Antonio Madoglio, SE Manager di Fortinet Italia, analizza gli attacchi hacker e sottolinea come la messa in sicurezza di una rete richieda attenzioni particolari.
Mai come quest’anno le cattive notizie di cyber-security hanno riempito le pagine dei giornali, agitando il sonno di CIO e CSO. A settembre, Yahoo! ha comunicato che degli hacker hanno rubato dati da circa 500 milioni di account alla fine del 2014. Newkirk Products, un service provider di tesserini sanitari statunitense, ha dichiarato che un data breach lo scorso agosto potrebbe avere coinvolto fino a 3,3 milioni di soggetti. Gli hacker hanno sottratto informazioni sensibili – quali per esempio i dettagli sulle polizze assicurative sanitarie – che erano conservate in uno dei server dell’azienda.
A luglio, una rete di computer usata per la campagna elettorale di Hillary Clinton è stata hackerata nel corso di un cyber-attacco sferrato contro il Partito Democratico. Persino per chi ha famigliarità col web ed è avvezzo a ricevere regolarmente notizie di data breach di grande rilevanza, quest’anno è stato particolarmente difficile e ha fatto alzare il livello di allerta.
I CIO devono cercare continuamente nuovi modi per sventare gli attacchi e proteggere i dati della propria azienda. Purtroppo il compito non è affatto semplice, dato che le reti sono in espansione e stanno diventando sempre più complesse. Occorre quindi domandarsi come essi possano mantenere l’efficacia e l’integrità del proprio framework di sicurezza, quando, per esempio, si affidano a un nuovo cloud service, effettuano il roll out di nuove applicazioni web per i dipendenti o implementano un nuovo progetto IoT.
Ecco quattro suggerimenti da tenere a mente.
1. Una rete in espansione non necessariamente richiede nuovi device – Quando la rete cresce, può sembrare opportuno aggiungere nuovi device di sicurezza – quali per esempio i firewall o l’ultimo gadget di cloud security – a quelli già esistenti. Ma sono due i motivi per cui questa idea può essere controproducente.
Per prima cosa, sebbene una nuova appliance di sicurezza possa ridurre i tempi della threat detection, è anche vero che gli attacchi stanno diventando sempre più rapidi e, soprattutto, sono in grado di rendere inefficaci in breve tempo le contromisure messe in atto.
In secondo luogo, l’aggiunta di un numero elevato di singoli prodotti sparpagliati nella rete, può rendere più confusa la gestione della security, a causa dell’incremento della complessità e delle console di controllo isolate.
La seconda ragione rappresenta un tormento specialmente per i CIO a cui viene richiesto di bilanciare sicurezza e crescita di rete, in particolare se la task riguarda tecnologie digitali quali IoT, servizi cloud e virtualizzazione.
Per cui è meglio non aggiungere device in una rete in espansione, senza un motivo specifico.
Occorre piuttosto focalizzarsi sulla creazione di un ambiente di sicurezza in cui l’hardware e il software di security – esistenti e nuovi – possano operare in combinazione per ridurre la complessità di gestione, migliorare la visibilità sulla rete, mettere in correlazione l’intelligence sugli attacchi in corso e sincronizzare automaticamente una risposta coordinata.
2. Dividere per conquistare – Dato che la rete è sempre più complessa, la prassi di segmentarla in zone di sicurezza logica diverrà ancora più importante. La network segmentation riduce l’accesso ai dati sensibili da parte di applicazioni, server e soggetti non autorizzati – e ovviamente cyber-criminali. Contribuisce inoltre a sventare la diffusione del malware.
Questa prassi è prevista, per esempio, in standard di settore come il Payment Card Industry Data Security Standard (PCI-DSS), che impone la separazione dei dati nella rete, per esempio isolando i dati dei titolari delle carte.
Poiché i CIO organizzano la crescita della rete, è importante porre l’attenzione su come possano attuare una segmentazione end-to-end che contempli risorse di rete differenti, per esempio spaziando da una risorsa cloud a un’implementazione IoT.
3. Rendere sicuro il cloud – Il bilancio positivo in termini di ROI e TCO garantito dal cloud computing, ne fa un argomento prioritario e inevitabile per le aziende. Per cui se un’azienda non ha ancora intrapreso questa strada, è comunque utile cominciare già a pensare a come si possano puntellare le difese cloud future.
Una cloud security efficace comincia con un approccio volto a dare esecuzione a un set di policy e servizi di sicurezza, dalla rete aziendale al cloud. Se si sta facendo affidamento a un cloud vendor esterno, bisogna valutare con attenzione i suoi modelli di sicurezza condivisa, assicurandosi di comprendere bene gli ambiti in cui ricade la sua responsabilità.
Quando si parla di cloud, la data encryption è un “must”. Sebbene non prevenga attacchi o furti di dati, può proteggere l’azienda da multe salate quando si verifica un incidente.
Bisogna anche pensare di rafforzare la protezione degli accessi per nuove applicazioni cloud.
Per esempio, implementando un’autenticazione a doppio fattore, o associando privilegi di accesso a determinati ruoli, qualifiche aziendali e progetti.
Il cloud computing e la virtualizzazione vanno a braccetto. Ma quest’ultima può rappresentare un problema per molte appliance di sicurezza fisica. È in questo momento che entrano in gioco le appliance di virtual security, per proteggere il flusso di traffico da una macchina virtuale all’altra.
4. Pensare come un hacker – Oggigiorno gli attacchi informatici assumono forme differenti, ma la maggior parte di essi segue un percorso simile.
Tutto comincia da un’approfondita valutazione della rete da parte dell’hacker. Il quale poi cerca di sfruttare una vulnerabilità precedentemente individuata per infiltrarsi. In seguito si muove all’interno della rete, ma nasconde le sue tracce utilizzando un tool di offuscamento, quale per esempio un rootkit. Poi, al momento giusto, sferra l’attacco, cercando risorse da rubare o da sfruttare ulteriormente. Occorre tenere bene a mente le quattro fasi del ciclo di vita delle minacce – prepara, penetra, persisti e propagati.
Per rispondere in modo efficace a un attacco, nella fase di implementazione della sicurezza è necessario mappare le proprie capacità in relazione a quelle messe in campo dagli hacker.
E tutto parte potendo contare sui mezzi che consentono di visualizzare e tenere traccia dei comportamenti del traffico in tutti i punti della rete distribuita, persino negli angoli più remoti.