Marco Rottigni, Chief Technical Security Officer Emea di Qualys, spiega quanto sia importante avere piena visibilità di tutto l’IT aziendale.
Non puoi vedere ciò che non conosci.
Non puoi difendere ciò che non conosci.
Non puoi proteggere ciò che non conosci.
Conoscere è il risultato di due azioni: vedere e comprendere.
Vedere implica visibilità, comprendere implica un contesto.
La visibilità è una vera sfida oggi, a causa della situazione confusa che la Digital Transformation porta con sé.
I confini dell’IT aziendale si espandono con l’adozione del cloud, il numero degli endpoint aumenta con l’enterprise mobility ed ancora, il ciclo di vita dello sviluppo software (SDLC) si estende con i DevOps. Non è l’unica sfida, ma la visibilità resta indubbiamente lo step fondamentale per tutti i processi volti ad armonizzare l’IT, predisponendo sicurezza e conformità necessarie all’interno di ogni realtà aziendale.
Comprendere implica un contesto, per agevolare la normalizzazione e la prioritizzazione di quel che si possiede, aggiungendo contestualmente i dati e le informazioni di quanto scopriamo strada facendo. Tutto questo ci aiuta nell’ottenere una visione accurata delle nostre risorse IT aziendali, indipendentemente da dove queste siano posizionate e dall’ambiente che le circonda.
Per sviluppare questa capacità, abbiamo bisogno di “occhi”: sensori che potenziano la raccolta dei dati e che sono studiati appositamente per gli ambienti di elaborazione in cui vengono implementati,
Successivamente, questi dati vengono normalizzati per facilitarne la visibilità e, arricchiti con un contesto appropriato fatto di dati non rilevabili, per alimentarne la comprensione e la capacità aziendale di gestione delle risorse.
Questo consente di rispondere ad alcune domande, come ad esempio: “su quanti server terminerà il contratto di assistenza nei prossimi sei mesi? Rende più vulnerabili il software opensource o l’adozione di un software qualunque in commercio? Quali sono gli elementi che complicano maggiormente la compliance aziendale?”
È importante, dunque, che la visibilità non solo sia chiara e definita ma soprattutto utile e a supporto delle nostre azioni.
Entrando nel merito dell’ambiente IT moderno, che cosa lo rende così complicato?
Per quanto concerne i servizi on-premise dell’ambiente IT moderno, la visibilità riguarda server, client, dispositivi di rete, dispositivi di sicurezza ed altri tipi di host, su piattaforme di più sistemi operativi. Peraltro, la virtualizzazione, che è oggi standard de facto nei data center, include agilità e flessibilità di istanziare server e client molto rapidamente.
Infine, la situazione è aggravata dai dispositivi IoT connessi a reti cablate e wireless, che hanno scarse possibilità di essere installati con qualsiasi software o agente. Come è possibile avere la piena certezza di non essere vulnerabili? Come si può esser sicuri che il nuovo software adottato dall’azienda sia incluso nella golden image? E se di un software, ormai dismesso perché troppo vulnerabile, è rimasta una versione precedente nei computer ancora in uso? Secondo quali priorità si procede con la remediation, secondo la reale esposizione della superficie vulnerabile e del suo essere sfruttabile? Quanto tempo richiede il prendere consapevolezza di questa situazione?
Rimanendo sempre nella sezione on-premise dell’ambiente IT, dovremmo considerare ancora due fattori che contribuiscono ad aumentare la complessità: il primo è l’Enterprise Mobility, il secondo è la containerizzazione.
Con Enterprise Mobility si fa riferimento a quegli utenti che, per viaggiare o lavorare da remoto, escono dal perimetro aziendale, e recentemente questo bisogno di mobilità è incrementato grazie a dispositivi performanti come tablet, chioschi e sistemi computerizzati sempre più leggeri.
Tutto è stato potenziato dai processi di trasformazione digitale, al punto che è frequente trovare questi dispositivi a disposizione del cliente all’interno del negozio per agevolarne l’interazione e facilitare l’acquisto. Ciò comporta ulteriori criticità in termini di visibilità: come possiamo garantire che i dati siano elaborati in modo sicuro? Come facciamo a verificare che questi dispositivi non vengano utilizzati per ottenere accesso indesiderato alla rete e ai dati?
La containerizzazione rappresenta un nuovo modo di supportare l’ambiente IT, un metodo rivoluzionario per velocizzare l’implementazione dell’infrastruttura: introduce agilità, grande flessibilità e potenza … ma non agevola la visibilità.
Come si fa a far fronte alla natura effimera dei container? Quanto, questa natura effimera, incide sull’esposizione (ed il rischio) col passare del tempo? Come valutare la superficie vulnerabile del container e come gestire le attività di remediation?
Oltre alle preoccupazioni che riguardano lo scenario on premise, sempre in termini di visibilità, negli ambienti IT moderni si aggiungono altri due elementi critici: l’adozione del cloud e i DevOps. Il cloud non è e non deve essere considerato come un semplice add-on per l’IT esistente; la sua adozione è piuttosto un metodo di espansione del proprio IT aziendale, che sfrutta infrastrutture potenti e molto flessibili disponibili su richiesta. Quando questa espansione considera la mera trasposizione del computing tradizionale nel cloud, come ad esempio accade con macchine virtuali o server, è abbastanza semplice trasporre le stesse tecniche per ottenere visibilità in quell’ambiente.
È altrettanto vero che il cloud, spesso, comporta il di-sassemblaggio dell’infrastruttura tradizionale in parti più piccole: archiviazione, logica applicativa, funzioni, rete, logica di bilanciamento del carico, database, gestione di identità, di accesso e altro ancora.
Questo implica la creazione di relazioni tra queste parti che possono abbracciare anche il cloud service provider, seguendo economie e parametri come: efficienza, adeguatezza dei costi e performance. Abilitato e rafforzato dall’unione, dalla containerizzazione e dalla computazione ubiqua. Ulteriori domande si sovrappongono a quelle precedenti: “è possibile sapere dove e quando sono state implementate queste parti? Come si gestisce la loro sicurezza? Come si integra quest’altra realtà alla visibilità dell’IT aziendale preesistente, ed in termini di sicurezza e conformità?”
Il DevOps completa questa complessa situazione: nasce con la promessa di semplificare il ciclo di vita dello sviluppo del software, con maggiore agilità che conduce ad un time-to-market più rapido; è una pratica che molto spesso nasce dal team di Ricerca & Sviluppo dell’organizzazione.
Ancora una volta, le risposte su come garantire che la superficie vulnerabile rimanga sotto controllo, come ottenere security e validation adeguate prima che le applicazioni vengano messe in produzione e come far sì che i controlli impattino al minimo sui processi agili, non trovano risposta o solo rischiose riflessioni.
Solo alcuni saggi CISO stanno iniziando a collaborare con i reparti di Ricerca & Sviluppo, per trasformare i DevOps in DevSecOps.
La soluzione a tutte queste sfide può basarsi solo su un approccio strategico ed olistico. Questo significa identificare i punti deboli che sussistono tra le competenze fondamentali necessarie, e lavorare programmaticamente per aumentarle e potenziarle.
Sono almeno cinque le capacità su cui concentrarsi:
– La visibilità su tutto il panorama IT, per livellare o rafforzare le basi per altri processi importanti.
– L’accuratezza nel normalizzare i dati durante lo screening, per centralizzare tutte le informazioni in un unico posto così da renderle disponibili, consultabili e utilizzabili da tutti i team: IT, Sicurezza e Compliance.
– La scalabilità – verso l’alto e verso il basso – per far fronte a un ambiente IT che si estende su perimetri tangibili, confini geografici e pratiche informatiche.
– L’immediatezza nel raggiungimento dei risultati durante l’analisi dell’IT monitorato, per supportare i processi cruciali per la sicurezza dell’organizzazione e assicurare la compliance.
– La consapevolezza dello stato dell’arte, garantita dalla capacità di monitorare in tempo reale lo status quo e programmare “frame puntuali” per rendere comparabili le informazioni.
Queste cinque capacità dovrebbero essere implementate o rafforzate da un punto di vista strategico, fondate su strumenti e tecniche per supportare le procedure basilari. Dovranno essere implementate in considerazione della tecnologia e degli strumenti che già si possiedono in azienda, prestando particolare attenzione alla comunicazione basata su API; per incorporare una chiara strumentazione utile ad evitare un impatto negativo sulle risorse e costi aggiuntivi che questo comporterebbe.
Un approccio pragmatico potrebbe focalizzarsi sull’analisi accurata del panorama IT che si possiede, cercando di comprendere i vari e differenti ambienti di cui si compone, e sulla relazione tra questi: ad esempio, se gli ambienti di produzione si espandono al cloud, o se il cloud viene utilizzato principalmente per lo sviluppo e area di controllo qualità. Convalidare se la containerizzazione è utilizzata in tutta l’organizzazione: dove, come e a quale scopo (sviluppo, controllo qualità, test, processi aziendali …). Definire l’attuale livello di visibilità, così da avere un punto di riferimento in un secondo momento: trovare i gap e stabilire le necessità.
In questo modo sarà più facile comprendere dove mancano “occhi” e l’approccio migliore per unificare le informazioni raccolte abilitando dei punti di osservazione. Inoltre, sono da verificarsi le fonti di informazione a disposizione attualmente sull’ IT, sulla security e la compliance: troppe? E’ possibile un consolidamento migliore? Queste fonti di informazione sono sincronizzate? Ci sono affidabilità e uniformità? Una volta definiti questi requisiti e pianificata la loro implementazione, concentrati sul contesto e sull’arricchimento della tua visibilità, per rafforzare la precisione. Che aspetto hanno oggi i tuoi vulnerabili processi di definizione delle priorità e di bonifica delle superfici? Sono efficaci ed efficienti? Sfruttano le informazioni di intelligence sulle minacce informatiche per comprendere l’esposizione e la sfruttabilità, per dare la priorità all’urgenza della risoluzione? Quanto è pervasiva in tutto il panorama IT la tua percezione di ciò che deve essere risolto? Potresti rivendicare la stessa visibilità per gli ambienti cloud che hai per il panorama IT tradizionale? La sicurezza è integrata nella tua pipeline CI /CD e integrata con il tuo ciclo di vita DevOps?
Qualys può aiutare
Abbiamo sviluppato una piattaforma olistica, evolvendo l’approccio di disaccoppiamento della raccolta dei dati, realizzato con sensori specializzati distribuiti in tutto il panorama IT, dall’elaborazione dei dati, eseguiti centralmente all’interno della nostra piattaforma cloud.
Questo approccio offre la coerenza necessaria per visualizzare, riepilogare, approfondire e aggregare i dati per più profili utente; questo approccio fornisce la consapevolezza della situazione a supporto del processo decisionale e dei processi come SecOps; questo approccio consente un’integrazione trasparente con le tecnologie circostanti tramite API aperte e attraverso dispositivi e soluzioni per pianificare la reazione in caso di anomalie.
Ultimo, ma sicuramente non meno importante, questo approccio offre una serie di specifiche applicazioni SaaS che possono essere combinate per armonizzare IT, sicurezza e conformità lungo il tuo viaggio di trasformazione digitale.