Quando si parla di cyber-security, lo scenario del mercato italiano non presenta sostanziali differenze rispetto a quello internazionale: per tutti, aziende, stakeholder, shareholder, istituzioni, legislatori, indistintamente, la sfida nei diversi paesi è trovare difese contro minacce informatiche sempre più sofisticate e indirizzate a ricavare profitto economico. Ma in questo fenomeno globale esiste una reale e fondamentale differenza, spiega Terry Greer-King, Director of Security per Cisco UK&I, nell’esporre e commentare, in collegamento video da Londra con la sede di Vimercate, alcune conclusioni chiave emerse dal Cisco 2016 Annual Security Report.
Gli analisti hanno evidenziato la dualità che si genera quando di parla di sicurezza informatica, descrivendo una serie di questioni, tra cui la sicurezza dei dati crittografati e il cosiddetto dwell time, ossia il periodo di tempo tra un problema informatico (in questo caso derivante da un attacco) e la sua risoluzione, come una lotta costante tra pirati informatici sempre alla ricerca di nuove tecniche di attacco più efficaci, e i fornitori di sicurezza che devono sempre essere allerta e pronti a rispondere alla nuove minacce.
Tale fondamentale diversità, che fa concretamente la differenza, è quella tra la consapevolezza e l’inconsapevolezza, tra l’avere il controllo di qualcosa o non averlo. In effetti, in oltre dieci anni di attività nel settore, Greer-King ha osservato un progressivo e faticoso processo di implementazione delle tecnologie di difesa (firewall, IPS, antivirus) da parte delle organizzazioni, ma nel frattempo le minacce si sono molto evolute, e l’individuazione e gestione delle violazioni è peggiorata sempre più. Il vero cambiamento è riuscire a permettere agli utenti di comprendere che sono stati violati.
Velocità di rilevamento migliorata
Che conta è anche la velocità di individuazione delle violazioni, perché molte minacce restano non scoperte a lungo, per mesi. Su tale versante il rapporto indica che Cisco ha fatto progressi rispetto all’attuale stima del settore, che in media riporta un TTD (time to detection) variabile dai 100 ai 200 giorni. Cisco risulta aver ridotto il TTD dalle circa 46 ore del gennaio 2015 alle 17,5 dell’ottobre 2015. Un presupposto chiave per ridurre al minimo i danni di un attacco.
Altro aspetto critico è la capacità di cooperare nella individuazione delle minacce. «Uno dei modi con cui cominciamo a riconoscere una violazione per poi andare a rimediare e risolverla, aiutando i clienti, è la collaborazione». La casa di San Jose collabora con varie organizzazioni a livello internazionale e, sottolinea Greer-King, vi sono molte attività di collaborazione, e condivisione dei dati sulle minacce, che si stanno affermando a livello globale per proteggere i buoni dai cattivi.
Un’altra delle sfide che Cisco sta osservando è il crescente disorientamento dei manager e dei professionisti IT sui vari rischi di cyber-security: solo il 45% ripone una forte fiducia nella abilità della propria infrastruttura di esaminare e contenere un attacco. Ma al contempo i vertici aziendali sono consapevoli che la sicurezza IT può trasformarsi nella discriminante tra il successo e il fallimento del business, sempre più affidato al funzionamento delle piattaforme digitali. Infatti, il 92% degli interpellati è d’accordo sul fatto che enti regolatori, autorità legislative, investitori e stakeholder richiederanno alle aziende sempre più responsabilità, informazioni e trasparenza sull’entità dei rischi di cyber-security.
Tra gli altri fatti rilevanti, il rapporto Cisco evidenzia l’obsolescenza delle infrastrutture di sicurezza: nel 2015 gli IT manager che dichiarano di averle all’avanguardia sono il 59%, contro il 64% del 2014. Vi sono poi trend come la potenziale fragilità delle piccole e medie imprese, che utilizzano meno strumenti di difesa rispetto alle grandi organizzazioni; e anche il crescente ricorso alle strategie di outsourcing per complementare i sistemi di security esistenti. Parlando di minacce, invece, per sferrare attacchi gli hacker stanno sfruttando sempre più i siti Web creati con la piattaforma di publishing WordPress: da febbraio a ottobre 2015 il numero di domini WordPress usati è aumentato del 221%. Infine, ma non certo meno importanti, vanno segnalate le sottrazioni di dati subite dalle aziende a causa di estensioni malevole installate nei browser: più dell’85% delle organizzazioni analizzate sono infatti state coinvolte in queste tipologie di attacchi.
Ma quali soluzioni possono migliorare la cyber-security? Lo stimolo è verso la creazione di una piattaforma unificata di protezione, indica Greer-King, in grado di indirizzare tutte le minacce, attraverso un uso sempre più intenso degli strumenti di analytics, perché il software è in grado di individuare gli attacchi, e rispondere, molto meglio e più rapidamente rispetto a un intervento umano.
“La realtà – ha concluso Stefano Volpi, Area Sales Manager nella Global Security Sales Organization (GSSO) di Cisco -,è che negli ambienti IT delle imprese, la stratificazione di differenti tecnologie e del numero di console di controllo ha reso le infrastrutture di sicurezza sempre più frammentate e ingestibili per gli IT manager. Questo almeno è stato il loro problema fino a ieri, sottolinea, perché Cisco da anni sta lavorando molto, con tutte le acquisizioni fatte (circa 5 miliardi di dollari spesi dal 2013, per comprare società come OpenDNS, Lancope, Sourcefire, ThreatGRID) per integrare tali diverse tecnologie in una piattaforma coerente e capace di dare una risposta in tutte le fasi (prima, durante e dopo) di un attacco. Come? Attraverso una piattaforma in grado di garantire una sicurezza che sia everywhere all’interno dell’infrastruttura, integrata e capace di conservare gli investimenti preesistenti fatti dai clienti”.
Crittografia non è sinonimo di sicurezza
Un altro importante argomento che ha trovato molto spazio nel Cisco Security Report 2016 e che ha conseguenze sia negative sia positive è la crittografia dei dati. Il rapporto evidenzia il fatto che he la crittografia è in grado di creare problemi di sicurezza alle aziende, tra cui un falso senso di sicurezza. La ricerca parla di un traffico cifrato, in particolare tramite il protocollo di crittografia asimmetrica HTTPS ha avuto un punto di svolta nel 2015, ed oggi più del 50% di byte trasferiti sono stati cifrati tramite questo protocollo nell’ultimo anno.
“Basta pensare per quali utilizzi è stata progettata la crittografia: solo per proteggere i dati sensibili – ha dichiarato Craig Williams, Senior Technical Leader and Security Outreach Manager di Cisco. – Ecco come per cosa dovrebbe essere utilizzata, nient’altro. Un annuncio pubblicitario su un sito web non dovrebbe essere crittografato. Se lo è, alloro c’è il rischio che qualcuno sta nascondendo in modo efficace potenziali attacchi dai sistemi di rilevamento. Quindi, anche se la vostra aziende dispone di IPS (Intrusion Prevention System) o antivirus on-line, non potete prevenire potenziali attacchi che sfruttano questa tecnologia in modo truffaldino. Nonostante la crittografia sia una buona cosa per la privacy, l’utilizzo di questa tecnologia comporta significativi problemi di sicurezza. Il più grande malinteso è che molte persone pensano che se qualcosa è cifrato è sicuro, ma purtroppo non è così”.
Gur Shatz, co-fondatore e Chief Technology Officer di Cato Networks, ha dichiarato che le imprese devono essere attenti a quali strategie di sicurezza adottare perché si tratta di dati cifrati e questo possono avere bisogno di molte risorse.
“Il traffico crittografato richiede prima la decrittografia perché possa essere analizzato. Si tratta di un processo che richiede un enorme sforzo da parte della CPU, e questo potrebbe aggiungere latenza al server coinvolto – ha detto Shatz -. Idealmente, si desidera decrittografare una volta sola tutto il traffico, e fare tutto il rilevamento delle minacce su più livelli. Quando si usano soluzioni specifiche, ognuna di queste dovrà decifrare il traffico a parte, e potenzialmente potrebbe rallentare il traffico dei dati. Il rovescio della medaglia è che alcune aziende scelgono di integrare il prodotto migliore della categoria, perché credono di poter ottenere il massimo nel rilevamento di eventuali minacce”.
Estensioni maligne nei browser, pericolo nascosto
Un altro vettore di attacco che il Security Report Cisco ha specificato che viene trascurato sono le estensioni maligne dei browser. La ricerca di Cisco ha rilevato che oltre l’85% delle aziende hanno a che fare con estensioni dannose installate nei browser, e che queste possono portare a perdita dei dati, credenziali di account rubati, e anche all’ installazione di software dannoso sul computer della vittima.
“Tutto questo è particolarmente pericoloso perché il browser è la più grande superficie di attacco che deve affrontare un’azienda – ha aggiunto Williams -. Questo dovrebbe essere un problema molto facile da risolvere, perché, anche se le applicazioni Web interne possono avere bisogno di una specifica versione di un plug-in del browser, esistono gli strumenti per proteggere l’ambiente aziendale. La realtà è al giorno d’oggi ci sono tanti tipi differenti di browser e diversi modi per installarli, tanto che si può facilmente avere un browser protetto per navigare in Internet e un altro browser con degli specifici plug-in per un determinato utilizzo. È possibile determinare tutto questo dalla rete. Non vi è alcuna ragione perché le aziende dovrebbero consentire browser insicuri di accedere ad Internet. Abbiamo la tecnologia. Abbiamo soluzioni che possono filtrare i browser vulnerabili e impedire loro di connettersi al web”.
