischio dei ramsonware.
La rincorsa continua all'evoluzione promossa dalle software house criminali
sta portando i NGFW verso ulteriori livelli d'integrazione, che riguarda tutti
i dispositivi in rete, accrescendo il livello di "comunicazione" tra essi e con
le centrali d'intelligence on premise e soprattutto nel cloud, in modo da
propagare in tempo reale gli allarmi e, soprattutto, gli aggiornamenti e le
informazioni che consentono di identificare le minacce sconosciute,
accrescendo i livelli di automazione.
In un contesto di reti senza perimetro, minacce persistenti e utenti remoti,
gli NGFW/NGIPS rappresentano, pertanto, soluzioni efficaci per la sicurezza

126
5. La network security

di rete e versatili nel poter far evolvere le modalit di protezione senza


impattare su processi e infrastruttura.

127
6- LA SICUREZZA DELLE
APPLICAZIONI

Cresce costantemente la pressione degli attacchi che


mirano al livello applicativo per sfruttarne le
vulnerabilit. Questo incremento di rischio pone
l'enfasi sulla necessit di rafforzare il controllo di
sicurezza nei processi di sviluppo del codice e di
predisporre accurate azioni di test, per approdare alla
realizzazione di nuove tipologie di applicazioni in grado
di resistere agli attacchi con sistemi di autoprotezione.

128
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

Una protezione multilivello


Il 24% degli attacchi informatici che si sono verificati nel 2013 e nel primo
semestre del 2014 hanno sfruttato vulnerabilit note. Almeno stando al
Rapporto Clusit 2014, che ha analizzato solo gli attacchi resi pubblici. Peraltro,
altre ricerche dimostrano che non solo le vulnerabilit sono ancora al primo
posto tra le "falle" preferite, ma che addirittura l'80% degli attacchi sono rivolti
al layer applicativo.
La maggior parte delle soluzioni di sicurezza sono concentrate, storicamente, sul
"perimetro" aziendale. Un concetto che sta perdendo vieppi di significato.
Anche per le applicazioni i fornitori di Information Security hanno seguito
questo approccio, per esempio con i Web Application Firewall e altre soluzioni
un po' pi sofisticate, progettate per identificare anomalie.
L'evoluzione delle minacce, per, ha reso poco efficaci le classiche tecniche per
l'analisi del traffico, richiedendo controlli "contestualizzati", al fine di
comprendere la natura di determinate azioni, apparentemente maligne ma, in
realt lecitamente previste dall'applicativo.
La sicurezza perimetrale resta fondamentale per monitorare il traffico e
bloccare una gran numero di attacchi. Anche se il perimetro aziendale sempre
pi "liquido", sul mercato si trovano soluzioni che sono in grado di adattarsi alle
nuove architetture "aperte".
Esistono, per, diversi aspetti da considerare quando si guarda alle applicazioni.
il primo quella delle vulnerabilit: cio dell'utilizzo improprio di quelle
soluzioni applicative o di altre componenti software, un cui difetto di
programmazione permette di superare i controlli di sicurezza. Il secondo aspetto
riguarda il traffico applicativo, che in forte aumento e ancor pi lo sar, tanto
per il successo della mobility, quanto e soprattutto per quello del cloud. Infine,
un terzo aspetto riguarda l'utilizzo delle applicazioni, che va monitorato
soprattutto per verificare che un utilizzatore non abusi dei propri privilegi,
accedendo, magari, a informazioni riservate (per esempio, l'ammontare dello
stipendio dei colleghi), ma anche per evitare che ci si distragga troppo, magari
su Facebook, o addirittura mettendo a rischio l'impresa (accedendo a contenuti
illegali, come quelli pedopornografici).

129
INFORMATION SECURITY & DATA PROTECTION

In particolare, per quanto riguarda la mobility, bisogna distinguere tra quello


che l'accesso alle applicazioni aziendali attraverso dispositivi mobili, da quello
che invece il traffico generato verso Internet per l'utilizzo di app non
direttamente aziendali.
Le app aziendali sviluppate sui diversi sistemi operativi per dispositivi mobili,
che, di fatto sono iOS di Apple, BlackBerry 10 di BlackBerry, Windows 8 e le
molteplici versioni di Android, rispondono alle stesse logiche di qualsiasi pezzo
di software sviluppato internamente.
Diverso il caso delle app scaricate dagli store disponibili commercialmente.
Queste, infatti, non sono sotto il diretto controllo dell'azienda e presentano
diverse criticit: innanzitutto ne esistono molte che contengono direttamente
malware o reindirizzano a esso. Altre potrebbero contenere vulnerabilit che
consentono di penetrare sul dispositivo e qui carpire informazioni aziendali.
Questo ultimo caso, in genere, viene affrontato dalle soluzioni di mobile
security, in particolare, con quelle recenti di "containerization", che isolano i
dati aziendali dal resto dispositivo, impedendone l'accesso se non attraverso le
app aziendali.

Design sicuro e vulnerability patching


Una strategia di sicurezza accurata basata sulla gestione del rischio, il cui
processo basato su tre fasi: identificazione delle minacce cui sono soggette le
risorse (insieme e singolarmente); identificazione delle vulnerabilit (o
vulnerability assessment); valutazione del rischio. Nel vulnerability assessment,
che identifica tutte le aree di esposizione alle minacce, dall'errore involontario
del dipendente al dolo, al disastro naturale, compresa anche l'analisi delle
vulnerabilit applicative o di sistema.
Tali vulnerabilit sono, in generale, dovute a errori o trascuratezze di gestione:
una configurazione superficiale, un bug del software, una versione non
aggiornata dellantivirus e cos via. Tali errori sono molto diffusi e si possono
identificare con accurate analisi sia del software stesso, attraverso specifici
strumenti, sia delle minacce note, perch la vulnerabilit potrebbe sorgere
grazie a una combinazione di elementi.
Un difetto di un programma, per, non necessariamente una vulnerabilit, se
non consente di sfruttare l'errore per penetrare nella rete aziendale. In altre

130
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

parole, una vulnerabilit diventa una minaccia quando viene anche realizzato un
exploit.
Quando viene rilevata da uno dei tanti ricercatori assoldati perlopi dai vendor
di soluzioni informatiche, la vulnerabilit viene comunicata all'editore del
software che presenta il bug, consentendogli di mettersi subito al lavoro per
"riparare" il buco. Passato del tempo il problema viene reso noto. Questo
normalmente avviene quando disponibile una patch (toppa in inglese), cio un
aggiornamento del software che elimina la vulnerabilit correggendo il difetto. Il
giorno in cui viene disvelata la vulnerabilit detto "0 day". Un tempo,
occorreva qualche giorno prima che venissero inventati gli exploit, ma ben
presto si cominciato a parlare di "0 day threat": in realt, oggi, sono molte le
vulnerabilit che vengono scoperte e denunciate, dopo che un malintenzionato
le abbia sfruttate.
Sono diversi gli exploit sviluppati dagli attacker e hanno un ciclo di vita variabile,
ma spesso inopinatamente lungo. Si potrebbe pensare che la disponibilit di una
patch ponga fine a tale ciclo vitale, ma sono molte le imprese che non riescono a
stare dietro ai processi di path management e questo permette di usare una
vecchia vulnerabilit anche ad anni di distanza, come nel caso della SQL
Injection.
Per risolvere queste problematiche, sono stati realizzati negli anni dei sistemi
che consentono di realizzare una sorta di pathing virtuale. Sono tecnologie che
consentono di proteggere l'infrastruttura aziendale, come se fosse stato
corretto il difetto, anche se, permanendo il difetto, un eventuale secondo
exploit potrebbe non essere coperto.
Queste difficolt hanno portato alcuni editori di software tra i pi diffusi a
impostare regole ferree nella fase di sviluppo del software: in altre parole, l'idea
quella di eliminare il problema alla base, producendo software che non
contenga errori.
Ovviamente questa una soluzione preventiva efficace che permette di
mitigare il rischio derivante dagli attacchi evidenziati nel rapporto Clusit e non
solo. Tale azione pu essere effettuata con l'application security testing.
Quest'ultimo permette di verificare passo il funzionamento del software e di
controllare che non si possano utilizzare le sue caratteristiche in maniera
malevola. In altre parole impedisce di mettere in esercizio applicazioni che

131
INFORMATION SECURITY & DATA PROTECTION

contengono vulnerabilit note e previene il rischio che si lascino altre falle nei
nuovi sistemi sviluppati.
Certamente sono stati compiuti giganteschi passi avanti rispetto al passato,
quando alcuni software vendor trovavano "naturale" e forse divertente
demandare ai clienti la bug discovery. Oggi i processi sono stati notevolmente
migliorati e le applicazioni sono molto pi sicure sin dalla nascita, ma le esigenze
di time to market, le conoscenze non sempre approfondite sulla sicurezza e,
soprattutto, le maggiori risorse di sviluppo sul fronte dei cyber criminali,
rendono impossibile disporre di un'applicazione sicura al 100%. Questo non
significa che non si debbano seguire processi di testing accurati per progettare
le applicazioni il pi sicure possibili.

L'analisi del traffico applicativo


Secondo il rapporto Clusit 2014, gli attacchi dovuti ad azioni di Cybercrime (furti
o frodi, perlopi) sono circa un quarto del totale. Il resto sono attacchi dei
cosiddetti hactivist (sempre meno numerosi e sempre meno dannosi, perch
crescono le protezioni contro il Distributed Denial of Service), azioni di
sabotaggio e spionaggio.
Diversi sono i percorsi di attacco, ma molti di questi hanno un elemento in
comune: le applicazioni, che sono poi il motivo per cui ci si collega a Internet e al
Web o, se si preferisce, il motivo per cui si utilizzano dispositivi mobili e non. In
ogni caso, il dato comunque l'obiettivo finale nella stragrande maggioranza dei
casi.
Senza considerare, per ovvie ragioni, gli enormi volumi di traffico generati dagli
attacchi DDoS, peraltro sempre pi destinati a essere bloccati direttamente dal
provider di connettivit, il traffico applicativo risulta fortemente cresciuto e si
prevede che continuer a crescere, per la diffusione e il successo delle soluzioni
in cloud: dai Web Service al Software as a Service. A questo si aggiunge la
crescente tendenza a consentire il telelavoro, che prevede l'accesso da remoto
alla rete e alle applicazioni che risiedono nel data center aziendale.
Si consideri che, tra globalizzazione, internazionalizzazione, mobility e, non
ultima, una rivoluzione nell'ambito delle procedure di backup, di fatto il sistema
informativo non viene pi spento (almeno nella stragrande maggioranza delle

132
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

imprese), come avveniva fino a qualche anno fa. Dunque questo flusso continuo
di traffico deve trovare canali di comunicazione aperti che, pertanto, possono
diventare una comoda porta d'accesso all'infrastruttura IT aziendale.
Per questo motivo le nuove tecniche per la prevenzione delle minacce
informatiche si basano su analisi approfondite del codice in ingresso sulla rete
aziendale. Non una questione banale, perch queste grandi quantit di traffico
non possono essere rallentate a piacere. In generale, ne risente la produttivit
dei lavoratori, che avvertono anche la frustrazione di una user experience non
ottimale. In particolare, inoltre, ci sono applicazioni che sono altamente sensibili
alla latenza della rete: basti pensare alla videoconferenza, che una soluzione di
comunicazione sempre pi apprezzata da quando nuovi standard di
compressione ne permettono l'utilizzo attraverso Internet direttamente dal
proprio pc, senza tutte le complessit delle grandi sale riunioni con i sistemi
complessi di una volta.
Da qui il successo e il crescente interesse verso i firewall e gli Intrusion
Prevention System (IPS) di ultima generazione, che implementano soluzioni per
l'analisi delle anomalie e per la simulazione del "comportamento" applicativo.
Perlopi si tratta di soluzioni cosiddette di "sandboxing". Come nelle "scatole di
sabbia" in cui giocano al sicuro i bambini nei parchi giochi, in queste sandbox
possibile depositare il codice e "giocarci" con tranquillit per verificarne le azioni
e la sua pericolosit. Aspetto fondamentale dei sistemi di sandboxing
classificare il malware che viene riconosciuto come tale, in modo da poterlo
facilmente identificare una seconda volta.
La logica, inoltre, creare una "signature" o qualcosa che permetta comunque
ad altri sistemi di riconoscere l'impronta di questo malware. Tali analisi possono
essere accelerate da servizi in cloud, che aggiornano prontamente tutti i
dispositivi non appena una nuova minaccia viene identificata e, in qualche
modo, resa immediatamente riconoscibile da tutti i sistemi.

Applicazioni e RASP
L'aspetto della rapidit non indifferente, considerando che non si pu pensare
di bloccare tutto il traffico solo sulla base di un sospetto. Per questo i Web
Application Firewall, che originariamente nascono per controllare i contenuti e
l'utilizzo delle applicazioni per impedirne abusi, non possono agire in tempo

133
INFORMATION SECURITY & DATA PROTECTION

reale, ma devono aspettare i risultati delle analisi, e quando li ricevono


potrebbe essere troppo tardi.
Un altro problema rappresentato dalle pi recenti tecniche impiegate dai
cyber criminali nelle minacce APT (Advanced Persistent Threat) utilizzate per
attacchi mirati. In questi casi, il codice non viene prodotto per colpire un gran
numero di computer, ma bersagli precisi, con pi fasi. Una delle quali pu essere
l'annidamento di un codice nocivo non identificabile con l'analisi del
comportamento. Questi malware, infatti, se vengono lanciati in esecuzione non
compiono alcuna azione maligna. Ma, dopo un programmato lasso di tempo che
pu essere anche piuttosto lungo, attivano nuove funzioni che ne cambiano
l'azione.
Non tutte le soluzioni sono in grado di rilevare queste minacce. Cos come
tecniche dette "evasive" possono confondere firewall e IPS. A questo si aggiunga
il sempre attuale tema delle vulnerabilit e relative patch e si arriva a
comprendere quanto complesso possa essere il fronte applicativo nella lotta al
cybercrime.
dunque a ragion veduta che gli analisti del Gartner, gi nel 2012, avevano
evidenziato l'importanza delle soluzioni per il collaudo delle applicazioni. Non
solo un test statico, utile soprattutto prima del rilascio del software, ma anche
un testing dinamico e, addirittura interattivo. Queste funzionalit si uniscono a
quelle dei Web Application Firewall per costituire una nuova classe di soluzioni,
chiamate RASP (Runtime Application Self Protection), che si stanno rivelando
fondamentali per una protezione in tempo reale delle applicazioni.
Di fatto, le applicazioni devono essere intrinsecamente sicure, a partire dal
progetto e dalla fase di sviluppo. Questo non basta, per, perch solo in runtime
possibile verificare il funzionamento. Ricordiamo che l'applicazione
sviluppata per svolgere determinate funzioni e non possibile immaginare tutti
i possibili "abusi" di tali funzioni. Solo analisi durante la fase d'elaborazione, con
i dati e le query reali, possono intercettare situazioni anomale. Proprio questo
l'ambito in cui operano le soluzioni RASP.

Le soluzioni Runtime Application Self Protection


Le soluzioni "Runtime Application Self Protection" (RASP) non nascono per
sostituire questi primi due livelli di protezione, ma per aumentarne l'efficacia. I

134
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

Web Application Firewall, infatti, sarebbero in grado di eseguire le azioni


protettive necessarie, se solo avessero le informazioni giuste e le avessero in
tempo, ma in ogni caso forniscono tecnologie dedicate alla protezione delle
applicazioni.
La protezione RASP appunto capace di analizzare il codice in tempo reale e di
attuare contromisure sulla base dei risultati. Punto fondamentale: l'analisi deve
avvenire nel contesto reale, direttamente nell'ambiente di produzione.
Questo perch solo il reale funzionamento, con l'utilizzo dei dati effettivi
permette di portare a termine l'analisi: per capire il comportamento di una
query SQL, per esempio, necessario guardare la query completa, che si
costruisce, di fatto, all'interno dell'applicazione.
Le soluzioni RASP, definite da Gartner un "must to have" per la prima volta nel
2012, dunque, costituiscono una protezione essenziale per le applicazioni in
produzione.
Come accennato, il funzionamento di un'applicazione varia anche in base alla
tipologia di dati che essa deve elaborare. Per verificarne il comportamento
dunque necessario osservare lo stesso nell'ambiente d'elaborazione, durante
l'elaborazione stessa.
Attualmente, le soluzioni sul mercato effettuano questo tipo di controlli con
dispositivi "esterni" all'ambiente di runtime, come firewall e IPS. Si tratta di
soluzioni certamente valide ma la cui efficacia potrebbe essere ridotta
dall'impossibilit d'entrare nella logica dell'applicazione, della sua
configurazione e delle sue relazioni con i flussi dei dati e degli eventi. Non a caso
sono spesso "relegati" a una funzione di alerting, non potendo garantire
l'accuratezza necessaria a evitare tassi di falsi positivi accettabili.
Secondo gli analisti di Gartner, le imprese cosiddette "pioniere" della tecnologia
hanno gi adottato tecnologie RASP o lo stanno facendo, mentre le altre
dovrebbero comunque implementarle entro i prossimi tre anni. Un lasso di
tempo durante il quale le tecnologie oggi sul mercato arriveranno a una piena
maturit. Gi adesso, peraltro, sono in essere soluzioni che, appoggiandosi al
cloud, permettono alle imprese di utilizzare lo stato dell'arte in ambito RASP,
seguendone "naturalmente" l'evoluzione e, non per ultimo, di incontrare minori
difficolt nell'implementazione, installazione e gestione delle soluzioni.

135
INFORMATION SECURITY & DATA PROTECTION

Peraltro, sempre secondo Gartner, entro il 2017 il 25% degli ambienti di


elaborazione avranno capacit di autoprotezione integrate (rispetto a meno
dell'1% nel 2012).
Questa "urgenza" deriva dalla crescente pressione delle minacce sul layer
applicativo. fondamentale che le applicazioni siano in grado di
"autoproteggersi": cio disporre di funzioni che le proteggano durante
l'elaborazione. Queste devono idealmente poter osservare qualsiasi dato entri o
esca dall'applicazione, tutti gli eventi che la riguardano, ogni istruzione eseguita
e tutti gli accessi al database.
Una soluzione RASP possiede tutti questi requisiti e cos permette all'ambiente
d'elaborazione di rilevare gli attacchi e proteggere l'applicazione pi a fondo.

Web Application Firewall e Interactive Application Security


Testing
In buona sostanza, le soluzioni RASP combinano le tecnologie dei Web
Application Firewall (WAF) e dell'Interactive Security Testing (IAST), mettendo
insieme funzionalit di scansione, monitoraggio in real time, detection,
protezione, analisi dell'esecuzione e analisi del traffico. In pratica, si tratta di una
nuova tecnologia resa possibile solo grazie all'interazione di altre tecnologie. La
componente IAST, di recente introduzione, fondamentale, perch questa
che "arma" l'ambiente di runtime. Tali soluzioni di testing s'integrano per
esempio in una Java Virtual Machine (JVM) o nel .NET Common Language
Runtime (.NET CLR) diventando parte.
Essendo all'interno della JVM o del .NET CLR, il sistema di test riesce a "vedere" i
flussi indotti da un attacco. Meglio ancora, li pu simulare per prevederli.
Le soluzioni RASP prendono a prestito tale capacit dalle tecniche IAST e,
contemporaneamente, utilizzano la capacit di reazione in tempo reale dei Web
Application Firewall per terminare una sessione "maligna" o per lanciare un
alert in caso di esecuzioni sospette rilevate dall'Interactive Application Testing.
quindi la combinazione delle due tecnologie che rende possibile la Runtime
Application Self Protection. Di fatto, la massima efficienza si ottiene
combinando tutte le tipologie di application protection disponibili, dal testing
statico a quello dinamico fino a quello interattivo. Non solo, perch le analisi
delle vulnerabilit e quelle degli attacchi condotte da queste tecnologie sono

136
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

alla base delle soluzioni RASP. Proprio la loro combinazione realizza la self
protection, permettendo di superare i principali limiti. Se l'analisi statica
permette di sospettare una vulnerabilit in una linea di codice, solo l'analisi in
runtime consente di verificare la consistenza di un exploit che sfrutta la
vulnerabilit ipotizzata. Potrebbe dunque accorgersene il test dinamico
dell'applicazione. Nessun sistema di test, peraltro, in grado di fermare un
attacco. Pu invece farlo il RASP, prendendo la decisione in base alle
informazioni fornite dal testing applicativo e utilizzando le capacit d'azione real
time del WAF.
In effetti, pu avvenire anche il contrario: la componente Web Application
Firewall pu rilevare traffico sospetto e "richiede" alla componente IAST di
effettuare un supplemento di analisi testando il flusso d'elaborazione e di dati
durante l'esecuzione.
In ogni caso, la soluzione RASP sfrutta la combinazione delle tecnologie, ma non
le sostituisce. Il Web Application Firewall, infatti, ha ragione di sussistere anche
a s stante per bloccare un'azione potenzialmente dannosa, come il
collegamento a un sito Web elencato in una blacklist.
Le soluzioni RASP rappresentano una prima pietra miliare di un percorso verso il
cosiddetto "Application Shielding", che potremmo tradurre come la "blindatura
delle applicazioni". Blindare un'applicazione per renderla resistente agli attacchi,
permettendole di difendersi direttamente da sola.
Ancora una volta, sottolineiamo che non si tratta di sostituire un precedente
livello di protezione, n, in realt di aggiungerne uno nuovo, ma pi
semplicemente di allargare l'orizzonte di protezione, per rispondere
all'espansione del fronte di attacco.
ancora presto per capire fino in fondo come si svilupper l'Application
Shielding o quanto rapidamente si affermeranno le tecnologie RASP. Anche
perch ci sono diversi fattori che intervengono nel disegnare tale scenario. Per
esempio, l'adozione di soluzioni per la Runtime Application Self Protection
sarebbe probabilmente accelerata dalle alleanze che i produttori di applicazioni
e/o quelli del middleware per gli ambienti d'elaborazione potrebbero siglare con
i vendor che sviluppano e vendono soluzioni RASP. In pratica, si potrebbero
realizzare ambienti di runtime blindati alla nascita.

137
INFORMATION SECURITY & DATA PROTECTION

Questo avrebbe anche il benefico effetto di rendere meno invasiva l'analisi di


sicurezza e testing, riducendo il rischio di impatti sulle capacit di elaborazione.
Un contributo ad accelerare la blindatura delle applicazioni potrebbe arrivare
anche dal cloud, come precedentemente accennato. L'ambiente di runtime
pressoch totalmente controllato dal cloud provider. Per costoro quindi logico
installare soluzioni RASP che garantiscano la sicurezza dell'elaborazione. Con
tale garanzia possono girare la responsabilit di eventuali attacchi alla
connessione di rete utilizzata dal loro cliente.
Lasciare la gestione della soluzione RASP al provider un vantaggio anche per il
cliente, che non si dovr pi preoccupare di installare e manutenere tali
soluzioni.
In un circuito virtuoso queste soluzioni contribuiscono a sciogliere i dubbi sulla
sicurezza del cloud che rimane uno dei principali ostacoli alla sua adozione.

138
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

7- BIOMETRIA E
VIDEOSORVEGLIANZA:
LA SICUREZZA LOGICA
INCONTRA QUELLA FISICA

Lutilizzo delle tecnologie informatiche diventa sempre


pi funzionale a garantire la sicurezza aziendale non
solo allinterno dei processi di tipo logico come
lautenticazione informatica, ma anche nei controlli di
accesso fisico. Le tecniche di rilevazione biometriche e
la videosorveglianza rappresentano i componenti pi
evidenti di questo trend in atto, che si prepara a
raggiungere nuovi livelli con lavvento dellInternet of
Things

139
INFORMATION SECURITY & DATA PROTECTION

La convergenza tra sicurezza logica


e sicurezza fisica
LInformation Security stata storicamente separata dalla sicurezza fisica,
intesa come impianti antincendio, sistemi antifurto, barriere allingresso.
Di fatto si tratta di una distinzione che non ha pi senso. Innanzitutto i due
mondi sono sempre meno disgiunti, considerando la pervasivit dellIT. In
secondo luogo ci sono sempre pi contatti, tanto che si parla ormai
apertamente della convergenza tra sicurezza fisica e sicurezza logica. Se ne
parla soprattutto in termini di protezione pi efficace e contributo a valore,
derivante dallintegrazione delle soluzioni.
Ci sono poi aspetti legali che dovrebbero spingere in questa direzione. In
particolare, basti pensare che la legge sulla Privacy oggi considerata la
legge principale in materia di sicurezza IT.
Eppure il responsabile della privacy in azienda normalmente una figura
dirigenziale che si occupa di tuttaltro che informatica: tipicamente il
direttore del personale. La maggior parte dei dati sensibili in azienda,
infatti, sono quelli relativi ai dipendenti. Purtroppo, risorse umane e IT
raramente seggono allo stesso tavolo per discutere di progetti collegati alla
sicurezza.
Ci sono poi ambiti tecnologici in cui la convergenza forte, per esempio,
quello del controllo degli accessi o delle presenze in azienda, oggi sempre
pi attuato con badge elettronici direttamente connessi con i sistemi ERP
aziendali, oppure mediante lettura di dati biometrici digitalizzati.
Altro ambito in forte sviluppo quello della videosorveglianza integrata su
IT, dove si aprono interessanti scenari sul fronte della digitalizzazione di
immagini e video.
Tutte queste soluzioni hanno una componente informatica e sono relative
alla protezione degli asset aziendali.
pertanto evidente che la correlazione tra gli eventi che vengono registrati
dalluna e dallaltra parte porta benefici in termini di efficacia della
protezione.

140
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

La biometria
Lutilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati
biometrici in costante incremento per rispondere a esigenze sempre pi
stringenti di controllo e verifica dellidentit.
Sistemi basati sullanalisi di parametri biometrici possono essere adottati per il
controllo fisico ed elettronico degli accessi, per abilitare laccesso fisico a locali e
aree specifiche, lattivazione di macchinari oppure per un controllo degli
accessi di tipo logico (autenticazione informatica). In alcuni casi le tecniche
biometriche possono essere utilizzate anche a scopo facilitativo, per esempio
per laccesso a biblioteche o lapertura di cassette di sicurezza.
Un caso a parte quello dei sistemi di firma grafometrica, finalizzati alla
sottoscrizione di documenti informatici senza che necessariamente sia
effettuato un riconoscimento biometrico.
Con la firma grafometrica vengono, infatti, incorporate allinterno del documento
informatico una serie di informazioni strettamente connesse al soggetto
firmatario che possono consentire lo svolgimento di analisi grafologiche da
parte di un perito calligrafo (velocit di tracciamento, accelerazione, pressione,
inclinazione, salti in volo e cos via) analogamente a quanto avviene con le firme
apposte sui documenti cartacei.

Metodi di confronto
Il metodo alla base della sicurezza biometricie quello di impiegare delle
caratteristiche personali quali le impronte digitali, i lineamenti del volto,
limmagine della retina, liride, il timbro vocale, la calligrafia, la struttura venosa
delle dita, la geometria della mano per autenticare un individuo tramite
comparazione. La comparazione pu essere condotta in due modi, che
implicano tipicamente diversi utilizzi del sistema biometrico: la verifica o
lidentificazione.
Il processo implica due fasi. La prima consiste nella registrazione del tratto
biometrico, che viene catturato, estrapolato e convertito in un codice binario
per generare un modello biometrico che sar memorizzato in modo persistente
e invariabile nel tempo allinterno di un database. Questo modello costituir la
base per una comparazione basata su metodi statistici e metriche tipici del

141
INFORMATION SECURITY & DATA PROTECTION

sistema biometrico prescelto. Per rendere pi veloce il sistema o per


applicazioni particolari, il modello originale pu essere memorizzato anche
direttamente su una smart card, ovviamente con tecniche cosiddette di
tampering, che ne impediscono la manomissione. Per esempio, questo pu
essere utile per applicazioni di servizio pubblico: lutente porta con s un
certificato digitale che contiene il template biometrico che pu impiegare per
autenticarsi presso determinati sportelli o enti. Si evita, cos, il collegamento a
un server remoto con un significativo aumento del livello delle prestazioni.
La seconda fase quella di matching. Quando lutente richiede laccesso (per
esempio, quando si presenta alla porta dingresso di un laboratorio riservato,
oppure quando semplicemente dal proprio PC vuole accedere a dati riservati)
chiamato a sottomettere il tratto caratteristico precedentemente registrato
allapposito lettore biometrico, in modo che venga rilevato e comparato con il
modello presente nel database.

Esempio di architettura di un sistema di autenticazione con dati biometrici

Nelle applicazioni di verifica biometrica limmagine acquisita viene sovrapposta


al modello per verificare lidentit dichiarata della persona ( il caso utilizzato
per le tecniche di autenticazione). Il metodo della verifica, impiegato in un
sistema di autenticazione, pu essere poi abbinato ad altri elementi di

142
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

identificazione, come user ID, password, token, smart card e cos via, per
incrementare ulteriormente il livello complessivo di sicurezza.
Nel processo di identificazione biometrica, invece, il sistema confronta il
modello rilevato con tutti i modelli biometrici disponibili allinterno di una banca
dati per individuare lidentit del soggetto (confronto uno a molti). Si tratta della
modalit tipica da investigazioni utilizzata dalla Polizia.

I rischi della biometria


Lelevato grado di unicit nella popolazione di molte caratteristiche biometriche
espone al rischio che soggetti privati e istituzioni possano acquisire informazioni
sui singoli individui per finalit differenti da quelle per cui tali dati biometrici
sono stati in origine raccolti, incrociando e collegando dati provenienti da pi
banche dati.
Peraltro, alcune caratteristiche biometriche possono essere acquisite senza la
consapevolezza o la partecipazione di un individuo.
Un altro elementi di rischio specifico la possibilit di furto di identit
biometrica che pu causare effetti lesivi rilevanti e duraturi poich,
diversamente dai sistemi di autenticazione tradizionali, diventa impossibile
fornire alla vittima del furto una nuova identit biometrica che utilizzi la stessa
tipologia di dato biometrico,.
Inoltre, va ricordato che Il riconoscimento biometrico avviene generalmente su
base statistica e non deterministica e, pertanto, non esente da possibili errori.
In particolare, un sistema di autenticazione biometrica pu commettere due tipi
di errore: pu portare erroneamente ad accettare il confronto con una persona
che in realt un impostore (falso positivo) oppure negare laccesso a un utente
autorizzato (falso negativo). In generale, i sistemi in commercio dichiarano il
tasso di errore dei due tipi e sar limpresa utilizzatrice a dover scegliere quale
dei due rischi il meno grave. Nel primo caso, si pu prevedere di inserire, come
accennato, ulteriori meccanismi di controllo, migliorando laccuratezza originale
del sistema.
Non va neppure esclusa, in teoria, la possibilit di falsificazione biometrica .
stato, per esempio, dimostrato nel caso delle impronte digitali che possibile
ricostruire un campione biometrico corrispondente a un modello biometrico di
partenza. Si pensi, per esempio, alla possibilit di realizzare una sorta di dito

143
INFORMATION SECURITY & DATA PROTECTION

artificiale che riproduca le sembianze anatomiche del polpastrello, magari


utilizzando tecniche di stampa tridimensionale a basso costo.
La diffusione di sistemi mobili e di modelli BYOD, da una parte diffonde lutilizzo
di sistemi di autenticazione biometrica (predisposti magari dallazienda sul
Tablet di un dipendente con il suo consenso) e dallaltro espone a rischi
maggiori rispetto allo svolgersi del trattamento allinterno del perimetro di
sicurezza aziendale. Infatti, luso promiscuo dei dispositivi solitamente mal si
concilia con la sicurezza dei dati e sulladozione puntuale e continua di
meccanismi di controllo degli accessi anche di tipo basilare e di modalit di
connessione sicura con protocolli avanzati per proteggere i dati in mobilit.

Caratteristiche e tipologie dei sistemi biometrici


Le tecniche biometriche possono essere classificate in diversi modi. Possono
essere interattive ovvero richiedere la consapevole partecipazione
dellinteressato durante lacquisizione del dato biometrico (per esempio
scansione della retina o firma autografa) oppure passive come quando si
effettua la registrazione dellimmagine di un volto o una voce senza che
linteressato ne sia reso partecipe. Possono essere basate su caratteristiche
biologiche, fisiche o comportamentali (per esempio nel caso di apposizione della
firma). In ogni caso devono possedere caratteristiche di univocit per ogni
persona e di presenza in ogni individuo.
I diversi parametri biometrici sono differenti anche in merito alla stabilit
temporale e alla tipologia di decadimento per cause naturali o accidentali e
questo pu avere un effetto sul confronto con il modello di riferimento.
Le principali tipologie di parametri biometrici vengono descritte brevemente di
seguito.

Impronte digitali
Il trattamento biometrico delle impronte digitali quello pi diffuso e utilizzato
da maggior tempo. Il modello biometrico viene solitamente realizzato su una
rappresentazione sintetica numerica dellimpronta di partenza. A differenza di
quanto si crede lunivocit del modello allinterno di un database biometrico
non garantita e, soprattutto in grandi archivi dattiloscopici, a pi di una
impronta pu corrispondere un medesimo modello. Questo inconveniente non

144
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

sottrae nulla allefficacia del suo utilizzo come indice per la ricerca di
corrispondenze allinterno di un database, come viene fatto abitualmente dai
sistemi di riconoscimento automatico delle impronte digitali utilizzati da forze di
Polizia e da agenzie investigative.

Modalit di apposizione della firma autografa


La firma autografa contraddistinta da caratteristiche dinamiche che si possono
far rientrare tra le caratteristiche biometriche comportamentali.
Attualmente lacquisizione avviene non solo tramite tavolette grafometriche ma
anche tramite Tablet generici dotati di specifici programmi software che
consentono di rilevare, oltre al tratto grafico, anche i parametri dinamici
associati alla firma.
Lacquisizione delle caratteristiche dinamiche di firma pu essere funzionale a
procedure di riconoscimento biometrico, anche se presenta tassi elevati di falsi
negativi.

Riconoscimento vocale
Con crescente frequenza i sistemi di riconoscimento stanno prendendo il posto
delle password nelle conversazioni telefoniche.
Le caratteristiche dellemissione della voce sono parametri biometrici perche
sono legate allanatomia del tratto vocale, alla sua lunghezza, alle risonanze e
anche alla morfologia della bocca e delle cavit nasali. In molti casi il
riconoscimento non si limita allanalisi dei segnali vocali, ma prevede anche
procedure in cui linteressato viene invitato a ripetere delle frasi, nomi o numeri
e vi anche la possibilit di richiedere allutente uninformazione aggiuntiva
nella sua disponibilit cognitiva (PIN, codice identificativo, codice utente e cos
via). La rilevazione segnale vocale un tipico parametro biometrico che pu
essere acquisito senza la partecipazione attiva dellinteressato e senza luso di
sensori specializzati, essendo sufficiente un normale microfono (anche
telefonico).

Struttura venosa delle dita o della mano


Uno dei sistemi pi avanzati e di recente presenza sul mercato per la verifica
biometrica quello basato sulle caratteristiche della rete venosa delle dita e
della mano di un individuo: caratteristiche che si sviluppano addirittura
antecedentemente alla nascita. Lacquisizione di questi tratti biometrici avviene

145
INFORMATION SECURITY & DATA PROTECTION

tramite sensori che rilevano la forma e la disposizione delle vene delle dita,
del dorso o del palmo della mano utilizzando una sorgente luminosa a
lunghezza donda prossima allinfrarosso. Questo sistema ha il vantaggio di
essere percepito come poco invasivo poich non richiede il contatto del corpo
con la superficie del sensore. Fornisce unaccuratezza elevata, in genere
superiore a quelli basati sulle impronte digitali e non lascia tracce nel processo
di acquisizione (a differenza, per esempio, delle impronte digitali); non fornisce
indicazioni su dati sensibili e mantiene unelevata stabilit nel tempo. La sua
rilevazione deve essere effettuata con la partecipazione attiva dellinteressato.

Rilevamento della struttura vascolare della retina


Questa tecnica biometrica prevede luso di un fascio di luce a infrarosso a bassa
intensit che illumini la parte posteriore dellocchio. Si tratta di un sistema
attualmente utilizzato in ambiti che richiedono un livello di sicurezza
particolarmente elevato poich non sono, a oggi, noti meccanismi efficaci per
replicare la struttura vascolare della retina. Inoltre non possibile utilizzare
tessuti di persone morte (come si vede qualche volta nei film di azione) poich
il sensore rileva la circolazione sanguigna.
Tale caratteristica biologica non lascia traccia, altamente distintiva
dellindividuo e ha elevata stabilit nel tempo. Tuttavia pu determinare
malfunzionamenti nel caso siano presenti patologie oculari.

Lettura della forma delliride


Si tratta di una tecnica che prevede la rilevazione della forma della pupilla e
della parte anteriore dellocchio mediante immagini ad alta risoluzione: una
caratteristica altamente distintiva dellindividuo. un procedimento di elevata
accuratezza e velocit di comparazione, caratterizzato da un basso livello di falsi
positivi ed elevata stabilit nel tempo. La sua rilevazione pu essere effettuata
senza la partecipazione attiva dellinteressato.

Topografia della mano


una tecnica basata sulla rilevazione delle propriet geometriche dellarto
acquisite in modalit bidimensionale o tridimensionale mediante un apposito
sistema di scansione che rileva caratteristiche quali la forma, la larghezza e
lunghezza delle dita, la posizione e la forma delle nocche o del palmo della
mano. Va osservato che quelli acquisiti sono tratti distintivi non caratterizzanti

146
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

in modo unico un individuo e che sono soggetti ad alterazione nel tempo. Di


conseguenza, questa tecnica poco adatta per applicazioni di identificazione
biometrica tra un numero ampio di persone ma trova uso efficace ai fini della
verifica biometrica.
Lingombro del sistema di rilevamento ne impedisce lintegrazione allinterno di
dispositivi mobili.
Riconoscimento del volto
Il riconoscimento automatico di un individuo tramite lanalisi delle sue
sembianze facciali un procedimento complesso, che risente della difficolt di
eliminare variabili legate a caratteristiche anche transitorie quali barba, capelli,
occhiali e cos via. Anche la luce pu essere un problema e, infatti, le stesse
tecniche basate su riprese a infrarosso sono pi efficaci. Lutilizzo in
combinazione con tecniche di grafica computerizzata (per esempio per gestire le
ombre) ne garantisce comunque lelevata laccuratezza e ne favorisce lelevata
stabilit nel tempo.
Il riconoscimento facciale pu arrivare a essere molto accurato e le sembianze
facciali possono lasciare tracce, potendo essere acquisite automaticamente
tramite sistemi di videosorveglianza anche senza la partecipazione attiva
dell'interessato.

Ciclo di vita e conservazione dei dati biometrici


I sistemi per lidentificazione biometrica richiedono la costituzione di banche
dati centralizzate di modelli biometrici di riferimento per effettuare confronti
con il modello biometrico ricavato dalla caratteristica presentata.
Per le operazioni di verifica biometrica invece possibile adottare sia una
conservazione centralizzata allinterno di in ununica banca dati sia una
conservazione decentralizzata, in cui i riferimenti biometrici sono conservati
direttamente sui dispositivi di rilevazione su cui avviene il confronto o su
dispositivi sicuri affidati alla custodia dellinteressato.
Per esempio, per laccesso a un sistema bancario si pu usare un sistema basato
sul rilevamento dellimpronta digitale in cui come prima cosa il dito dellutente
viene sottoposto a scansione e, se limpronta corrisponde, viene sbloccata una
smart card cifrata che invia i codici di autorizzazione alla banca. In questo modo

147
INFORMATION SECURITY & DATA PROTECTION

lutente che detiene il proprio codice biometrico e non la banca, che riceve
soltanto il messaggio inviato dalla SIM.
I dati biometrici dovrebbero essere conservati solo per il tempo necessario
al perseguimento degli scopi per cui sono stati raccolti (salvo specifici obblighi di
legge) ed essere cancellati o resi anonimi quando non sono pi necessari rispetto
alle finalit per cui erano stati acquisiti.
Peraltro, nei casi eventuali di conservazione centralizzata dei dati biometrici in
un server, si dovrebbe avere sempre laccortezza di conservare i dati
identificativi degli utenti separatamente dai relativi dati biometrici e di utilizzare
soluzioni di cifratura con lunghezza delle chiavi adeguate alla dimensione e alla
criticit della banca dati. Inoltre, opportuna ladozione di sistemi di
registrazione degli accessi da parte dei soggetti abilitati a svolgere mansioni
tecniche di manutenzione e gestione del server.

Lintervento del Garante della Privacy


I dati biometrici sono direttamente e univocamente collegati allindividuo e il
loro utilizzo rientra tra i trattamenti che presentano rischi specifici e che pu
essere svolto previa richiesta di verifica preliminare al Garante della Privacy.
Alla luce della crescente diffusione di dispositivi biometrici, anche incorporati in
prodotti di largo consumo, a fine del 2014 il Garante Privacy intervenuto sul
tema della biometria per fornire un quadro di riferimento unitario, fornendo
Linee Guida e introducendo altres la terminologia essenziale per la descrizione
degli aspetti tecnologici. Data la particolare delicatezza del tema, prima del varo
definitivo del provvedimento e delle linee guida, l'Autorit ha anche deciso di
sottoporre i testi a una consultazione pubblica.
In questo intervento sono state individuate alcune tipologie di trattamento che,
per le specifiche finalit perseguite, presentano un livello ridotto di rischio e che
pertanto possono essere considerate esenti da una verifica preliminare da parte
dell'Autorit per l'adozione di tecnologie biometriche (definendo per un
preciso quadro di regole a tutela delle libert personali).
In particolare vengono indicati come esenti da verifica:
le caratteristiche biometriche dell'impronta digitale o dell'emissione
vocale come credenziali di autenticazione per l'accesso a banche dati e
sistemi informatici;

148
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

le caratteristiche dell'impronta digitale o della topografia della mano


per il controllo di accesso fisico ad aree "sensibili" e utilizzo di apparati e
macchinari pericolosi;
l'apposizione a mano libera di una firma autografa per la sottoscrizione
di documenti informatici;
l'impronta digitale e la topografia della mano per scopi facilitativi,
purch con il consenso degli interessati.
Il Garante ha ribadito che ogni sistema di rilevazione dovr essere configurato in
modo tale da raccogliere un numero limitato di informazioni (principio di
minimizzazione), escludendo l'acquisizione di dati ulteriori rispetto a quelli
necessari per il conseguimento della finalit perseguita. Tra le numerose misure
di sicurezza individuate dal Garante vi quella che obbliga a cifrare il
riferimento biometrico con tecniche crittografiche, con una lunghezza delle
chiavi adeguata alla dimensione e al ciclo di vita dei dati.

Levoluzione della videosorveglianza


La videosorveglianza storicamente caratterizzata da sistemi di videocamere
collegate in circuito chiuso.
Questa soluzione stata adottata al fine di evitare che il sistema possa essere
manomesso. Peraltro, linstallazione e la manutenzione di questo tipo di
soluzioni risultano costose e presentano un limite di copertura.
Tali sistemi, infatti, adottano cavi video che non possono trasportare il segnale
proveniente dalle telecamere su lunghe distanze.
In passato lo sviluppo di tecnologie in fibra ottica e di architetture di rete
ottimizzate per il trasporto di dati digitali multimediali (per esempio, le reti ATM
Asynchronous Transfer Mode, SONET/SDH) hanno permesso di estendere gli
ambiti applicativi di queste soluzioni, senza per abbassarne gli elevati costi di
utilizzo.
stato, invece, lavvento di Internet e delle cosiddette Web Cam a portare un
nuovo impulso nel settore.
Lutilizzo di del protocollo IP su reti VPN per la trasmissione su lunga distanza,
invece, permette di risparmiare sui costi e di gestire il controllo di pi luoghi

149
INFORMATION SECURITY & DATA PROTECTION

tramite una console centralizzata. Anche le telecamere adottate per questo tipo
di riprese risultano essere molto pi convenienti.
La possibilit di far confluire le funzioni di switching video allinterno di un
ambiente IP preesistente, ha permesso poi di ridurre la complessit
dellinfrastruttura e, di conseguenza, i costi di installazione di un sistema di
videosorveglianza, seppur mantenendo linvestimento pregresso e le
competenze umane a esso associate.
Per queste ragioni, la trasformazione di un servizio che sino a ieri era segregato
su una sua rete proprietaria (ottico-coassiale), privata e parallela, verso lIP,
trasforma la videosorveglianza in unaltra applicazione, valorizzando gli asset
generati dalla stessa e creando un serie di altri servizi che sino a ieri erano
impensabili.
Si pensi, per esempio, alla correlazione tra gli eventi di sicurezza fisica e
sicurezza ICT logica, alla possibilit di analizzare il video registrato in tempo
reale per ridurre i tempi dinvestigazione, alla possibilit di aggiungere e scalare
una soluzione di videosorveglianza in modo immediato poich ogni punto rete
IP , praticamente, un punto telecamera.
A oggi, considerando il livello di diffusione delle reti a larga banda in molte
realt pubbliche, la videosorveglianza di quarta generazione una realt
perseguibile. Lelemento strategico ovvero la rete IP, agisce in qualit di matrice
video per un sistema di sicurezza fisica che virtualmente pu abbracciare
qualsiasi punto toccato dalla rete stessa e gestito da diversi enti competenti,
sino ad arrivare a un unico centro per la sicurezza.
Una piattaforma di videosorveglianza network-centrica del tipo descritto
permette di effettuare le operazioni di monitoraggio attraverso stazioni pc o
Video Wall e di accedere in maniera sicura, in qualsiasi luogo, in tempo reale e
in base al verificarsi di specifici eventi. Da parte loro, gli operatori hanno la
possibilit di controllare la rete da qualsiasi terminale IP e di gestire la raccolta
di flussi video provenienti da differenti siti. Inoltre possibile predisporre
soluzioni tecnologiche interoperabili con telecamere e sistemi analogici di tipo
legacy.

150
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

Un cambiamento epocale
La progressiva affermazione del protocollo IP e la contestuale disponibilit di
ampiezza d banda sempre pi elevata ha aperto le porte a una completa
revisione della videosorveglianza allinsegna della migrazione dalle precedenti
tecnologie analogiche a quelle digitali e alla loro distribuzione attraverso
Internet.
La maggiore flessibilit e interoperabilit delle telecamere IP deriva anche dalla
possibilit, in caso di necessit, di riposizionamento delle telecamere in nuove
aree senza troppe difficolt e in tempi molto pi rapidi rispetto ai dispositivi di
tipo analogico.
Se, per molti anni la videosorveglianza analogica aveva abituato lutente a una
gestione della sicurezza basata essenzialmente sulla registrazione degli eventi
nel loro complesso, lalta risoluzione offerta dalle tecnologie digitali attuali ha
aperto nuove opportunit di estendere il livello di controllo e di modificare la
tipologia di applicazioni di videosorveglianza grazie alla possibilit di visualizzare
dettagli funzionali allidentificazione di persone e oggetti o di espandere larea
da visualizzare.
Si pensi, per esempio, alle nuove applicazioni di video motion detection, che
permettono di catturare immagini in movimento e quindi a ottenere una
migliore identificazione di oggetti e persone. Oppure lobject detection, che
consiste nel rilevamento di elementi estranei allimmagine rispetto alla
condizione di normalit, ossia quando non ci sono movimenti nellimmagine
fissa, che potrebbero richiedere una maggiore attenzione. I sensori digitali
grazie allelevata risoluzione ottenibile permettono, per esempio, di individuare
e leggere dettagli di interesse e di effettuare, per esempio, il riconoscimento
delle targhe delle autovetture o il conteggio del numero di persone che
transitano allinterno di un edificio fino a spingersi al riconoscimento delle
persone.
Il fatto poi che la telecamera acquisisca le immagini gi in formato digitale apre
la strada a una serie di funzioni di elaborazione sempre pi sofisticate. Alcuni
modelli sono in grado di effettuare elaborazioni dellimmagine finalizzate al
miglioramento o allesaltazione di dettagli direttamente allinterno del
dispositivo di acquisizione.

151
INFORMATION SECURITY & DATA PROTECTION

La gestione dellimmagine viene effettuata in modo sempre pi intelligente ed


anche possibile effettuare uno zoom di tipo digitale direttamente per
incrementare ulteriormente la dimensione dellimmagine dopo che lo zoom di
tipo ottico ha raggiunto la sua massima estensione.
Il passaggio verso le nuove tecnologie di videosorveglianza rappresenta anche
un passaggio fondamentale di cambiamento nei referenti aziendali per questo
tipo di applicazioni. Le responsabilit cessano di essere appannaggio del facility
manager per estendersi anche allIT manager che in deve essere coinvolto
poich linfrastruttura di rete utilizzata per la videosorveglianza la medesima
utilizzata per le applicazioni IT. Dal punto di vista della realizzazione, inoltre, la
sorveglianza analogica era implementata tipicamente da elettricisti e impiantisti
elettrici, mentre oggi questo compito si sposta verso i system integrator. Le
conseguenze di questo trend sono uno spostamento nel mercato sia dal punto
di vista dellinterlocutore a cui devono indirizzarsi i vendor che si traduce in un
canale pi qualificato, sia del referente interno al cliente che, come detto,
risulta essere una figura allinterno del dipartimento IT.

Una gestione semplificata


Un altro aspetto caratteristiche della videosorveglianza su IP riguarda la
centralizzazione della gestione che rappresenta unopportunit naturale per
questo tipo di prodotti in grado di avvalersi del livello di flessibilit offerto da un
modello di rete gestibile da postazione centrale e remota in ogni momento e
ovunque anche tramite dispositivi mobile: diventa molto semplice decidere a
Milano come controllare e spostare una telecamera di sorveglianza in Cina e
anche comandare queste operazioni tramite dispositivi portatili quali
smartphone.
Il supporto delle funzionalit Pan/Tilt/Zoom (PTZ) permette, infatti, di gestire
facilmente lo spostamento su diversi assi della telecamera e di effettuare uno
zoom.
Un ulteriore elemento di flessibilit rappresentato dal supporto della
tecnologia Power over Ethernet (PoE) che consente di sfruttare la connessione
Ethernet oltre che per il trasferimento delle informazioni anche per alimentare
apparti che, difficilmente, potrebbero essere collegati a un alimentatore
esterno.

152
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

Dal punto di vista della memorizzazione dei dati possibile lutilizzo di qualsiasi
media storage me il mercato si sta sempre pi orientando vero modelli cloud
che rappresentano lapproccio per certi versi naturale per questo tipo di
applicazioni.
Come detto, la disponibilit di un maggior numero di dettagli abilita
lapplicabilit di tecnologie per lanalisi intelligente delle informazioni.
Tra le funzionalit di questo tipo possiamo ricordare per esempio la possibilit di
impostare azioni in base al rilevamento di un movimento non solo davanti allo
spazio visivo della telecamera ma restringere la condizione a specifiche porzioni
o insiemi dellimmagine cos da poter discriminare il movimento allinterno di
unarea del parcheggio da quello delle foglie degli alberi mosse dal vento. Le
azioni basata su eventi legati al posizionamento possono essere incrociate
attraverso opportuni software di gestione con condizioni legate al periodo in cui
avvengono le azioni in grado di attivare un allarme, la durata, a ripetitivit e la
persistenza delle azioni stesse. Anche in questo casi il raggiungimento
dellobiettivo il risultato dellinterazione tra la tecnologia digitale e la
gestibilit offerta dalla tecnologia IP.

Possibilit di definizione di aree sensibili al movimento in un impianto di


videosorveglianza (Fonte: D-Link)

Sistemi di questo tipo permettono di considerare nuove opzioni per applicare


modalit di sorveglianza differente e pi efficaci: basti pensare alla possibilit di
sostituire un sistema di ronda effettuato a intervalli di tempo pi o meno lunghi,
con un sistema di videosorveglianza che opera con continuit ed in grado di

153
INFORMATION SECURITY & DATA PROTECTION

segnalare automaticamente a uno pi strutture di competenza un eventuale


pericolo per la sicurezza.
Le telecamere hanno poi funzioni di protezione intrinseca con la possibilit di
inviare allarmi e/o attivare azioni in caso di possibili manomissioni alla
telecamera stessa.
Le telecamere su IP possono ospitare anche sistemi audio che ne estendono
ulteriormente la flessibilit duso spingendole verso i limiti di un sistema
interattivo a distanza in grado di abilitare linterlocuzione tra chi si trova nei
pressi della telecamera di sorveglianza e che la sta gestendo da remoto.

Le opportunit del wireless nella videosorveglianza


Lo sviluppo della connessione di rete wireless a larga banda ha ampliato
maggiormente le caratteristiche di flessibilit dei dispositivi di videosorveglianza
digitale.
Con le nuove tecnologie wireless possibile superare le barriere che hanno
frenato ladozione di sistemi di videosorveglianza in aree geografiche remote,
che non sono ancora adeguatamente servite dai servizi di collegamento tramite
fibra ottica.
Ma soprattutto la possibilit di posizionamento delle telecamere in aree
solitamente poco favorevoli (per esempio, negli edifici storici, dove la cablatura
non consentita) e la facilit e velocit con cui possono essere disinstallate e
reinstallate in altre postazioni (si pensi a installazioni a carattere temporaneo
organizzate in locali normalmente non attrezzati per la videosorveglianza) a
conferire la massima versatilit ai sistemi wireless.
I settori che possono beneficiare delladozione di tecnologie di
videosorveglianza wireless vanno da quello della sicurezza pubblica a quello
industriale fino al privato. In particolare nella Pubblica Amministrazione locale si
sta assistendo alla diffusione di sistemi di videosorveglianza che garantiscono
maggiore sicurezza ai cittadini e agli edifici storici nelle aree urbane ma anche
nelle stazioni di treni e metropolitana, nelle stazioni di servizio, nei musei e nei
centri storici e cos via.
Altre applicazioni di videosorveglianza wireless possono riguardare lambito
industriale: per esempio per migliorare il controllo in tempo reale dei processi di
produzione, sia a vantaggio dellazienda sia per una maggiore sicurezza dei

154
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica

dipendenti oppure nellattivit di logistica e magazzino per controllare i flussi in


entrata e uscita di merci, mezzi e persone.
Un altro settore in cui si sta valutando ladozione di sistemi di videosorveglianza
quello del monitoraggio in fase di smaltimento e riciclaggio dei rifiuti, per
evitare che si verifichino attivit in contrasto con le norme che ne stabiliscono le
procedure nei limiti della legalit.
Esistono pi tipologie di connessione wireless che possono essere adottate nel
settore della videosorveglianza in considerazione di diversi fattori quali le
distanze da coprire, le caratteristiche morfologiche e climatiche dellambiente o
larea geografica in cui serve localizzarle.

La sicurezza negli edifici intelligenti


Garantire la sicurezza delle persone e degli asset significa soddisfare le
normative in materia di sicurezza, ridurre i rischi, attenuare la responsabilit,
proteggere i flussi di reddito e ridurre i costi operativi e i premi assicurativi.
Nuove soluzioni e approcci si stanno facendo strada per offrire un elevato livello
di protezione agli utenti di un edificio, predisponendo soluzione intrinseche in
grado di reagire velocemente ed intelligentemente alle situazioni critiche.
Si tratta delle nuove frontiere dei cosiddetti edifici intelligenti la cui portata si
estende a molti ambiti (gestione, efficienza energetica ecc.) oltre a quello della
sicurezza. Anche in questo caso laspetto abilitante rappresentato dalla
predisposizione di un infrastruttura in cui convergono sensori intelligenti
distribuiti, soluzioni di comunicazione flessibili per soddisfare molteplici funzioni
di misura e controllo, una rete di trasporto per la trasmissione delle
informazioni e un sistema di gestione e automazione ereditato sempre pi
dallICT.
Oggi, le nuove tecnologie e un nuovo modo di progettare rendono possibile
dotare un edificio, o un complesso di edifici, di un unico sistema di cablaggio che
permette di trasmettere in modo integrato tutte le informazioni prodotte e
utilizzate all'interno di un edificio mettendo a fattor comune sistemi per il
controllo degli accessi, soluzioni per la rilevazione delle presenze, traffico
telefonico e trasmissione dati.

155
INFORMATION SECURITY & DATA PROTECTION

Predisporre un edificio intelligente offre innumerevoli opportunit in termini di


semplificazione nella gestione e manutenzione e relative riduzioni di costo
associate, riduzione dei tempi di ripristino, possibilit di ottimizzare la gestione
energetica, flessibilit d'uso e riduzione dei fermi tecnici con una migliore
operativit degli utenti.
Oltre a ci questo approccio estende la rete come una piattaforma aperta e
scalabile per l'integrazione e per creare un ambiente sicuro e sostenibile e
fornire una protezione per persone e asset attraverso funzionalit centralizzate
di video sorveglianza basate su telecamere IP, controllo di accesso elettronico e
cos via.

156
8 - sOLUZIONI PER LA
PROTEZIONE DEI DATI

L'obiettivo degli attacchi , nella gran maggioranza dei


casi il dato, pertanto su questo che la protezione
deve concentrarsi, a prescindere che esso risieda nel
data center aziendale, nel cloud o sui dispositivi
utilizzati dagli impiegati, magari in mobilit all'esterno
dell'impresa. Oltre a controllare l'identit di chi
richiede l'accesso al dato, va aggiunto un ulteriore
livello di sicurezza: direttamente collegato al dato
stesso. In particolare, nuove generazioni di tecniche per
la cifratura e la decodifica dei dati prevedono approcci
innovativi.

157
INFORMATION SECURITY & DATA PROTECTION

Lapproccio gestionale alla sicurezza dei


dati
Il riconosciuto valore dellinformazione per unazienda, accompagnato dalla
crescita indiscriminata del numero delle stesse, ha portato nel tempo verso la
definizione di regole di tipo standard per lorganizzazione della sicurezza che
non si limiti agli aspetti tecnologici, ma che prenda in considerazione anche
aspetti di tipo operativo, logico, materiale e legislativo focalizzandosi sugli
aspetti di tipo gestionale.
Le esigenze aziendali che inducono a considerare ladozione di un approccio
gestionale verso la sicurezza delle informazioni sono molteplici. Da un lato la
risposta a esigenze interne relative a conseguire un miglioramento
dellefficienza e a ottimizzare lorganizzazione dei processi di business, dallaltro
il desiderio di ridurre i costi e aumentare il ritorno dagli investimenti effettuati.
A queste si aggiungono una serie di pressioni provenienti dallesterno e
legate, per esempio, alla necessit di adeguarsi progressivamente a direttive
comunitarie unificate, di controbattere le crescenti minacce provenienti da
Internet o, ancora, di rispondere a specifici requisiti legali relativi alla
manutenzione e protezione dei dati e alla tutela della privacy.
Un Sistema di gestione per la sicurezza delle informazioni (SGSI) prevede che
l'azienda implementi una politica di sicurezza allo scopo di gestire le aree a
rischio. I principi fondamentali alla base di un SGSI sono di definire una gamma
di policy per la sicurezza delle informazioni, prevedendo lassegnazione specifica
di responsabilit e limplementazione di metodologie che considerino la
gestione della business continuity, il report degli incidenti e una serie di controlli
periodici per assicurare il raggiungimento degli obiettivi previsti nellambito
della security. Tutto ci allinterno di un processo di educazione,
sensibilizzazione e training verso le tematiche della sicurezza.
Il passo successivo quello di adottare un sistema per verificare il proprio SGSI,
attraverso una certificazione, in conformit ad alcuni standard specifici. Tutte le
organizzazioni possono trarre beneficio da questo tipo di certificazione ma
soprattutto quelle che devono proporre allesterno unimmagine di sicurezza

158
8. Soluzioni per la protezione dei dati

come aziende operanti in ambito finanziario, delle telecomunicazioni,


dellerogazione di servizi IT o la Pubblica Amministrazione.

Le 3A della sicurezza
Il tema centrale attorno al quale costruire queste politiche di sicurezza ruota
attorno alle cosiddette 3A ovvero allinsieme delle tecniche di autenticazione,
autorizzazione e "accounting" che, insieme, svolgono un ruolo coordinato e
sinergico allinterno del processo di protezione dei dati e dei servizi aziendali.
Questi concetti riassumono le procedure e le funzioni necessarie per lo
svolgimento di molti dei processi di sicurezza che avvengono sul Web. In un
contesto di accesso geograficamente distribuito alle risorse informatiche
indispensabile, infatti, trovare dei metodi e delle regole in grado di garantire e
proteggere il corretto svolgimento delle operazioni tra le parti che scambiano
informazioni.
Le 3A sovrintendono proprio a questo tipo di funzioni. In particolare
lautenticazione il processo per garantire in modo univoco lidentit di chi si
appresta ad accedere alle risorse, lautorizzazione definisce i privilegi di cui
dispone questo utente, mentre laccounting si riferisce allanalisi e alla
registrazione sistematica delle transazioni associate a unattivit di business sul
Web. La sicurezza di questi processi viene assicurata da una serie di tecnologie e
procedure che si appoggiano su protocolli e standard.

Implementare un sistema di autenticazione


I trend che alimentano il mercato delle tecnologie di autenticazione sono
molteplici. Innanzitutto va considerata la continua espansione dellaccessibilit
alle informazioni, legata alle nuove categorie di lavoratori mobili e da remoto
nonch alla progressiva apertura del network delle grandi aziende verso partner
e clienti. Inoltre cresce il numero di informazioni critiche e, conseguentemente,
delle misure necessarie per controllare il loro accesso. A questi va aggiunta
quella che si potrebbe definire come la crisi delle password ormai
definitivamente abbandonate da tutti i principali fornitori di tecnologie in cerca
di soluzioni pi affidabili e meglio gestibili.
A controbilanciare questi argomenti concorrono aspetti quali i lunghi tempi di
implementazione (trattandosi spesso di soluzioni che coinvolgono un

159
INFORMATION SECURITY & DATA PROTECTION

grandissimo numero di utenti), i costi associati alla realizzazione di infrastrutture


dedicate, ma anche la giustificazione dellinvestimento rispetto ad altri ambiti
tecnologici e di business, in un momento in cui i budget scarseggiano.
Resta in ogni caso il dilemma della scelta del sistema e della tecnologia da
adottare tra le molteplici opzioni disponibili sul mercato. La risposta a
questesigenza risiede nella valutazione di una serie di motivazioni che devono
tenere in considerazione gli aspetti specifici di ogni azienda e dei suoi processi di
business. Come sempre non esistono ricette uniche ma, di seguito, cercheremo
di fornire alcuni spunti metodologici per orientarsi meglio in questo processo
decisionale.
Il primo e fondamentale punto quello di riconoscere che lindividuazione di
una soluzione di autenticazione rappresenta un compromesso tra costi,
sicurezza e praticit duso e che, pertanto, ogni decisione in merito dovrebbe
essere presa come risultato di unanalisi di questi tre aspetti. La cosa
complicata dal fatto che si tratta di parametri generalmente antagonisti fra loro:
incrementare il livello di sicurezza determina costi proporzionalmente crescenti
e una riduzione della flessibilit e semplicit duso perch richiede ladozione di
strumenti, procedure e tecnologie.
Un approccio metodologico dovrebbe partire da una metricizzazione di tali
aspetti, inizialmente da un punto di vista qualitativo delle implicazioni e, se
possibile, successivamente anche di tipo quantitativo. Per esempio possibile
individuare tutti gli aspetti significativi e correlarli attribuendo loro un indice
numerico.
Anche se a qualcuno potrebbe sembrare un esercizio un po accademico,
ladozione di una metodologia di questo tipo permette di chiarirsi le idee su
domande di difficile risposta quali: di quanta sicurezza ho effettivamente
bisogno?
Non da ultimo, permette di facilitare la comprensione di determinate scelte
tecnologiche anche da parte di chi mastica pi il linguaggio del budget che
quello tecnologico.
Affrontare laspetto dei costi significa, ovviamente, considerare il Total Cost of
Ownership della soluzione, che comprende non solo i costi di acquisizione, ma
anche e soprattutto quelli di deployment e operativi, che vanno associati alle
tecnologie, al personale, ai processi e alla struttura.

160
8. Soluzioni per la protezione dei dati

Eseguire unanalisi degli aspetti di sicurezza e praticit , invece, il risultato di


una valutazione strategica difficilmente ingabbiabile in regole. Tuttavia
possibile almeno separare gli aspetti legati al valore di una soluzione di
autenticazione rispetto agli utenti e allazienda.
La praticit e la semplicit duso, per esempio, dipendono, in generale, dalla
tipologia di utenti che si stanno considerando e cambiano a secondo che si tratti
di partner, dipendenti o clienti. Accanto alla complessit di apprendimento va
considerata anche la praticit di utilizzo, che pu inibire il suo impiego.
Anche gli aspetti legati alla trasportabilit della soluzione di autenticazione
(indice importante della sua flessibilit) possono essere sensibilmente differenti
in funzione della tipologia di utente e sono spesso legati a doppio filo con i costi.
Per esempio, ladozione di soluzioni che richiedono la presenza di un software
sul lato client possono limitare laccessibilit da aree esterne quali le filiali
aziendali.
Un altro esempio pu essere quello di soluzioni di autenticazione che sfruttano
dispositivi mobili e che possono essere condizionate dallarea di copertura del
servizio.
Un ulteriore valore per lutente pu essere la versatilit. A volte il sistema di
autenticazione pu essere costituito da un dispositivo specifico, ma in altri casi
pu combinare in un unico dispositivo una pluralit di funzioni: sistema di
autenticazione, documento di identit dotato di foto, strumento di
memorizzazione di dati e cos via.
Dal punto di vista della valenza strategica per lazienda lelemento primario da
considerare la sicurezza relativa, che deve tenere conto del livello di
protezione offerto dal sistema di autenticazione, della sicurezza della sua
implementazione, dalladeguatezza a proteggere la tipologia di informazioni per
cui lo si vuole utilizzare e anche della garanzia di compatibilit con la normativa.
A ci va aggiunta la possibilit di integrazione allinterno dellinfrastruttura
esistente e linteroperabilit con i sistemi di back-end.
In una valutazione non va, infine, trascurata la possibilit di lasciarsi aperte
opzioni per le future evoluzioni tecnologiche.

161
INFORMATION SECURITY & DATA PROTECTION

Lidentity management
La diffusione attraverso il Web o le reti aziendali di dati ad alto valore, collegata
a transazioni, allaccesso ad applicazioni e a processi di business che prevedono
il trasferimento di informazioni sensibili, ha accresciuto limportanza di
possedere unidentit digitale sicura.
Determinare un sistema per poter dimostrare ad altri di essere un individuo con
determinate caratteristiche, rappresenta un modo per interagire con le regole
che caratterizzano le attivit che svolgiamo. Disporre di unidentit digitale
significa possedere credenziali che consentono lo svolgimento di determinati
compiti, abilitano laccesso a informazioni e servizi e permettono lutilizzo di
determinate applicazioni.
Il parallelo tra lidentit allinterno di un concetto di rete enterprise virtuale e il
mondo reale fin troppo ovvio. Appare quindi immediatamente chiaro che una
specifica identit digitale deve essere associata a un unico utente; inoltre
auspicabile che uno specifico utente possa disporre di un unico set di credenziali
per accedere a ogni tipo di servizio ed altrettanto importante che un utente
possa disporre delle credenziali ogni volta che gli vengano richieste. In questi
processi la sicurezza rappresenta un requisito fondamentale.
Resta per il fatto che, in un mondo digitale caratterizzato dalla distribuzione
delle informazioni, dalla loro accessibilit virtualmente da qualsiasi terminale
connesso in rete, in uno scenario di sistemi informativi eterogenei per
tecnologia, protocolli e regole, gestire unidentit digitale in modo da realizzare i
requisiti di sicurezza, unicit e affidabilit appena espressi, rappresenta un
compito tuttaltro che banale.
La prima osservazione che si pu fare che la gestione di un grande numero di
persone, sistemi, policy e privilegi differenti introduce possibili cause di
inefficienza, errori o compromissione della sicurezza.
Si deve poi considerare il fatto che soluzioni quali, per esempio, CRM, ERP o la
posta elettronica si sono spesso diffuse allinterno delle aziende in relazione a
specifiche esigenze e, dunque, in modo separato le une dalle altre per quanto
riguarda la gestione del loro accesso. Pertanto le informazioni relative
allidentit sono spesso frammentate e distribuite attraverso molteplici sistemi.

162
8. Soluzioni per la protezione dei dati

Infine ci si deve confrontare con lesigenza, da parte di diverse funzioni aziendali


(quali lIT, la gestione delle risorse umane e la sicurezza), di mantenere un certo
grado di controllo e visibilit rispetto ad alcune informazioni relative allidentit
di un utente, quali il tipo di attivit svolta, i privilegi di accesso o lindirizzo di
posta elettronica.
La difficolt nellaffrontare in modo unificato e automatizzato queste difficolt
induce spesso ad adottare un sistema di controllo dellaccesso basto su
procedure impostate in modo manuale che, tuttavia, introducono una serie di
rischi per la sicurezza e di ritardi non accettabili in relazione, per esempio,
allattribuzione o alla revoca di privilegi.
Laffermazione del concetto di Identity Management e delle tecnologie a suo
supporto nascono proprio da questa esigenza di gestione efficace dellaccesso e
di autenticazione mediante unidentit digitale univoca.
Linteresse per questa tematica alimentato (e alimenta a sua volta) dalla
presenza in formato digitale di informazioni critiche per il successo di unazienda
e dalla progressiva affermazione delle modalit di erogazione di servizi on-
demand.
Si capisce dunque che occuparsi di identity management non significa parlare di
un prodotto, ma di una serie di modalit, regole, processi che si appoggiano su
tecnologie e architetture specifiche e su uninfrastruttura di supporto per la
creazione, il mantenimento e lutilizzo di identit digitali. Pertanto, un unico tool
o una singola suite di strumenti non in grado di risolvere tutti i problemi di
gestione dellidentit e dellaccesso ma serve un approccio di protezione pi
strutturato e integrato.
Nella relazione che intercorre tra utente e fornitore di servizio allinterno di un
processo di Identity Management, lutente deve essere garantito in termini di
sicurezza, affidabilit e tutela della privacy. Da parte sua, il fornitore dei servizi
deve predisporre un sistema di autenticazione che consenta di potersi fidare
dellidentit dellutente, deve esercitare un controllo costante attraverso sistemi
di gestione dellaccesso basati su regole ed effettuare unattivit continua di
verifica per assicurarsi che le regole vengano applicate in modo corretto.
Va detto che nella sua accezione pi completa, una soluzione di identity
management si adatta in modo particolare alle esigenze di una grande azienda,
in cui i vantaggi forniti possono essere valorizzati e bilanciare i costi di

163
INFORMATION SECURITY & DATA PROTECTION

implementazione. In aziende con un grande numero di addetti, una soluzione di


questo tipo permette, per esempio, di mettere immediatamente a disposizione
di un nuovo impiegato tutte le risorse a cui ha necessit di accedere per il suo
lavoro in modo rapido e attraverso una gestione centralizzata nonch di
aggiornare o rimuovere immediatamente i criteri e i privilegi di un utente che
fuoriesce dalla azienda o che cambia mansioni.
Il primo passo verso la realizzazione di una soluzione di Identity Management
rappresentato dalla disponibilit di Single Sign-On (SSO) che realizza la
possibilit di accedere, con un unico set di credenziali, a tutte le applicazioni e i
servizi a cui si ha diritto allinterno di un dominio, nel pieno mantenimento dei
criteri di sicurezza e, per quanto possibile, in modo trasparente, delegando al
sistema la gestione di tutto il sistema di protezione.
L'idea di base di spostare la complessit dell'architettura di sicurezza verso il
servizio di SSO, liberando cos altre parti del sistema da determinati obblighi di
sicurezza. Quindi un utente deve autenticarsi soltanto una volta, anche se
interagisce con una molteplicit di elementi sicuri presenti all'interno dello
stesso dominio. Il server SSO pu essere anche rappresentato da un servizio
cloud che, in un certo senso, avvolge linfrastruttura di sicurezza che
sovrintende alla funzione di autenticazione e autorizzazione.

La Data Loss Prevention


Quando si parla di ICT security si fa generalmente riferimento ai pericoli che
sono al di fuori del perimetro aziendale, ovvero agli attacchi dei cyber criminali,
ai virus, alle intrusioni nei sistemi. Gli investimenti delle aziende, che mirano a
contenere al pi basso livello possibile i rischi per il business, si concentrano su
tecnologie quali i firewall, gli intrusion prevention o i software anti-malware,
che hanno appunto il compito di elevare una sorta di muraglia difensiva che non
fa entrare nella rete aziendale nessun utente e nessuna porzione di codice
considerati pericolosi.
Non ci si preoccupa quasi mai, invece, di quello che i dipendenti, o comunque
persone autorizzate, possono portare via dallazienda, ovvero del pericolo che
deriva dalla fuoriuscita, intenzionale o meno, di dati sensibili e informazioni

164
8. Soluzioni per la protezione dei dati

strategiche: anagrafiche clienti, listini, numeri di telefono, offerte, contratti,


documenti con rilevanza legale e via discorrendo.
In assenza di policy specifiche, di unadeguata cultura della prevenzione e di
tecnologie ad hoc, troppo facile, per chiunque abbia accesso a un pc collegato
alla rete aziendale, entrare in possesso di tali documenti e divulgarli: con una
chiavetta USB, con un tablet, spedendole via mail, stampandole, faxandole o
banalmente salvandole nel pc portatile che poi viene rubato al bar sotto lufficio
mentre il dipendente sta prendendo laperitivo. O, ancora, usando sistemi di e-
mail via Web, che spesso sfuggono ai sistemi di controllo della posta aziendale,
o attraverso linstant messaging, anchesso raramente posto sotto osservazione,
o semplicemente su fogli di carta, che quasi mai vengono distrutti prima di
essere gettati nei cestini.
Recenti indagini confermano che il fenomeno ha una portata significativa.
L'insieme di soluzioni tecnologiche che mirano ad arginare il problema sono
definite con locuzione anglosassone di Data Loss Prevention (DLP) e vengono
spesso associate a quelle di monitoraggio e filtro dei contenuti, che presentano
funzionalit analoghe.
Tali soluzioni stanno attirando sempre pi interesse, anche perch costituiscono
una protezione di secondo livello per le intrusioni dallesterno. Se un cyber
criminale riesce a entrare nella rete aziendale, infatti, si trover poi a dover
affrontare il sistema DLP che gli impedisce di portare fuori le informazioni
sensibili, per esempio con un filtro che non riconosce come valido lindirizzo IP a
cui il malintenzionato tenta di inviare i dati o con limpossibilit di aprire il file
protetto. Inoltre, potrebbe essere autorizzato ad aprire un determinato
documento, per esempio un pdf, solo chi in possesso di una specifica chiave
hardware.
I vantaggi ci sono e alcuni studi lo hanno dimostrato. L'aumento dei furti di
propriet intellettuale e dati rende pressoch ineluttabile l'adozione della DLP.
Le soluzioni DLP possono agire a livello di rete o di singolo host, individuando i
comportamenti non conformi alle policy che lazienda si data. A questo punto
possono intervenire bloccando lazione oppure mettendola in quarantena fino a
che qualcuno, in possesso di opportuna autorizzazione, verifichi se esisto o no
una reale violazione.

165
INFORMATION SECURITY & DATA PROTECTION

La notifica del pericolo pu essere indirizzata al responsabile di settore, a quello


delle risorse umane o al manager di area, ma comunque a qualcuno che sia in
grado di valutare il valore dellinformazione da un punto di vista del business.
Anche allutente opportuno segnalare il problema, poich la maggior parte
della fuoriuscita di dati non da imputare a cattive intenzioni, ma solo a
imperizia o ignoranza.
Per implementare in modo efficace questo tipo di soluzioni diventa
indispensabile comprendere quali sono i dati da proteggere e qual' il rischio
che questi vengano resi noti allesterno dellorganizzazione.
In altre parole necessaria unattivit di risk assessment mirata a classificare i
dati: unoperazione tuttaltro che banale e che, se non viene fatta con
attenzione, rischia di vanificare anche la tecnologia pi sofisticata.
Il rischio di falsi positivi e lampia zona grigia che emerge quando si cerca di
dividere le informazioni da proteggere da quelle poco sensibili rendono lo
scenario complesso e spostano il peso dellinvestimento pi sulla parte di servizi
di consulenza che su quello della tecnologia in s.

Rivedere i processi e coinvolgere i dipendenti


Definire e classificare le informazioni da proteggere un problema complesso,
ma a volte risulta ancora pi complicato individuare tutte le diverse modalit
con le quali i dipendenti riescono a portare le informazioni al di fuori
dellorganizzazione. Ecco perch implementare una soluzione DLP pu avere
come risultato sia quello di rilevare le fughe di dati sia di identificare processi
di business poco efficaci e renderli pi sicuri, implementando controlli pi
rigorosi. In altre parole, unoccasione per monitorare a fondo le attivit e
scoprire i punti deboli, verificando chi pu accedere a cosa.
Si pone, ancora una volta, il problema di bilanciare le esigenze di security con
quelle di business, ovvero di proteggere lazienda senza, per, porre vincoli
operativi troppo stringenti che portano a inevitabili perdite di tempo e, non
ultimo, a malcontento.
Questo tipo di attivit richiede il massimo coinvolgimento dei dipendenti, che
devono essere informati dei rischi e devono uniformarsi alle policy di sicurezza
nel trattamento dei dati sensibili che ogni azienda dovrebbe avere. Tuttavia,
nella pratica, ci avviene molto raramente.

166
8. Soluzioni per la protezione dei dati

La sicurezza nell'era dell'as-a-service


e del cloud
Levoluzione verso il cloud computing rappresenta il punto finale di un lungo
processo di apertura delle aziende verso lesterno. Le reti aziendali, una volta
roccaforti gelosamente celate a qualsiasi utente esterno, si sono
progressivamente aperte prima ai fornitori, poi verso i clienti fino ad approdare
ai social media.
Con lavvento del cloud questa apertura stata estesa non solo allaccesso delle
informazioni, che in precedenza restavano comunque custodite allinterno di un
perimetro di rete ben definito, ma alle informazioni stesse che, potenzialmente,
sono libere di spostarsi ovunque e anche di allontanarsi molto dallazienda.
Le soluzioni di protezione hanno quindi dovuto rinnovarsi ed espandere il livello
di protezione perimetrale per agganciarsi ai dati e seguirli nei loro
spostamenti.
Ecco allora che nel cloud la protezione diventa sempre pi focalizzata sul dato
pur mantenendo le tradizionali difese di tipo perimetrale, perch gli attacchi di
tipo tradizionale continuano e, anzi, sono costantemente in crescita per numero
e sofisticazione.
Il cloud stesso viene poi utilizzato per rafforzare il livello di protezione: lanalisi
delle minacce si avvale, infatti, sempre pi spesso di meccanismi di diffusione
collettiva della conoscenza che, non appena vengono identificate nuove
minacce, permettono di esercitare istantaneamente la protezione su tutti i
client connessi per ridurre al minimo i rischi e i possibili contagi.

Sicurezza negli ambienti private e public cloud


Il tema della sicurezza negli ambienti private cloud in buona parte,
riconducibile a quello della protezione in ambienti virtualizzati, che ha alcuni
requisiti specifici.
Tra i temi tecnologici da affrontare vi per esempio quello di determinare
dove collocare il livello di protezione in relazione all'hypervisor.
Un altro problema che emerge in modo preponderante negli ambienti
virtualizzati (pi che in quelli fisici) quello della business continuity che sta

167
INFORMATION SECURITY & DATA PROTECTION

diventando anchessa sempre pi unofferta di servizi. Per rendersene conto


basta riflettere sullimpatto che pu derivare dal guasto di un singolo
sistema fisico su cui sono ospitate le immagini anche di migliaia di macchine
virtuali.
Il cloud porta con s anche nuove opportunit per la protezione dei sistemi
informativi, con servizi di backup as a service e disaster recovery as a service,
mentre si affacciano anche nel nostro Paese le prime offerte di servizi per il
backup dei dati sul cloud e per il disaster recovery delle virtual machine
presenti nel cloud, effettuati direttamente sul cloud anzich (o in aggiunta)
sui sistemi interni all'azienda.
In molti ritengono che le opportunit pi significative aperte dal cloud
computing vadano ricercate nel public cloud. infatti in questo caso che la
flessibilit diventa massima ed possibile per le aziende aggiungere risorse
IT a piacere, in modalit on-demand e pagandole solo per il tempo effettivo
di utilizzo, avendo la possibilit di scavalcare gli alti costi di investimento
necessari per innovare e modernizzare linfrastruttura informatica, senza
doverci rinunciare.
Il public cloud, per, porta i dati fuori dallazienda, anche se non sempre
fuori dal controllo dellazienda. Non comunque infrequente che il
proprietario delle informazioni, che anche il soggetto che risponde di
fronte alla legge di eventuali irregolarit, non sappia dove fisicamente siano
collocati i propri dati o che non disponga degli strumenti per poter
controllare che tutti i processi che coinvolgono i suoi dati siano conformi alle
normative del proprio Paese o perlomeno alle policy interne aziendali in
merito alla sicurezza.
Va rimarcato che lesternalizzazione di servizi da parte di aziende o
Pubbliche Amministrazioni che adottano soluzioni di cloud computing non le
esime dalle loro responsabilit legali in merito, per esempio, al trattamento
o alla diffusione di dati sensibili personali. La responsabilit di assicurarsi che
il fornitore di servizi cloud tratti i dati nel rispetto della Legge e delle finalit
del trattamento resta, infatti, a carico dellazienda che possiede i dati e, nel
caso di trattamento illecito o diffusione incauta, sar quella che ne
risponder direttamente.

168
8. Soluzioni per la protezione dei dati

Per garantire il livello di protezione necessario per gli ambienti public cloud
sono state messe a punto sofisticate soluzioni di cifratura e gestione delle
chiavi, tool per garantire la conformit, sistemi di gestione dellaccesso sicuri
e operanti allinterno di strutture federate sicure.
Diventa in ogni caso essenziale scegliere in modo oculato il cloud service
provider a cui affidarsi considerando che il trasferimento della gestione della
sicurezza a un fornitore di servizi esterni trasforma, di fatto, le pratiche di
gestione del rischio in Service Level Agreement (SLA) contrattuali valutati
sulla base di parametri di riferimento specifici e oggettivi.
Ma dopo aver concordato e definito gli SLA con il security service provider,
lazienda deve anche avere a disposizione gli strumenti per monitorarli
attraverso strumenti di reportistica e indicatori che possono preferibilmente
anche essere personalizzati in base alle esigenze specifiche del business. La
perdita del controllo diretto sulla gestione del patrimonio informativo resta,
peraltro, uno dei nodi centrali che attualmente rallentano lutilizzo dei
servizi public cloud.

La sicurezza delle applicazioni eseguite nel cloud


Il software applicativo che viene sviluppato oppure eseguito all'interno degli
ambienti di cloud computing si trova sottoposto a una serie di requisiti legati
alla sicurezza che dipendono dalla tipologia di modello di distribuzione cloud a
cui indirizzato.
Per valutare il livello di sicurezza delle applicazioni in un ambiente cloud, i
security manager aziendali si trovano, pertanto, non solo a dover decidere se sia
opportuno sviluppare o eseguire un'applicazione su una piattaforma di cloud
computing ma, nel caso in cui decidano di farlo, anche di scegliere
accuratamente la modalit pi appropriata per farlo.
Per garantire la sicurezza delle applicazioni in un ambiente cloud almeno due
aspetti vanno considerati.
Il primo di determinare i controlli di sicurezza che un'applicazione deve fornire
in aggiunta al livello di controllo intrinseco alla piattaforma cloud. Un secondo
punto chiave riguarda le modalit che legano il ciclo di vita di sviluppo a livello
enterprise con quello degli ambienti cloud.

169
INFORMATION SECURITY & DATA PROTECTION

Questi due aspetti vanno esaminati in relazione alle differenti tipologie di


piattaforma cloud ovvero IaaS, PaaS e SaaS.
All'interno di un'infrastruttura erogata sotto forma di servizio (IaaS), il fornitore
mette a disposizione dell'utente diversi componenti virtuali e un primo aspetto
da considerare per garantire la sicurezza applicativa che l'immagine virtuale
fornita dal provider IaaS sia sottoposta allo stesso livello di controllo di sicurezza
e di conformit a cui sono soggetti gli host presenti all'interno della rete
enterprise.

Le tre opzioni d'offerta di servizi cloud

Va poi evidenziato che la maggior parte delle applicazioni interne all'azienda


enterprise non si preoccupa eccessivamente di garantire la sicurezza della
comunicazione tra gli host di un'applicazione distribuita, poich il traffico
transita solo attraverso una rete sicura. In un ambiente cloud gli host operano,
invece, all'interno di un'infrastruttura condivisa con altre aziende e, pertanto,
un'applicazione "cloud based" deve farsi carico anche di garantire la

170
8. Soluzioni per la protezione dei dati

comunicazione tra host per evitare che, durante l'elaborazione, possa verificarsi
una diffusione non autorizzata di dati sensibili. Tutte le precauzioni adottate
all'interno dell'ambiente enterprise a protezione dei dati sensibili dovrebbero
perci essere applicate anche alle applicazioni ospitate all'interno di un
ambiente IaaS.
Nel valutare l'impatto del PaaS sull'architettura di sicurezza delle applicazioni si
deve tenere conto che questo tipo di piattaforme fornisce anche l'ambiente di
programmazione per accedere e utilizzare i componenti applicativi aggiuntivi, il
quale ha un impatto non trascurabile sull'architettura dell'applicazione.
In un ambiente Software as a Service (SaaS) vanno affrontate le medesime
cautele di sicurezza degli ambienti PaaS e IaaS. Come le piattaforme PaaS, anche
il SaaS rappresenta, di fatto, un nuovo ambiente di programmazione che
richiede la messa a punto di specifici schemi di codifica e di progettazione
sicura.
Un'azienda che decide di adottare questo tipo di servizi dovrebbe anche
poter disporre di un modo per stabilire che il ciclo di vita di sviluppo del
proprio fornitore di servizi software sia sicuro quanto il proprio e dovrebbe,
preferibilmente, richiedere SLA contrattuali e verificabili.

Scegliere il cloud security service provider


Ma quali sono gli elementi ideali che dovrebbero caratterizzare un fornitore
di servizi di sicurezza per lambito cloud enterprise?
Perlomeno tre sono gli aspetti che si evidenziano come particolarmente
critici e che, in fase di identificazione, opportuno considerare
attentamente.
Il primo riguarda lesistenza di un framework di riferimento che permetta di
traslare le policy e le procedure in servizi reali applicabili alle attivit di
business e che fornisca informazioni inerenti il livello di sicurezza esistente
nonch una visione sul grado di efficacia delle specifiche regole e procedure
attivate.
Inoltre, importante che un fornitore di servizi di sicurezza nel cloud metta
a disposizione delle aziende anche le capacit umane necessarie per
supportarle nello sviluppo di servizi aziendali, guidandole nella valutazione
del livello di sicurezza esistente e della sua efficacia.

171
INFORMATION SECURITY & DATA PROTECTION

Ultimo aspetto, ma non per importanza, che l'offerta comprenda adeguati


servizi di Security service management che permettano di fondere, in un
unico insieme, le attivit di business e di sicurezza, favorendo lo sviluppo di
un modello di governance e della valutazione dei risultati dello specifico
ambiente business.
Intervenendo in queste aree fondamentali possibile personalizzare il
sistema di sicurezza in modo che risponda alle specifiche necessit di
unazienda e del suo modo di condurre il business e fare in modo che
lapproccio basato sul cloud diventi unefficace leva competitiva.
Il tema della scelta di un fornitore di servizi cloud (e quindi anche di servizi di
cloud security) stato affrontato anche dal Garante della Privacy che ha
messo in evidenza l'importanza di effettuare delle verifiche sulle
certificazioni possedute oltre che sui servizi offerti e sulla qualit della sua
infrastruttura, sullidoneit della piattaforma tecnologica, sulle competenze
del personale e sulle misure di sicurezza che garantisce in caso si verifichino
situazioni di criticit.
Se il fornitore non fa parte dellUnione Europea meglio verificare che sia
possibile effettuare il trasferimento dei dati personali verso il Paese in
questione (consentito nei casi previsti dal D.lgs. 196/2003) e che ci sia una
legislazione che garantisca un adeguato livello di protezione della privacy.
Altrimenti opportuno sottoscrivere dei modelli di contratto che siano stati
approvati dalla Commissione Europea e dal Garante della Privacy.
Se, invece, il fornitore svolge un ruolo da intermediario appoggiandosi a un
terzo soggetto, opportuno non perdere di vista lallocazione fisica dei
server. Lazienda deve sapere con certezza sotto quale giurisdizione
risiedono i dati per conoscere la legge applicabile nel caso di controversie tra
lutente e il fornitore del servizio o in cui lautorit giudiziaria debba eseguire
ordini di perquisizioni, sequestro e cos via.
Nel caso in cui lazienda decide di trasferire il servizio a un nuovo fornitore,
bisogna accertarsi anche dei tempi che intercorrono dalla scadenza del
contratto alla cancellazione definitiva dei dati da parte del fornitore che li ha
avuti in gestione, il quale deve garantire di non conservare i dati oltre i
termini stabiliti per contratto.

172
8. Soluzioni per la protezione dei dati

Sempre nellottica di un passaggio ad altro fornitore utile privilegiare i


servizi che garantiscono la portabilit dei dati, quindi basati su formati e
standard aperti, che facilitino la transizione da un sistema cloud a un altro,
anche se gestiti da fornitori diversi.

La protezione crittografica dei dati


La crittografia una scienza antica, nata per proteggere le comunicazioni
militari ai tempi di Giulio Cesare. Il concetto semplice: inventare una regola
che modifica il significato del dato scritto, cosicch non possa essere
compreso da chi non conosce tale regola.
I sistemi pi antichi si basavano sulla trasposizione delle lettere dellalfabeto.
Il metodo Cesareo, per esempio, sostituiva ogni lettera con quella
successiva: in questo modo ROMA diventava SPNB. Una versione pi evoluta
di questi sistemi prevedeva anche una regola di sostituzione.
La crittografia moderna si basa ancora sui sistemi di sostituzione e
trasposizione, ma la sicurezza non pi affidata alla segretezza
dellalgoritmo di cifratura (i sistemi di crittografia moderni sono, infatti,
rilasciati con i codici sorgenti), ma a quella di una chiave esterna. Le tecniche
di crittografia delle informazioni si basano, infatti, su sofisticati algoritmi di
tipo matematico che utilizzano una chiave per modificare il dato. Quanto pi
bit sono utilizzati, quanto pi lunga la chiave, tanto pi, tanta pi potenza
di calcolo sar necessaria per "crackare" il sistema e ottenere la chiave.
Il limite di un modello di crittografia statica di non essere in grado di
modificare il tipo di protezione offerta in funzione dellesperienza acquisita.
In altre parole, una volta superata la protezione cifrata, il successivo
tentativo di intrusione non incontrer pi ostacoli.
Considerando che la disponibilit di potenza di calcolo in continua crescita,
si intuisce quanto rapidamente possa aumentare l'obsolescenza di un
sistema per la cifratura, che dipende dalle prestazioni dei computer
disponibili e dagli sviluppi delle tecniche di criptoanalisi. Anche grazie alla
dinamicit offerta dalla virtualizzazione e dal cloud, si stanno sviluppando
nuove tecniche di crittografia che prevedono una cifratura "interna" al dato
stesso, in particolare per applicazioni in ambito cloud storage.

173
INFORMATION SECURITY & DATA PROTECTION

Su altri fronti, si lavora per migliorare la criptazione dei canali per la


comunicazione.
In ogni caso, le soluzioni di sicurezza crittografiche vanno riviste
periodicamente nel tempo, per garantire che il livello di protezione si
mantenga costante e adeguato.
Da un punto di vista del business, le funzioni di sicurezza garantite dalla
crittografia contribuiscono in modo significativo a estendere il livello di
protezione nel processo di gestione degli accessi, intervenendo nei seguenti
ambiti:
Autenticazione, che assicura che il mittente e il destinatario di un
messaggio siano quelli che affermano di essere;
Confidenzialit, che fa in modo che le informazioni siano accessibili solo
da chi preposto a farlo;
Integrit, garantendo la non alterazione delle informazioni da parte di
persone non autorizzate;
Non ripudiabilit, impedendo a utenti di negare la paternit delle
informazioni trasmesse;
Identit, verificando lassociazione tra uno specifico individuo e una
risorsa o uninformazione;
Autorizzazione, che definisce i privilegi e le azioni permesse rispetto a
una specifica risorsa.
Le tecniche di crittografia delle informazioni utilizzano sofisticati algoritmi di
tipo matematico per rendere incomprensibili i dati a un utente non
autorizzato e fornire nel contempo, a chi autorizzato a farlo, la possibilit
di ricostruire le informazioni in un formato comprensibile riconvertendo il
testo cifrato in testo in chiaro.
Lo strumento alla base del processo di cifratura/decifrazione delle
informazioni quello della gestione delle chiavi.
I modelli di base da cui discendono le diverse evoluzioni dei sistemi di
gestione delle chiavi sono quelli a chiave condivisa e chiave pubblica, che
vengono brevemente ricordati di seguito.

174
8. Soluzioni per la protezione dei dati

Il sistema di crittografia simmetrico o a chiave condivisa


Un sistema di crittografia simmetrica (detto anche a chiave condivisa) prevede
che venga utilizzata ununica chiave per effettuare le operazioni di cifratura e
decifrazione del testo.
Si tratta di un sistema che si basa sulla reciproca fiducia delle due parti e in cui i
detentori della chiave, che in questo contesto viene anche detta privata (per
distinguerla da quella pubblica), confidano sulla protezione che ognuno,
reciprocamente, garantir alla chiave in suo possesso. Questo sistema richiede
una fase di scambio della chiave tra le due parti che deve essere effettuata in
condizioni di sicurezza.
Si tratta di un metodo che consente di cifrare grandi quantit di dati in modo
rapido e veloce, soprattutto se eseguito in modalit hardware.
La garanzia di sicurezza in questo sistema determinata dalla dimensione della
chiave: quanto pi lunga la chiave, tanto pi numerosi sono i tentativi che
devono essere effettuati per individuarla.

Schema di un sistema di crittografia simmetrico basato sulluso di chiavi private

175
INFORMATION SECURITY & DATA PROTECTION

Il sistema di crittografia asimmetrico o a chiave pubblica


La crittografia di tipo asimmetrico prevede lutilizzo di due chiavi distinte che
interoperano tra loro per realizzare le procedure di cifratura e decifrazione dei
dati. Le due chiavi, una pubblica e una privata, hanno funzionalit reciproca, in
modo che i dati cifrati con una chiave possono essere decifrati solo con laltra.
Ogni utente dispone di due chiavi: una chiave privata specifica e univoca
conosciuta solo dal suo possessore e una chiave, detta pubblica, inserita in un
archivio liberamente consultabile e mantenuto a cura di un ente certificatore
(Certification Authority).
Un utente che voglia inviare un messaggio protetto, provvede a cifrarlo
mediante la chiave pubblica del destinatario, il quale potr risalire al messaggio
originale decifrandolo per mezzo della propria chiave privata.
Questo sistema si basa sul principio che la conoscenza della chiave di cifratura
non permette di ricostruire alcuna informazione su quella di decifrazione,
poich le due chiavi non hanno alcun elemento in comune.

Schema di un sistema di crittografia asimmetrico basato sulluso di una coppia di chiavi


distinte (pubblica e privata)

I sistemi crittografici di tipo asimmetrico garantiscono un elevato livello di


sicurezza, ma richiedono una notevole potenza di calcolo e sono pi lenti di

176
8. Soluzioni per la protezione dei dati

quelli simmetrici. Richiedono, inoltre, massima attenzione nella


conservazione della chiave privata poich, in caso di sua perdita, lunico
modo per recuperare i dati quello di ricorrere ad agenti autorizzati.

Protezione nel cloud con una crittografia embedded


L'esigenza di una crescente sicurezza nellaccesso alle informazioni
fortemente aumentata con la diffusione di Internet e con lo sviluppo di
modelli di interazione tra aziende che hanno portato a un concetto di
azienda estesa, dove la relazione tra le entit coinvolte si basa sulla certezza
dellinterlocutore (sia esso una persona fisica o un programma) e sulla
inalterabilit dei dati e delle informazioni (per esempio ordini, fatture, bolle
di spedizione, documenti amministrativi e legali, bollette) che sono
scambiate nel corso delle usuali attivit di business.
I nuovi modelli cloud e l'affermazione della mobilit hanno ulteriormente
contribuito a complicare lo scenario della gestione del rischio. Per esempio,
la componente di cloud pubblica rende difficoltoso sia conoscere la
collocazione fisica dei dati di business affidati al proprio cloud provider sia
riuscire a seguirli nei loro spostamenti.
Indipendentemente dall'approccio di sicurezza seguito, il dato rappresenta,
in ultima analisi, l'elemento da proteggere.
Proteggere i dati significa molte cose: garantirne la disponibilit,
l'accessibilit, la conservazione ma, dal punto di vista del business, una delle
esigenze primarie quella di impedirne la diffusione non autorizzata e la
riservatezza.
In molti casi mantenere i dati privati e sicuri costituisce anche un requisito di
conformit, per esempio alle norme Sarbanes-Oxley (SOX), al Payment Card
Industry Data Security Standard (PCI DSS) o alle direttive sulla protezione dei
dati dell'Unione Europea che richiedono che le organizzazioni proteggano i
loro dati a riposo e garantiscano efficaci difese contro le minacce.
L'adozione di tecnologie di crittografa consente di predisporre un livello di
sicurezza intrinseco al dato stesso, che viene esercitato al momento stesso
della sua creazione e che in grado di spostarsi insieme all'informazione.
Questo livello di protezione alla base dell'offerta di soluzioni che si
appoggiano a servizi "on demand" per proteggere i dati inattivi, attivi e in

177
INFORMATION SECURITY & DATA PROTECTION

uso nel corso del loro intero ciclo di vita, all'interno di ambienti cloud, on-
premises e mobili. Si tratta di soluzioni di ultima generazione, in massima
parte ancora in fase di start up e che, in estrema sintesi applicano la
cifratura nel momento in cui si chiede l'accesso al dato. La chiave, in taluni
casi, pu cambiare per ogni dato.
Molte di queste tecnologie nascono per la protezione in ambito mobile, per
cui la protezione viene attivata nel cloud e non dal dispositivo. Una
precauzione importante per le applicazioni di pagamento tramite device
mobili.

Crittografia e cloud
Diverse sono i benefici che le aziende possono ottenere spostando
applicazioni e dati nel cloud: dalla scalabilit, all'agilit, alla riduzione dei
costi. Tuttavia, ai potenziali vantaggi sono associati anche nuovi rischi.
Peraltro, va ricordato che i cloud provider che offrono servizi di
Infrastructure as a Service (IaaS) e Platform as a Service (PaaS) propongono
solitamente un modello di "responsabilit condivisa" per le applicazioni e i
dati dei loro clienti e, di conseguenza, la responsabilit della sicurezza dei
dati nel cloud un problema la cui soluzione spetta alle aziende proprietarie
dei dati.
La crittografia dei dati uno dei metodi pi efficaci per proteggere i dati a
riposo nel cloud, ma non tutte le tecnologie sono identiche. Al fine di
selezionare la soluzione pi efficace per le proprie specifiche esigenze
aziendali, importante analizzare alcuni aspetti fondamentali legati alla
gestione del processo di crittografia e al modo in cui viene esercitata la
protezione dei dati in uso o a riposo attraverso ogni fase del loro ciclo di vita
e a come viene affrontata la gestione e la sicurezza delle chiavi di
crittografia.
Una delle preoccupazioni primarie per chi sceglie modelli cloud di tipo ibrido
o pubblico proprio quella di garantire la massima segretezza delle chiavi di
cifratura riuscendo, nel contempo, a mantenerne la propriet e il controllo:
due obiettivi spesso tra loro antagonisti.
Infatti, tutti i sistemi di crittografia dei dati, sia nel cloud o in un data center
fisico, condividono una vulnerabilit comune: hanno bisogno di utilizzare le

178
8. Soluzioni per la protezione dei dati

chiavi di crittografia e, quando queste sono in uso, possibile,


ipoteticamente, rubarle.
Nell'analizzare una soluzione di crittografia anche opportune valutarne il
livello di versatilit e la sua capacit di supportare i diversi possibili casi
d'uso: crittografia del disco, del database, del file system e dello storage
distribuito.

179
INFORMATION SECURITY & DATA PROTECTION

180
8. Soluzioni per la protezione dei dati

STRATEGIE E SOLUZIONI PER


LA SICUREZZA E LA
PROTEZIONE DEL DATO

181
INFORMATION SECURITY & DATA PROTECTION

182
F-Secure
RADAR una soluzione che gestisce,
individua e risolve le vulnerabilit

Ci sono tre tipi fondamentali di vulnerabilit che possono lasciare i propri


sistemi IT pericolosamente esposti a un attacco da parte di hacker, sia esterni
che interni allazienda:

Software non aggiornati.


Sistemi mal configurati
Applicazioni web non sicure

Comprendere e gestire in modo appropriato queste debolezze pu ridurre la


superficie dattacco ai sistemi personali in modo anche molto significativo ed
evitare di incorrere nei problemi critici per il business e la normale operativit
che ne conseguono, sia in termini economici che di ritardi causati ai processi di
business, che risulterebbero rallentati o del tutto bloccati.

Dati sempre pi preoccupanti


I dati diffusi periodicamente dagli analisti e dagli esperti del settore sono poco
incoraggianti ed evidenziano che gli attacchi da parte di mali intenzionati sono
in continuo aumento. In pratica, il rischio di violazioni alla sicurezza pi alto
che mai, con il numero di malware che a partire dal 2006 andato duplicando
anno dopo anno con un andamento praticamente esponenziale.
In media, ogni giorno emergono 19 nuove tipologie di vulnerabilit (fonte:
National Vulnerability Database). Non c da meravigliarsi che sfruttare le
vulnerabilit sia il modo pi efficiente da parte di un malintenzionato per violare
una rete aziendale.

183
INFORMATION SECURITY & DATA PROTECTION

Il problema che si pone, una volta preso atto di questa realt : come si pu
sapere se qualche vulnerabilit (e quale tra queste) gi in agguato nascosta da
qualche parte nei propri sistemi e pronta ad attivarsi in un momento critico?
Dopo tutto, anche il solo ottenere una panoramica di tutte le versioni del
software in esecuzione su una rete aziendale anche di piccole dimensioni pu
essere un compito piuttosto arduo ed ogni versione presentare vulnerabilit
diverse luna dallaltra.
Inoltre, si deve andare in cerca di configurazioni errate, password non sicure in
ciascuna applicazione web, e in tutti gli altri posti dove queste vulnerabilit
potrebbero esistere. Si tratta di un compito al limite del possibile, soprattutto se
si hanno molteplici sistemi, server e piattaforme da gestire.

I tre quarti degli attacchi avvengono sul piano dellapplication layer

La risposta agli attacchi: scansione e gestione delle


vulnerabilit
Per stare al passo con le minacce, suggerisce F-Secure, societ che nel campo
della sicurezza ha uno status di leader a livello mondiale, occorre eseguire

184
F-SECURE

scansioni regolarmente. Una volta che si sono rilevate molte vulnerabilit, si


deve per essere in grado di porre una soluzione al problema. Ma qui se ne
pone un altro: da dove partire?
E a questo punto che la sua soluzione RADAR pu venire in concreto aiuto.
Radar una sua nuova applicazione per la gestione e la scansione delle
vulnerabilit che ha sviluppato per permettere non solo di ricercare le
vulnerabilit stesse ma anche di risolverle.
A garanzia della sua validit e corrispondenza alle normative la soluzione stata
certificata PCI ASV a livello europeo per la gestione e la scansione delle
vulnerabilit.

Mappatura e scansione
Il funzionamento concettualmente semplice. Attraverso degli scan node,
RADAR esegue per prima cosa una mappatura di tutti gli asset presenti in un
sistema. Rileva tutto ci che risponde a un indirizzo IP: server, desktop, router,
stampanti, videosorveglianza e qualsiasi altro apparato connesso alla propria
rete, anche nel caso si tratti di una Wireless LAN, e in qualunque luogo esso si
trovi connesso.
Una volta generata una panoramica di tutti gli asset presenti e attivi, procede ad
esaminare tutte le potenziali vulnerabilit esistenti nella rete.
Le vulnerabilit possono avere origini molteplici. Possono derivare ad esempio
da banali errori di configurazione, oppure da una gestione delle patch non
appropriata o anche da unimplementazione sbagliata.
Eseguendo la scansione, possibile per Radar anche identificare i punti che
sono particolarmente vulnerabili e interessanti per gli hacker, che potrebbero
quindi cercare di sfruttarli con strumenti pi avanzati per penetrare le difese
della rete aziendale.
RADAR fornisce anche strumenti di reportistica che permettono di creare dei
ticket per le problematiche riscontrate.
E quindi possibile assegnare la risoluzione di una determinata vulnerabilit a
operatori incaricati, fornendo in automatico link e documenti specifici sul
problema rilevato.

185
INFORMATION SECURITY & DATA PROTECTION

Come avviene il controllo realizzato da Radar

Maggiori informazioni su F-Secure Radar possono essere trovate a


https://www.f-secure.com/en/web/business_global/radar

F-Secure Radar: vulnerability scanning and management


F-Secure Radar consiste di una piattaforma sofisticata e di un engine di web
scanning.
Le due entit operano in modo accoppiato con una piattaforma basata su web
di vulnerability management e reporting.

186
F-SECURE

A questo si aggiunge lintegrazione con funzionalit integrate di software di


terze parti tramite F-Secure Radar API.
Per quanto concerne il suo uso F-Secure Radar fornito con uno schema di
licenza flessibile che permette un numero illimitato di scansioni.
Gli utenti che hanno gi usato il software Radar e trovato in esso la soluzione ai
problemi di vulnerabilit includono societ e operatori nel settore del Finance,
nel Gaming, Service Provider e brand internazionali di primissimo livello.

187
188
Forcepoint FORCEPOINT

Strategia olistica per la sicurezza di


utenti, dati e reti con al centro le persone
Forcepoint una joint venture tra Raytheon Company e Vista Equity Partners,
nata dalla fusione di Websense con Raytheon Cyber Product e dalla successiva
acquisizione di Stonesoft e Sidewinder. L'azienda, che sta ancora investendo
nella sua crescita, ha recentemente annunciato una nuova organizzazione in
quattro aree strategiche, Cloud Security, Network Security, Data & Insider
Threat Security e Global Government, che guideranno linnovazione attraverso
ogni prodotto del portafoglio, mentre lavoreranno congiuntamente per
sviluppare sistemi che permettano alle imprese di fornire accesso aperto e non
vincolato a dati critici e propriet intellettuale ovunque, riducendo il rischio
informatico.

Emiliano Massa, Area Vice President Southern Europe di Forcepoint

L'obiettivo consentire alle aziende di comprendere i comportamenti delle


persone e i loro intenti quando interagiscono con i dati confidenziali e con lIP,

189
INFORMATION SECURITY & DATA PROTECTION

ovunque essi siano, come evidenzia Emiliano Massa, Area Vice President Sales
Southern Europe di Forcepoint, che aggiunge: Forcepoint sta costruendo
unazienda in continua evoluzione, che aiuter i clienti a ripensare alla
cybersecurity concentrandosi sui momenti di interazione delle persone con i
dati critici di business e soprattutto con la propriet intellettuale.
Si rafforza, dunque la mission: potenziare le imprese cos che possano
sviluppare il proprio business anche sfruttando la spinta di tecnologie
innovative, come cloud, mobilit, Internet of Things e le altre opportunit che il
progresso digitale andr prospettando.
Per questo Forcepoint fa leva su un portafoglio di prodotti per la protezione di
utenti, dati e reti dalle minacce interne ed esterne, controllate attraverso
l'intero ciclo di vita. Una protezione che si estende oltre il perimetro dellazienda
nel cloud e in mobilit, attraverso un approccio olistico.
La nuova organizzazione, spiegano i vertici aziendali, porter pi rapidamente
linnovazione intorno a questi punti dinterazione umana.

Le nuove aree di business


Cloud Security la divisione che sviluppa le soluzioni cloud, ibride e on-premise
di Forcepoint per la sicurezza Web ed email; i prodotti includono Forcepoint
Web Security e Forcepoint Email Security. Con la chiusura dellacquisizione di
Skyfence, annunciata l8 febbraio 2017, le capacit del cloud access security
broker saranno ricondotte nellarea di Cloud Security di Forcepoint.
Network Security larea dedicata ai firewall di nuova generazione e include i
Forcepoint NGFW.
Data & Insider Threat Security larea che si occupa della prevenzione dalla
perdita dei dati e della protezione da minacce interne; i prodotti includono
Forcepoint DLP e Forcepoint Insider Threat.
Global Government ha come target mercati chiave prevalentemente in US e in
alcuni altri paesi, con tecnologie vitali per i mercati federali e della difesa, e
include soluzioni di cross domain e insider threat; i prodotti includono
Forcepoint High Speed Guard e Forcepoint Insider Threat.
stato inoltre definito il Product Council, una squadra di chief technology officer
e ingegneri provenienti dallintera struttura che lavorano insieme per meglio

190
FORCEPOINT

identificare opportunit di sviluppare nuove caratteristiche e creare


innovazione.

Forcepoint Stonesoft NGFW 6.1


I firewall sono molto evoluti dai tempi della loro realizzazione per rispondere a
tecniche di attacco sempre pi sofisticate. Non basta pi attuare un semplice
controllo sui protocolli di traffico, ma occorre un'analisi molto pi dettagliata
che va oltre la deep packet inspection per rilevare le tecniche di evasione
avanzate o AET (Advanced Evasion Technics). In estrema sintesi, i firewall di
nuova generazione Forcepoint Stonesoft sono stati i primi, come certificato da
organizzazioni indipendenti come NSS Labs o Gartner, ad approfondire l'analisi
delle tecniche di mascheramento che cercano di eludere i controlli di intrusion
prevention arrivando a identificarle tutte. Da allora ,Forcepoint Stonesoft Next
Generation Firewall ha ottenuto la certificazione Common Criteria e fornisce
visibilit costante, reattivit immediata e una pi consistente applicazione delle
policy in tutte le sedi aziendali, scalabile fino a migliaia di sedi, attraverso
un'unica console di gestione.
Un esauriente processo di normalizzazione dei dati il presupposto
fondamentale per l'identificazione delle tecniche di evasione e, in generale, di
quelle minacce che cercano di "confondersi" nel traffico. Perch sia efficace, la
normalizzazione deve prevedere l'intercettazione e la memorizzazione dei dati
quando arrivano, quindi esistenti in un'unica forma, anche per eliminare dati
ridondanti e proteggere l'integrit del dato stesso.
I Forcepoint Next Generation Firewall prevedono la rimozione delle elusioni
durante il processo di normalizzazione, anche prima che il flusso di dati sia
ispezionato. Tale normalizzazione deve il suo successo alla combinazione di un
approccio che si concentra sul flusso dei dati, su un'analisi di protocollo
multilivello, dal 2 al 7 e sulla specifica normalizzazione dei protocolli ai diversi
livelli OSI. Questo processo permette di irrobustire tre classici punti deboli delle
reti: la gestione, l'ispezione e il rilevamento del traffico.
Forcepoint Stonesoft NGFW 6.1 l'ultimo rilascio nell'offerta rinnovata di Next
Generation Firewall (NGFW), che presenta lestensione della protezione firewall
per il cloud, fornendo maggiore sicurezza, scalabilit ed efficienza operativa per
poter implementare e gestire i dispositivi in tutto il mondo in maniera

191
INFORMATION SECURITY & DATA PROTECTION

centralizzata e sicura. In particolare, integra Stonesoft NGFW 6.1 da oggi integra


Forcepoint ThreatSeeker Intelligence Cloud per ottimizzare costantemente le
proprie capacit difensive, anche contro le minacce in rapida evoluzione e zero
day. Lapproccio centralizzato permette di implementare nuovi nodi NGFW/IPS
coerenti con le policy in uso senza ulteriori complessit, abbattendo gli oneri
amministrativi in materia di sicurezza di rete e personale operativo.
Inoltre, Stonesoft NGFW 6.1 estende la protezione ad Amazon Web Services
(AWS), in modo da allineare esattamente la sicurezza nellelastic cloud
implementando le policy in uso presso lazienda, gestite a livello centrale al
fianco di nodi NGFW/IPS fisici. Questa nuova funzionalit rende pi facile per le
organizzazioni di tutte le dimensioni gestire i firewall in tutti gli uffici, anche
remoti e nel cloud, realizzando un vero e sicuro hybrid cloud.
La soluzione permette anche di utilizzare il modulo di sicurezza Forcepoint
Sidewinder sui propri Next Generation Firewall. Questa tecnologia proxy per
UDP, TCP, HTTP e SSH fornisce un ulteriore livello di sicurezza per i servizi e le
applicazioni mission-critical. Resta una sola console di management, che
consente di gestire in modo pi efficiente le reti, controllare in modo pi
efficace le politiche di sicurezza basate su proxy, mantenere alta la disponibilit
e rispondere rapidamente alle minacce e agli incidenti, minimizzando i rischi, sia
su reti tradizionali che nel cloud.
Massa ha sottolineato che il firewall di nuova generazione stato testato con
successo contro pi di 800 milioni di tecniche di evasione avanzate (AET),
evidenziando il traffico malevolo mediante applicazione delle policy di sicurezza
gestite a livello centrale, utilizzando tecniche brevettate per passare traffico
normalizzato al motore di Full Deep Inspection. NSS Labs, noto laboratorio
indipendente, ha pubblicato nel proprio Report comparativo 2016 su Next
Generation Intrusion Prevention System (NGIPS) che la soluzione Forcepoint
Stonesoft NGFW evidenzia un tasso di blocco del 99,9%, sia su policy out-of-
the-box che ottimizzata; consigliando, quindi, la soluzione per la propria
efficacia complessiva, le prestazioni e il TCO.

192
FORCEPOINT

Skyfence potenzia cloud security e DLP


Forcepoint ha rafforzato un tassello della propria strategia olistica di sicurezza,
acquisendo da Imperva la soluzione Skyfence, che gi integrava nei propri
gateway grazie a una partnership.
Come spiegato dai tecnici della societ, l'integrazione delle funzionalit cloud
access security broker (CASB) di Skyfence con le soluzioni di Web Security e di
Data Loss Prevention (DLP) di Forcepoint, fornir ai clienti una maggiore
visibilit, controllo e sicurezza di come gli utenti interagiscono con i dati
ovunque si trovino, anche all'interno delle applicazioni cloud. L'integrazione
fornisce inoltre ai clienti Forcepoint maggiore flessibilit nell'implementazione
di sicurezza web tramite soluzioni on premise, ibride e cloud-based.
In questo modo, le imprese potranno godere dei vantaggi offerti dalle soluzioni
in cloud, senza mettere a repentaglio la sicurezza dei dati critici e, in pi,
migliorando la propria capacit di governance e la compliance normativa, ha
ha dichiarato Kris Lamb, general manager della divisione Cloud Security di
Forcepoint.
Skyfence fornisce visibilit e controllo sia sulle applicazioni cloud approvate per
l'utilizzo da parte di un'organizzazione (per esempio NetSuite, Office 365,
Salesforce, Workday e cos via), sia su quelle che i dipendenti possono utilizzare
senza approvazione (per esempio Dropbox, Suite G o Box). Skyfence aiuta le
aziende a determinare quali applicazioni cloud siano in uso da parte dei
dipendenti, analizza i contenuti in tempo reale per impedirne la violazione e
identifica e blocca rapidamente gli attacchi informatici. L'integrazione del DLP di
Forcepoint con Skyfence amplia ulteriormente la possibilit per i clienti di
proteggere sia i dati aziendali critici sia i dati personali.
Uno strumento in pi, particolarmente utile per le imprese che devono
proteggere la propriet intellettuale e per quelle che affrontano i requisiti di
conformit, come per esempio il Regolamento Europeo Generale sulla
protezione dei dati (GDPR) , lo Standard Payment Card Industry Data Security
(PCI-DSS) e la Sarbanes Oxley (SOX).

193
INFORMATION SECURITY & DATA PROTECTION

G Data
Soluzioni e servizi per una sicurezza
"etica" delle Pmi

Sin dalla fondazione nel 1985, quando G Data ha lanciato quello che con ogni
probabilit stato il primo antivirus per l'allora sistema operativo di Microsoft, il
DOS, la missione dell'azienda tedesca stata la protezione dei dati e delle
informazioni per utenti private e aziende.
In quest'ultimo ambito, in particolare, G Data ha segnato qualche primato, quale
la prima soluzione per la protezione da malware diffusi attraverso chiavi o
pennette USB. Inoltre, la soluzione G DATA Internet Security stata insignita per
il quarto anno consecutivo del bollino "Miglior Acquisto" di Altroconsumo".
Soprattutto, per, la societ tedesca vuole distinguersi per la qualit, come
spiega Giulio Vada, country manager di G Data in Italia: Siamo consapevoli che
nel settore manca etica, a partire da alcune societ per cui i numeri sono
lunico paradigma che conti. Noi vogliamo essere un vendor "etico", che significa
mettere al primo posto la sicurezza e la privacy dei nostri clienti.
Concretamente, questo significa nessuna "vector policy", nessuna finestra
aperta sui dispositivi n per i governi n altri enti, nessuna concessione al "safe
harbor". Questo spiega anche la posizione "scettica" nei confronti del cloud,
ritenendo, un po' controcorrente, poco raccomandabile una strategia
totalmente cloud-based della gestione dei dati aziendali.
Evidenziano, infatti, i tecnici di G Data che serie minacce derivano dal phishing e
si basano sulla violazione degli account di accesso al cloud, come accaduto a
anche agli utenti Apple, ingenuamente avvolti dal falso senso di inespugnabilit
di un sistema operativo, certamente avanzato, ma non immune da attacchi.
In ogni caso, G Data dispone di una soluzione per l'accesso al cloud in modalit
sicura e ha siglato accordi con Microsoft, in particolare per Windows Azure, che
saranno centrali nei data center in via di completamento basati in Germania,
quindi su suolo europeo, dove saranno gestiti in collaborazione con T System del
gruppo Deutsche Telekom.

194
FORCEPOINT

Inoltre, essere etici, per G Data significa anche - spiega Vada -, supportare i
distributori e i partner nel pre e post vendita garantendo la messa in esercizio
della soluzione senza problemi. Questo richiede un impegno da parte di G Data
nella formazione e nella fornitura di servizi professionali a corredo delle
soluzioni, per una proposizione a valore che coinvolge noi e i nostri partner a
tutela del cliente, afferma il manager.

Giulio Vada, country manager di G Data Italia

La formazione rivolta anche alle imprese, cui vengono trasmesse best practice
e gli strumenti per migliorare la loro sicurezza. In altre parole: abbiamo
l'obbligo di vendere soluzioni che i nostri clienti sappiano utilizzare. Troppo
spesso le imprese vengono lasciate sole da chi si preoccupa di "piazzare" un
prodotto.

Vendere sicurezza e non prodotti


La sicurezza non deve essere fine a se stessa, ma deve abilitare il business del
cliente e proteggerne gli asset. Detto questo, le imprese hanno sempre meno
risorse da investire nell'IT, di cui la security solo una parte. Per questo, ci

195
INFORMATION SECURITY & DATA PROTECTION

spiega Vada: Approcciamo il mercato in maniera diversa, restando pronti a


seguire i cambiamenti e il territorio.
Partendo dallo storico antivirus e una piattaforma di endpoint protection, in G
Data hanno sviluppato una soluzione top di gamma (indipendente dall'ambiente
e dal dispositivo utilizzato) che fornisce una serie di moduli opzionali, cui si
aggiungono soluzioni specifiche modulari e attivabili quando necessario (secure
gateway per la posta elettronica, patch management, client backup).
Pi precisamente, G Data Antivirus Business comprende le soluzioni: Antivirus,
BankGuard (per la sicurezza delle transazioni online), ReportManager (per
un'analisi e reportistica dettagliata sullo stato della sicurezza sulla rete), Mobile
Device Management (per la gestione centralizzata di dispositivi mobili) e la
tecnologia ibrida CloseGap, che fornisce un'elevata protezione grazie a
tecnologie proattive basate su database.
Tra le funzionalit fornite dalle soluzioni di G Data:

Controllo dispositivi: la funzione limita le possibilit di utilizzo di


dispositivi come masterizzatori o chiavette USB, per evitare che i dati
aziendali cadano in mani non autorizzate.
Controllo applicazioni: permette di ridurre l'area di aggressione e
stabilire quali programmi potranno essere installati dai dipendenti sui
client.
Controllo dei contenuti Web: Limita l'accesso ai siti Internet attraverso
una whitelist e/o una blacklist.
Patch Management: Il modulo rileva automaticamente le falle di
sicurezza nei programmi installati, permettendo di correggere
rapidamente, per esempio, i punti deboli del sistema operativo
Windows su tutti i dispositivi.

Nella soluzione G Data Total Protection, dedicata a utenti privati


particolarmente esigenti come ai liberi professionisti, stato integrato integrato
un Password Manager, che cifra dati sensibili tra cui nome utente e password in
una banca dati sul pc e aiuta gli utenti a generare password sicure. Dopo
l'installazione, il Password Manager compare come icona nel browser e salva su
richiesta tutte le password per i siti attraverso cui si accede ad account di

196
FORCEPOINT

qualsiasi genere. I dati vengono cifrati e archiviati sul disco fisso. Solo l'utente
pu accedere a queste informazioni tramite una singola "master password".
La soluzione superiore, G Data Client Security Business, aggiunge: un firewall e
un modulo antispam, mentre, infine, la soluzione G Data Endpoint Protection
Business, mette a disposizione anche un policy manager, che consente di
controllare, oltre ai dispositivi, anche applicazioni e contenuti dei siti Web,
fornendo eventuali autorizzazioni all'utilizzo.
Tali soluzioni forniscono una protezione contro virus, trojan, email di phishing e
di spam e altri malware. Inoltre, sono state progettate pensando alle esigenze di
vari settori e per imprese di diverse dimensioni.

Il caso Ducati Corse


Dopo un anno di supporto che ha soddisfatto il team Ducati Corse, stata
confermata la partnership tecnica e strategica che ha visto le soluzioni del
produttore tedesco all'opera per tutelare l'integrit dei dati e dei server di pista
del team di Borgo Panigale in tutte le tappe del Campionato Mondiale MotoGP
2016, che prosegue dunque nel 2017.

197
INFORMATION SECURITY & DATA PROTECTION

Stefano Rendina, Responsabile IT di Ducati Corse, ha dichiarato: Siamo molto


soddisfatti dell'esperienza fatta con G Data Endpoint Protection nel 2016.
Eccellente il livello di protezione garantito dalla soluzione, rivelatasi proattiva,
efficiente e flessibile. Affidabile ed egregio anche il supporto fornitoci.
Riconfermiamo quindi a pieni voti la partnership tecnica con G DATA anche per
il 2017, anno per noi particolarmente impegnativo in termini agonistici.

198
199
HPE Security
Soluzioni per una protezione efficace
delle infrastrutture IT ibride
Le soluzioni per la sicurezza e la compliance di Hewlett Packard Enterprise (HPE)
si indirizzano alle aziende di classe enterprise che puntano a minimizzare il
rischio allinterno di ambienti ibridi e a difendersi dalla minacce avanzate quali
le APT (Advanced Persistent Threat).
La piattaforma di security intelligence di HPE si basa sulle famiglie di prodotti
HPE Security ArcSight, HPE Security Fortify, HPE Data Security (Voltage/Atalla), e
sulla ricerca fornita dallorganizzazione HPE Security Research per fornire
sofisticate capacit di correlazione degli eventi di sicurezza, orchestrazione della
risposta agli incidenti, protezione applicativa e difesa delle informazioni.

HPE Security ArcSight: la piattaforma SIEM


Il portafoglio di soluzioni HPE Security ArcSight raggruppa i componenti della
soluzione di Security Information and Event Management (SIEM) di HPE che, da
13 anni di seguito inserita da Gartner tra i leader all'interno del Magic
Quadrant per le soluzioni SIEM e che stata premiata nel 2017 come migliore
soluzione SIEM dalla prestigiosa casa editrice SC Media.
La gamma di soluzioni software HPE ArcSight SIEM protegge i dati attraverso il
monitoraggio, l'analisi e la correlazione di eventi di sicurezza provenienti da
differenti tipologie di sorgenti. Nel suo complesso ArcSight rappresenta una
piattaforma integrata per l'individuazione delle minacce e la gestione della
compliance in grado di abbinare le funzionalit di un sistema SIEM con un
approccio preventivo basato su un modello di analisi delle minacce, effettuato
su scala globale attraverso una serie di servizi di "security intelligence"
predisposti da HPE.
La piattaforma SIEM di HPE interviene in tempo reale per organizzare i log degli
eventi, arricchirli di metadati, tradurli in un formato comune e inserirli

200
FORCEPOINT

allinterno di un contesto di sicurezza, utilizzando tecniche di "stateful security


context" che permettono di capitalizzare sulle attivit di correlazione svolte in
precedenza per rendere pi rapido ed efficace il processo di identificazione delle
minacce e la risposta agli attacchi multi-stadio.

L'architettura della soluzione SIEM sviluppata da HPE

HPE Security ArcSight Data Platform (ADP) la piattaforma che fornisce visibilit
sulle attivit che interessano l'intera infrastruttura enterprise. Consente di
raccogliere dati provenienti da qualsiasi fonte (inclusi log, sensori, flussi di rete,
apparati di sicurezza, Web server, applicazioni custom, social media e servizi
cloud), memorizzarli, effettuare ricerche e produrre report mettendo a
disposizione informazioni di security intelligence relativi all'intera
organizzazione enterprise. Giunta alla versione 2.0, HPE Security ADP abilita
prestazioni compatibili con le esigenze di gestione dei Big Data: , infatti, in
grado di ricevere fino a un milione di eventi per secondo, comprimere e
archiviare fino a 480 TB di dati di log.
HPE Security ADP 2.0, sfrutta le pi avanzate tecnologie di machine learning e
capacit di correlazione in tempo reale, per fornire analisi molto rapide. Inoltre,
grazie alla sua architettura aperta, in grado di connettersi in maniera
trasparente alle applicazione di terze parti, lasciando cos alle aziende la
flessibilit di scegliere il modo con cui memorizzare, ricercare e analizzare i

201
INFORMATION SECURITY & DATA PROTECTION

propri dati di sicurezza. Questa soluzione pu essere configurata, gestita e


monitorata tramite una console di gestione centralizzata di uso intuitivo.
Il componente centrale e abilitante della soluzione SIEM di HPE il motore per
la gestione di minacce e rischi HPE Security ArcSight Enterprise Security
Management (ESM), che abilita la raccolta, lanalisi e la correlazione delle
informazioni e dei log associati agli eventi di sicurezza, la protezione delle
applicazioni e la difesa della rete. Le sue capacit di correlazione consentono di
identificare, all'interno del complesso scenario fatto da miliardi di eventi di
sicurezza, le reali minacce e di definire in modo accurato e automatizzato le
priorit di intervento.
Tramite HPE Security ArcSight ESM Express, HPE mette a disposizione delle
aziende tutti i vantaggi della sua soluzione SIEM anche nel formato appliance
"all-in-one".
La soluzione SIEM di HPE prevede innumerevoli prodotti aggiuntivi di sicurezza
tra cui ricordiamo:
HPE Security ArcSight ThreatDetector, un pacchetto opzionale che sfrutta le
funzionalit SIEM di HPE Security ArcSight per automatizzare lindividuazione
di schemi e la creazione di regole intelligenti, riducendo i falsi positivi.
HPE Security ArcSight User Behavior Analytics che completa HPE Security
ArcSight ESM utilizzando tecniche di machine learning abbinate ad algoritmi
di rilevamento delle anomalie per identificare le minacce sconosciute.
HPE Security ArcSight DNS Malware Analytics, una soluzione erogata in
modalit "as a service" per l'identificazione di host ed endpoint infetti
(server, pc, dispositivi mobile e cos via) che sfrutta una tecnologia brevettata
di data analytics per analizzare il traffico DNS e separare in tempo reale il
traffico dannoso da quello legittimo.
HPE Security ArcSight Investigate, un nuovo prodotto di indagine disponibile
a partire dal secondo trimestre del 2017, che garantisce funzioni di ricerca
pi veloce utilizzando HPE Vertica come database incorporato ad alte
prestazioni e prevedendo l'integrazione diretta con Hadoop come archivio di
dati a lungo termine.
Il terzo componente della soluzione SIEM HPE ArcSight Marketplace un
portale Web-based a disposizione dei professionisti della sicurezza per scoprire
le applicazioni HPE Security ArcSight, scaricare pacchetti di sicurezza adatti a

202
FORCEPOINT

specifici utilizzi, condividere casi d'uso, documentazione e best practice SIEM


per la gestione delle loro attivit.

HPE Security Fortify: la sicurezza delle applicazioni


Quasi l'80% degli attuali attacchi informatici indirizzato alle applicazioni: un
dato che mette in evidenza come sia necessario adottare un approccio olistico
alla sicurezza delle applicazioni nel corso dell'intero ciclo di vita di sviluppo del
software, che ne preveda il test e la scansione sistematica, sia che siano
sviluppate internamente, create da terzi, open source o basate su prodotti
commerciali.
A queste esigenze Hewlett Packard Enterprise indirizza la gamma di soluzioni
HPE Security Fortify, pensate per sviluppare codice sicuro, eliminare alla fonte le
possibili vulnerabilit e predisporre ambienti di test di tipo statico, dinamico e in
tempo reale adatti a verificare le caratteristiche di sicurezza del codice.
HPE Security Fortify Static Code Analyzer la soluzione che elimina le
vulnerabilit durante la fase di sviluppo applicativo, automatizzando i test statici
della sicurezza delle applicazioni (Static Application Security Testing, SAST) e
fornendo ai responsabili dello sviluppo i dettagli sulle linee di codice su cui
intervenire e sul contesto su cui necessario porre rimedio velocemente.
HPE Security WebInspect permette di automatizzare i test dinamici della
sicurezza delle applicazioni (Dynamic Application Security Testing, DAST)
identificando le vulnerabilit e definendo le priorit di intervento durante
lesecuzione delle applicazioni Web e dei servizi Web.
HPE Security Fortify DevInspect un tool per la scrittura di codice sicuro
progettato appositamente per gli sviluppatori, che consente di eseguire
scansioni di sicurezza in modo indipendente, continuo e in tempo reale
dallinterno dellambiente di sviluppo (IDE), abilitando lidentificazione e
leliminazione delle vulnerabilit di sicurezza presenti allinterno del codice
sorgente prima ancora che questo venga compilato.
HPE Security Fortify on Demand il servizio di Security as a Service tramite il
quale possibile, in modo semplice e immediato, sottoporre a verifica il livello
di sicurezza di ogni tipo di applicazione, incluse quelle commerciali, cos da
predisporre un programma completo di Software Security Assurance.

203
INFORMATION SECURITY & DATA PROTECTION

HPE ha anche introdotto nella sua offerta tecnologie di Runtime Application Self
Protection (RASP) che consentono di analizzare il codice in tempo reale
direttamente nell'ambiente di produzione e di attuare contromisure sulla base
dei risultati. Tecniche RASP sono utilizzate nella soluzione HPE WebInspect e,
soprattutto, all'interno di HPE Security Application Defender, un servizio gestito
per l'autoprotezione delle applicazioni in cloud che consente alle aziende di
identificare automaticamente gli attacchi indirizzati alle vulnerabilit del
software ed eventuali violazioni della sicurezza allinterno delle applicazioni in
produzione.
HPE Security Fortify Software Security Center (SSC) un repository
centralizzato che fornisce visibilit sullintero programma di sicurezza aziendale,
al fine di aiutare a risolvere vulnerabilit relative al portafoglio software e
migliorare il livello di controllo sulla sicurezza. una piattaforma che consente
agli utenti di effettuare revisioni, audit, definire priorit, collaborare per definire
operazioni di ripristino, tracciare i risultati dei test e misurare i miglioramenti
ottenuti tramite un cruscotto di gestione e la produzione di report.

HPE Data Security per la protezione e crittografia dei dati


HPE mette a disposizione una gamma di soluzioni di sicurezza per la crittografia
dei dati e l'accesso sicuro basato su token adatte per ambienti enterprise, cloud,
mobile e Big Data. Le soluzioni per la sicurezza dei dati di HPE integrano le
tecnologie ottenute con l'acquisizione di Voltage Security, uno dei maggiori
esperti di soluzioni per la cifratura dei dati e l'accesso sicuro.
Le tecnologie di crittografia e sicurezza basata su token offerte da HPE
prevedono:
Identity Based Encryption (IBE) per email, file, documenti e database per
facilitare il processo di protezione delle comunicazioni sensibili;
Format Preserving Encryption (FPE), che permette di integrare la cifratura
dei dati strutturati all'interno delle applicazioni di business legacy senza
alterare il formato dei dati;
Secure Stateless Tokenization (SST), una tecnologia di sicurezza brevettata
per la protezione delle carte di credito che prevede token casuali senza
richiedere database o sincronizzazione dei dati;

204
FORCEPOINT

Stateless Key Management che abilita una gestione semplificata delle


chiavi di cifratura che prevede generazione e rigenerazione delle chiavi
on-demand.
Tra i componenti della famiglia di prodotti HPE Data Security ricordiamo:
HPE SecureData Enterprise che abilita protezione dei dati sensibili in
conformit alle norme pi stringenti;
HPE SecureData for Hadoop and IoT per la protezione dei dati archiviati, in
transito e in uso su sistemi Big Data, incluse le piattaforme Hadoop, Teradata
e HPE Vertica;
HPE SecureData Web per la protezione end-to-end delle transazioni via
Web;
HPE SecureData Mobile, per proteggere le informazioni aziendali attraverso
il loro intero ciclo di vita quando si trovano su terminale mobile o vengono
utilizzate o trasferite da applicazioni native per ambienti iOS e Android;
HPE SecureData Payments, che fornisce cifratura punto a punto e
tokenization per le transazioni di commercio elettronico.
HPE SecureMail, una soluzione semplice per la crittografia della posta
elettronica utilizzabile all'interno e all'esterno dell'azienda.
La gamma di soluzioni HPE Atalla abilita un approccio alla protezione delle
informazioni che sfrutta tecniche innovative di cifratura, proteggendo i dati on
premises e nel cloud e rendendo sicure le transazioni elettroniche. HPE Atalla
fornisce sicurezza per pagamenti e transazioni elettroniche basata su due
componenti che operano congiuntamente: il modulo di crittografia hardware
HPE Atalla Hardware Security Module (in precedenza HPE Atalla Network
Security Processor) e il sistema sicuro di gestione delle chiavi HPE Enterprise
Secure Key Manager (ESKM) che contribuisce a rendere sicuri server, storage e
cloud rispetto a possibili perdite, alterazioni e attacchi a livello operativo e
amministrativo.

Per maggiori informazioni su HPE Security:


http://www8.hp.com/us/en/software-solutions/enterprise-security.html

205
206
VEEAM

207
INFORMATION SECURITY & DATA PROTECTION

Veeam
Data Center always-on e availability nel
Cloud al centro della strategia Veeam

Veeam Software (http://www.veeam.com/it) una societ privata fondata negli


USA nel 2006 con sede attuale in Svizzera e che si caratterizza con una presenza
e aziende clienti worldwide.
La societ, che dell'azienda "always-on" in ambienti Enterprise, nel Cloud o ibridi
ha fatto il proprio motto, in Italia si caratterizza con una crescita dei ricavi
superiore alla media globale della societ, indice della percezione crescente
dell'importanza della continuit da parte di CIO e manager e di una struttura
aziendale Veeam e di canale pronta a recepire le esigenze dei clienti.
Tra questi, ha evidenziato Albert Zammar, Vice President della South Emea
Region di Veeam, vi sono dalla grande azienda alle farmacie, sino a
commercialisti e studi legali, passando per le medie realt dei pi svariati settori
industriali.

Albert Zammar

208
VEEAM

Availability nel Cloud con DRaaS


Con una strategia multi-cloud, Veeam fornisce l'Availability al cloud e dal cloud
tramite soluzioni di ultima generazione di Backup as a Service (BaaS), Disaster
Recovery as a Service (DRaaS) e soluzioni Agent-based per infrastrutture cloud
private, gestite, pubbliche e ibride
"Mentre molte imprese stanno trasferendo i propri carichi di lavoro su
piattaforme Cloud e allo stesso tempo stanno adottando soluzioni per il business
SaaS e native per il Cloud, Veeam sta tracciando la strada con investimenti e
software che consentono alle aziende di sfruttare il pieno potenziale del cloud",
ha osservato Albert Zammar.
Una conferma dell'impegno strategico di Veeam nel Cloud la partnership con
Microsoft. Tramite il servizio Direct Restore to Microsoft Azure ad esempio
possibile acquisire carichi di lavoro on-premises e ripristinarli o migrarli su Azure
utilizzando funzioni di conversione automatizzata.
Per aiutare le aziende nelladottare il DRaaS, Veeam ha anche dato il via al
programma gratuito Cloud Services con lo scopo di incoraggiare i rivenditori
tradizionali ad espandersi verso il mercato dei servizi basati sul cloud.

Availability for the Modern Data Center


La risposta alla sfida del "always-on" in termini di soluzioni Veeam l'ha data con
lo sviluppo di prodotti che si posizionano nel nuovo mercato della "Availability
for the Modern Data Center", un suo marchio registrato, e, come gi
evidenziato, del Cloud.
L'obiettivo di supportare le organizzazioni indipendentemente dalle
dimensioni nell'ottenere degli RTO (recovery time and point objectives),
ovverossia dei tempi di ripristino entro cui poter tornare operativi a seguito di
un guasto, inferiori a 15 minuti per tutte le applicazioni e i dati.
L'obiettivo stato perseguito con lo sviluppo di Veeam Availability Suite, che
abilita un ripristino dei dati ad alta velocit, leliminazione della possibilit della
perdita dei dati, la protezione certa delle informazioni, lottimizzazione dei dati
e una approfondita visibilit dello stato del sistema.
Veeam Availability Suite comprende anche Veeam Backup & Replication, un
software che sfrutta la virtualizzazione, lo storage, e le tecnologie cloud che

209
INFORMATION SECURITY & DATA PROTECTION

consentono ad un moderno data center di permettere alle organizzazioni di


risparmiare tempo, diminuire i rischi e ridurre sensibilmente sia le spese in
conto capitale che quelle operative.

Always-on per un'azienda efficiente


Quelle dell'always-on e dell'efficienza sono di fatto, riconosce Veeam Software,
le nuove regole del business imposte dal mercato alle aziende, ormai consce del
dover garantire la continuit operativa, e con lesigenza di far fronte alle nuove
sfide dei mercati globali che esigono la disponibilit continua e non ammettono
fermi macchina e del servizio per il recupero di dati che risultino funzionali al
business.
E una sfida e un campo dazione in cui Veeam Software si posta lobiettivo di
essere di fondamentale aiuto alle aziende, e di farlo tramite un portfolio di
soluzioni che si cali funzionalmente e architetturalmente nel nuovo scenario di
mercato, in cui il cloud, la elevata mobility e il forte incremento in volume e
qualit delle minacce impongono l'adozione di nuovi criteri e architetture
hardware e software (ad esempio virtualizzazione, Software Defined Storage,
Software Defined Data Center e Cloud) nella gestione delle informazioni e nella
organizzazione dei data center.
"Oggi la nuova sfida risiede nella dotazione di infrastrutture che siano sempre
operative, aperte al Cloud, con recupero dei dati in tempi rapidissimi. Il concetto
dellalways-on business si prevede venga adottato da tutte le aziende in tutto il
mondo, puntando allalta disponibilit dei data center attraverso soluzioni che
abbiano tempi di recupero molto veloci. Ed proprio questo lambito di azione di
Veeam Software, che offre una soluzione per le moderne infrastrutture IT che
consenta loro di garantire continuit di servizi erogati dai data center nellottica
dellalways-on business", osserva Albert Zammar.

Un approccio Software Defined allAlways-on


La proposta Veeam volta ad assicurare l'always-on alle applicazioni business
rendendo prontamente disponibili i dati tramite processi di backup e restore
molto efficienti, si cala, sotto il profilo tecnologico e architetturale, nello
scenario costituito dalle nuove architetture di data center ad elevata

210
VEEAM

virtualizzazione e software defined, a cui si richiede di essere non solo efficienti,


ma anche flessibili, dinamici e ottimizzati sul piano dei costi.
Il problema che si deve affrontare che buona parte delle soluzioni tradizionali
ancora in uso sono state progettate per lavorare sulla base di silos tecnologici e
non in base al concetto di virtualizzazione e cloud e sono pertanto complesse da
implementare e da gestire e tali da richiedere tempi anche lunghi e procedure
complesse per il backup, il recovery e i processi di business continuity.
E' a tutto questo che si propone di porre rimedio la piattaforma Veeam, che ha
una architettura nativa adatta per i nuovi ambienti virtuali e software defined,
in modo da consentire la flessibilit che oggi viene richiesta al reparto IT dalle
altre Line Of Business, che hanno la necessit di disporre di un IT che permetta
un utilizzo dinamico dell'hardware e una disponibilit continua dei dati di
business.

La Veeam Availability Suite


Veeam Availability Suite un software che combina le capacit di backup,
ripristino e replica del software Veeam Backup & Replication con le funzionalit
di monitoraggio, reportistica e capacity planning di Veeam ONE.
La Suite comprende le funzionalit che servono per proteggere e gestire in
modo affidabile ambienti VMware vSphere e Microsoft Hyper-V. Tra le
funzionalit pi salienti di Veeam Backup & Replication:

Backup degli Snapshots (HP e NetApp): permette di creare backup veloci


dagli snapshot storage.
Integrazione con EMC Data Domain Boost: aumenta sino al 50% la velocit
dei backup e di sino a 10 volte la creazione di backup full sintetici.
Cloud Connect: permette di creare una replica dei dati nel cloud senza dover
investire in un secondo sito di Disaster Recovery.
Crittografia end-to-end: protegge i dati sia nel corso del backup che nei
periodi di attivit e inattivit.
Replica: accelera i processi di replica e ripristino tramite Wan Accelerator.
Built-in WAN Acceleration: aumenta di sono a 50 volte la velocit di
trasferimento dati nella fase di backup su WAN.

211
INFORMATION SECURITY & DATA PROTECTION

Backup su nastro: supporta il backup su nastro con scrittura di interi backup


delle VM o di singoli file, ripristinandoli dal nastro quando necessario.

Il ripristino non viene per effettuato in maniera classica, ma rendendo


immediatamente disponibile la "fotografia" dellintera infrastruttura e del dato
da ripristinare. Si cos subito operativi, con gli utenti che possono lavorare sui
dati in oggetto, mentre il software continua ad occuparsi in background di
effettuare e completare il ripristino in maniera classica. Se il restore deve poi
avvenire tramite rete geografica interviene la funzione di WAN Accelerator che
permette di eliminare le criticit trasmissive tipiche di una rete geografica.
Veeam Availability Suite effettua inoltre test continuativi sul corretto
funzionamento delle operazioni di ripristino, per cui se c' una condizione di
potenziale disastro la criticit viene subito individuata.

Veeam Cloud Connect: ripristini veloci e a basso costo


Una componente di rilievo della Veeam Availability Suite la citata suite Veeam
Cloud Connect, un software che permette di usare il cloud per il backup/restore
e in sostanza di evitare di acquistare ulteriori componenti hardware o di dover
investire in un secondo sito per i backup. L'unica cosa mandatoria individuare
un provider di servizi che usi Veeam Cloud Connect per l'hosting dei propri
backup e pagare solo ci che viene utilizzato. Numerose le funzioni disponibili.
Tra queste:
Backup offsite in hosting: esegue i backup offsite verso un cloud repository
in hosting tramite connessione SSL sicura e un cloud gateway.
Controllo e visibilit: permette l'accesso e il recupero dei dati nei repository
di backup in hosting direttamente dalla console del software, il controllo
dell'utilizzo del cloud repository e provvede all'invio automatico di avvisi
relativi al rinnovo dello spazio storage utilizzato in hosting.
Architettura di backup: permette di sfruttare la tecnologia di backup di
Veeam, inclusa la backup copy, l'accelerazione WAN integrata, i backup
incrementali, retention policy in modalit GFS (grandfather-father-son), per
applicare la regola 3-2-1 della data protection mediante un unico prodotto.

212
INFORMATION SECURITY & DATA PROTECTION
Cyber security, object Storage, biometria, difesa globale e intelligence per un business always-on

Copyright Reportec S.r.l. - 2017 - Tutti i diritti riservati


quindi su suolo europeo, dove saranno gestiti in collaborazione con T System del