hacking

L’approccio che genera competenza che genera valore

Ho avuto un giro di incontri e dialoghi fortunati (virtuali ovviamente): in tre occasioni, a distanza di pochi giorni, ho potuto discutere con altrettanti manager e figure di responsabilità di tre aziende molto strutturate — dimensioni oserei dire “ginormiche” — in merito alla gestione della sicurezza cibernetica all’interno del processo creativo e produttivo.

(Credit: Kahveci)

Nonostante le differenze a livello di modello di business e di mercato (il comune denominatore è la realizzazione di device interconnessi) delle tre organizzazioni il tema era sostanzialmente lo stesso e ruotava attorno alla stessa domanda: come si può implementare un modello di sviluppo che dia delle garanzie sulla sicurezza del prodotto finale dal punto di vista dell’esposizione alle minacce cibernetiche?

La portata del tema, credo sia chiaro, è immensa… è ovvio che le garanzie sulla sicurezza dei device (per lo più IoT in questo caso) che si connettono alle reti domestiche ed aziendali diventeranno un termine di paragone per l’utenza che ne dovrà valutare l’acquisto e l’impiego, su questo credo non ci siano dubbi.
La mia riflessione è però relativa ad un altra questione: è meritevole di attenzione l’approccio che le organizzazioni adotteranno per avviare un processo di crescita virtuoso che parta dalle fondamenta delle organizzazioni stesse, dalle persone.

Le persone, oltre ad essere il propulsore delle organizzazioni, sono anche parte della “miscela propulsiva” con le loro idee e le loro attitudini. Un corretto approccio alla gestione della sicurezza informatica, maturato all’interno di un percorso di consapevolezza, è ciò che potrebbe portare i componenti delle organizzazioni a farsi delle domande sul modo in cui agiscono (nel privato come in un contesto lavorativo), sulle procedure che seguono (e che non seguono), sul design di una soluzione, sugli impatti di una scelta strategica.

Mettere in discussione il modello corrente, individuandone e correggendone le falle, è ciò che consentirà alle organizzazioni di crescere. Se questo percorso viene indotto coinvolgendo gli interessati, ovvero i creatori e gli utilizzatori del “modello corrente”, non solo vi sarà l’opportunità di migliorare il modello ma si potrà instillare nei membri dell’organizzazione la capacità di mettere in discussione i modelli in uso al fine di migliorarli.

Esco dalla narrazione dei concetti e torno nel “mondo vero”. Mettendo in discussione il processo, ad esempio, di sviluppo software (vale per qualsiasi processo) di una divisione aziendale che si occupa di scrivere parte di una applicazione o del firmware di un device posso verificare se il modus operandi del team è, in qualche modo, exploitable. Esiste una procedura di validazione del codice? E’ documentata e nota a tutti? Viene rispettata? Come viene gestito il codice? Come viene eseguito il testing della soluzione? Esiste un piano di remediation? Esiste un piano di analisi dei bug? […] Io, da solo, posso formulare un centinaio di domande solo per questo contesto… un team interdisciplinare con specifiche competenze e con il corretto mindset è la base per iniziare mettere in discussione il modello, per perfezionarlo e per contagiare (mi concederete il termine) l’intero team di sviluppo e gli altri team affinché il modello diventi parte dell’organizzazione stessa. Da processo ad approccio.

Una nota conclusiva forse banale ma che mi ha fatto riflettere: il fatto che mi sia trovato a discutere questo tema con più persone di uno specifico settore non è da leggersi come una coincidenza, è un trend, un meraviglioso trend che porta le organizzazioni a ragionare sul valore del prodotto finale e sugli impatti delle scelte che sono chiamate a fare in tema di gestione della sicurezza informatica e tutela della privacy.

cyber security

Competenza ed addestramento

Provo ad affrontare un tema che mi sta a cuore e per il quale sarà inevitabilmente necessario fare delle integrazioni al mio ragionamento, spero coinvolgendo proprio quelle figure che oltre ad essere competenti sono anche addestrate o desiderano esserlo.

“Credit: Venitas”

Mi limiterò, in questo post, alla mia area di competenza (appunto), ovvero la sicurezza informatica ed in particolare il tema della Difesa dalle minacce cyber che in un certo senso significa essere pronti alla gestione della minaccia, prevenirla, e combatterla in caso dovesse manifestarsi con un attacco.

Il ragionamento ha a che fare con l’abisso che esiste tra una figura professionale competente, che è già di per se una cosa non banale in quanto è conoscenza ed esperienza assieme (passatemi la semplificazione), ed una figura professionale addestrata. Non si tratta di temi da contrapporre, una persona addestrata su un particolare tema deve necessariamente essere competente, deve padroneggiare la conoscenza della materia. Non tutte le persone competenti sono addestrate, questo può diventare un problema.

Spostiamoci dalla filosofia al mondo vero e per semplicità partiamo dell’ambito prettamente informatico anche se il ragionamento deve essere trasversale.

Nota: circoscrivere la cyber security solo ai temi IT è un grave errore, ne parlerò in prossime occasioni.

Nel mio lavoro (mi occupo di aiutare le organizzazioni a costruire una strategia di difesa dalle minacce cibernetiche, al secolo i Cyber Attack) incontro moltissime persone competenti, persone estremamente in gamba, con anni di esperienza nel loro campo. Molto spesso queste persone, che vantano hard skills fenomenali, non sono addestrate a gestire una minaccia informatica, banalmente perché non sono nella condizione (fortunatamente per le loro organizzazioni) di passare da un security incident all’altro. E’ un tipo di esperienza che, chi ricopre ruoli di gestione tecnica e governance in ambito IT e Security, tipicamente non fa fino a quando l’incident si verifica.

Essere o non essere preparati, addestrati, fa tutta la differenza. Un percorso di addestramento per le figure chiamate a gestire la sicurezza informatica di una organizzazione è ciò che consentirà a quell’organizzazione di avere delle procedure di gestione degli incident, avere personale addestrato a reagire in modo corretto, avere una rete di contatti da coinvolgere in base all’esigenza… e mille altre “armi” di prevenzione e gestione. Non essere addestrati alla battaglia, l’ho visto mille volte, genererà panico.

Nota operativa:
Ci sono diversi gradi di “addestramento” che possono essere presi in considerazione dai team in base alle peculiarità del team stesso, personalmente — lavorando per lo più in ambito offensivo — mi sono occupato di addestrare Blue Team e strutture di presidio, come i SOC, per migliorare le procedure di difesa o per imparare a gestire casi reali tramite simulazioni di attacco. Questo è un esempio di addestramento di carattere tecnico, ma lo stesso lavoro può essere fatto per la consapevolezza o per la visione strategica.

Ora, visto che siamo sempre nel mondo vero, è difficile essere sempre nella condizione di avere un team competente ed addestrato su tutti i fronti, non vuole essere questo il messaggio banalmente perché potrebbe non essere economicamente conveniente avere un Cyber Security Team “completo” all’interno dell’organizzazione. Come in passate occasioni il suggerimento è di ragionare su come l’addestramento dei vari team operativi possa rendere efficiente ed efficace la gestione della sicurezza informatica in ottica di investimento qualitativo.

È un cambio di paradigma: da costo necessario ad investimento in aumento della qualità. Un investimento che deve necessariamente essere letto come un incremento dei presidi di sicurezza tanto quanto un aumento di valore dell’organizzazione che dovrà diventare sempre più anti-fragile e garantire livelli di servizio appropriati ai propri clienti e partner.

hacking

Supply Chain Attack

Di per se il concetto è molto semplice: viene colpito un elemento vulnerabile di una organizzazione in un contesto di intima relazione con altre organizzazioni al fine di colpire l’intero cluster.

Le organizzazioni (aziende, enti privati e pubblici, associazioni, ecc) sono oggi molto legate tra loro in rapporti di cooperazione, fornitura di asset e servizi, partnership. E’ del tutto ovvio, se non indispensabile, che si avviino relazioni intime in cui le stesse fondamenta dell’organizzazione dipendono dai servizi erogati dai propri partner. Viviamo quindi in un contesto sociale e di mercato in cui nulla è isolato dal resto del mondo e pochi elementi di questa maglia possono influire sull’intera struttura.

Banalizzando: se la mia azienda vende prodotti o servizi tramite una piattaforma online, ospitata da una qualsiasi piattaforma cloud che il mercato offre, è ovvio che un fault sulla piattaforma in questione si ripercuote sul mio business e sulla mia reputazione; in un contesto di security incident questa proprietà transitiva rischia di essere parecchio fastidiosa. E’ inoltre ovvio che se il servizio da me erogato non è fruibile o ha subito un incidente riguardante — ad esempio — il furto di dati, l’impatto di ciò che è accaduto al mio fornitore arriva a toccare al mio cliente finale che, tipicamente, verrà da me a chiedere spiegazioni.

Legami di questo tipo esistono a tutti i livelli e possiamo fare mille esempi. Gli studi professionali gestiscono dati talvolta riservati dei propri clienti e probabilmente lo fanno tramite un sistema informatico che, a sua volta, è gestito da personale interno o esterno che deve necessariamente dotarsi di strumenti e tecnologia. Hardware e software vengono tipicamente acquistati da aziende specializzate nella produzione di questi asset o acquisiti a servizio per sostituire soluzioni on premise.
Un’anomalia software dal punto di vista della sicurezza informatica mette quindi a repentaglio l’organizzazione che utilizza il software/servizio che presenta l’anomalia, ma anche i dati che vengono con esso gestiti. Ne siamo tutti ben consapevoli.

Ciò che è recentemente accaduto a SolarWinds è semplicemente l’esempio di più eclatante per impatto, ma la modalità è sempre quella: SolarWinds è stata colpita direttamente al fine di manomettere il software dalla stessa azienda distribuito. A seguito del rilascio delle nuove versioni, opportunamente modificate degli attacker, le organizzazioni clienti (e che organizzazioni) hanno di fatto installato una versione vulnerabile la cui falla era ben nota agli attacker che hanno così potuto colpire, senza troppa fatica, i clienti di SolatWinds tra cui ci sono nomi come il Pentagono, la NASA, la NSA e Microsoft. Letteralmente un disastro, un meteorite di cui i danni dell’impatto non sono ancora chiari.

Ma questo è solo un evento, l’ennesimo, non è il messaggio che voglio condividere. La riflessione su cui vorrei portarvi si riferisce all’esigenza di cambiare modo di ragionare in relazione all’approccio alla sicurezza informatica. Dobbiamo uscire dalla gabbia mentale in cui ci siamo chiusi per anni dove la sicurezza di fa acquistando una soluzione o un servizio.

Nell’attuale contesto il tema lo si affronta con la volontà di agire secondo una logica cyber-sicura, le nostre organizzazioni devono essere intrinsecamente sicure: dobbiamo implementare processi sicuri, dobbiamo imparare ad usare gli strumenti in modo sicuro, comunicare in modo sicuro, gestire i dati in modo sicuro, lavorare in modo sicuro a tutti i livelli (non solo IT).

Costruire una cultura della sicurezza informatica ci porterà a realizzare prodotti e servizi che sin dalle fasi di design saranno stati concepiti in un contesto dove la sicurezza dei dati e delle infrastrutture era un valore intrinseco del processo di produzione, valore che può essere trasferito nel risultato del nostro lavoro e come tale verrà percepito dai nostri clienti e collaboratori.

Le nostre organizzazioni fanno parte della stessa enorme catena: impariamo a collaborare con anelli robusti ed accertiamoci di essere un anello robusto con cui sia vantaggioso collaborare.

cyber security, hacking, update

Armamenti Cibernetici

WarGames (1983)

Da qualche giorno ho iniziato a riflettere su un tema etico che interessa tutto il mondo della ricerca scientifica in — credo — tutti i campi: la possibilità che il proprio lavoro sia trasformato in un’arma.

Siamo tutti consapevoli del fatto che la ricerca nel campo della sicurezza offensiva sviluppa competenze, tecniche e strumenti che possono essere / sono utilizzati anche dal mondo del crimine organizzato. E’ un tema con cui conviviamo da sempre e chi opera in questo settore sa quanto siano necessari questi strumenti per supportare le organizzazioni nello sviluppo di una strategia di difesa efficacie.

La riflessione che vorrei proporre è un’altra e va in una direzione assolutamente legale, mi riferisco all’evidente crescente esigenza delle organizzazioni governatore e militari di ricorrere all’impiego di “armi cibernetiche” per perseguire i propri scopi istituzionali. E’ un capitolo immenso di una storia che è appena agli inizi, ma non ha senso ignorarla.

Ragionando mi sono posto mille domande di cui di seguito alcune:

  • Le organizzazioni interessate a sviluppare delle strategia di difesa che comprendano l’uso di armi cibernetiche si attrezzeranno in autonomia o valuteranno collaborazioni con aziende e consulenti esterni? (preso atto del fatto che la materia è ad oggi padroneggiata per lo più da realtà private)
  • Si paleserà un mercato “aperto” di armi cibernetiche così come oggi esiste un mercato che vede protagonisti grandi gruppi industriali che producono armi “tradizionali”?
  • Le competenze e l’addestramento dei “soldati” e degli “operatori” chiamati ad utilizzare queste armi da chi sarà portato avanti? (tenendo in considerazione le verticalità dei temi e delle relative figura professionali)

Lungi da me fare la morale, non è il mio ruolo e non è mio interesse, ma un invito a riflettere mi sembra quanto meno opportuno. Tutti i ricercatori ed i professionisti che operano nel campo della sicurezza informatica sono potenzialmente interessati in prima persona, meglio avere le idee chiare per evitare di fare scelte azzardate, qualsiasi sia la direzione che si desidera prendere.

update

Dell’esigenza di condividere e divulgare

Negli anni ho approcciato il tema della condivisione di contenuti in molte forme e spesso senza una particolare struttura ne una precisa strategia… tanta volontà e un po’ di tempo investito. Mi rendo conto – e leggo da tutte le parti – che divulgare un contenuto richiede anche altro e, dopo tanti esperimenti, provo a strutturare i miei contenuti ed i canali di comunicazione.

Ho sempre utilizzato la scrittura in un mondo in cui si tende a non aver tempo per leggere. Continuerò a scrivere (mi piace) ma affiancherò al testo dei contenuti “raccontanti” tramite altre piattaforme social che, proprio in queste ore, sto studiando per comprendere quale sia quella più appropriata.

Le motivazioni alla base di questo progetto sono assolutamente egoiste: per passione e per professione ho l’esigenza di confrontarmi con persone che comprendano i temi di cui parlo e non è scontato che tutti abbiano il tempo o l’opportunità di documentarsi a fondo su temi complessi talvolta fuori dal proprio contesto. Spero che il mio contributo consenta a professionisti e neofiti di comprendere meglio il complesso mondo digitale analizzato dal punto di vista della sicurezza informatica e spero che questo porti ad un confronto di valore per tutti gli interlocutori.

update

Fù CentOS

Nelle ultime settimane molti mi hanno chiesto opinioni in relazione al sistema operativo che si dovrà adottare ora che il progetto CentOS si è avviato alla conclusione. Sono molte le realtà che utilizzano la distribuzione come base per le proprie piattaforme ed io stesso, nonostante sia storicamente legato a Debian, l’ho utilizzato molto come sistema general purpose. Devo dire che trovo interessante lo scompiglio che si è generato.

Lungi da me dare suggerimenti su cosa scegliere visto che la scelta deve essere necessariamente compiuta in relazione a delle esigenze specifiche che solo voi potete identificare, mi limito a condividere qualche riflessione… e la prima cosa da dire è estremamente banale: siete particolarmente legati a CentOS, avete investito in competenze, infrastruttura, tempo… amici miei, fatevi due conti e valutate Red Hat. Sul sistema operativo non si può dire nulla (anche perché sarebbe poco sensato dopo anni di utilizzo di CentOS) e anche la vision degli amici con il cappello rosso non suona male, a partire dai temi legati all’automazione.

Se siete in vena di spendere qualche quattrino in licenze non si può non citare SUSE Linux Enterprise Server (spesso abbreviata in SLES, acronimo che non rende assolutamente giustizia). Sullo stesso stile ma senza gli oneri economici si potrebbe considerare Open SUSE.
In entrambi i casi si tratta di distribuzioni mature con una lunga storia alle spalle, non sarebbe quindi una scelta così azzardata… anzi.

Per i puristi, neanche a dirlo, c’è la nostra amata Debian… ma non raccontiamocela troppo: la maggior parte, soprattutto chi non l’ha lungamente utilizzata, si stancherà rapidamente del prezzo da pagare per un sistema stabile (pacchetti non sempre recenti) e scivolerà rapidamente verso Ubuntu Server.
La distribuzione di Canonical non è affatto male ma non la considererei, nel merito, un’alternativa a Debian, paradossalmente potrebbe essere più vicina alle esigenze di chi utilizzava CentOS rispetto alle “rigidità” dei figli di Debian (ammettiamolo, siamo un po’ rigidi anche se con ragion d’esserlo visto che lo scopo è la stabilità e la sicurezza).

Provando ad uscire un po’ da questi ragionamenti, che mi aspetto faranno più o meno tutti, ha sicuramente senso fare qualche prova con distribuzioni meno usate ma che potrebbero rispondere alle nostre esigenze. Quelle che più si stanno facendo sentire sono:

  • Oracle Linux
  • Arch Linux
  • Slackware (a cui sono particolarmente affezionato)

Farsi un’idea su questi ambienti potrebbe aiutarci a comprendere meglio qual’è la distribuzione che meglio ci aiuterà a gestire l’epoca post-CentOS.