Riflessioni di Marco Genovese, Presales Engineer di NETASQ su storie di comune “follia” nell’universo della sicurezza informaticaPer chi opera nella sicurezza IT  situazioni come la seguente non so...

La sicurezza informatica? Può essere un vaso di Pandora!

Internet postato da SABMCS || 12 anni fa

Riflessioni di Marco Genovese, Presales Engineer di NETASQ su storie di comune “follia” nell’universo della sicurezza informatica

Per chi opera nella sicurezza IT  situazioni come la seguente non sono un’eccezione:

Domenica, ore 2:00. Paolo riceve un SMS: “Identificata nuova vulnerabilità nel sistema. Livello:. Critico”. Deve andare. Il CSO (Chief Security Officer) del suo cliente ha vincolato la sua squadra ad uno SLA (Service Level Agreement) di 4 ore per nuove vulnerabilità critiche. Poche ore dopo, il sistema è stato aggiornato e Bob è tornato a casa godersi la soddisfazione di un lavoro ben fatto.

Purtroppo, il lunedi mattina, il cliente lamenta un massiva interruzione dei servizi di rete. Il fatto che l’intruso abbia scelto di non sfruttare il periodo di vulnerabilità cui l’azienda era esposta il giorno precedente, è di poca consolazione: il sistema impiegato da Paolo per la protezione dell’infrastruttura informatica, è stato hackerato!

La sicurezza di rete può essere un vaso di Pandora, non si sa mai che sorprese riserva! Il fatto che esista una pletora di tecnologie avanzate a disposizione dei “cattivi” può dar luogo ad un certo fatalismo o ad una tacita accettazione che è impossibile vincere questa guerra. Tuttavia, la verità è che la maggior parte degli attacchi potrebbero essere evitati con semplici misure precauzionali! Ciò che può sembrare una pubblicità semplicistica per qualche prodotto miracoloso, non lo è.

Le basi
Secondo gli analisti di IDC, oltre il 40% delle manomissioni della rete sono cagionate da un errore nella configurazione del dispositivo di sicurezza. Ciò significa che quasi la metà dei problemi potrebbero essere evitati se gli strumenti per la configurazione della soluzione fossero stati più intuitivi. Qual è l’errore più comune? Pensare che la protezione sia attivata quando non lo è! Per quanto strano possa sembrare, la configurazione standard della maggior parte dei firewall di rete non prevede l’ispezione del traffico. Questo “pass all” di default è un qualcosa di cui il responsabile della sicurezza deve accorgersi da solo. Pensate di aver acquistato un apparecchio sciccosissimo, ricolmo di tecnologie di protezione allo stato dell’arte? Fareste meglio a controllare due volte che non sia configurato come il suo antenato del ‘90, il firewall con funzione di packet filtering di base.

Infrastruttura IT senzatetto?
Se si ha familiarità con il mondo della sicurezza di rete, a volte si sente dire che il perimetro è morto, per indicare che – a fronte della proliferazione degli utenti mobili – il concetto di “sicurezza aziendale” è obsoleto. Se da un lato è difficile negare l’aumento degli utenti nomadici, sarebbe dall’altro estremamente riduttivo pensare che ogni dipendente di un’azienda sia un commerciale in viaggio o un telelavoratore. La mobilità aggiunge semplicemente nuove zone da proteggere ampliando il perimetro, non lo sostituisce. Questo malinteso di fondo e quindi il buzz attorno alla “fine del perimetro”, danno luogo a politiche di sicurezza lassiste – solo “user-based” e senza limiti fisici. La protezione dell’accesso alle informazioni più sensibili di un’azienda è tanto forte quanto la più debole password impiegata dagli utenti. Si, abbiamo ancora una casa, ma dobbiamo prendercene più cura.

Nella sicurezza IT la semplicità è la parola d’ordine per non impazzire
Nel corso di questo anno abbiamo visto un rifiorire di attacchi ormai datati come l’SQL Injection o più semplicemente dimenticanze e dabbenaggini come login/password facilmente deducibili, di cui hanno fatto le spese alcune multinazionali e note “Certification Authorities” che ritenevamo immuni da attacchi simili. In altri casi invece (ndr. RSA) si è potuto rilevare come sia complesso riuscire a gestire e prevedere le azioni degli stessi utenti, il principale pericolo per se stessi.

Se sommiamo tutti gli elementi di cui tenere conto nella gestione della sicurezza

- attacchi da fuori (sql-injection)
- attacchi da dentro (vulnerabilità)
- attacchi da fuori attivati da dentro (xss, e piu in generale Web 2.0 related)
- dabbenaggini degli amministratori (login admin – password mycompany)
- modifica delle dinamiche del perimetro (mobilità)
- nuove tecnologie potenzialmente nocive (Iphone, Ipad, android, ecc)

e li eleviamo al quadrato, dato che le minacce si evolvono senza dubbio più velocemente del tempo necessario ad un IT manager per definire un’adeguata strategia di protezione, la molteplicità dei fattori di rischio confermerebbe l’assunto che la soluzione vada ricercata tra una pletora di tecnologie, per il cui sviluppo spesso e volentieri il marketing fa la voce grossa (spesso più grossa dell’R&D).

Prepararsi ad una simile battaglia significa tentare di percorrere la strada più semplice, sapendo a priori che ogni nuova tecnologia può potenzialmente distogliere la nostra attenzione dal funzionamento delle altre. Ne risulta una partita che a prima vista può sembrare persa in partenza. A meno che non si cerchi di eliminare il superfluo gestendo la sicurezza con pochi utili, ergonomici strumenti alla “Rasoio di Ockham”, il quale, se solo fosse vissuto ai giorni nostri, sarebbe stato un impareggiabile amministratore di rete.