Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INFORMATION SECURITY
&
DATA PROTECTION
Prevenzione dalle minacce, risposta gli incidenti, protezione degli endpoint
Dallo object storage alla biometria, alla intelligence per una difesa globale per
la salvaguardia del business
I
Mobile Device Management.................................................................. 70
II
Larchitettura IPsec ................................................................................ 117
Rispondere alle minacce in tempo reale ................................................ 117
Controllare chi o cosa vuole entrare nella rete: i rischi degli endpoint .. 119
Le vulnerabilit dei sistemi SCADA ......................................................... 120
La biometria........................................................................................ 141
Metodi di confronto ............................................................................... 141
I rischi della biometria............................................................................ 143
Caratteristiche e tipologie dei sistemi biometrici ................................... 144
Ciclo di vita e conservazione dei dati biometrici .................................... 147
Lintervento del Garante della Privacy ................................................... 148
III
Le opportunit del wireless nella videosorveglianza .............................. 154
F-Secure.............................................................................................. 183
Dati sempre pi preoccupanti ................................................................ 183
La risposta agli attacchi: scansione e gestione delle vulnerabilit ......... 184
Mappatura e scansione ......................................................................... 185
F-Secure Radar: vulnerability scanning and management .................... 186
IV
Il caso Ducati Corse ................................................................................ 197
V
1
1 RESILIENZA,
GOVERNANCE E INCIDENT
RESPONSE
1
INFORMATION SECURITY & DATA PROTECTION
2
1. Resilienza, Governance e incident response
3
INFORMATION SECURITY & DATA PROTECTION
4
1. Resilienza, Governance e incident response
5
INFORMATION SECURITY & DATA PROTECTION
6
1. Resilienza, Governance e incident response
7
INFORMATION SECURITY & DATA PROTECTION
sorta di matrice la spesa necessaria per tappare una potenziale falla e il rischio
economico che la falla lasciata aperta potrebbe causare (eventualmente
ipotizzando pi eventi correlati a tale vulnerabilit trascurata), si ottiene uno
strumento di immediato raffronto.
Allatto pratico, una soluzione di sicurezza deve raggiungere almeno uno dei
seguenti obiettivi per poter dimostrare di avere un ROI sostenibile: ridurre i
costi correnti, ridurre i costi futuri, ridurre il rischio finanziario, aumentare la
produttivit, aumentare il fatturato.
Molto spesso ci sono benefici intangibili che difficile calcolare, ma bene non
esagerare nel cercare di aumentare il valore del sistema di sicurezza al solo fine
di convincere il management a investire. Anche perch importanti argomenti
sono stati forniti dal Testo Unico sulla privacy, che, unitamente alle precedenti
disposizioni legislative, sta imponendo ladozione di misure minime, spingendo
molte aziende a effettuare analisi di vulnerability assessment con ottimi risultati
di sensibilizzazione. A questo si aggiungono le direttive dell'Unione Europea che
entro il 2018 dovranno essere implementate dalle imprese.
8
1. Resilienza, Governance e incident response
9
INFORMATION SECURITY & DATA PROTECTION
10
1. Resilienza, Governance e incident response
11
INFORMATION SECURITY & DATA PROTECTION
12
1. Resilienza, Governance e incident response
azienda solo per rispettare la legge sulla Privacy. Si spende per la sicurezza fisica,
senza rendersi conto che gli asset sono ormai perlopi immateriali.
Per proteggere il patrimonio economico delle imprese o le infrastrutture critiche
dello Stato, sono state promulgate normative sempre pi stringenti in tema di
sicurezza dei dati: ingannevolmente catalogate come "privacy", tali normative
non servono a proteggere la riservatezza di chi si mette gi a nudo sui social
network, ma forniscono, soprattutto alle imprese, un'indicazione e direttive
sull'importanza di proteggere i proprio asset, brevetti compresi, che nel terzo
millennio sono appunto digitali.
La compliance alle normative per vista quasi esclusivamente come un obbligo
dalle imprese, che non affrontano il problema con un'adeguata strategia, non
avendo la certezza di essere realmente protette.
L'opera di sensibilizzazione da parte del Garante della Privacy e, pi
recentemente, dell'Agenzia per il Digitale, hanno certamente reso le imprese pi
consapevoli "dell'insicurezza" nella quale si trovano a operare, ma manca
ancora una reale conoscenza del fenomeno e, soprattutto, manca una cultura
della sicurezza in azienda.
Il CERT ha cominciato una politica di raccolta dei dati sugli incidenti informatici,
ma sono troppo poche le imprese italiane che denunciano gli attacchi subiti e
ancora meno quelle che ne condividono le caratteristiche. Eppure il mettere a
fattore comune queste informazioni un elemento sempre pi fondamentale
per le attivit forensi e, soprattutto per quelle di prevenzione degli attacchi.
Purtroppo ancora non accade, come avviene negli USA, dove, per, esiste un
obbligo di legge che riguarda tutte le aziende, mentre in Italia il vincolo si
applica solo ad alcune categorie che maneggiano grandi quantitativi di dati
considerati sensibili, quali telco e banche.
I suddetti timori sono poi infondati, perch comunque possibile mettere a
disposizione le informazioni in maniera anonima. Sempre il Rapporto Clusit
riporta infatti i dati provenienti dal monitoraggio della rete di Fastweb, che
mostrano uno scenario preoccupante: la sicurezza delle aziende italiane
continua a scendere, pure a fronte di un incremento o mantenimento dei
budget e mentre cresce il mercato della sicurezza informatica e continua a
registrarsi una richiesta di figure professionali in quest'ambito superiore alla
disponibilit.
13
INFORMATION SECURITY & DATA PROTECTION
Rapporto tra il tempo medio per rilevare una violazione alla sicurezza dei dati e costo
medio espresso in milioni di dollari
14
1. Resilienza, Governance e incident response
Queste sono tutte fasi importanti, anche perch, come hanno mostrato gli
analisti del Ponemon Institute nel loro studio "2016 Global Report on the Cost of
Cyber Crime", il rapporto tra costo e tempo occorso per rimediare al danno
proporzionale.
In altre parole, tornando al rapporto del Clusit, non comprendendo il fenomeno
e l'importanza della sicurezza, rapportata ai propri dati, si rischia di investire
tanto, poco o troppo poco e, soprattutto, nella direzione sbagliata.
Ci sono procedure che aiutano le imprese a effettuare un'analisi del rischio e a
valutare il valore del dato, per non pu essere il responsabile della sicurezza
informatica a effettuare queste valutazioni, ma necessario che siano coinvolti i
business manager, che possono assegnare un costo alla perdita di ciascun dato.
Per questo importante che il responsabile della sicurezza possa contare sulla
collaborazione di tutti i dirigenti aziendali.
Prima di investire il budget per la sicurezza in maniera sbagliata, opportuno
valutare una soluzione che possa identificare le vulnerabilit della sicurezza
nell'ambiente ICT aziendale, arrivando a supportare le imprese nel determinare
una roadmap delle attivit, in modo da prevenire la violazione dei dati e la
compromissione della rete.
Secondo il "2016 Global Report on the Cost of Cyber Crime" realizzato
annualmente dal Ponemon Institute a livello internazionale, la perdita delle
aziende per ogni singolo record compromesso in media quantificabile in 158
dollari. Le violazioni nei settori altamente regolamentati sono state ancora pi
onerose, raggiungendo nella sanit i 355 dollari per record, ben 100 dollari in
pi rispetto al 2013.
Secondo lo studio, inoltre, la presenza di un team di risposta agli incidenti il
fattore che pi ha inciso sulla riduzione dei costi di una violazione dei dati,
permettendo alle aziende di risparmiare in media quasi 400mila dollari (o 16
dollari per record). In effetti, le attivit di risposta agli incidenti, quali le indagini,
le comunicazioni, le spese legali e i mandati delle autorit di regolamentazione,
rappresentano il 59% del costo di una violazione dei dati .
A influire i numeri c' ovviamente un fattore matematico, ma c' anche da
valutare che le grandi imprese subiscono anche un volume maggiore di attacchi.
Un approccio orientato al costo della violazione e alla gestione del rischio,
permette di valorizzare la sicurezza, inserendola tra gli elementi abilitatori del
15
INFORMATION SECURITY & DATA PROTECTION
Rapporto tra le cause di un'avvenuta violazione e il numero di giorni occorsi per il suo
rilevamento (MTTI Mean Time To Identifie) e il suo contenimento (MTTC Mean Time
To Contain
Fonte: Ponemon Institute (2016)
16
1. Resilienza, Governance e incident response
17
INFORMATION SECURITY & DATA PROTECTION
18
1. Resilienza, Governance e incident response
19
INFORMATION SECURITY & DATA PROTECTION
20
1. Resilienza, Governance e incident response
21
INFORMATION SECURITY & DATA PROTECTION
22
1. Resilienza, Governance e incident response
23
INFORMATION SECURITY & DATA PROTECTION
24
2- L'EVOLUZIONE DELLE
MINACCE E LA SICUREZZA
INTELLIGENTE
25
INFORMATION SECURITY & DATA PROTECTION
26
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
27
INFORMATION SECURITY & DATA PROTECTION
28
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
29
INFORMATION SECURITY & DATA PROTECTION
Le nuove minacce
Passata la moda del Web 2.0 o della cosiddetta social collaboration, Internet
continua a evolvere, passando da una certa staticit a una maggiore dinamicit,
che deriva dalle sue capacit di strumento di collaborazione, condivisione,
scambio, interazione, comunicazione, partecipazione collettiva. Il Web
diventato il terreno di incontro tra tutti gli abitanti del pianeta che hanno la
possibilit di collegarsi in Rete attraverso un computer o altri dispositivi che lo
permettono. Nel Web possibile informarsi (Wiki), socializzare (social
networking), scambiare file (P2P networking), creare pagine di opinioni
personali (blog) e, anche e soprattutto utilizzando dispositivi mobile e
applicazioni pure mobile, possibile organizzare la propria vita personale,
affettiva e lavorativa. Il Web diventato un mondo senza confini e aperto a
chiunque voglia parteciparvi per portare il proprio contributo.
Purtroppo proprio questa apertura totale lo rende unattrattiva interessante per
chi ha ben altri scopi, non del tutto leciti, come i cybercriminali intenzionati a
compiere frodi a danno degli utenti, spesso inconsapevoli dei pericoli che
corrono.
Un aspetto di cui si continua a discutere riguarda la sicurezza dei dati sensibili,
non soltanto quelli degli utenti privati che condividono e scambiano
informazioni nel Web, ma anche a livello di aziende e organizzazioni. Queste
ultime potrebbero a loro insaputa subire fughe di dati diffusi ingenuamente o
inconsapevolmente dai propri dipendenti, che spesso utilizzano il computer
aziendale (magari un notebook) anche per scopo personale di intrattenimento.
Navigando nei blog e nei siti di social networking gli utenti si espongono a
diversi pericoli.
Uno dei rischi maggiori consiste nel diventare il mezzo di trasmissione di un
malware, condividendo un contenuto o un link diretto che porta a scaricare un
codice maligno. Altrettanto frequente il diffondere informazioni
apparentemente innocue, che compongono un tassello di una strategia di social
engineering, priva fase di un attacco a tecniche multiple. Non a caso, un tipo di
30
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
31
INFORMATION SECURITY & DATA PROTECTION
32
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
Il 2017 andr ancora peggio e tale categoria di malware sar sempre pi diffusa.
Il motivo di questo successo semplice: consente ai cybercriminali di
guadagnare tanto in poco tempo, con poco sforzo e meno rischi.
Ransom in inglese significa riscatto. Il dispositivo infettato viene bloccato e il
codice maligno chiede di pagare un riscatto al proprietario per "liberarlo". Nel
2014 venivano attaccati i singoli dispositivi, nel 2016 si arrivati a bloccare interi
data center, cominciando a crittografare il sistema di backup, prima di bloccare
il sistema centrale, mettendo le imprese colpite con le spalle al muro.
La logica del ricatto atavica e forse non tutti sanno che anche il ricatto
informatico nato molto tempo fa. Addirittura forse il primo virus progettato
per ottenere un guadagno. Nei primi anni Ottanta, un medico realizz un
programma per i primi sistemi DOS, che proponeva un questionario diagnostico
presentato come utile per gli ambulatori.
Il software accessibile da floppy disk, veniva regalato. Durante l'esecuzione il
codice esplorava il file system e cambiando le estensioni dei file li rendeva di
fatto inaccessibili. A questo punto partiva il ricatto e il sedicente dottore
ripristinava dietro compenso i documenti.
Pi recentemente, i ransomware venivano annidati soprattutto nella pubblicit
sui siti pornografici, bloccando il computer su una videata alquanto esplicita e,
per taluni, imbarazzante. Il successo stato per notevole e nel 2014 si passati
a un uso pi massiccio con una nuova generazione di malware. I primi, infatti,
solo apparentemente bloccavano il computer, ma il realt fermavano la videata
che era relativamente semplice da eliminare. Con la nuova generazione di
ransomware, il computer effettivamente bloccato, perch i dati vengono
crittografati.
Inoltre, nel 2014 sono comparsi i primi codice di questo tipo indirizzati ai
dispositivi mobili come smartphone e tablet: facile immaginare il panico di chi
si vede bloccata quella che per tanti diventata un'estensione vitale del proprio
io. La crescita costante dall'introduzione della prima variante che ha preso di
mira i dispositivi iOS, alla prima variante per Android che crittografa i dati del
dispositivo.
Sono quattro i mobile ransomware pi dannosi scoperti nel 2014: Simplocker,
Cryptolocker, iCloud "Oleg Pliss" e FakeDefend. Il pi importante stato
Cryptolocker, scoperto a maggio 2014, che veniva camuffato come
33
INFORMATION SECURITY & DATA PROTECTION
34
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
35
INFORMATION SECURITY & DATA PROTECTION
strategia basata su pi fasi e la tenacia con cui questa viene applicata con
continuit fino all'ottenimento dell'obiettivo e oltre. Oltre, perch in casi come
lo spionaggio, il malware progettato per annidarsi e continuare a spiare anche
per anni, finch non viene scoperto.
Recentemente, per esempio, sono stati trovati malware che "spiavano" enti
governativi e aziende statunitensi, probabilmente di origine russa (un sospetto
dovuto alla presenza di caratteri cirillici in alcune stringhe di testo incluse nel
codice).
Le fasi di un attacco APT sono diverse: secondo alcune classificazioni 5, per altri
6 o 7. Di fatto, non c' una reale uniformit, perch alcune di queste fasi
possono mancare o, pi spesso, essere accorpate in un'unica azione a seconda
dei casi.
36
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
37
INFORMATION SECURITY & DATA PROTECTION
38
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
6 Call Back Una volta compiuta l'installazione del primo malware, il sistema
informativo presto in balia del cybercriminale. Il malware contatta un server e
attiva il download di strumenti e altro codice maligno per raccogliere e inviare
informazioni sul sistema violato, al fine di proseguire al suo interno fino
all'obiettivo finale. Evidentemente, per la protezione in questa fase occorre un
sistema che analizzi il traffico in uscita, ma sono ancora poco diffusi. Ne
occorrono di abbastanza sofisticati, infatti, perch attraverso strumenti
semplici, come un DNS dinamico i cybercriminali evitano il rilevamento delle
operazioni di chiamata a casa verso indirizzi statici. Tuttavia possibile inibire
l'uscita di dati verso sistemi che non siano noti e quindi inibire l'uso di DNS che
rimandano a server di "command and control". Del resto chi vuole nascondere
la propria ubicazione geografica in genere sospetto.
Una soluzione efficace viene applicata dalle soluzioni di Data Loss Prevention
integrate con sistemi in grado di effettuare un'analisi contestuale dei dati: chi
lutente, dove sono destinati i dati e altre variabili sono informazioni utili per i
prodotti che devono evitare l'invio di informazioni riservate a Web mail
personali, account di social network o mandate allinterno di app per la
connessione a cloud storage privati.
7 Azione La fase finale quello in cui l'attacco va tipicamente a buon fine se
non si riusciti a intervenire prima. Certamente, anche qui ci sono ancora
margini per bloccare il furto dei dati obiettivo dei cybercriminali, ma occorre
disporre di sistemi in grado, per esempio, d'identificare una password che sta
uscendo dalla rete aziendale oppure di rilevare traffico criptato verso l'esterno
con chiavi di cifratura illecite o estranee al proprio sistema di crittografia. Ci
sono poi tecniche, chiamate drip (gocciolare), che trasferiscono file verso
lesterno in piccole quantit in tempi dilatati, per rendere pi difficile il
rilevamento.
Il Phishing
Lo spam molto utilizzato per il phishing, termine con la medesima pronuncia,
ma storpiato nellortografia, dell'inglese "fishing", pescare.
Si tratta di un sistema inizialmente indirizzato a carpire dati personali e,
tipicamente, numeri di carta di credito, grazie alla collaborazione, in buona fede,
delle vittime della frode. Il sistema , concettualmente, molto semplice e
39
INFORMATION SECURITY & DATA PROTECTION
40
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
Lo spear phishing
La posta elettronica resta uno dei veicoli d'infezione preferiti o, quantomeno,
uno degli strumenti utilizzati per le sofisticate tecniche di phishing o "spear
phishing", quello, cio, mirato. Lo spam tradizionale infatti in calo, stando ad
alcuni rilevamenti, ma sta crescendo quello collegato ai social network. Al
contrario, sempre pi efficaci si dimostrano gli attacchi mirati che partono con
una mail di phishing appunto.
Quest'ultima tecnica si evoluta, per cui bloccare tali email molto pi difficile
che in passato, in quanto non si tratta di messaggi rivolti alla massa, quindi
standardizzati e facilmente riconoscibili. Lo spear phishing si basa su dati
appositamente raccolti per colpire uno specifico target. Si tratta di email
41
INFORMATION SECURITY & DATA PROTECTION
42
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
Il social engineering
Pu sembrare strano, ma uno degli strumenti pi efficaci nella compromissione
della sicurezza informatica condotto senza lutilizzo di strumenti informatici. Si
tratta del cosiddetto social engineering, una tipologia di attacco indirizzata a
carpire informazioni sensibili attraverso luso del contatto umano, utilizzando
come complici inconsapevoli gli stessi obiettivi dellattacco. Di fronte a sistemi
evoluti progettati per analizzare traffico sulle porte, signature o anomalie di
43
INFORMATION SECURITY & DATA PROTECTION
44
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
45
INFORMATION SECURITY & DATA PROTECTION
Il furto di identit
La cronaca, a onor del vero, d maggior risalto a fenomeni di massa, come i vari
worm o pseudo tali che di tanto in tanto riescono a perforare le difese
diffondendosi in tutto il mondo, ma le attivit realmente criminali si
concentrano su altri fronti: primo fra tutti il furto di identit.
Rubare lidentit di qualcun altro significa riuscire a raccogliere sufficienti
informazioni al fine di spacciarsi per lo stesso, ad esempio, per commettere
frodi, aprire conti correnti, navigare su siti pornografici, carpire dati aziendali
riservati o quantaltro. Alle volte lo scopo indiretto, come nel caso dei
database costituiti illegalmente tramite strumenti di spamming.
Unidentit pu essere utilizzata per sferrare attacchi contro terzi o frodarli, con
il rischio di dover anche affrontare spese legali per dimostrare la propria
46
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
47
INFORMATION SECURITY & DATA PROTECTION
Le minacce rivolte all'IoT che, oggi, sono ipotizzabili, riguardano in primo luogo
la disponibilit del servizio: un DDoS mette in seria difficolt la trasmissione
delle informazioni cui le macchine in rete sono preposte.
Ovviamente, gli attacchi a infrastrutture critiche rivolte a sistemi SCADA
rappresentano un fronte di "guerra" e scenari da vera e propria Cyber War sono
certamente realistici. In questi contesti ipotizzabile che enti governativi
possano stanziare i fondi necessari per sviluppare kit di attacco mirati, al fine di
colpire un singolo obiettivo.
Gi il costo per un sabotaggio poco probabile sia sostenibile per colpire un
concorrente, ma se si tratta di un "nemico" lo scenario cambia.
Il cybercrime, invece, si sta attrezzando per abbandonare le botnet cos come
oggi le conosciamo, cio composte da pc e server, e sta sfruttando la maggiore
superficie di attacco, grazie al fatto che un numero consistente di dispositivi
M2M in Rete utilizzano sistemi noti come Linux.
Botnet complesse, composte da dispositivi di differente natura, sono gi una
realt: stato, infatti, registrato il primo caso di frigorifero utilizzato in una sorta
di botnet per mandare spam. Il grosso rischio, in questo contesto, che in molti
di questi dispositivi vengano utilizzati vecchi pezzi di codice o, comunque,
software open source che difficilmente saranno aggiornati: chi si occuper
dell'upgrade del firmware del forno a micronde o della lavatrice?
La probabilit che buona parte delle macchine in rete resti indifesa rende l'IoT
una miniera d'oro per chi cerca una macchina da usare gratuitamente.
, infine, ipotizzabile un futuro in cui avverr il passaggio dalla minaccia
informatica a quella fisica: gi oggi alcuni modelli di automobile dispongono di
componenti elettronici e computer di bordo raggiungibili da remoto via
wireless, che potrebbero essere manomessi provocando un incidente.
A quel punto la sensibilizzazione verso l'importanza della cyber security sar
compiuta.
La Security Intelligence
Quando fu introdotto il concetto di UTM (Universal o Unified Threath
Management), diversi anni or sono, cominci a essere chiaro che non si poteva
affidare la difesa da ogni singola minaccia a un dispositivo specifico. All'inizio si
48
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
I SIEM "intelligenti"
La crescente complessit dei malware e la sempre maggiore sofisticatezza degli
attacchi hanno reso rapidamente obsoleti quei sistemi di protezione che non
prevedevano azioni automatiche.
In particolare, per, a dimostrare la propria inadeguatezza sono i SIEM (Security
Information Event Manager) di prima generazione.
49
INFORMATION SECURITY & DATA PROTECTION
50
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
51
INFORMATION SECURITY & DATA PROTECTION
Ma, per compiere un salto di qualit necessario che il SIEM possa tener conto
del livello di rischio su tutta la rete Internet e non solo su quanto sta accadendo
al suo interno. Per questo, non bastano i semplici motori di correlazione interni.
Questi ultimi, infatti, sono in grado di confrontare l'avvenire di eventi misurati
sulla rete aziendale e quindi registrati nel log del SIEM. Con gli attacchi ATP,
purtroppo, questo necessario e pu spezzare la sequenza di fasi di un attacco,
ma non detto che sia sufficiente, a causa della persistenza degli ATP.
Un attacco che comincia con una mail di spear phishing ha buone probabilit di
arrivare indisturbato alla quarta fase e da qui alla quinta, senza che i sistemi di
protezione se ne possano accorgere. A questo punto potrebbe essere troppo
tardi. Peraltro, con un sistema SIEM in grado di ricevere e selezionare
informazioni anche da fonti esterne alla rete aziendale, cio di appoggiarsi a un
sistema di "intelligence", l'attacco potrebbe essere bloccato alla fase 2 se non
alla 1.
Per chiarire in cosa consiste un sistema di intelligence ripercorriamo appunto la
sequenza di un attacco APT, dopo la ricognizione, partono le strategie di
adescamento, nella maggior parte dei casi basate sull'invio di una mail di spear
phishing. Un sistema antispam/antiphishing potrebbe bloccarla, ma facile che
gli sfugga, perch non composta con lo stile classico dello spam o del phishing
di massa. Soprattutto non fa parte di massicce campagne di spamming che
vengono rilevate per gli elevati volumi. In genere contengono un link, ma
un'analisi superficiale dei contenuti cui rimanda non sufficiente a stabilirne la
malevolenza. Peraltro, un'analisi accurata, per esempio con l'emulazione del
comportamento attraverso tecniche di sandboxing, richiede del tempo e viene
spesso effettuata offline. A meno che l'attacco non sia condotto a una singola
impresa o, addirittura a uno specifico reparto di una singola impresa, possibile
che tali mail di spear phishing siano state gi "sotto esame" su qualche sistema,
magari dall'altra parte del mondo. Se quest'ultimo dovesse rivelare un elemento
sospetto potr "firmare" la mail (cio trovare un elemento che la
contraddistingua e ne permetta l'identificazione) e di trasmettere
immediatamente questa informazione in tutto il mondo.
Quest'ultima fase quella che viene chiamata di threat intelligence, anche se le
definizioni non sempre coincidono. In buona sostanza un sistema di threat
intelligence in grado di correlare informazioni di sicurezza registrate sulla
52
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
53
INFORMATION SECURITY & DATA PROTECTION
54
2. L'evoluzione delle minacce e l'emergere della Security Intelligence
55
3- LA MOBILE SECURITY
56
3. La mobile security
57
INFORMATION SECURITY & DATA PROTECTION
arrivavano all'IT richieste del tipo "ho bisogno di fare questa cosa", oggi il
business manager chiede: "mi serve una app per fare questa cosa".
Il cambiamento epocale e non c' possibilit che si torni indietro. Questo
implica ripensare i processi in chiave mobile e immaginare i futuri servizi sempre
in quest'ottica. Alla base di questa rivisitazione deve esserci un'attenzione
costante per la sicurezza, da porre al centro. Lo stesso Cisco di prima concludeva
il racconto affermando che non vede altro modo di supportare queste esigenze
integrando la sicurezza direttamente nell'applicazione mobile.
L'attenzione verso la sicurezza delle applicazioni non riguarda solo il mondo
mobile, ma centrale per tutta l'Information Security, poich le applicazioni
sono diventate un tramite per penetrare sulla rete aziendale sfruttandone le
vulnerabilit e perch, sempre pi, sono un obiettivo per arrivare ai dati.
Ovviamente, essendo questi ultimi l'obiettivo finale, anche direttamente sui
dati che va impostato il sistema di sicurezza.
Come accennato, dispositivi come gli smartphone e i tablet ci hanno abituato a
trovare online tutti i contatti e gli strumenti che servono per organizzare la
nostra vita sociale e professionale, contribuendo in maniera sostanziosa al
processo di "business transformation", che ridefinisce completamente i processi
aziendali, aumentando la produttivit, cambiando le relazioni di lavoro e
sviluppando attivit completamente nuove.
I nuovi modelli di lavoro in mobilit rappresentano la fase finale di quel
processo di allargamento del perimetro aziendale cominciato con l'avvento di
Internet di cui la mobilit ha rimosso gli ultimi limiti in termini di spazio e tempo,
non solo per l'azienda ma anche per i suoi clienti e fornitori.
Le tematiche di sicurezza legate alla mobilit sono riconducibili a quelli che oggi
le aziende si trovano a gestire nel loro complesso. Il primo problema che la
quasi totalit dei dispositivi mobili sono progettati e costruiti per il mondo
consumer. Le prime generazioni di smartphone e tablet non consentivano di
installare un antivirus, per esempio. Oggi che i device mobili intelligenti, cio
dotati di capacit computazionale, sono pi diffusi di quelli "fissi", l'attenzione
dei cybercriminali si spostata e le minacce direttamente rivolte a tali dispositivi
aumentata. Questo, se aumenta il rischio generale, dall'altro lato ha portato le
aziende produttrici a progettare con pi attenzione i dispositivi e sta favorendo
lo sviluppo di soluzioni specifiche per la sicurezza dei device mobili.
58
3. La mobile security
59
INFORMATION SECURITY & DATA PROTECTION
su Internet con maggiore facilit che con gli smartphone e di telefonare anche
senza un auricolare e certamente pi agevolmente che con un tablet.
Quale che sia il dispositivo scelto, la tendenza comunque di usarne uno solo
sia per le attivit personali sia per quelle attinenti alla sfera lavorativa. Da qui
nasce il problema generato dall'ospitare sul quest'unico dispositivo mobile dati
fondamentali per l'azienda: per esempio password di accesso alla rete che, di
fatto, lasciano una porta aperta per entrare nell'intero network aziendale.
Altro ambito delicato quello delle app. facile che l'abitudine a utilizzare app e
servizi per i propri dati personali venga "trasferita" anche ai dati aziendali. Per
esempio, usando servizi come Dropbox per tutto o sincronizzando tutti i dati
dell'iPhone su iCloud di Apple, senza preoccuparsi che i dati aziendali possano
essere copiati, come accaduto per le immagini private di alcune celebrit.
Spesso manca la consapevolezza dei rischi.
L'utilizzo indiscriminato delle app porta altre implicazioni pericolose per le
imprese. Per avere un'idea della portata del rischio si pensi che il numero di App
potenzialmente nocive per Android stato stimato abbia superato
l'impressionante numero di due milioni.
Si stima in circa 2 milioni il numero di app contenenti malware sull'app store Android
60
3. La mobile security
61
INFORMATION SECURITY & DATA PROTECTION
62
3. La mobile security
63
INFORMATION SECURITY & DATA PROTECTION
64
3. La mobile security
65
INFORMATION SECURITY & DATA PROTECTION
66
3. La mobile security
sono in chiaro (e cio non cifrate mediante opportuni algoritmi) il gioco fatto.
Ancora pi subdola la metodologia di attacco MITM, che consiste
sostanzialmente nel frapporsi tra due interlocutori.
vero che esistono contromisure in proposito, ma spesso non vengono prese
perch molti utilizzatori ritengono che il solo utilizzo di protocolli sicuri, quali
HTTPS ed SSH, siano pi che adeguati per proteggere i dati trasferiti nel corso
della sessione. Va osservato che normalmente questo vero, ma si tratta di
protocolli che spesso sono implementati nei livelli alti della pila ISO/OSI (un
modello definito negli anni settanta che rappresenta il riferimento generale per
la realizzazione di sistemi informatici), e che possono per essere aperti ad
attacchi portati ai livelli inferiori, quali appunto quelli di trasmissione radio delle
informazioni.
In sostanza, tramite opportuni dispositivi, viene intercettato il segnale emesso
dal dispositivo di origine e a quella che sarebbe la connessione diretta
chiamante chiamato si sostituisce un flusso che diventa "chiamante sniffer
chiamato". Lo sniffer ha cos la possibilit di intercettare i dati nelle due
direzioni e sostituirli a piacere, modificarli, registrarli, eccetera, il tutto senza che
n il chiamante n il chiamato ne siano consci.
Una soluzione che supporti la Mobility aziendale deve comprendere tutti gli
aspetti legati all'usufruibilit delle applicazioni e dei servizi. Quindi la garanzia
non solo della disponibilit, ma anche di un livello minimo garantito di
prestazioni. Soprattutto, per, questo significa poter utilizzare soluzioni che
supportino appieno i processi aziendali.
Le suddette tematiche devono dunque essere affrontate con gli opportuni
approcci tecnologici e, come gi rimarcato, la strada per il futuro certamente il
cloud o IT as a Service, per la quale ciascuna azienda dovr trovare la propria
ideale combinazione tra private e public.
In questa chiave va dunque presa in considerazione l'organizzazione delle
infrastrutture necessarie per fornire il servizio di mobility ai diversi utilizzatori in
azienda. Ovviamente, la connettivit esterna alle sedi aziendali non potr che
essere acquisita presso gli operatori, mentre internamente si potranno utilizzare
le reti Wi-Fi. Per quanto concerne, invece, la soluzione dei requisiti prima
enunciati, si potranno effettuare le scelte pi opportune a seconda dei casi.
67
INFORMATION SECURITY & DATA PROTECTION
Il Cloud Wi-Fi
Come prima accennato, una delle scelte da compiere, quando si vuole installare
o rimodernare una rete WiFi decidere se basarla su controller tradizionali o
meno.
Oggi, infatti, sono ormai diffuse sul mercato soluzioni basate su servizi gestiti in
cloud, che consentono di non installare i costosi e onerosi, in termini di
gestione, controller.
In ambienti ad alta densit, con centinaia o migliaia di access point installati i
controller sono probabilmente necessari, ma le imprese che hanno pochi punti
di accesso wireless nonch quelle molto distribuite, che pure hanno pochi
access point per sede, devono valutare i vantaggi offerti dalle soluzioni WiFi
gestite nel cloud, che consentono ai clienti di acquistare solo gli access point,
potendo fare a meno di controller o server di gestione.
Non un caso, infatti che tali soluzioni siano nate soprattutto per sgravare le
aziende molto distribuite dall'onere dei numerosi controller da installare.
I vantaggi non si fermano qui, anche considerando che queste soluzioni sono pi
recenti, quindi nate nell'epoca della user experience, con tutto ci che ne
consegue in termini di interfacce semplificate e maggiore gestibilit.
Un altro beneficio consiste nella flessibilit, tipica del cloud, che in questo caso,
per un'azienda significa poter iniziare con un solo access point per poi crescere
in base alle sopravvenute esigenze.
Tuttavia, il cloud pu non essere un salto qualitativo completo, anche se riduce
la complessit e i costi. La maggior parte delle soluzioni Cloud WiFi, per,
deludono in termini di contenuti e sicurezza delle applicazioni. Esse, infatti, non
spostano i paradigmi delle reti wireless basate su controller: semplicemente
68
3. La mobile security
spostano questi ultimi fisicamente dall'azienda al data center del provider. Il che
introduce anche problematiche, a cominciare da un potenziale point of failure
dell'infrastruttura wireless, qualora la connessione con il cloud dovesse cadere.
Inoltre, anche la sicurezza fornita nel cloud, ma i punti di accesso restano
ovviamente on premise, aprendo il fronte a nuove vulnerabilit.
Affinch una soluzione Cloud WiFi possa rispondere alle esigenze di un'impresa
necessario che risponda a una serie di attributi, soprattutto per realizzare una
infrastruttura completamente wireless.
69
INFORMATION SECURITY & DATA PROTECTION
allinterno dellazienda: per esempio per definere policy diverse tra studenti,
insegnanti e personale ATA in una scuola.
Un gruppo che viene tipicamente trattato a parte quello dei "guest", per i
quali occorre sia previsto (quinto punto) un captive portal apposito.
L'indagine Network Purchase Intention di ZK Research, cui si gi fatto
riferimento, poneva laccesso di utenti guest al secondo posto fra le applicazioni
che le aziende intendevano implementare su WLAN.
La rete WiFi dovrebbe consentire la configurazione di SSID senza limiti
quantitativi.
Il sesto attributo nuovamente legato alla sicurezza, per la quale, come detto,
non basta il controllo accessi, ma occorre poter analizzare lo stato e l'utilizzo
delle applicazioni layer 7, in modo da consentire l'impostazione di un modello
gestionale predittivo. opportuno monitorare utilizzo e consumo di banda delle
applicazioni e da parte di chi. Informazioni che servono per la sicurezza e per
attivit di manutenzione preventiva e programmazione.
Per ultimo, ma non ultimo, il settimo punto riguarda la capacit di supportare
una sicurezza pensata per infrastrutture di rete completamente wireless.
Si tratta di supportare le evoluzioni evidenziate in incipit. Secondo gli analisti di
ZK Research la sicurezza rappresenta lostacolo principale nella diffusione
dell'IoT.
Un sistema di sicurezza completo non pu fermarsi all'autenticazione, come
avviene per la maggioranza delle Cloud WiFi, e deve, invece, comprendere
intrusion prevention e tutte le soluzioni che occorrono per mitigare la crescente
ondata di minacce cyber.
La soluzione Cloud WiFi di Fortinet, che analizziamo in seguito, prevede funzioni
di sicurezza avanzata integrate direttamente nellhardware dell'access point, il
che evita di dover installare in cloud le diverse soluzioni per la sicurezza che
occorrerebbero.
70
3. La mobile security
71
INFORMATION SECURITY & DATA PROTECTION
72
3. La mobile security
73
4- SICUREZZA DEL DATO E
BUSINESS CONTINUITY
NELLERA DEL SOFTWARE
DEFINED DATA CENTER
74
4. Sicurezza del dato e business continuity nellera del software defined data center
75
INFORMATION SECURITY & DATA PROTECTION
76
4. Sicurezza del dato e business continuity nellera del software defined data center
77
INFORMATION SECURITY & DATA PROTECTION
Il data management
Un'infrastruttura basata sulla virtualizzazione e l'orchestrazione delle risorse
virtualizzate in chiave software defined, rende evidentemente obsolete le
infrastrutture di backup, restore e disaster recovery basate sulla copia dei dati, il
vaulting fisico e tutte quelle procedure complesse e costose che, soprattutto,
non sempre veniva condotte pienamente. In particolare, troppo
frequentemente veniva saltata la fase di test con il rischio che, al momento del
bisogno, non si riuscisse a effettuare il ripristino cos come lo si era ipotizzato e,
quindi, tornando allo stato ante disastro.
78
4. Sicurezza del dato e business continuity nellera del software defined data center
79
INFORMATION SECURITY & DATA PROTECTION
Laspetto impiantistico
Per essere in grado di supportare applicazioni che, con la proiezione di
unazienda nel pi ampio contesto Internet, devono essere attive 24 ore su 24,
lIT aziendale si dovuto trasformare profondamente e linsieme delle
apparecchiature che lo costituisce sta necessariamente incorporando
80
4. Sicurezza del dato e business continuity nellera del software defined data center
81
INFORMATION SECURITY & DATA PROTECTION
82
4. Sicurezza del dato e business continuity nellera del software defined data center
83
INFORMATION SECURITY & DATA PROTECTION
84
4. Sicurezza del dato e business continuity nellera del software defined data center
85
INFORMATION SECURITY & DATA PROTECTION
In sostanza, con le soluzioni ora disponibili sul mercato possibile ridurre i costi
energetici fino al 50% senza per questo impattare su affidabilit e performance.
In genere, ridurre i consumi e ridurre la produzione di calore ha invece un
impatto positivo sulla durata delle macchine e quindi sulla sicurezza di poter
continuare a godere delle applicazioni IT.
86
4. Sicurezza del dato e business continuity nellera del software defined data center
tecnologia green e una che sia sostenibile dal punto ambientale e che al
contempo aumenti la sicurezza dellambiente IT.
In particolare, mentre un apparato green rappresenta un intervento una
tantum, questultima si basa invece su una pianificazione a lungo termine e
richiede investimenti in infrastrutture flessibili, anche di tipo strutturale.
A fronte di investimenti iniziali pi elevati per lapproccio che permette di
ottenere nel tempo i maggiori risparmi in risorse.
Ad esempio, pensare in prospettiva vuol dire non solo ottimizzare la struttura
fisica di un edificio, ma anche adottare strategie di provisioning delle
apparecchiature IT nel quadro di una architettura virtuale che permette di
ridurre il numero di macchine, utilizzarle invece del 20% sino all80% o oltre
delle loro capacit o sviluppare una strategia di thin provisioning delle risorse IT,
una strategia cio che permetta di approvvigionarsi degli apparati solo quando
strettamente necessario.
Peraltro, una strada facilmente percorribile adottando le soluzioni pi recenti
che sono state sviluppate proprio per permettere la realizzazione di ambienti
server e storage virtuali.
Esempi sul campo hanno ampiamente dimostrato come sia possibile ridurre di
un ordine di grandezza e anche oltre le macchine server e storage necessarie al
funzionamento delle applicazioni, ottenendo contemporaneamente una base
elaborativa per le applicazioni business estremamente sicura e performante,
che maschera allutilizzatore limprovviso fuori servizio di un server perch
lapplicazione pu essere trasferita in modo trasparente per il fruitore su
un'altra macchina simile, il tutto in modo automatico.
Un medesimo discorso vale per lo storage o per le soluzioni di business
continuity che prevedano data center distribuiti sul territorio anche a grandi
distanze geografiche.
In pratica, quindi, la virtualizzazione di server e storage e le tecnologie che la
rendono possibile, a partire dai processori di base, associate con il concetto di
thin provisioning, permettono alle aziende di consolidare i propri sistemi e
accrescerne le possibilit dutilizzo, riducendo in modo significativo lammontare
dellenergia richiesta per il loro funzionamento e, come conseguenza diretta,
per la climatizzazione.
87
INFORMATION SECURITY & DATA PROTECTION
88
4. Sicurezza del dato e business continuity nellera del software defined data center
89
INFORMATION SECURITY & DATA PROTECTION
fianco degli armadi che alloggiano gli apparati che costituiscono la sorgente del
carico termico.
90
4. Sicurezza del dato e business continuity nellera del software defined data center
Altre soluzioni prevedono invece lutilizzo di moduli che possono essere posti in
linea con gli armadi. In questi casi laria che proviene da un corridoio caldo entra
nella parte posteriore dellunit, viene trattata e mandata nel corridoio freddo.
91
INFORMATION SECURITY & DATA PROTECTION
92
4. Sicurezza del dato e business continuity nellera del software defined data center
93
INFORMATION SECURITY & DATA PROTECTION
Lesperienza sul campo indica in circa un ottanta per cento i fermi macchina
provocati da malfunzionamenti dellhardware o da interruzioni operative dovute
a errori umani, anche se non ne deriva che il relativo impatto sullazienda sia
meno devastante.
Malfunzionamenti e disastri
La sicurezza di unapplicazione copre sia aspetti temporali, connessi alla sua
erogazione, che topologici, connessi allarea in cui la stessa viene erogata (si
tralasciano, qui, gli aspetti correlati alla sicurezza logica e le relative misure,
quali crittografia, antivirus, firewalling e cos via).
In entrambi gli aspetti, presi in considerazione, emerge che la prima dimensione
da considerare per un malfunzionamento la sua sfera dinteresse. Gli effetti di
un malfunzionamento possono avere, infatti, portata ed estensione variabili e
finire con il coinvolgere e avere un impatto su una specifica applicazione oppure
su unintera area geografica della rete aziendale.
Gli aspetti e le problematiche attinenti alla sicurezza dei dati e al ripristino di
applicazioni e sistemi di ambito locale sono usualmente note e generalmente
sono risolte tramite strategie di backup e recovery atte a evitare la potenziale
alterazione dei dati tramite la creazione di copie di sicurezza dei dati e delle
applicazioni da conservare in unaltra sede aziendale o in apposite strutture di
outsourcing. Ci che invece spesso difficile controllare sono le minacce alla
sicurezza attinenti a un edificio o allarea geografica circostante la sede
aziendale, comprendendo in questo sabotaggi, incendi, inondazioni, uragani,
terremoti e mancanza di alimentazione elettrica, eventi che non a caso di solito
vengono riferiti in contratti di assistenza e di garanzia come acts of God, al
fine di giustificarne lesclusione dalla usuale responsabilit connessa alla
fornitura o erogazione di un servizio.
Appare comunque evidente che un adeguato livello di sicurezza inserito in un
piano riguardante un fuori servizio provocato da un disastro di portata locale o
regionale deve prevedere la disponibilit di una sede alternativa, posizionata a
una congrua distanza dallarea potenzialmente soggetta a un disastro.
Un secondo aspetto connesso a un guasto informatico rappresentato dal costo
dei fermi di sistema e delle relative applicazioni. Anche se i dati si riferiscono a
94
4. Sicurezza del dato e business continuity nellera del software defined data center
95
INFORMATION SECURITY & DATA PROTECTION
Se si prescinde dalla vita umana, che ovviamente non ha prezzo, sono i dati il
patrimonio pi prezioso di unazienda e, a seconda del livello di criticit di
unapplicazione, cresce parimenti limportanza di disporre di dati che siano
aggiornati, vecchi anche di alcuni giorni in alcuni casi (piuttosto che non
disporne affatto!) o, per applicazioni fortemente critiche, aggiornati in tempo
reale.
96
4. Sicurezza del dato e business continuity nellera del software defined data center
97
INFORMATION SECURITY & DATA PROTECTION
98
4. Sicurezza del dato e business continuity nellera del software defined data center
99
INFORMATION SECURITY & DATA PROTECTION
100
4. Sicurezza del dato e business continuity nellera del software defined data center
101
INFORMATION SECURITY & DATA PROTECTION
102
4. Sicurezza del dato e business continuity nellera del software defined data center
103
INFORMATION SECURITY & DATA PROTECTION
104
4. Sicurezza del dato e business continuity nellera del software defined data center
Software di gestione
In caso di un evento catastrofico che porti alla perdita di dati, il software svolge
un ruolo sempre pi chiave nel trasferimento rapido dei file, perch consente di
ripristinare anche file di grandi dimensioni nel giro di pochi minuti. Recenti
rilasci sfruttano in modo intensivo gli sviluppi che si sono avuti nella
virtualizzazione dello storage per automatizzare la gestione e il recupero dei dati
allinterno della gerarchia di storage. Il tutto si basa su apposite policy definite
dagli utenti per scaricare i dati dalla cache su disco ai nastri in modo da creare
copie multiple per il centro primario, il caveau e larchiviazione in remoto.
105
INFORMATION SECURITY & DATA PROTECTION
essere trascurati, come troppo spesso si faceva in passato, n, per molte realt,
risultano accettabili tempi lunghi.
Fino a non molti anni fa, le finestre notturne erano sufficienti a coprire le
esigenze di backup della maggior parte se non totalit delle imprese. Oggi, la
crescita smodata dei dati in azienda ha finito con il rendere obsolete molte
architetture e strumenti per il salvataggio dei dati. Dallaltro lato, tempi di
ripristino lunghi, anche se non portano necessariamente al fallimento di
unimpresa, certamente ne condizionano la produttivit e rappresentano un
importante spreco di risorse.
Se a questo si abbina lopportunit dintegrare il backup con politiche di disaster
recovery, che sono del resto imposte anche da precise normative di legge, ecco
che si comprende il successo di un mercato emergente quale quello dei servizi di
backup e disaster recovery appunto.
106
4. Sicurezza del dato e business continuity nellera del software defined data center
107
INFORMATION SECURITY & DATA PROTECTION
108
5- LA NETWORK SECURITY
"POST PERIMETRALE"
109
INFORMATION SECURITY & DATA PROTECTION
110
5. La network security
111
INFORMATION SECURITY & DATA PROTECTION
112
5. La network security
113
INFORMATION SECURITY & DATA PROTECTION
o IGP in tutto il mondo attraverso Internet. C' chi sente sicuro, magari perch
ritiene di non avere concorrenti o di essere troppo benvoluto per diventare un
bersaglio. Il problema, per, sono i danni collaterali: si sono verificati, infatti,
attacchi destinati a data center di provider, che hanno colpito pi servizi. Per le
Telco e i service provider quello dei DDoS sta diventando un problema serio.
I 3 principali obbiettivi degli attacchi DDoS diretti verso i clienti Fastweb nel 2015
(fonte Fastweb Rapporto Clusit 2016)
114
5. La network security
Distribuzione attacchi DDoS in Italia registrati sulla rete Fastweb nel 2014
(fonte: Fastweb - Rapporto Clusit 2015)
115
INFORMATION SECURITY & DATA PROTECTION
Una VPN utilizza uninfrastruttura condivisa per la connessione delle diverse sedi
aziendali
116
5. La network security
Larchitettura IPsec
La suite di protocolli per la sicurezza del livello di rete IPsec prevede la
realizzazione di due diverse modalit di protezione dei dati. La prima permette
di autenticare i dati inviati, la seconda aggiunge a questo anche la cifratura degli
stessi. IPsec costituisce una vera e propria architettura aperta per la
realizzazione di reti sicure che consente di inserire nuovi metodi di cifratura
mano a mano che vengono sviluppati o che i sistemi utilizzabili per attaccare i
dati si perfezionano.
Le aree che sono state affrontare nella definizione di IPsec sono:
Autenticazione dei dati di origine per verificare che gli stessi siano stati
inviati effettivamente dal mittente.
Protezione dal rischio che i dati possano essere intercettati e ritrasmessi
in un momento successivo.
Integrit dei dati per verificare che quanto inserito nei datagrammi non
sia stato alterato.
Gestione automatica delle chiavi di cifratura in modo da poter stabilire
una politica di rete che non richieda continui interventi manuali.
Le tecnologie di autenticazione possono anche utilizzare elementi esterni, come
i token, ma tali meccanismi rimangono esterni allarchitettura VPN
propriamente detta. Cos come lo il protocollo tipicamente usato nelle reti per
la realizzazione di una sessione sicura su Internet, cio il Secure Socket Layer
(SSL).
117
INFORMATION SECURITY & DATA PROTECTION
Negli anni sono aumentati gli attacchi perpetrati attraverso il social engineering.
facile credere a una mail che arriva apparentemente da un dirigente aziendale
con un tono minaccioso e quindi cascare in trappole tese da un malintenzionato
che era riuscito a impossessarsi di un paio di informazioni, magari raccolte su un
sito di social networking, dove in molti si confessano liberamente. Il phishing, in
particolare, nato proprio con il concetto di sfruttare lingenuit delle persone
e, utilizzando tecniche di spamming, colpisce sempre pi facilmente nel segno.
Statisticamente, inviando centinaia di migliaia di e-mail, c certamente
qualcuno che crede a messaggi sempre pi plausibili e clicca sul link-esca.
Le logiche dei grandi numeri fanno il resto: se abbocca l1% dei destinatari (
una percentuale stimata da diversi security advisor), significa migliaia di identit
elettroniche, numeri di carta di credito, password o altre informazioni rubate.
Anche percentuali inferiori portano a risultati interessanti, che spesso
rappresentano solo la base di partenza per ulteriori crimini.
Conoscenza e consapevolezza riducono il rischio, ma, soprattutto nelle grandi
imprese, non facile diffondere una cultura sulla sicurezza a tutti i dipendenti.
Senza contare che combattere la pigrizia e la debolezza della natura umana
una battaglia persa in partenza.
Allora la guerra va combattuta e vinta su altri terreni e, vista la sofisticazione e la
crescente rapidit degli attacchi, lunica strategia possibile consiste
nellapplicare strumenti automatici.
Un esempio pu aiutare a comprendere le dimensioni del problema. A partire
dalla seconda met del 2007, si assistito allaffermazione di una tecnica
preoccupante: linfezione di siti insospettabili.
Su home page e pagine interne di Web facenti capo a enti governativi,
universit, aziende anche note sono stati inseriti link che attivano il download di
codici maligni. evidente che qui non centra la cultura e solo un software di
protezione pu impedire allutente ignavo di scaricare malware. Peraltro, il
sistema di sicurezza deve essere sofisticato e aggiornato in tempo reale: in altre
parole, automatico. Altrimenti non pu essere efficace. Basta infatti considerare
che viene pubblicata una pagina infetta ogni 5 secondi e una percentuale
sempre pi alta di tali pagine appartiene a siti innocenti.
Siti che non ricevono alcun danno e, quindi, difficilmente possono percepire che
c qualcosa di sbagliato, almeno non in tempi rapidi. Il punto che queste
118
5. La network security
119
INFORMATION SECURITY & DATA PROTECTION
120
5. La network security
121
INFORMATION SECURITY & DATA PROTECTION
122
5. La network security
123
INFORMATION SECURITY & DATA PROTECTION
124
5. La network security
125
INFORMATION SECURITY & DATA PROTECTION
126
5. La network security
127
6- LA SICUREZZA DELLE
APPLICAZIONI
128
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
129
INFORMATION SECURITY & DATA PROTECTION
130
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
parole, una vulnerabilit diventa una minaccia quando viene anche realizzato un
exploit.
Quando viene rilevata da uno dei tanti ricercatori assoldati perlopi dai vendor
di soluzioni informatiche, la vulnerabilit viene comunicata all'editore del
software che presenta il bug, consentendogli di mettersi subito al lavoro per
"riparare" il buco. Passato del tempo il problema viene reso noto. Questo
normalmente avviene quando disponibile una patch (toppa in inglese), cio un
aggiornamento del software che elimina la vulnerabilit correggendo il difetto. Il
giorno in cui viene disvelata la vulnerabilit detto "0 day". Un tempo,
occorreva qualche giorno prima che venissero inventati gli exploit, ma ben
presto si cominciato a parlare di "0 day threat": in realt, oggi, sono molte le
vulnerabilit che vengono scoperte e denunciate, dopo che un malintenzionato
le abbia sfruttate.
Sono diversi gli exploit sviluppati dagli attacker e hanno un ciclo di vita variabile,
ma spesso inopinatamente lungo. Si potrebbe pensare che la disponibilit di una
patch ponga fine a tale ciclo vitale, ma sono molte le imprese che non riescono a
stare dietro ai processi di path management e questo permette di usare una
vecchia vulnerabilit anche ad anni di distanza, come nel caso della SQL
Injection.
Per risolvere queste problematiche, sono stati realizzati negli anni dei sistemi
che consentono di realizzare una sorta di pathing virtuale. Sono tecnologie che
consentono di proteggere l'infrastruttura aziendale, come se fosse stato
corretto il difetto, anche se, permanendo il difetto, un eventuale secondo
exploit potrebbe non essere coperto.
Queste difficolt hanno portato alcuni editori di software tra i pi diffusi a
impostare regole ferree nella fase di sviluppo del software: in altre parole, l'idea
quella di eliminare il problema alla base, producendo software che non
contenga errori.
Ovviamente questa una soluzione preventiva efficace che permette di
mitigare il rischio derivante dagli attacchi evidenziati nel rapporto Clusit e non
solo. Tale azione pu essere effettuata con l'application security testing.
Quest'ultimo permette di verificare passo il funzionamento del software e di
controllare che non si possano utilizzare le sue caratteristiche in maniera
malevola. In altre parole impedisce di mettere in esercizio applicazioni che
131
INFORMATION SECURITY & DATA PROTECTION
contengono vulnerabilit note e previene il rischio che si lascino altre falle nei
nuovi sistemi sviluppati.
Certamente sono stati compiuti giganteschi passi avanti rispetto al passato,
quando alcuni software vendor trovavano "naturale" e forse divertente
demandare ai clienti la bug discovery. Oggi i processi sono stati notevolmente
migliorati e le applicazioni sono molto pi sicure sin dalla nascita, ma le esigenze
di time to market, le conoscenze non sempre approfondite sulla sicurezza e,
soprattutto, le maggiori risorse di sviluppo sul fronte dei cyber criminali,
rendono impossibile disporre di un'applicazione sicura al 100%. Questo non
significa che non si debbano seguire processi di testing accurati per progettare
le applicazioni il pi sicure possibili.
132
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
imprese), come avveniva fino a qualche anno fa. Dunque questo flusso continuo
di traffico deve trovare canali di comunicazione aperti che, pertanto, possono
diventare una comoda porta d'accesso all'infrastruttura IT aziendale.
Per questo motivo le nuove tecniche per la prevenzione delle minacce
informatiche si basano su analisi approfondite del codice in ingresso sulla rete
aziendale. Non una questione banale, perch queste grandi quantit di traffico
non possono essere rallentate a piacere. In generale, ne risente la produttivit
dei lavoratori, che avvertono anche la frustrazione di una user experience non
ottimale. In particolare, inoltre, ci sono applicazioni che sono altamente sensibili
alla latenza della rete: basti pensare alla videoconferenza, che una soluzione di
comunicazione sempre pi apprezzata da quando nuovi standard di
compressione ne permettono l'utilizzo attraverso Internet direttamente dal
proprio pc, senza tutte le complessit delle grandi sale riunioni con i sistemi
complessi di una volta.
Da qui il successo e il crescente interesse verso i firewall e gli Intrusion
Prevention System (IPS) di ultima generazione, che implementano soluzioni per
l'analisi delle anomalie e per la simulazione del "comportamento" applicativo.
Perlopi si tratta di soluzioni cosiddette di "sandboxing". Come nelle "scatole di
sabbia" in cui giocano al sicuro i bambini nei parchi giochi, in queste sandbox
possibile depositare il codice e "giocarci" con tranquillit per verificarne le azioni
e la sua pericolosit. Aspetto fondamentale dei sistemi di sandboxing
classificare il malware che viene riconosciuto come tale, in modo da poterlo
facilmente identificare una seconda volta.
La logica, inoltre, creare una "signature" o qualcosa che permetta comunque
ad altri sistemi di riconoscere l'impronta di questo malware. Tali analisi possono
essere accelerate da servizi in cloud, che aggiornano prontamente tutti i
dispositivi non appena una nuova minaccia viene identificata e, in qualche
modo, resa immediatamente riconoscibile da tutti i sistemi.
Applicazioni e RASP
L'aspetto della rapidit non indifferente, considerando che non si pu pensare
di bloccare tutto il traffico solo sulla base di un sospetto. Per questo i Web
Application Firewall, che originariamente nascono per controllare i contenuti e
l'utilizzo delle applicazioni per impedirne abusi, non possono agire in tempo
133
INFORMATION SECURITY & DATA PROTECTION
134
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
135
INFORMATION SECURITY & DATA PROTECTION
136
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
alla base delle soluzioni RASP. Proprio la loro combinazione realizza la self
protection, permettendo di superare i principali limiti. Se l'analisi statica
permette di sospettare una vulnerabilit in una linea di codice, solo l'analisi in
runtime consente di verificare la consistenza di un exploit che sfrutta la
vulnerabilit ipotizzata. Potrebbe dunque accorgersene il test dinamico
dell'applicazione. Nessun sistema di test, peraltro, in grado di fermare un
attacco. Pu invece farlo il RASP, prendendo la decisione in base alle
informazioni fornite dal testing applicativo e utilizzando le capacit d'azione real
time del WAF.
In effetti, pu avvenire anche il contrario: la componente Web Application
Firewall pu rilevare traffico sospetto e "richiede" alla componente IAST di
effettuare un supplemento di analisi testando il flusso d'elaborazione e di dati
durante l'esecuzione.
In ogni caso, la soluzione RASP sfrutta la combinazione delle tecnologie, ma non
le sostituisce. Il Web Application Firewall, infatti, ha ragione di sussistere anche
a s stante per bloccare un'azione potenzialmente dannosa, come il
collegamento a un sito Web elencato in una blacklist.
Le soluzioni RASP rappresentano una prima pietra miliare di un percorso verso il
cosiddetto "Application Shielding", che potremmo tradurre come la "blindatura
delle applicazioni". Blindare un'applicazione per renderla resistente agli attacchi,
permettendole di difendersi direttamente da sola.
Ancora una volta, sottolineiamo che non si tratta di sostituire un precedente
livello di protezione, n, in realt di aggiungerne uno nuovo, ma pi
semplicemente di allargare l'orizzonte di protezione, per rispondere
all'espansione del fronte di attacco.
ancora presto per capire fino in fondo come si svilupper l'Application
Shielding o quanto rapidamente si affermeranno le tecnologie RASP. Anche
perch ci sono diversi fattori che intervengono nel disegnare tale scenario. Per
esempio, l'adozione di soluzioni per la Runtime Application Self Protection
sarebbe probabilmente accelerata dalle alleanze che i produttori di applicazioni
e/o quelli del middleware per gli ambienti d'elaborazione potrebbero siglare con
i vendor che sviluppano e vendono soluzioni RASP. In pratica, si potrebbero
realizzare ambienti di runtime blindati alla nascita.
137
INFORMATION SECURITY & DATA PROTECTION
138
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
7- BIOMETRIA E
VIDEOSORVEGLIANZA:
LA SICUREZZA LOGICA
INCONTRA QUELLA FISICA
139
INFORMATION SECURITY & DATA PROTECTION
140
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
La biometria
Lutilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati
biometrici in costante incremento per rispondere a esigenze sempre pi
stringenti di controllo e verifica dellidentit.
Sistemi basati sullanalisi di parametri biometrici possono essere adottati per il
controllo fisico ed elettronico degli accessi, per abilitare laccesso fisico a locali e
aree specifiche, lattivazione di macchinari oppure per un controllo degli
accessi di tipo logico (autenticazione informatica). In alcuni casi le tecniche
biometriche possono essere utilizzate anche a scopo facilitativo, per esempio
per laccesso a biblioteche o lapertura di cassette di sicurezza.
Un caso a parte quello dei sistemi di firma grafometrica, finalizzati alla
sottoscrizione di documenti informatici senza che necessariamente sia
effettuato un riconoscimento biometrico.
Con la firma grafometrica vengono, infatti, incorporate allinterno del documento
informatico una serie di informazioni strettamente connesse al soggetto
firmatario che possono consentire lo svolgimento di analisi grafologiche da
parte di un perito calligrafo (velocit di tracciamento, accelerazione, pressione,
inclinazione, salti in volo e cos via) analogamente a quanto avviene con le firme
apposte sui documenti cartacei.
Metodi di confronto
Il metodo alla base della sicurezza biometricie quello di impiegare delle
caratteristiche personali quali le impronte digitali, i lineamenti del volto,
limmagine della retina, liride, il timbro vocale, la calligrafia, la struttura venosa
delle dita, la geometria della mano per autenticare un individuo tramite
comparazione. La comparazione pu essere condotta in due modi, che
implicano tipicamente diversi utilizzi del sistema biometrico: la verifica o
lidentificazione.
Il processo implica due fasi. La prima consiste nella registrazione del tratto
biometrico, che viene catturato, estrapolato e convertito in un codice binario
per generare un modello biometrico che sar memorizzato in modo persistente
e invariabile nel tempo allinterno di un database. Questo modello costituir la
base per una comparazione basata su metodi statistici e metriche tipici del
141
INFORMATION SECURITY & DATA PROTECTION
142
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
identificazione, come user ID, password, token, smart card e cos via, per
incrementare ulteriormente il livello complessivo di sicurezza.
Nel processo di identificazione biometrica, invece, il sistema confronta il
modello rilevato con tutti i modelli biometrici disponibili allinterno di una banca
dati per individuare lidentit del soggetto (confronto uno a molti). Si tratta della
modalit tipica da investigazioni utilizzata dalla Polizia.
143
INFORMATION SECURITY & DATA PROTECTION
Impronte digitali
Il trattamento biometrico delle impronte digitali quello pi diffuso e utilizzato
da maggior tempo. Il modello biometrico viene solitamente realizzato su una
rappresentazione sintetica numerica dellimpronta di partenza. A differenza di
quanto si crede lunivocit del modello allinterno di un database biometrico
non garantita e, soprattutto in grandi archivi dattiloscopici, a pi di una
impronta pu corrispondere un medesimo modello. Questo inconveniente non
144
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
sottrae nulla allefficacia del suo utilizzo come indice per la ricerca di
corrispondenze allinterno di un database, come viene fatto abitualmente dai
sistemi di riconoscimento automatico delle impronte digitali utilizzati da forze di
Polizia e da agenzie investigative.
Riconoscimento vocale
Con crescente frequenza i sistemi di riconoscimento stanno prendendo il posto
delle password nelle conversazioni telefoniche.
Le caratteristiche dellemissione della voce sono parametri biometrici perche
sono legate allanatomia del tratto vocale, alla sua lunghezza, alle risonanze e
anche alla morfologia della bocca e delle cavit nasali. In molti casi il
riconoscimento non si limita allanalisi dei segnali vocali, ma prevede anche
procedure in cui linteressato viene invitato a ripetere delle frasi, nomi o numeri
e vi anche la possibilit di richiedere allutente uninformazione aggiuntiva
nella sua disponibilit cognitiva (PIN, codice identificativo, codice utente e cos
via). La rilevazione segnale vocale un tipico parametro biometrico che pu
essere acquisito senza la partecipazione attiva dellinteressato e senza luso di
sensori specializzati, essendo sufficiente un normale microfono (anche
telefonico).
145
INFORMATION SECURITY & DATA PROTECTION
tramite sensori che rilevano la forma e la disposizione delle vene delle dita,
del dorso o del palmo della mano utilizzando una sorgente luminosa a
lunghezza donda prossima allinfrarosso. Questo sistema ha il vantaggio di
essere percepito come poco invasivo poich non richiede il contatto del corpo
con la superficie del sensore. Fornisce unaccuratezza elevata, in genere
superiore a quelli basati sulle impronte digitali e non lascia tracce nel processo
di acquisizione (a differenza, per esempio, delle impronte digitali); non fornisce
indicazioni su dati sensibili e mantiene unelevata stabilit nel tempo. La sua
rilevazione deve essere effettuata con la partecipazione attiva dellinteressato.
146
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
147
INFORMATION SECURITY & DATA PROTECTION
lutente che detiene il proprio codice biometrico e non la banca, che riceve
soltanto il messaggio inviato dalla SIM.
I dati biometrici dovrebbero essere conservati solo per il tempo necessario
al perseguimento degli scopi per cui sono stati raccolti (salvo specifici obblighi di
legge) ed essere cancellati o resi anonimi quando non sono pi necessari rispetto
alle finalit per cui erano stati acquisiti.
Peraltro, nei casi eventuali di conservazione centralizzata dei dati biometrici in
un server, si dovrebbe avere sempre laccortezza di conservare i dati
identificativi degli utenti separatamente dai relativi dati biometrici e di utilizzare
soluzioni di cifratura con lunghezza delle chiavi adeguate alla dimensione e alla
criticit della banca dati. Inoltre, opportuna ladozione di sistemi di
registrazione degli accessi da parte dei soggetti abilitati a svolgere mansioni
tecniche di manutenzione e gestione del server.
148
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
149
INFORMATION SECURITY & DATA PROTECTION
tramite una console centralizzata. Anche le telecamere adottate per questo tipo
di riprese risultano essere molto pi convenienti.
La possibilit di far confluire le funzioni di switching video allinterno di un
ambiente IP preesistente, ha permesso poi di ridurre la complessit
dellinfrastruttura e, di conseguenza, i costi di installazione di un sistema di
videosorveglianza, seppur mantenendo linvestimento pregresso e le
competenze umane a esso associate.
Per queste ragioni, la trasformazione di un servizio che sino a ieri era segregato
su una sua rete proprietaria (ottico-coassiale), privata e parallela, verso lIP,
trasforma la videosorveglianza in unaltra applicazione, valorizzando gli asset
generati dalla stessa e creando un serie di altri servizi che sino a ieri erano
impensabili.
Si pensi, per esempio, alla correlazione tra gli eventi di sicurezza fisica e
sicurezza ICT logica, alla possibilit di analizzare il video registrato in tempo
reale per ridurre i tempi dinvestigazione, alla possibilit di aggiungere e scalare
una soluzione di videosorveglianza in modo immediato poich ogni punto rete
IP , praticamente, un punto telecamera.
A oggi, considerando il livello di diffusione delle reti a larga banda in molte
realt pubbliche, la videosorveglianza di quarta generazione una realt
perseguibile. Lelemento strategico ovvero la rete IP, agisce in qualit di matrice
video per un sistema di sicurezza fisica che virtualmente pu abbracciare
qualsiasi punto toccato dalla rete stessa e gestito da diversi enti competenti,
sino ad arrivare a un unico centro per la sicurezza.
Una piattaforma di videosorveglianza network-centrica del tipo descritto
permette di effettuare le operazioni di monitoraggio attraverso stazioni pc o
Video Wall e di accedere in maniera sicura, in qualsiasi luogo, in tempo reale e
in base al verificarsi di specifici eventi. Da parte loro, gli operatori hanno la
possibilit di controllare la rete da qualsiasi terminale IP e di gestire la raccolta
di flussi video provenienti da differenti siti. Inoltre possibile predisporre
soluzioni tecnologiche interoperabili con telecamere e sistemi analogici di tipo
legacy.
150
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
Un cambiamento epocale
La progressiva affermazione del protocollo IP e la contestuale disponibilit di
ampiezza d banda sempre pi elevata ha aperto le porte a una completa
revisione della videosorveglianza allinsegna della migrazione dalle precedenti
tecnologie analogiche a quelle digitali e alla loro distribuzione attraverso
Internet.
La maggiore flessibilit e interoperabilit delle telecamere IP deriva anche dalla
possibilit, in caso di necessit, di riposizionamento delle telecamere in nuove
aree senza troppe difficolt e in tempi molto pi rapidi rispetto ai dispositivi di
tipo analogico.
Se, per molti anni la videosorveglianza analogica aveva abituato lutente a una
gestione della sicurezza basata essenzialmente sulla registrazione degli eventi
nel loro complesso, lalta risoluzione offerta dalle tecnologie digitali attuali ha
aperto nuove opportunit di estendere il livello di controllo e di modificare la
tipologia di applicazioni di videosorveglianza grazie alla possibilit di visualizzare
dettagli funzionali allidentificazione di persone e oggetti o di espandere larea
da visualizzare.
Si pensi, per esempio, alle nuove applicazioni di video motion detection, che
permettono di catturare immagini in movimento e quindi a ottenere una
migliore identificazione di oggetti e persone. Oppure lobject detection, che
consiste nel rilevamento di elementi estranei allimmagine rispetto alla
condizione di normalit, ossia quando non ci sono movimenti nellimmagine
fissa, che potrebbero richiedere una maggiore attenzione. I sensori digitali
grazie allelevata risoluzione ottenibile permettono, per esempio, di individuare
e leggere dettagli di interesse e di effettuare, per esempio, il riconoscimento
delle targhe delle autovetture o il conteggio del numero di persone che
transitano allinterno di un edificio fino a spingersi al riconoscimento delle
persone.
Il fatto poi che la telecamera acquisisca le immagini gi in formato digitale apre
la strada a una serie di funzioni di elaborazione sempre pi sofisticate. Alcuni
modelli sono in grado di effettuare elaborazioni dellimmagine finalizzate al
miglioramento o allesaltazione di dettagli direttamente allinterno del
dispositivo di acquisizione.
151
INFORMATION SECURITY & DATA PROTECTION
152
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
Dal punto di vista della memorizzazione dei dati possibile lutilizzo di qualsiasi
media storage me il mercato si sta sempre pi orientando vero modelli cloud
che rappresentano lapproccio per certi versi naturale per questo tipo di
applicazioni.
Come detto, la disponibilit di un maggior numero di dettagli abilita
lapplicabilit di tecnologie per lanalisi intelligente delle informazioni.
Tra le funzionalit di questo tipo possiamo ricordare per esempio la possibilit di
impostare azioni in base al rilevamento di un movimento non solo davanti allo
spazio visivo della telecamera ma restringere la condizione a specifiche porzioni
o insiemi dellimmagine cos da poter discriminare il movimento allinterno di
unarea del parcheggio da quello delle foglie degli alberi mosse dal vento. Le
azioni basata su eventi legati al posizionamento possono essere incrociate
attraverso opportuni software di gestione con condizioni legate al periodo in cui
avvengono le azioni in grado di attivare un allarme, la durata, a ripetitivit e la
persistenza delle azioni stesse. Anche in questo casi il raggiungimento
dellobiettivo il risultato dellinterazione tra la tecnologia digitale e la
gestibilit offerta dalla tecnologia IP.
153
INFORMATION SECURITY & DATA PROTECTION
154
7. Biometria e videosorveglianza: la sicurezza logica incontra quella fisica
155
INFORMATION SECURITY & DATA PROTECTION
156
8 - sOLUZIONI PER LA
PROTEZIONE DEI DATI
157
INFORMATION SECURITY & DATA PROTECTION
158
8. Soluzioni per la protezione dei dati
Le 3A della sicurezza
Il tema centrale attorno al quale costruire queste politiche di sicurezza ruota
attorno alle cosiddette 3A ovvero allinsieme delle tecniche di autenticazione,
autorizzazione e "accounting" che, insieme, svolgono un ruolo coordinato e
sinergico allinterno del processo di protezione dei dati e dei servizi aziendali.
Questi concetti riassumono le procedure e le funzioni necessarie per lo
svolgimento di molti dei processi di sicurezza che avvengono sul Web. In un
contesto di accesso geograficamente distribuito alle risorse informatiche
indispensabile, infatti, trovare dei metodi e delle regole in grado di garantire e
proteggere il corretto svolgimento delle operazioni tra le parti che scambiano
informazioni.
Le 3A sovrintendono proprio a questo tipo di funzioni. In particolare
lautenticazione il processo per garantire in modo univoco lidentit di chi si
appresta ad accedere alle risorse, lautorizzazione definisce i privilegi di cui
dispone questo utente, mentre laccounting si riferisce allanalisi e alla
registrazione sistematica delle transazioni associate a unattivit di business sul
Web. La sicurezza di questi processi viene assicurata da una serie di tecnologie e
procedure che si appoggiano su protocolli e standard.
159
INFORMATION SECURITY & DATA PROTECTION
160
8. Soluzioni per la protezione dei dati
161
INFORMATION SECURITY & DATA PROTECTION
Lidentity management
La diffusione attraverso il Web o le reti aziendali di dati ad alto valore, collegata
a transazioni, allaccesso ad applicazioni e a processi di business che prevedono
il trasferimento di informazioni sensibili, ha accresciuto limportanza di
possedere unidentit digitale sicura.
Determinare un sistema per poter dimostrare ad altri di essere un individuo con
determinate caratteristiche, rappresenta un modo per interagire con le regole
che caratterizzano le attivit che svolgiamo. Disporre di unidentit digitale
significa possedere credenziali che consentono lo svolgimento di determinati
compiti, abilitano laccesso a informazioni e servizi e permettono lutilizzo di
determinate applicazioni.
Il parallelo tra lidentit allinterno di un concetto di rete enterprise virtuale e il
mondo reale fin troppo ovvio. Appare quindi immediatamente chiaro che una
specifica identit digitale deve essere associata a un unico utente; inoltre
auspicabile che uno specifico utente possa disporre di un unico set di credenziali
per accedere a ogni tipo di servizio ed altrettanto importante che un utente
possa disporre delle credenziali ogni volta che gli vengano richieste. In questi
processi la sicurezza rappresenta un requisito fondamentale.
Resta per il fatto che, in un mondo digitale caratterizzato dalla distribuzione
delle informazioni, dalla loro accessibilit virtualmente da qualsiasi terminale
connesso in rete, in uno scenario di sistemi informativi eterogenei per
tecnologia, protocolli e regole, gestire unidentit digitale in modo da realizzare i
requisiti di sicurezza, unicit e affidabilit appena espressi, rappresenta un
compito tuttaltro che banale.
La prima osservazione che si pu fare che la gestione di un grande numero di
persone, sistemi, policy e privilegi differenti introduce possibili cause di
inefficienza, errori o compromissione della sicurezza.
Si deve poi considerare il fatto che soluzioni quali, per esempio, CRM, ERP o la
posta elettronica si sono spesso diffuse allinterno delle aziende in relazione a
specifiche esigenze e, dunque, in modo separato le une dalle altre per quanto
riguarda la gestione del loro accesso. Pertanto le informazioni relative
allidentit sono spesso frammentate e distribuite attraverso molteplici sistemi.
162
8. Soluzioni per la protezione dei dati
163
INFORMATION SECURITY & DATA PROTECTION
164
8. Soluzioni per la protezione dei dati
165
INFORMATION SECURITY & DATA PROTECTION
166
8. Soluzioni per la protezione dei dati
167
INFORMATION SECURITY & DATA PROTECTION
168
8. Soluzioni per la protezione dei dati
Per garantire il livello di protezione necessario per gli ambienti public cloud
sono state messe a punto sofisticate soluzioni di cifratura e gestione delle
chiavi, tool per garantire la conformit, sistemi di gestione dellaccesso sicuri
e operanti allinterno di strutture federate sicure.
Diventa in ogni caso essenziale scegliere in modo oculato il cloud service
provider a cui affidarsi considerando che il trasferimento della gestione della
sicurezza a un fornitore di servizi esterni trasforma, di fatto, le pratiche di
gestione del rischio in Service Level Agreement (SLA) contrattuali valutati
sulla base di parametri di riferimento specifici e oggettivi.
Ma dopo aver concordato e definito gli SLA con il security service provider,
lazienda deve anche avere a disposizione gli strumenti per monitorarli
attraverso strumenti di reportistica e indicatori che possono preferibilmente
anche essere personalizzati in base alle esigenze specifiche del business. La
perdita del controllo diretto sulla gestione del patrimonio informativo resta,
peraltro, uno dei nodi centrali che attualmente rallentano lutilizzo dei
servizi public cloud.
169
INFORMATION SECURITY & DATA PROTECTION
170
8. Soluzioni per la protezione dei dati
comunicazione tra host per evitare che, durante l'elaborazione, possa verificarsi
una diffusione non autorizzata di dati sensibili. Tutte le precauzioni adottate
all'interno dell'ambiente enterprise a protezione dei dati sensibili dovrebbero
perci essere applicate anche alle applicazioni ospitate all'interno di un
ambiente IaaS.
Nel valutare l'impatto del PaaS sull'architettura di sicurezza delle applicazioni si
deve tenere conto che questo tipo di piattaforme fornisce anche l'ambiente di
programmazione per accedere e utilizzare i componenti applicativi aggiuntivi, il
quale ha un impatto non trascurabile sull'architettura dell'applicazione.
In un ambiente Software as a Service (SaaS) vanno affrontate le medesime
cautele di sicurezza degli ambienti PaaS e IaaS. Come le piattaforme PaaS, anche
il SaaS rappresenta, di fatto, un nuovo ambiente di programmazione che
richiede la messa a punto di specifici schemi di codifica e di progettazione
sicura.
Un'azienda che decide di adottare questo tipo di servizi dovrebbe anche
poter disporre di un modo per stabilire che il ciclo di vita di sviluppo del
proprio fornitore di servizi software sia sicuro quanto il proprio e dovrebbe,
preferibilmente, richiedere SLA contrattuali e verificabili.
171
INFORMATION SECURITY & DATA PROTECTION
172
8. Soluzioni per la protezione dei dati
173
INFORMATION SECURITY & DATA PROTECTION
174
8. Soluzioni per la protezione dei dati
175
INFORMATION SECURITY & DATA PROTECTION
176
8. Soluzioni per la protezione dei dati
177
INFORMATION SECURITY & DATA PROTECTION
uso nel corso del loro intero ciclo di vita, all'interno di ambienti cloud, on-
premises e mobili. Si tratta di soluzioni di ultima generazione, in massima
parte ancora in fase di start up e che, in estrema sintesi applicano la
cifratura nel momento in cui si chiede l'accesso al dato. La chiave, in taluni
casi, pu cambiare per ogni dato.
Molte di queste tecnologie nascono per la protezione in ambito mobile, per
cui la protezione viene attivata nel cloud e non dal dispositivo. Una
precauzione importante per le applicazioni di pagamento tramite device
mobili.
Crittografia e cloud
Diverse sono i benefici che le aziende possono ottenere spostando
applicazioni e dati nel cloud: dalla scalabilit, all'agilit, alla riduzione dei
costi. Tuttavia, ai potenziali vantaggi sono associati anche nuovi rischi.
Peraltro, va ricordato che i cloud provider che offrono servizi di
Infrastructure as a Service (IaaS) e Platform as a Service (PaaS) propongono
solitamente un modello di "responsabilit condivisa" per le applicazioni e i
dati dei loro clienti e, di conseguenza, la responsabilit della sicurezza dei
dati nel cloud un problema la cui soluzione spetta alle aziende proprietarie
dei dati.
La crittografia dei dati uno dei metodi pi efficaci per proteggere i dati a
riposo nel cloud, ma non tutte le tecnologie sono identiche. Al fine di
selezionare la soluzione pi efficace per le proprie specifiche esigenze
aziendali, importante analizzare alcuni aspetti fondamentali legati alla
gestione del processo di crittografia e al modo in cui viene esercitata la
protezione dei dati in uso o a riposo attraverso ogni fase del loro ciclo di vita
e a come viene affrontata la gestione e la sicurezza delle chiavi di
crittografia.
Una delle preoccupazioni primarie per chi sceglie modelli cloud di tipo ibrido
o pubblico proprio quella di garantire la massima segretezza delle chiavi di
cifratura riuscendo, nel contempo, a mantenerne la propriet e il controllo:
due obiettivi spesso tra loro antagonisti.
Infatti, tutti i sistemi di crittografia dei dati, sia nel cloud o in un data center
fisico, condividono una vulnerabilit comune: hanno bisogno di utilizzare le
178
8. Soluzioni per la protezione dei dati
179
INFORMATION SECURITY & DATA PROTECTION
180
8. Soluzioni per la protezione dei dati
181
INFORMATION SECURITY & DATA PROTECTION
182
F-Secure
RADAR una soluzione che gestisce,
individua e risolve le vulnerabilit
183
INFORMATION SECURITY & DATA PROTECTION
Il problema che si pone, una volta preso atto di questa realt : come si pu
sapere se qualche vulnerabilit (e quale tra queste) gi in agguato nascosta da
qualche parte nei propri sistemi e pronta ad attivarsi in un momento critico?
Dopo tutto, anche il solo ottenere una panoramica di tutte le versioni del
software in esecuzione su una rete aziendale anche di piccole dimensioni pu
essere un compito piuttosto arduo ed ogni versione presentare vulnerabilit
diverse luna dallaltra.
Inoltre, si deve andare in cerca di configurazioni errate, password non sicure in
ciascuna applicazione web, e in tutti gli altri posti dove queste vulnerabilit
potrebbero esistere. Si tratta di un compito al limite del possibile, soprattutto se
si hanno molteplici sistemi, server e piattaforme da gestire.
184
F-SECURE
Mappatura e scansione
Il funzionamento concettualmente semplice. Attraverso degli scan node,
RADAR esegue per prima cosa una mappatura di tutti gli asset presenti in un
sistema. Rileva tutto ci che risponde a un indirizzo IP: server, desktop, router,
stampanti, videosorveglianza e qualsiasi altro apparato connesso alla propria
rete, anche nel caso si tratti di una Wireless LAN, e in qualunque luogo esso si
trovi connesso.
Una volta generata una panoramica di tutti gli asset presenti e attivi, procede ad
esaminare tutte le potenziali vulnerabilit esistenti nella rete.
Le vulnerabilit possono avere origini molteplici. Possono derivare ad esempio
da banali errori di configurazione, oppure da una gestione delle patch non
appropriata o anche da unimplementazione sbagliata.
Eseguendo la scansione, possibile per Radar anche identificare i punti che
sono particolarmente vulnerabili e interessanti per gli hacker, che potrebbero
quindi cercare di sfruttarli con strumenti pi avanzati per penetrare le difese
della rete aziendale.
RADAR fornisce anche strumenti di reportistica che permettono di creare dei
ticket per le problematiche riscontrate.
E quindi possibile assegnare la risoluzione di una determinata vulnerabilit a
operatori incaricati, fornendo in automatico link e documenti specifici sul
problema rilevato.
185
INFORMATION SECURITY & DATA PROTECTION
186
F-SECURE
187
188
Forcepoint FORCEPOINT
189
INFORMATION SECURITY & DATA PROTECTION
ovunque essi siano, come evidenzia Emiliano Massa, Area Vice President Sales
Southern Europe di Forcepoint, che aggiunge: Forcepoint sta costruendo
unazienda in continua evoluzione, che aiuter i clienti a ripensare alla
cybersecurity concentrandosi sui momenti di interazione delle persone con i
dati critici di business e soprattutto con la propriet intellettuale.
Si rafforza, dunque la mission: potenziare le imprese cos che possano
sviluppare il proprio business anche sfruttando la spinta di tecnologie
innovative, come cloud, mobilit, Internet of Things e le altre opportunit che il
progresso digitale andr prospettando.
Per questo Forcepoint fa leva su un portafoglio di prodotti per la protezione di
utenti, dati e reti dalle minacce interne ed esterne, controllate attraverso
l'intero ciclo di vita. Una protezione che si estende oltre il perimetro dellazienda
nel cloud e in mobilit, attraverso un approccio olistico.
La nuova organizzazione, spiegano i vertici aziendali, porter pi rapidamente
linnovazione intorno a questi punti dinterazione umana.
190
FORCEPOINT
191
INFORMATION SECURITY & DATA PROTECTION
192
FORCEPOINT
193
INFORMATION SECURITY & DATA PROTECTION
G Data
Soluzioni e servizi per una sicurezza
"etica" delle Pmi
Sin dalla fondazione nel 1985, quando G Data ha lanciato quello che con ogni
probabilit stato il primo antivirus per l'allora sistema operativo di Microsoft, il
DOS, la missione dell'azienda tedesca stata la protezione dei dati e delle
informazioni per utenti private e aziende.
In quest'ultimo ambito, in particolare, G Data ha segnato qualche primato, quale
la prima soluzione per la protezione da malware diffusi attraverso chiavi o
pennette USB. Inoltre, la soluzione G DATA Internet Security stata insignita per
il quarto anno consecutivo del bollino "Miglior Acquisto" di Altroconsumo".
Soprattutto, per, la societ tedesca vuole distinguersi per la qualit, come
spiega Giulio Vada, country manager di G Data in Italia: Siamo consapevoli che
nel settore manca etica, a partire da alcune societ per cui i numeri sono
lunico paradigma che conti. Noi vogliamo essere un vendor "etico", che significa
mettere al primo posto la sicurezza e la privacy dei nostri clienti.
Concretamente, questo significa nessuna "vector policy", nessuna finestra
aperta sui dispositivi n per i governi n altri enti, nessuna concessione al "safe
harbor". Questo spiega anche la posizione "scettica" nei confronti del cloud,
ritenendo, un po' controcorrente, poco raccomandabile una strategia
totalmente cloud-based della gestione dei dati aziendali.
Evidenziano, infatti, i tecnici di G Data che serie minacce derivano dal phishing e
si basano sulla violazione degli account di accesso al cloud, come accaduto a
anche agli utenti Apple, ingenuamente avvolti dal falso senso di inespugnabilit
di un sistema operativo, certamente avanzato, ma non immune da attacchi.
In ogni caso, G Data dispone di una soluzione per l'accesso al cloud in modalit
sicura e ha siglato accordi con Microsoft, in particolare per Windows Azure, che
saranno centrali nei data center in via di completamento basati in Germania,
quindi su suolo europeo, dove saranno gestiti in collaborazione con T System del
gruppo Deutsche Telekom.
194
FORCEPOINT
Inoltre, essere etici, per G Data significa anche - spiega Vada -, supportare i
distributori e i partner nel pre e post vendita garantendo la messa in esercizio
della soluzione senza problemi. Questo richiede un impegno da parte di G Data
nella formazione e nella fornitura di servizi professionali a corredo delle
soluzioni, per una proposizione a valore che coinvolge noi e i nostri partner a
tutela del cliente, afferma il manager.
La formazione rivolta anche alle imprese, cui vengono trasmesse best practice
e gli strumenti per migliorare la loro sicurezza. In altre parole: abbiamo
l'obbligo di vendere soluzioni che i nostri clienti sappiano utilizzare. Troppo
spesso le imprese vengono lasciate sole da chi si preoccupa di "piazzare" un
prodotto.
195
INFORMATION SECURITY & DATA PROTECTION
196
FORCEPOINT
qualsiasi genere. I dati vengono cifrati e archiviati sul disco fisso. Solo l'utente
pu accedere a queste informazioni tramite una singola "master password".
La soluzione superiore, G Data Client Security Business, aggiunge: un firewall e
un modulo antispam, mentre, infine, la soluzione G Data Endpoint Protection
Business, mette a disposizione anche un policy manager, che consente di
controllare, oltre ai dispositivi, anche applicazioni e contenuti dei siti Web,
fornendo eventuali autorizzazioni all'utilizzo.
Tali soluzioni forniscono una protezione contro virus, trojan, email di phishing e
di spam e altri malware. Inoltre, sono state progettate pensando alle esigenze di
vari settori e per imprese di diverse dimensioni.
197
INFORMATION SECURITY & DATA PROTECTION
198
199
HPE Security
Soluzioni per una protezione efficace
delle infrastrutture IT ibride
Le soluzioni per la sicurezza e la compliance di Hewlett Packard Enterprise (HPE)
si indirizzano alle aziende di classe enterprise che puntano a minimizzare il
rischio allinterno di ambienti ibridi e a difendersi dalla minacce avanzate quali
le APT (Advanced Persistent Threat).
La piattaforma di security intelligence di HPE si basa sulle famiglie di prodotti
HPE Security ArcSight, HPE Security Fortify, HPE Data Security (Voltage/Atalla), e
sulla ricerca fornita dallorganizzazione HPE Security Research per fornire
sofisticate capacit di correlazione degli eventi di sicurezza, orchestrazione della
risposta agli incidenti, protezione applicativa e difesa delle informazioni.
200
FORCEPOINT
HPE Security ArcSight Data Platform (ADP) la piattaforma che fornisce visibilit
sulle attivit che interessano l'intera infrastruttura enterprise. Consente di
raccogliere dati provenienti da qualsiasi fonte (inclusi log, sensori, flussi di rete,
apparati di sicurezza, Web server, applicazioni custom, social media e servizi
cloud), memorizzarli, effettuare ricerche e produrre report mettendo a
disposizione informazioni di security intelligence relativi all'intera
organizzazione enterprise. Giunta alla versione 2.0, HPE Security ADP abilita
prestazioni compatibili con le esigenze di gestione dei Big Data: , infatti, in
grado di ricevere fino a un milione di eventi per secondo, comprimere e
archiviare fino a 480 TB di dati di log.
HPE Security ADP 2.0, sfrutta le pi avanzate tecnologie di machine learning e
capacit di correlazione in tempo reale, per fornire analisi molto rapide. Inoltre,
grazie alla sua architettura aperta, in grado di connettersi in maniera
trasparente alle applicazione di terze parti, lasciando cos alle aziende la
flessibilit di scegliere il modo con cui memorizzare, ricercare e analizzare i
201
INFORMATION SECURITY & DATA PROTECTION
202
FORCEPOINT
203
INFORMATION SECURITY & DATA PROTECTION
HPE ha anche introdotto nella sua offerta tecnologie di Runtime Application Self
Protection (RASP) che consentono di analizzare il codice in tempo reale
direttamente nell'ambiente di produzione e di attuare contromisure sulla base
dei risultati. Tecniche RASP sono utilizzate nella soluzione HPE WebInspect e,
soprattutto, all'interno di HPE Security Application Defender, un servizio gestito
per l'autoprotezione delle applicazioni in cloud che consente alle aziende di
identificare automaticamente gli attacchi indirizzati alle vulnerabilit del
software ed eventuali violazioni della sicurezza allinterno delle applicazioni in
produzione.
HPE Security Fortify Software Security Center (SSC) un repository
centralizzato che fornisce visibilit sullintero programma di sicurezza aziendale,
al fine di aiutare a risolvere vulnerabilit relative al portafoglio software e
migliorare il livello di controllo sulla sicurezza. una piattaforma che consente
agli utenti di effettuare revisioni, audit, definire priorit, collaborare per definire
operazioni di ripristino, tracciare i risultati dei test e misurare i miglioramenti
ottenuti tramite un cruscotto di gestione e la produzione di report.
204
FORCEPOINT
205
206
VEEAM
207
INFORMATION SECURITY & DATA PROTECTION
Veeam
Data Center always-on e availability nel
Cloud al centro della strategia Veeam
Albert Zammar
208
VEEAM
209
INFORMATION SECURITY & DATA PROTECTION
210
VEEAM
211
INFORMATION SECURITY & DATA PROTECTION
212
INFORMATION SECURITY & DATA PROTECTION
Cyber security, object Storage, biometria, difesa globale e intelligence per un business always-on