Una “gabbia” contro i virus

La sicurezza informatica nelle realtà di oggi va profondamente ripensata, adottando nuove strategie e soluzioni adeguate alle nuove criticità. Questo è quanto è emerso al Symantec Technology Day 2011, l'appuntamento che consente di fare il punto sullo stato della sicurezza tra diversi operatori dell'industria ICT e i rappresentanti delle società utenti. Sotto diversi profili il 2010, e i primi mesi del 2011, hanno registrato delle conferme, ma anche delle importanti novità che ha riassunto Marco Riboli, vice presidente sales, mediterranean region di Symantec. Da un lato l'aumento delle informazioni digitali anno su anno non è certo una novità, ma certamente fanno impressione i numeri che descrivono questo fenomeno. Per prima la crescita del 62% in dodici mesi, ma in seconda battuta il volume totale di informazioni, ovvero 800.000 petabyte, questa la stima di Symantec. Dall'altro le nuove minacce che si affacciano e che stanno mettendo in discussione come sono stati pensati e realizzati i sistemi di sicurezza fino a oggi: “Wikileaks ci dice che non basta classificare tutte le informazioni – afferma Riboli. Ma a questa deve seguire una strategia puntuale e organica per la protezione efficace di ogni categoria di dato”. Un'altra importante novità del 2010, forse non pubblicizzata sufficientemente, è il fatto che sono state attaccate diverse grandi infrastrutture e i loro sistemi di controllo automatizzati: “Per la prima volta sono caduti nella rete dei cyber criminali i sistemi Scada, che fino a poco tempo fa erano rimasti fuori dal loro interesse – racconta Riboli – questo indica che l'obiettivo degli hacker, che ormai agiscono fondamentalmente per interessi economici, sta cambiando: dallo spionaggio al sabotaggio”. A questi fenomeni si aggiungono poi la diffusione dei sistemi mobili che vanno inevitabilmente a impattare i sistemi informativi aziendali: “Il 70% degli utenti dell'iPad utilizza questa piattaforma anche per lavorare”. Infine la virtualizzazione e il cloud computing che oggi aprono nuovi problemi di sicurezza, soprattutto sul fronte della gestione della memorizzazione dei dati. Tracciato il contesto quindi, non risulta banale e scontato l'invito a ripensare le strategie di sicurezza dei sistemi informativi aziendali. Da questo punto vista il suggerimento di Carlo Alberto Carnevale Maffè, docente di strategia aziendale dello SDA Bocconi è quello di applicare una 'contabilità' della sicurezza che va oltre il conto economico dei costi e dei benefici: “Se l'informazione rappresenta un valore sempre più strategico per le aziende, allora deve essere trattata come un asset 'patrimoniale', mettendo in evidenza le attività, ma anche le passività. Insomma oltre alla contabilità della sicurezza bisogna considerare sul lungo periodo il suo stato patrimoniale”. Inoltre, secondo Carnevale Maffè, i concetti di ROI e TCO stanno diventando vecchi e verranno superati sempre di più con il cloud computing: “Pagare un servizio, non è come effettuare un investimento in soluzioni: Dov'è il costo di proprietà nel cloud compunting?”. Su questo fronte Symantec sta dicendo la sua da diverso tempo: “Sono 14 i servizi di sicurezza cloud già offerti e diversi clienti ne hanno adottati più di uno – spiega Gerardo Gomez, regional director, technology sales organization, mediterranean Region di Symantec – In questo ambito il nostro obiettivo, che condividiamo con un partner come Vmware, è accompagnare i clienti nella loro evoluzione verso il cloud computing assicurando delle solide fondamenta; il che significa: per primo far evolvere i server virtualizzati in un cloud privato; in secondo luogo aprire con sicurezza l'infrastruttura alla possibilità di configurare hypervisor eterogenei e quindi, terzo passo, adottare con fiducia una cloud pubblica”. Il cambiamento proposto da Symantec non guarda però solo ai nuovi modelli, ma soprattutto le tecniche di protezione attuali: “Oggi nascono oltre 28.000 nuovi virus al giorno e quindi dobbiamo chiederci se i sistemi antivirus attuali, quelli basati sul riconoscimento delle signature aggiornati anche più di una volta al giorno, sono ancora efficienti”. La domanda è naturalmente retorica e la risposta, scontata per Symantec, è no. “Lo scorso anno abbiamo rilevato 286 milioni di nuovi codici malevoli, e molti di questi sono generati in tempo reale per ciascuna vittima – spiega Antonio Forzieri, security practice manager di Symantec Italia. Il cambiamento che propone quindi Symantec è il passaggio da un approccio basato sul riconoscimento, che inoltre viene sempre più messo in discussione dalle nuove tecniche di attacchi, a uno costruito sul concetto di reputazione. Gli strumenti di Symantec sono in grado di esaminare ogni singolo file sotto la lente di ingrandimento di un algortimo di reputazione proprietario che nasce dalla raccolta di informazioni che l'azienda porta avanti fin dal 2007: “Oggi Symantec, dispone della più grande base dati di conoscenza circa i nessi tra file, utenti e siti web, potendo contare su 175 milioni di utenti che contribuiscono ad arricchire le informazioni attivamente e su 1,2 miliardi di file conosciuti”, racconta Forzieri. Questa base dati contiene informazioni su file eseguibili, driver, DLL, plug in e altro ancora e fornisce per ogni file: livello di reputazione, numerosità e data di scoperta del file. Il nuovo malware viene individuato dal sistema di reputazione in maniera piuttosto semplice: una bassa prevalenza associata a una data recente di generazione file produce come risultato una bassa reputazione. “I creatori di virus saranno quindi chiusi da due lati: se decidono di far mutare velocemente il malware, associando un giudizio di bassa reputazione al file, il nuovo sistema blocca l'attacco; mentre se decidono di far mutare lentamente i malware, questi potranno essere riconosciuti con più facilità dai sistemi odierni basati sul riconoscimento delle firme”, conclude Forzieri. La nuova 'gabbia' ideata da Symantec sembra quindi promettere bene, la prova dei fatti confermerà se per una volta un fornitore primario di sicurezza non sarà più costretto a inseguire quello che stanno facendo gli hacker, ma riuscirà a imporre un nuovo modello di protezione delle informazioni veramente efficace.