C’è un detto che viene in mente quando si tratta di comprendere lo stato attuale della sicurezza:

“Molti pensano che il pozzo sia tanto profondo quanto l’acqua è limpida”.

Nel corso dell’ultimo decennio, le aziende nel settore dell’information security, oltre allo sviluppo di tecnologie preventive come antivirus e firewall, si sono sempre più focalizzate su strumenti per la cattura di log ed eventi di sicurezza, al fine di ottenere una visione approfondita di ciò che accade e che può in qualche modo intaccare la sicurezza. Si è assistito, negli anni, all’attivazione di log su apparati e dispositivi vari, allo sviluppo di tecnologie di gestione centralizzata e alla collezione dei log, coltivando la convinzione di avere in qualche modo ripulito l’acqua e ottenuto una chiara visione del fondo del pozzo. Questo è stato fondamentale per il conseguimento di un certo tipo di gestione delle minacce ed è tuttora una componente essenziale del security management.

Tuttavia, per certi aspetti, ciò ha generato un altro pozzo di acqua torbida, pieno di bit e byte che possono presentare un quadro ancora più offuscato. Ottenere sempre più dati su ciò che sta accadendo, infatti, può incrementare le possibilità di rilevare una potenziale minaccia di sicurezza, ma non migliora e può addirittura peggiorare la probabilità di rilevare effettivamente una minaccia reale. Ovviamente, è necessario che i dati catturino qualsiasi evento malevolo, così come le modalità di cattura e di analisi hanno un notevole impatto sulla probabilità di identificare con successo una minaccia attiva per la sicurezza.

In ogni caso, catturare una mole maggiore di dati non significa necessariamente ottenere un quadro più chiaro della situazione.

Alla Hacking Conference DEF CON 21 tenutasi quest’estate a Las Vegas, diverse presentazioni hanno riguardato i moderni vettori d’attacco che comportano problemi significativi. Oggi, infatti, un attacco può comprendere:

• Una profonda ricognizione sociale attraverso i social media come Facebook, Twitter e LinkedIn, combinata con tecniche di social engineering particolarmente mirate.
• Malware, software appositamente confezionato al momento su necessità e attacchi informatici in genere, che mutano costantemente per eludere la ormai vetusta protezione basata sulle firme, tipica di antivirus, antispyware e IDS.
• La comunicazione con i server di Command and Control (C2C) attraverso canali come Twitter e post sui blog.

Se si scorre la lunga lista dei controlli di sicurezza richiesti per prevenire le nuove tipologie di attacco (ad esempio, un utente esperto e adeguatamente formato sulla sicurezza, una campagna di sensibilizzazione sulla sicurezza, sistemi di content filtering per filtrare i contenuti web, antivirus, patch di sicurezza, network filtering, firewall, ecc.), la probabilità che almeno uno dei numerosi anelli della catena di protezione sia troppo debole è piuttosto elevata. Pertanto la visibilità su ciò che sta accadendo nella propria rete è fondamentale per mettere insieme i pezzi una volta che l’anello debole salta.

Le aree di visibilità da affrontare sono soprattutto due:

La visibilità sui propri dati di sicurezza esistenti, che deve essere migliorata. Tutti quei bit e byte raccolti nel tuo pozzo degli eventi di sicurezza devono essere purificati il più possibile. L’adozione di un filtro prima di pompare tutti quei dati nel pozzo degli eventi può realmente contribuire a migliorarne la chiarezza ma, per motivi di sicurezza, non possiamo fare a meno di raccogliere più informazioni possibile. Di conseguenza, il primo principio da adottare per migliorare la visibilità consiste nell’organizzare i dati esistenti e nel ripulirli, non solo collezionando i dati giusti ma anche adottando un secchio intelligente da lanciare nel pozzo per recuperare specifiche informazioni in caso di necessità.

La visibilità sullo spazio vuoto fra le tecnologie di sicurezza, che deve essere affrontata. Che lo si ammetta o meno, esistono spazi vuoti tra le varie tecnologie di un’infrastruttura di sicurezza. Firewall, IDS, antivirus e tutti gli altri controlli tecnici operano incessantemente per difendere la rete e i dati dai vettori d’attacco conosciuti e possono rendere al meglio in una difesa di tipo dinamico. Eppure c’è sempre qualche inevitabile lacuna in queste tecnologie, come gli exploit zero-day che aggirano i sistemi basati su firme oppure un semplicissimo messaggio e-mail, apparentemente del tutto normale, proveniente dall’account aziendale di un partner d’affari. Ecco perché non va mai commesso l’errore di fare assoluto affidamento sulle sole tecnologie di sicurezza.

Le prove dell’intorbidamento delle acque sono evidenti ovunque: moltissime violazioni di sicurezza non vengono identificate se non diverse settimane dopo la compromissione e sempre più spesso le aziende vengono avvisate della violazione da un soggetto esterno, come clienti, partner o forze dell’ordine. Il fatto che tante aziende, anche quelle più importanti, vengano compromesse fino a questo punto e che ciò diventi evidente a terze parti esterne prima di essere rilevato dai team di sicurezza interni è assolutamente sconcertante! Ecco, quindi, che la capacità di scandagliare e ricercare nelle acque torbide diventa una delle chiavi che consentono di colmare il divario tra i rischi di sicurezza di oggi e l’organizzazione della sicurezza di domani.

Nel corso dei più recenti ed importanti eventi di sicurezza, come BlackHat e DEF CON, sono stati presentati diversi esempi di attacchi combinati, che uniscono exploit tecnici complessi con azioni di social engineering reali e comprovate, che scardineranno la maggior parte dei sistemi di sicurezza preventiva. Nota bene: ho usato il futuro, non il condizionale. L’unica possibile difesa da questi evoluti vettori d’attacco è costituita da un mix ben organizzato di misure di prevenzione, rilevazione e correzione degli attacchi, ovvero una migliore educazione e formazione del personale, in particolare contro gli attacchi di social engineering, un più efficace e dinamico contrasto degli exploit tecnologici, sistemi più efficienti di rilevazione di situazioni anomale o potenzialmente dannose, nonché strumenti di aggiornamento, quarantena e contenimento.

Oggi, come non mai, il governo della sicurezza delle informazioni è fondato sull’intelligence, ovvero sulla raccolta di informazioni riguardanti le possibili minacce, i potenziali scenari d’attacco e le proprie vulnerabilità. Maggiore è il volume di informazioni che si è in grado di raccogliere ed analizzare con costanza ed assiduità, migliore sarà la capacità di prevenire, fronteggiare e risolvere eventuali attacchi.

Sebbene sia possibile costruire mura difensive sempre più elevate attorno alla propria fortezza, resta inalterata la necessità di conoscere le potenzialità, le capacità, la natura e le intenzioni dei propri nemici. Mura più alte non aumentano la protezione contro avversari che si divertono a scavare tunnel nel terreno.

Il miglioramento continuo della visibilità sulle proprie carenze e sui punti di forza dei propri avversari diventa quindi un fattore determinante per il successo finale. Come sosteneva Sun Tzu nel trattato di strategia militare “L’Arte della Guerra“:

Se conosci il nemico e conosci te stesso, nemmeno in cento battaglie ti troverai in pericolo. Se non conosci il nemico ma conosci te stesso, le tue possibilità di vittoria sono pari a quelle di sconfitta. Se non conosci né il nemico né te stesso, ogni battaglia significherà per te sconfitta certa.

La conoscenza protegge dal pericolo. Il generale, così come qualsiasi persona che eserciti comando, deve conoscere sia se stesso sia l’altro, sia le proprie condizioni che quelle dell’altro. Si tratta di un requisito molto difficile da possedere, che proprio per questo identifica in modo certo la figura del leader. Tale prerogativa presuppone una notevole abilità: quella di penetrare tutti gli aspetti del mondo, tanto le nostre caratteristiche quanto i tratti della personalità del nemico, i suoi pregi e i suoi difetti. Il conseguimento della vittoria dipende infatti dal conquistare intero e intatto il nemico e contempla il sé e l’altro in una visione globale.

Ettore Guarnaccia