Cloud, Big Data, mobilità, social network ampliano gli orizzonti delle aziende ma hanno un rovescio della medaglia: aprono inediti rischi per la sicurezza. La soluzione è affrontarli con un approccio nuovo, integrato e olistico. Che tenga conto di tutti i nuovi luoghi dove la sicurezza di un’azienda può essere in pericolo. Ce ne parla Giovanni Todaro, responsabile della divisione Security Systems di Ibm.
Che succede, nel mondo della sicurezza informatica? Di colpo, sembra cambiato tutto.
Sono successi quattro eventi che hanno fatto aumentare la complessità nella gestione della sicurezza IT. L’esplosione del dato (Big Data); la consumerizzazione dell’IT, ora fruibile da qualsiasi strumento, anche in mobilità; terzo, il Cloud computing; quarto evento: gli attacchi informatici sono sempre più sofisticati. Non c’è più solo il semplice Ddos (Distributed Denial of Servce), ma la realtà è sempre più fatta di Advanced persistent threats (Apt), attacchi messi a punto da team di hacker professionisti, motivati dal desiderio di raccogliere informazioni strategiche o comunque di elevato valore economico.
Cominciamo dal cloud, dove i timori per la sicurezza sono citati spesso, nei sondaggi, come uno dei principali freni all’adozione. Come difendere le aziende?
Bisogna valutare che cosa si sta passando al cloud e come lo si sta facendo, quindi adottare una strategia idonea. Analizzare quindi, per prima cosa, il profilo di rischio dei workloads che più si prestano ad essere portati nel cloud, i requisiti di conformità e di disponibilità del servizio, le clausole contrattuali, incluse le “way out” e gli Sla (Service level agreement). E’ bene valutare un partner fidato, cui affidare i business workload; un partner che possa offrire un modello di gestione della sicurezza in linea con gli obiettivi di sicurezza del proprio IT e del proprio business. Ibm fa questo: aiuta le aziende a comprendere, stabilire e delineare i passi per mettere in sicurezza gli ambienti che passano al cloud.
In che modo?
Si definiscono gli obiettivi di sicurezza nel cloud, si identificano i problemi relativi alla privacy e alla sicurezza e si stabiliscono le strategie di riduzione delle vulnerabilità. Si sviluppa quindi una roadmap strategica di alto livello per la sicurezza, con una metodologia analoga a quella seguita per la messa in sicurezza di ambienti IT di tipo tradizionale.
In secondo luogo si analizza “come” si sta adottando il cloud, ovvero lo stato dei controlli, dei meccanismi e dell’architettura di sicurezza dell’ambiente cloud già realizzato o in via di realizzazione. Si opera quindi un confronto con le best practice del settore e quelle di Ibm.
Quali sono i pericoli più comuni, che vedete in ambiente cloud?
Riguardano le persone e l’identità, i dati, le applicazioni e i processi, le infrastrutture. Gli ambienti cloud supportano una grande e diversificata comunità di utenti e, quindi, i controlli relativi alle persone e alle identità sono ancora più importanti. Inoltre, il cloud introduce un nuovo livello di utenti privilegiati, gli amministratori, che lavorano per il provider di servizi cloud. Il monitoraggio degli utenti privilegiati, incluse le attività di logging, diventa necessario.
La maggioranza delle aziende è però preoccupata soprattutto della sicurezza dei dati in cloud. La sfida qui sta nel fatto che i dati, che richiedono protezione, sono ovunque. Ecco perché Ibm segue un approccio olistico alla sicurezza dei dati, con valutazioni della vulnerabilità, monitoraggio dell’attività dei database, cifratura e “automatic data discovery”. Per le applicazioni, l’approccio Ibm è applicare misure di sicurezza in ogni fase del loro ciclo di vita: progettazione, sviluppo, realizzazione, fino alla manutenzione e aggiornamento per le applicazioni che vengono sviluppate all’interno dell’impresa.
E quali problemi sorgono per la rete, invece?
Le tecnologie tradizionali per la sicurezza non sono in grado di proteggere in modo efficace i livelli aggiuntivi creati con il cloud; compresi hypervisor, stack di gestione e rete virtuale. Di conseguenza, i server virtualizzati possono essere meno sicuri dei server fisici. Le nuove soluzioni inseriscono funzionalità di sicurezza nel nucleo della rete, dove le prestazioni e la disponibilità sono maggiormente critiche. Si tratta di funzioni chiave, che vanno al di là del tradizionale IPS (Intrusion prevention system): protezione delle applicazioni web, prevenzione della perdita dei dati e “Virtual Patch”.
Gli altri due grossi fronti di rischio sono la mobilità e gli Advanced persistent threats
Sono aspetti collegati. il team IBM X-Force studia le tecniche Apt di attacco e crea le difese ancora prima che molte vulnerabilità siano annunciate. I risultati di questi ultimi mesi indicano un netto aumento degli exploit legati ai browser, rinnovati timori per la sicurezza delle password di accesso ai social media e rischi persistenti nei dispositivi mobili. Secondo le previsioni di X-Force, gli exploit per dispositivi di tipo mobile sono destinati a raddoppiare nel breve periodo.
Come rimediare?
In vario modo. Gli aggiornamenti del software sono fondamentali, ma spesso quelli dei dispositivi mobili non sono pubblicati rapidamente dai fornitori. In questi casi i meccanismi di “Virtual Patch” precedentemente citati possono essere d’aiuto. Il software malevolo che prende di mira i dispositivi mobili è spesso distribuito attraverso il mercato delle app di terze parti. È importante quindi che le aziende tengano sotto controllo le applicazioni installate sui dispositivi.
Ultimo aspetto, il Big Data: perché pone nuovi problemi di sicurezza?
Se ho più dati, ho più log da gestire. Serve un’infrastruttura adeguata: se non riesco a gestire, con strumenti adatti, i 20 mila eventi al secondo dei log, non posso individuare i tentativi di accesso illeciti ai dati.
Come si fa sicurezza nel Big Data?
L’ultima tendenza è la sicurezza in tempo reale. Noi per esempio abbiamo annunciato una funzionalità di database activity monitoring specifica per grandi moli di dati. Servono inoltre prodotti nuovi di sicurezza per la gestione di stream di dati. Esempio: un utente fa alcuni tentativi di accesso alla rete aziendali, poi ottiene dati e li manda con uno stream verso un Paese dove quell’azienda non ha business. Quest’evento è molto difficile da monitorare per un’azienda. Possiamo aumentare il grado di intelligence dei sistemi monitorando i vari domini, che per noi sono persone, dati, applicazioni e infrastruttura. Questa è la nostra ricetta: serve un framework, per rispondere al tema sicurezza, con soluzioni integrate.
Perché?
Perché i domini dove si deve fare sicurezza non funzionano più come silos. Gli attacchi sofisticati incrociano vari domini. Alcuni di questi non sono tracciabili con il vecchio modello di sicurezza IT. Altri domini si sono evoluti. Tra le “persone”, ci sono non solo i dipendenti ma anche i clienti, i fornitori. I “dati” sono anche di tipo non strutturato; alcuni sono conservati nella memoria degli strumenti, nei mezzi di trasporto. Gli oggetti hanno un indirizzo ip e quindi sono vulnerabili. Le interrelazioni tra tutte queste cose sono sempre più complesse. Di qui il bisogno di un approccio integrato e olistico, per affrontare i nuovi problemi di sicurezza IT.