cyber security, hacking

Quando parlo di Cyber Security…

…cerco di trasmettere un concetto fondamentale: la sicurezza informatica è un percorso, un insieme di processi e attività da mettere in fila per incrementare il livello di sicurezza di un sistema. Non è un prodotto. Non esiste il device o il software definitivo che magicamente porterà sicurezza.

Il modello che ho scelto per accompagnare su questa strada le aziende con cui dialogo (e mi fa piacere vedere che non sono il solo) transita da un insieme di fasi codificate e pensate per definire i reali rischi a cui un sistema complesso (in senso ampio, non solo sistemi IT) è esposto.

A tal fine diventa indispensabile valutare quale sia la superficie attaccabile. Questa primissima fase viene spesso ignorata (continuo a vedere proposte di Penetration Testing “un tanto al kilo”) pur essendo la base per costruire una strategia di difesa: come posso difendere un sistema di cui non ho indagato il livello di esposizione? E’ ovvio, o dovrebbe esserlo, che non è accettabile una valutazione eseguita da chi amministra il sistema da difendere in quanto viziata dall’illusione del controllo. Il miglior punto di vista per definire la superficie attaccabile è quello dell’attacker, quindi già da questa fase sono necessarie figure competenti sul tema della progettazione e realizzazione di attacchi informatici: White Hat ed Ethical Hacker.

E’ curioso constatare, in ogni occasione, come il perimetro presentato post-indagine sia molto più ampio di quanto gli interessati si aspettassero: è estremamente frequente non essere consapevoli della vastità di informazioni e sistemi che un’azienda presenta “all’esterno”. In merito a quanto invece si è consapevoli di esporre devo constatare quanto sia frequente la mancanza di adeguati strumenti e procedure per la gestione dei sistemi e delle informazioni. Anche i principi fondamentali vengono talvolta ignorati: path management, sistemi di detection e monitoraggio, gestione degli accessi, ecc.

Definito il contesto si può passare al contenuto con valutazioni a livello di desing, procedure e strumenti al fine di comprendere come è implementato ed amministrato il sistema. Le attività di assessment consentono di far emergere eventuali falle strutturali (scelte errate o deboli dal punto di vista della sicurezza) e peculiari (software bug, vulnerabilità, ecc.).

Il report che emerge da queste sessioni è utile a comprendere il livello di esposizione ad attacchi informatici ed i rischi che si possono correre in caso un attacco vada a segno. In alcuni scenari è opportuno fare un ulteriore passo verificando l’effettivo livello di sicurezza di un sistema complesso progettando e realizzando un attacco simulato, mettendo quindi in campo le skill del team di Ethical Hackers non solo per analizzare il target ma anche per tentare di espugnare la fortezza esattamente come farebbe un attacker. Il tutto ovviamente deve essere regolamentato da un ingaggio specifico per realizzare una sessione di Penetration Testing autorizzata.

Il fine di queste sessioni non è l’attacco in se ma aiutare le aziende a trovare risposta alla domanda:

“In caso vi rendiate conto di essere stati vittiva di un furto di informazioni o di un accesso abusivo ad un sistema informatico, quali procedure attuate per rispristinare la situazione?”

Compreso il reale stato di sicurezza del proprio sistema e avendolo messo alla prova è possibile definire le procedure e gli strumenti che possono essere messi in campo per gestire eventuali attacchi informatici. L’approccio alla sicurezza varia quindi dalla tradizionale introduzione di tecnologie generaliste (firewall, anti-malware, IDS, ecc) alla concertazione di ciò che è utile alla sicurezza di un sistema utilizzando la tecnologia disponibile sul mercato.

Il percorso verso la sicurezza deve quindi prendere in considerazione una serie di correttivi culturali oltre allo status dell’infrastruttura informatica:

  • procedure di gestione dei sistemi
  • formazione al personale interno (consapevolezza)
  • strumenti di cyber protection e loro corretto utilizzo
  • introduzione di policy aziendali specifiche per la sicurezza informatica
  • servizi di consulenza specifici

Ovviamente non è necessario, di solito, implementare “tutti” gli strumenti che esistono su piazza, ogni situazione va presa in considerazione singolarmente e vanno implementare le procedure utili allo specifico caso. Non esiste la “panacea” che salva ogni situazione.

Il primo passo è acquisire consapevolezza e su questo fronte nessuno ne sa più di chi ha bazzicato il vastissimo universo degli hackers.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.