Sicurezza a strati per la protezione dei dati, a chi rivolgersi?
La cybersicurezza, uno strato dopo l’altro
Sgomberiamo subito il campo dagli equivoci: non si tratta di una trovata di marketing degli operatori del settore per moltiplicare le soluzioni da proporre ai loro clienti, né del tentativo di colmare i possibili gap di un’applicazione di sicurezza (per esempio un antivirus) affiancandone altre due o tre simili ma di altri produttori nella speranza che ciò che sfugge a una venga invece bloccato da un’altra.
Il problema è che la sicurezza IT non fa altro che seguire un’evoluzione allineata a quella dei metodi utilizzati per gli attacchi.
Poiché i “cattivi” sfruttano arsenali sempre più diversificati e sofisticati, va da sé che la protezione dei sistemi informatici delle aziende, compresa la tua, debba mettere in campo un corrispondente mix di sistemi di difesa.
Quando parliamo di “strati” di sicurezza ci riferiamo allora a soluzioni diverse tra loro, ciascuna di esse responsabile di uno specifico mattoncino della muraglia difensiva informatica con la quale cerchi di ripararti dai malintenzionati.
E quante motivazioni hanno questi malintenzionati per colpirti!
Indipendentemente dal ramo di attività o dalle dimensioni del business, oggi che la vita personale, professionale ed economica di tutti si svolge in gran parte all’interno di una dimensione digitale, un cybercriminale ha solo l’imbarazzo della scelta per arricchirsi illecitamente a tue spese.
Sottrazioni di dati, furti di identità, ricatti, spionaggio industriale, infiltrazione di reti e sistemi… ecco il menu dei nuovi pericoli del XXI secolo, talmente diffusi da non essere più materia confinata a qualche rivista specializzata ma frequente oggetto di notizie sui normali organi di informazione generalisti.
Nessuno ne è più immune: la cybersicurezza è diventata una necessità per tutti, dal momento che i dati sono il bottino più appetitoso che possa esistere oggi.
Perché allora non è più sufficiente il buon, vecchio antivirus piuttosto che il firewall o qualsiasi altra singola soluzione che sei stato abituato a usare finora?
Semplicemente perché la tua “impronta digitale” nel mondo è ormai talmente ampia e multiforme che offre ai criminali un incredibile ventaglio di opportunità per colpire dove e quando non te lo aspetti aggirando le vecchie difese tradizionali.
Dedica qualche minuto per fare un veloce inventario:
• Quanti sono i PC, i laptop, i tablet, i telefonini e gli altri dispositivi smart che usi per il tuo lavoro e la tua vita personale?
• Quante informazioni mantieni internamente alla tua azienda e quante invece affidi ai vari servizi e applicativi in cloud?
• Quante sono le caselle email che utilizzi? E cosa ne dici dei servizi di messaggistica su smartphone e su PC?
• Quante ore trascorri navigando sul Web, quanti sono i siti che possiedono le tue credenziali e i tuoi dati personali?
Come vedi, l’uso dell’informatica si è talmente diversificato che diventa sempre più difficile tenere traccia di tutto quanto. I malintenzionati lo sanno e ne approfittano, diversificando a loro volta tecniche e metodi.
Proviamo infatti a considerare tutto quel che c’è nella cassetta del perfetto scassinatore informatico di oggi: per lo meno ci troveremo una serie di spyware, adware, bot, programmi per registrare quanto digitato alla tastiera, rootkit, virus, trojan, worm e app fasulle.
Tutte cose che in genere ci vengono recapitate per posta elettronica tramite campagne di phishing o spear phishing, queste ultime estremamente personalizzate grazie al patrimonio di informazioni personali che quotidianamente disseminiamo in maniera più o meno consapevole su Internet.
Ma ci sono anche altri canali di ingresso come quelli forniti da siti Web compromessi che colpiscono l’ignaro visitatore scaricando sul suo browser script indesiderati, primo passo per assumere il controllo del computer e magari della rete aziendale a cui esso è connesso.
Non parliamo poi delle vulnerabilità di applicazioni e sistemi operativi, le più pericolose delle quali sono quelle cosiddette “zero-day” o del giorno zero, così chiamate perché nessuno ne conosce l’esistenza fino al giorno in cui vengono scatenate sul campo per attaccare utenti e aziende.
Capirai facilmente come non sia possibile fermare un frullato di tutto questo con un’unica soluzione o, peggio, con strumenti pensati e realizzati in un tempo passato nel quale lo scenario della sicurezza era decisamente più semplice e lineare. Né puoi pensare di isolare sistemi e applicazioni tagliando i ponti con l’esterno, perché equivarrebbe a tagliar fuori dal mondo la tua attività o addirittura la tua vita personale.
Quel che puoi fare invece è che siano capaci di coordinarsi tra loro mediante capacità di analisi e correlazione degli eventi in modo da ottenere quella che viene chiamata “visione olistica” della difesa informatica, ovvero la capacità di percepire l’insieme di segnali differenti che presi singolarmente non sarebbero fonte di preoccupazione ma che, messi in fila e inquadrati nel giusto contesto, possono far scattare tutti gli allarmi e le contromisure del caso salvaguardando i tuoi dati.
La sicurezza multi-strato non è altro che questo, ed è qualcosa alla quale non è più possibile rinunciare.
Un labirinto di difese per scoraggiare gli attaccanti
Per capirne il funzionamento generale prova a considerare la faccenda dal punto di vista di un attaccante.
Il lavoro di un cybercriminale non è quello che si vede nei film, dove l’hacker di turno si collega al computer della vittima, indovina la password del sistema, scarica l’intero patrimonio informativo di una mega-azienda su una chiavetta USB, spegne e se ne va.
Piuttosto, si tratta di un paziente lavoro di composizione di tanti piccoli tasselli fino a comporre il quadro generale.
Inizia magari con un messaggio di phishing per dirigere la vittima su un sito compromesso dal quale verrà automaticamente scaricato e installato un programma che tenterà di analizzare l’ambiente informatico nel quale si trova per rilevare vulnerabilità e tenere aperto un canale di comunicazione con l’attaccante.
Da qui le strade possono divergere a seconda degli obiettivi desiderati: crittografare i dati della vittima per chiedere un riscatto, sfruttare le risorse IT per fare mining di criptovalute, inviare spam o scatenare campagne DDoS, spiare singole persone per preparare le cosiddette “truffe del CEO”, appropriarsi di password e credenziali per svuotare conti bancari o carte di credito…
La buona notizia è che in genere un cybercriminale si specializza su un unico obiettivo, per esempio il ransomware. La cattiva notizia è che, una volta raggiunto il proprio obiettivo, lo stesso cybercriminale può “vendere” la sua vittima ad altri colleghi specializzati su altri illeciti, un po’ come fanno certe bande di sequestratori.
Fatto sta che un cybercriminale deve vedersela con una quantità notevole di elementi: fisici, tecnologici e anche umani (un phishing efficace richiede una buona conoscenza della vittima e delle tecniche di persuasione psicologica). Proteggere ciascuno di questi elementi con una soluzione ad hoc permette di ottenere la sicurezza multi-strato di cui stiamo parlando.
Una breve panoramica dei diversi strati della sicurezza ti aiuterà a capire meglio l’ambito di cui stiamo parlando.
Strato dell’utente umano
Per questo occorre formare e sensibilizzare se stessi e il proprio personale aziendale in modo efficace e coinvolgente. Le iniziative migliori sono quelle che si integrano nel normale corso delle attività lavorative e che prevedono simulazioni periodiche basate sulle ultime tendenze degli attacchi che sfruttano la buona fede degli individui.
Grande attenzione in questo strato deve essere rivolta alla corretta gestione della posta elettronica, il principale canale usato per contattare le potenziali vittime. Dalle applicazioni che bloccano lo spam a quelle che impediscono l’apertura di allegati e link pericolosi, fino alle semplici regole di comportamento per gli utenti, c’è tutta una serie di soluzioni che possono essere dispiegate per minimizzare i rischi spediti per email.
L’obiettivo è quello di allenarsi a sentire la puzza del phishing quando ancora è sufficientemente distante. Non hai idea di quanti credano ancora a sconosciuti desiderosi di regalare milioni di dollari, comunicare vincite a lotterie e concorsi o piazzare ricchi ordinativi di merce… spesso dettagliati in presunti “documenti” allegati che fanno scattare il trappolone.
Strato fisico
Che siano all’interno della tua azienda piuttosto che in qualche data center professionale, l’ambiente fisico dove si trovano le tue risorse IT dovrebbe essere dotato delle misure necessarie a evitare sorprese che derivano in genere da due categorie di problemi:
• disastri ambientali: per perdere i dati non sempre c’è bisogno di un cybercriminale. Allagamenti e incendi sono più frequenti di quanto si pensi, ma con le giuste contromisure le probabilità che possano creare danni si abbattono radicalmente. L’importante è pensarci per tempo.
• accessi non autorizzati: alle attrezzature IT non dovrebbe fisicamente avvicinarsi nessuno che non abbia un buon motivo per farlo. Ci sono sistemi di controllo basati su tecniche biometriche che risultano molto efficaci, come dimostra il loro utilizzo da parte dei data center più attenti alla sicurezza.
Porte blindate, riprese video, registrazione degli ingressi e delle uscite, sistemi antincendio e antifurto possono sembrare un investimento eccessivo ma sono quello che spesso fa la differenza tra un’azienda che continua a lavorare e una che è costretta a chiudere i battenti.
Se invece preferisci affidare i tuoi sistemi a un data center terzo, fatti consegnare il documento che spiega le misure di sicurezza esistenti e le procedure di accesso adottate; se ti è possibile, fai anche una visita di persona alla struttura di cui intendi avvalerti.
Strato degli endpoint
Questo ha semplificato la vita dei malintenzionati, che ora possono scavalcare le protezioni che circondano le reti professionali sfruttando, per esempio, le vulnerabilità di un router domestico o il comportamento poco attento di un utente collegato al wi-fi di un Internet cafè per ottenere un pratico cavallo di Troia con cui entrare in azienda.
Non parliamo poi dei frequenti smarrimenti di computer e dispositivi elettronici, che nonostante il loro valore costituiscono per esempio il 40% di tutti gli oggetti dimenticati dai proprietari sulle Frecce Trenitalia. Persino utenti alle prese con dati estremamente sensibili non sono immuni ad abbandonare i propri endpoint in giro: i dipendenti del Ministero britannico della Difesa perdono almeno un laptop al giorno, e scommettiamo che se altre nazioni fossero altrettanto trasparenti nell’ammettere problemi del genere ne sentiremmo delle belle anche altrove.
Per fortuna un endpoint può essere rinforzato con diversi accorgimenti che vanno dalla cifratura delle informazioni memorizzate al suo interno al blocco delle porte USB, dal controllo delle applicazioni autorizzate alla protezione con antivirus/antimalware e così via.
In particolare, gli endpoint possono trarre grande beneficio dalle recenti tecnologie che tengono monitorato costantemente il comportamento di utenti e applicazioni per evidenziare (e bloccare) eventuali attività sospette, aprendo così una sorta di ombrello protettivo su una vasta gamma di pericoli cui sono soggetti gli apparecchi smart che ci piace (o che dobbiamo) utilizzare.
Utilissime anche le soluzioni che permettono alle aziende di gestire il parco degli endpoint tenendo traccia delle risorse installate su ciascuno di essi, lo stato degli aggiornamenti, le autorizzazioni concesse e così via. In caso di smarrimento del dispositivo o di uscita dell’utente dall’azienda, soluzioni di questo tipo permettono di bloccare e cancellare facilmente tutto quel che occorre evitando così grattacapi più grossi.
Strato della rete
Dal punto di vista di un attaccante, la rete è un obiettivo che fa gola perché può essere usata per due scopi:
• spiare le informazioni che vi scorrono attraverso (il furto perfetto, perché i dati arrivano comunque a destinazione senza che vi sia traccia dell’avvenuta sottrazione);
• penetrare nei sistemi della vittima nascondendosi all’interno del traffico che legittimamente essa riceve.
Ecco perché grandi risorse vengono dedicate dai cybercriminali per trovare vulnerabilità in questo campo. L’industria dell’informatica lo sa bene e propone adeguate contromisure. Vediamone alcune.
• VPN Virtual Private Network: Una VPN non è altro che una sorta di tunnel riservato “scavato” all’interno delle normali comunicazioni Internet. Una rete VPN permette di stabilire una connessione cifrata (e quindi potenzialmente inviolabile) tra due interlocutori, per esempio il tuo smartphone e il server della contabilità che si trova nella tua azienda. Qualunque sia il percorso che la comunicazione deve compiere dallo smartphone al server – percorso che ricordiamo non è quasi mai diretto – un eventuale osservatore non autorizzato non avrà modo di decifrarne i contenuti salvaguardando così la riservatezza delle informazioni.
• Firewall: Un apparecchio fisico o virtuale che filtra i pacchetti di rete in ingresso e in uscita secondo regole di traffico prestabilite. Ciò permette di restringere le attività di rete a determinate porte e determinati servizi così da minimizzare i rischi. Un po’ come se decidessimo di murare tutte le finestre di casa nostra lasciando aperte solamente quelle che riteniamo indispensabili, magari tenendole sotto controllo.
• IPS Intrusion Prevention System: Un’evoluzione del firewall è l’IPS, che oltre alle regole di traffico si occupa di analizzare anche i contenuti effettivi dei pacchetti di rete in transito – sempre che non siano cifrati tramite protocolli sicuri come HTTPS, SSH, SFTP e simili – bloccando tutti quelli sospetti. Quando un IPS si limita a segnalare i pacchetti sospetti a solo scopo di reportistica senza bloccarli prende il nome di IDS, Intrusion Detection System.
• NGFW Next Generation Firewall: Il mix tra firewall, IPS e IDS nato per semplificare la protezione delle reti con un unico apparato completo che può essere potenziato con funzioni supplementari come il rilevamento del malware. Esistono versioni più semplici e meno costose rivolte alle piccole e medie aziende, che prendono il nome di UTM o Unified Threat Management.
Strato delle applicazioni
E cosa sono le applicazioni, se non prodotti software che tutti noi installiamo e adoperiamo fidandoci nella capacità dei loro autori di minimizzare (azzerare non è matematicamente possibile) la presenza di bug?
In azienda si trovano in genere tre tipologie di applicazioni: quelle commerciali necessarie allo svolgimento del business, come i pacchetti per l’ufficio, gli ERP, la contabilità, i software di progettazione, i database e così via; quelle realizzate su misura dal personale IT aziendale o da consulenti esterni; e quelle che gli utenti si procurano per necessità personali, specie sui loro dispositivi smart, fuori dal controllo dell’IT.
Per prima cosa è necessario assicurarsi che tutte le applicazioni siano sempre adeguatamente aggiornate, e i prodotti che si incaricano di questo permettono anche di gestire il patching dei sistemi operativi e dei driver dei dispositivi, altro elemento essenziale in un approccio completo alla sicurezza.
Chiaramente non è possibile controllare e certificare in maniera pratica e definitiva l’intero corredo di applicazioni, e allora come spesso accade ci si deve rivolgere alla tecnologia perché tenga a bada se stessa implementando degli appositi scanner di vulnerabilità, soluzioni concettualmente simili a quelle di monitoraggio comportamentale presenti sugli endpoint che possono aiutare a mettere in evidenza – ma la neutralizzazione è fuori dalla loro portata – falle e criticità presenti nell’ambiente applicativo.
Chi scrive software ha poi un’altra arma a disposizione, che in taluni settori regolamentati è addirittura obbligatoria, ed è il ricorso a particolari consulenti che ricoprono il ruolo di “hacker buoni” mettendo alla prova la sicurezza delle applicazioni attraverso vere e proprie campagne di attacchi simili a quelle che potrebbero essere scatenate da cybercriminali. Queste iniziative sono utilissime per trovare bug sfuggiti all’attenzione dei programmatori, e se la tua azienda si avvale di software fatto scrivere apposta da qualche software house specializzata potrebbe essere una buona idea verificare se quest’ultima ne faccia uso.
Strato dei dati
Le informazioni sono state definite “il petrolio della nostra epoca” e in effetti la definizione non si allontana molto dalla realtà, salvo che forse, in prospettiva, i dati sono destinati a diventare ancora più preziosi del greggio.
Per questo i dati devono essere circondati da speciali attenzioni che ne garantiscano l’accesso solamente a chi ha davvero un motivo legittimo per farlo, e senza che le procedure di sicurezza ne rendano l’utilizzo complicato, poco pratico o controproducente.
Per far ciò si ricorre in genere a una combinazione di tecnologie e soluzioni. Ecco le principali:
• Identity and Access Management (IAM): l’anagrafe centrale che tiene traccia delle identità degli utenti permettendo di attivare e disattivare automaticamente la configurazione e i privilegi di accesso dei vari account.
• Single Sign-On (SSO): il sistema che permette all’utente di autenticarsi una sola volta, magari con tecniche multi-fattore (ad esempio password e conferma di un codice una tantum spedito via SMS) per poter accedere a tutti i differenti servizi previsti dall’azienda.
• Gestione dei permessi: una soluzione che consente di associare utenti e gruppi ai dati che possono essere consultati a seconda della funzione aziendale di ciascuno. In questo modo, ad esempio, il personale dell’amministrazione può lavorare sui dati contabili senza che questi possano essere osservati o modificati dall’ufficio progettazione o dal marketing e viceversa, creando un ulteriore sbarramento di sicurezza contro gli estranei.
• Classificazione dei dati: non tutti i dati nascono uguali né richiedono costantemente lo stesso trattamento. Distinguere tra dati critici e dati storici, dati attualmente in uso e dati da archiviare è un passo essenziale per segmentare correttamente quello che può essere consultato e modificato da chiunque.
• User behavior analytics (UBA): anche nello strato dei dati è opportuno adottare soluzioni che osservano il comportamento degli utenti per lanciare l’allarme quando si verificano attività insolite e sospette. Un database che anziché essere salvato sul consueto sistema di backup viene esportato su una chiavetta USB è un buon motivo per andare a controllare, ma prima occorre chiaramente disporre di un software capace di accorgersi di una cosa del genere.
Sistemata la questione degli accessi, non bisogna dimenticare che i dati devono essere protetti anche attraverso backup, segmentati a seconda dell’importanza e delle necessità di utilizzo, ripuliti da doppioni ed errori, allineati alle procedure normative come quelle previste per la privacy e i dati sensibili, e infine cancellati in maniera sicura quando non sono più necessari. Anche se tutte queste attività non sono strettamente legate alla sicurezza informatica, tuttavia ne risultano intrecciate a livello di funzionalità: le soluzioni che permettono di risolvere un aspetto sono spesso le stesse che risolvono anche l’altro.
Conclusioni
Lo schema visto sopra non è tuttavia che una sorta di mappa generale che deve poi essere calata nella realtà della singola azienda.
Non è detto che tutti debbano implementare ciascuno strato allo stesso modo, e comunque non è necessario che ciò venga fatto contemporaneamente.
A seconda delle tue priorità specifiche potrai scegliere di dare precedenza a determinate soluzioni piuttosto che altre per approfondire le contromisure che corrispondono alle tue esigenze, costruendo nel tempo il tuo perimetro difensivo ideale.
Il bello di una sicurezza a strati è che ogni elemento collabora con tutti gli altri rafforzando la protezione complessiva.
I malintenzionati si accorgono subito se una potenziale vittima dispone di adeguate contromisure o meno, e in genere scelgono quella che offre la minor resistenza possibile. A parità di potenziale bottino, tra una villa circondata da alte mura con telecamere, sensori perimetrali, cani da guardia, allarmi volumetrici, porte e tapparelle blindate e invece un appartamento protetto solo da una semplice serratura a doppia mappa, a quale obiettivo credi che un ladro preferirà dedicarsi? Anche nel crimine è sempre una questione di costo/risultato.
Certo, la materia non è semplicissima e soprattutto richiede competenze di vario genere che siano continuamente aggiornate.
Per questo l’indicazione è quella di rivolgersi sempre a professionisti esperti che possano fornirti la consulenza di cui hai bisogno e che ti seguano nel tempo con verifiche periodiche e aggiunte graduali ai tuoi sistemi di sicurezza, occupandosi di formare il tuo personale e di compiere anche tutti quegli adempimenti formali che possono essere necessari in taluni settori o qualora la protezione informatica si combini con questioni normative come per esempio il GDPR.
Si tratta di un investimento continuativo che puoi intraprendere al ritmo che ti è più congeniale: uno strato dopo l’altro potrai comporre le difese più adatte per il tuo ambiente acquisendo quella tranquillità che ti permetterà di concentrarti sulla tua attività senza correre rischi inutili.
È possibile ridurre i costi dell’Information Technology?
Un partner affidabile come Fastlane può eseguire sia la parte consulenziale di analisi valutativa per determinare gli interventi utili, sia fornire il servizio Security dell’area IT che si occuperà della completa gestione del problema in modalità Managed Service Provider (MSP).
L’outsourcing dell’intera area IT, oppure anche di una parte di essa, è uno strumento affidabile ed economicamente vantaggioso per la gestione degli aspetti informatici aziendali.