Ferdinando Torazzi, regional director enterprise & endpoint Italy & Greece di Intel Security analizza l’attuale andamento nella produzione di informazioni e dati. I Big Data e l’Internet of Things consentono la generazione e l’archiviazione di elevate moli di dati, ecco come gestire in sicurezza tutte le informazioni.
È ancora molto diffusa una notevole incertezza circa la natura, il valore e la modalità di utilizzo delle informazioni sulle minacce. L’intelligence globale delle minacce rimane un concetto molto generale, cui si affiancano l’intelligence delle minacce relativa a un settore verticale, o sulle minacce locali, all’interno di un’azienda specifica. Sfruttare una di tali fonti di intelligence comporta una grande sfida, figuriamoci tutte. Ma oggi sono indirizzabili con la combinazione di piattaforme di prevenzione delle minacce innovative e SIEM (Security Information and Event Management). La maggior parte delle aziende si sta attrezzando con strategie rivolte alla raccolta delle informazioni sulle minacce e all’analisi del loro impatto sugli endpoint tradizionali. Ma quando entreremo nel vivo dell’Internet of Things (IoT) bisognerà trovare il modo di non essere sommersi dai dati arginandoli e incanalandoli verso una corretta direzione.
Secondo una recente ricerca di Forrester, un americano su dieci sta già utilizzando un fitness tracker o un contapassi connesso a internet, e secondo il 68% dei decisori aziendali i dispositivi indossabili sono una priorità per la loro azienda, con il 51% che li considera una priorità moderata, elevata o critica “(Fonte:. (Forrester, Five Urgent Truths About The Future Of Wearables That Every Leader Should Know, December 2014).
Oltre a questo tipo di dispositivi per il monitoraggio della propria salute e dell’attività fisica, l’IoT include termostati, rilevatori di fumo, e monitor video posizionati all’interno delle abitazioni, ma anche dispositivi aziendali, come i sistemi di riscaldamento e condizionamento, illuminazione, segnaletica interna ed esterna e sensori di trasporto, ma si stanno affacciando all’IoT anche terminali POS (point-of-sale) e controllori di produzione. Inoltre, sono sempre più numerose le società che stanno facendo a gara per la creazione delle applicazioni più innovative per i dispositivi come gli smartwatch e i sensori, sia come servizi da commercializzare, sia per aumentare la produttività, l’efficienza o la sicurezza del personale.
Si tratta di dispositivi che trasmettono e memorizzano dati che possono essere non rilevanti ma anche molto personali, ma che soprattutto sono estremamente vulnerabili, non solo in quanto potenziali obiettivi di attacco, ma anche come potenziali vettori di accesso ai sistemi connessi. Con la crescita esponenziale della quantità di dispositivi connessi, prevediamo che gli attacchi mirati saranno sempre più indirizzati a tali dispositivi e allo sfruttamento delle loro vulnerabilità per riuscire a entrare nelle reti aziendali. Un numero di potenziali backdoor quasi incommensurabile. Abbiamo già visto reti compromesse a partire dai sistemi HVAC, dalle telecamere di sorveglianza, o dai contatori intelligenti. Perché non attraverso una pompa d’acqua, una lampadina, o una serratura?
I vendor stanno lavorando attivamente per proteggere l’IoT, introducendo la sicurezza a livello di chip, firewall, gateway, funzioni di boot sicure, controlli di autenticazione e di accesso e vincoli all’esecuzione delle applicazioni. L’intelligence da questo fronte sarà fondamentale per ridurre i tempi di rilevamento e contenimento delle minacce.
La sfida è dare un senso a questa intelligenza, date la varietà e la vastità della serie di dati. Pensando al numero di dispositivi su una rete elettrica, in un sito di produzione, o in un quartiere della città, ci sono molti più zeri in quel numero che in una tipica rete aziendale. Ogni dispositivo, firewall e gateway pubblicherà informazioni sul comportamento di ogni singolo dispositivo connesso. Bus di messaggistica Security possono portare rapidamente queste informazioni ai sistemi interessati, rendendole disponibili al team competente del SOC o dell’incident response. E poi?
Questa nuova ondata di dati si aggiunge al problema già attuale dei big data della security, dal momento che gli analisti di sicurezza sono già sommersi da eventi e avvisi, cercando di sfruttare analytics ad elevate prestazioni, come Hadoop, per trovare un significato nella mole delle informazioni disponibili. Il SIEM log management- oriented sta già cedendo il passo a sistemi avanzati molto abili nel filtraggio, elaborazione e valutazione di questi dati, in grado di individuare gli eventi anomali o per i quali si rendono necessarie indagini più approfondite. L’IoT accelererà questa transizione caricando i team operativi di security di un onere ancora più pesante a seguito della corsa ai “must-have” indossabili e connessi ricevuti in regalo quest’anno.
L’intelligence delle minacce verticale, come stiamo vedendo ad esempio con il FS-ISAC (Financial Services Information Sharing and Analysis Center) e altre iniziative a livello governativo, sarà normalizzata e correlata con dati sulle minacce locali, sulla propria azienda, e globali, per aiutare i sistemi e il personale a decidere quali contromisure intraprendere. I vendor forniranno l’intelligence sulle minacce a livello di dispositivo e di settore verticale, proprio come fanno oggi per gli endpoint esistenti. L’internet degli oggetti può essere protetto, ma la protezione sarà possibile pensando la sicurezza come parte integrante dell’infrastruttura, non come un’aggiunta a posteriori.
Una volta rilevato un comportamento anomalo e identificato come potenziale indicatore di attacco o indicatore di compromesso, sarà essenziale condividere queste informazioni rapidamente all’interno della community. Con la velocità di esecuzione e la capacità di adattamento degli attacchi odierni, non sarà più accettabile mantenere per sé l’informazione su una minaccia, né attendere gli avvisi di sicurezza dai team centralizzati. Sarebbe necessario troppo tempo in attesa dei controlli umani per il rilevamento e la risposta agli avvisi urgenti. Invece, la condivisione di informazioni e di analisi automatizzate daranno le informazioni giuste, nei temi giusti, alle persone giuste. L’obiettivo rimane lo stesso: è indispensabile passare dalla raccolta di tutti i dati in modo reattivo, all’identificazione dei dati in modo proattivo, ovvero passare a un sistema di informazioni condivise e automatizzate sulle minacce, correlate con i dati su minacce globali, nazionali, locali, verticali, e mirate e inquadrate infine in una visione olistica su misura per ogni organizzazione.