Newsletter

Clicking moves left

Gli Speciali 2017

 

Forum HR

Cultura e regole nella gestione delle risorse umane, evoluzione sociale e digitale, organzizazione, leve motivazionali, contratti, lavoro...

Unione Bancaria e Basilea 3

L’evento dell'ABI su risk management, capitale e vigilanza europea. 120 relatori, 12 sessioni e una tavola rotonda per fare il punto sulla...

Banche e Sicurezza

Le banche tra sicurezza fisica e digitale, sotto il ritmo incessante della trasformazione tecnologica. Come difendersi dalle nuove minacce?

Funding & Capital Markets

I contenuti della IV edizione dell'evento ABI sugli strumenti di funding a disposizione di banche e imprese, sul mercato dei capitali e...

Dimensione Cliente

Il cliente non cerca più prodotti o servizi ma una Customer Journey. Si muove da questo imperativo la nuova edizione del convegno dedicato...

Forum ABI Lab

Bank to the future - Il viaggio nell'ecosistema digitale di ABI Lab nelle 2 giornate di Milano del 21 e 22 marzo - Le videointerviste e i...

Clicking moves right

Home > Sicurezza

Sicurezza
Invia Stampa
Nuove minacce sofisticate: quali strategie di difesa?

Nuove minacce sofisticate: quali strategie di difesa?

Nel 2011 sono aumentati gli attacchi avanzati orientati allo spionaggio e al furto di dati specifici. Per proteggersi è necessario adottare un approccio innovativo
Massimo Vulpiani (RSA Country Manager)
Il 2011 è stato un anno critico in termini di incidenti alla sicurezza. A maggio c’era stato già chi aveva etichettato il 2011 come “l’anno delle violazioni”. Ma qualcosa di più grosso covava sotto le ceneri. In contemporanea agli attacchi degli hacktivisti contro Sony, HBGary e la NATO, hacker clandestini si infiltravano attivamente in un ampio spettro di possibili target. Questi attacchi erano diversi: metodici, invisibili e sfruttavano una potente combinazione di competenze tecniche e pratiche sociali. Alcuni di questi utilizzavano astute tecniche di ingegneria sociale per infiltrarsi nelle organizzazioni che costituivano il loro obiettivo, mentre altri sfruttavano le vulnerabilità zero day – cioè falle ancora non note del software – per penetrare le difese.
Sebbene attacchi sofisticati avvengano ormai da anni, gli attacchi recenti sono più incisivi e frequenti: diretti contro obiettivi di alto livello, sono personalizzati in base ai target, basati su ricerche approfondite e, in molti casi, impiegano componenti sia tecniche che sociali. Il termine scelto per descrivere tali attacchi complessi e sofisticati è “minacce avanzate e persistenti” o APT (Advanced Persistent Threat).

Nuovi trend delle minacce: l'attacco attivo

Nel 2000 il worm ILOVEYOU infettò oltre 50 milioni di personal computer. Benché il danno fosse significativo, si trovò una soluzione parziale al problema: distribuire agli agenti antivirus una signature che identificava il file come nocivo e ne bloccava l’azione. Oggi il malware generico è ancora molto diffuso, ma le difese basate su signature, a livello di rete o di host, sono in grado di ridurre fortemente le possibilità di infezione.
Le imprese colpite da hacker altamente organizzati non possono però avere come unici mezzi di difesa gli strumenti di sicurezza “classici” basati su signature . Gli hacker usano di solito i siti di social network per trovare le informazioni necessarie e individuare specifici utenti di un’organizzazione. Alcuni dei principali vettori di infezioni sono le e-mail, Skype e i messaggi delle chat, con i payload del malware che si presentano sotto forma di PDF, HTML compresso, script file, eseguibili e allegati.
La personalizzazione delle tecniche di attacco si estende alla sottrazione dei dati. Le minacce sofisticate utilizzano spesso metodi evoluti per comprimere, crittografare e trasmettere dati ad altre organizzazioni compromesse, lasciando poche tracce sull’origine dell’attacco o la destinazione delle informazioni rubate. Questo passaggio da un approccio generico a uno studiato ad hoc, da un attacco standardizzato a uno adattivo, significa che i dipartimenti responsabili della sicurezza aziendale devono andare oltre la definizione delle signature e riconsiderare la reale efficacia delle loro attuali difese. Infatti, nella maggior parte delle strategie di difesa, il vero tallone d’Achille sono le persone, non le tecnologie.

Le persone: l'anello debole

Il “problema umano” è quindi uno dei temi chiave. Gli hacker sono diventati ormai molto astuti nello sfruttare contro di noi le nostre stesse debolezze e i nostri comportamenti per centrare i loro obiettivi. Il perimetro non è più il firewall, ma gli utenti. E per risolvere questo problema occorrerà ben più che la tecnologia.

La cortina di ferro delle informazioni condivise

La disciplina della sicurezza delle informazioni richiede un atteggiamento molto più collaborativo di quanto ci si potrebbe attendere dall’esterno. In molte aree, infatti, gli inquadramenti legali e tecnici entro i quali attuare un rapido scambio di informazioni fra le organizzazioni sono ancora lontani da un’adeguata strutturazione. Si evidenzia così una delle più importanti debolezze del settore: la mancanza di intelligence in tempo reale contro le minacce.
I progressi sono ostacolati anche dalla mancanza di metriche utili a misurare il livello di competenza relativo alla sicurezza delle informazioni. L’eccellenza nel difendersi non viene riconosciuta facilmente, mentre i fallimenti sono prontamente condannati. Questo difficile Giano Bifronte non invoglia le organizzazioni a condividere le informazioni sugli attacchi alla sicurezza, in particolare su quelli andati a buon fine. Oggi come non mai è fondamentale una partnership fra il pubblico e il privato e superare il problema legato agli aspetti legali.

Gli attacchi puntano al guadagno

I criminali informatici, coloro cioè che puntano a rubare i numeri delle carte di credito e altri dati mercificati e quindi vendibili, sono sempre più sofisticati, ma gli attacchi di tipo avanzato sono qualcosa di completamente diverso. Questi ultimi, infatti, sono sempre più orientati verso lo spionaggio e il furto di dati specifici che possono avere elevato valore e importanza per l’entità che ne commissiona il furto. Questa entità può essere un governo straniero, un’azienda rivale o gruppi criminali organizzati, ma in ogni caso un’entità in grado di mettere in campo considerevoli risorse finanziarie per arrivare al proprio obiettivo.
Le entità che stanno dietro molti attacchi di tipo avanzato sono organizzazioni sostanzialmente diverse rispetto ai gruppi di hacktivisti che hanno richiamato su di loro l’attenzione in tempi recenti. Gli hacktivisti puntano a creare imbarazzo e a denunciare apertamente le attività dei loro obiettivi, pubblicizzando con orgoglio i loro successi. Molti attacchi avanzati hanno invece l’obiettivo dell’invisibilità. I protagonisti non vogliono essere scoperti, né cercano pubblicità.

Penetrare le organizzazioni attraverso la catena logistica

Le minacce sofisticate hanno dimostrato che la sicurezza è un problema di ecosistema. Gli hacker investono tempo per infiltrarsi in obiettivi intermedi, che fanno parte della catena logistica del target primario. Fra questi si trovano fornitori di servizi ed esperti commerciali, come consulenti e avvocati. Chi attacca parte dalle aree più remote della catena logistica per arrivare infine al suo reale obiettivo. Ciò solleva diversi quesiti di estremo interesse sulla fiducia, i criteri, l’esternalizzazione delle attività e la nostra capacità di guadagnare visibilità sulla catena logistica estesa. La sicurezza ruota intorno al problema dell’anello più debole: il nostro livello di sicurezza è pari a quello del nostro fornitore più vulnerabile.
Un approccio che punti a un ecosistema sicuro è fondamentale e offre vantaggi ad ampio raggio. Esso trae la sua ragione d’essere non solo dall’esistenza di minacce più sofisticate, ma anche dalla crescita dell’hacktivismo, dalla maturazione del crimine informatico e dall’espansione delle aree sottoposte a verifica.

Un approccio innovativo

Pensare di tenere gli avversari lontani non è realistico. Per le organizzazioni è consigliabile comportarsi come se la loro sicurezza fosse stata già violata.
I tre principi cardine della sicurezza sono compartimentalizzazione, difesa approfondita e riduzione dei privilegi amministrativi. La combinazione di questi tre elementi fa sì che se una parte del sistema (o persona) viene compromesso, non venga compromesso l’intero sistema. Per quanto semplici a livello concettuale, questi principi si sono dimostrati complicati da implementare. Le organizzazioni si sono a lungo basate sulla nozione di “perimetro”.
I perimetri di sicurezza sono oggi considerati una struttura del passato. Nelle moderne organizzazioni definire i confini è praticamente un’impresa. L’inclusione di utenti parzialmente affidabili come clienti, venditori, partner a contratto, fornitori di servizi e di cloud e altri hanno reso i confini delle organizzazioni a dir poco permeabili. E, andando oltre lo sradicamento dei confini dell’organizzazione tradizionalmente intesi, c’è da dire che la consumerizzazione dell’IT ha portato all’interno delle imprese una quantità di dispositivi non prima gestiti, rendendo molto meno marcata quella linea che divideva la vita professionale dei dipendenti dalla loro vita privata.
Se si accetta che alcuni sistemi, persone e servizi possano essere già sotto il controllo di hacker, la strategia sulla sicurezza delle informazioni deve per forza cambiare. Le organizzazioni devono chiudere la finestra che le lascia esposte e limitare i danni compartimentalizzando i sistemi, arrestando l’uscita dei dati sensibili e contenendo le condotte illecite.
La sicurezza migliora quando vi è maggiore consapevolezza della situazione: per individuare le minacce all’orizzonte è fondamentale imparare a capire cosa sta accadendo oltre i confini della nostra rete.
La chiave consiste nel sapere quali asset digitali sono importanti, dove si trovano, chi può accedervi e come bloccarli in caso di violazione. Questa capacità di stringere le maglie della rete prima e durante un attacco è fondamentale, e richiede un maturo processo di gestione degli incidenti. La reazione agli incidenti non va considerata esclusivamente come una funzione di estrema sicurezza.
Al contrario, si tratta di una competenza organizzativa che deve essere costantemente sviluppata e messa a punto prima che si verifichi un attacco. Se un’organizzazione pianifica la sua reazione mentre l’attacco è in fase di svolgimento, è ormai troppo tardi. Un approccio basato sulla competenza consente che le attività volte a rimediare al problema si attivino automaticamente, come un riflesso.

Il futuro che ci attende

La realtà delle minacce sofisticate richiede un approccio del tutto innovativo per difendersi, nel quale le imprese possano muoversi agilmente ed essere produttive pur nell’ambito di un ambiente in costante allerta. Considerato che la sicurezza delle informazioni è un problema
di “anello più debole”, solo la comprensione dei nostri asset, processi ed endpoint può permetterci di predisporre un valido sistema di difesa.
25 Gennaio 2012

Articoli correlati

 

Guida Tassazione 2017

Sullo scaffale

Elenco degli Sportelli Bancari 2017

Elenco degli Sportelli Bancari 2017

In 640 pagine, il panorama più esauriente delle 28.000 filiali e dei 1.400 negozi finanziari operanti in Italia, contenente le principali informazioni ...

Convegni ABI

CREDITO AL CREDITO 2017

CREDITO AL CREDITO 2017

Roma, Palazzo Altieri - 26 e 27 ottobre 2017