ict security per le nuove esigenze di business

IN COLLABORAZIONE CON

HP ENTERPRISE SECURITY PRODUCTS

ICT Security per le nuove

esigenze di business

L'evoluzione dei modelli di protezione e

le soluzioni di HP Enterprise Security Products

Riccardo Florio

Gaetano Di Blasio - Giuseppe Saccardi

Avvertenze

Pubblicato nel 2015 Tutti i marchi contenuti in questo libro sono registrati e di proprietà delle relative società. Tutti i diritti sono riservati. Va notato che le informazioni contenute possono cambiare senza preavviso; le informazioni contenute sono reputate essere corrette e affidabili anche se non sono garantite. La descrizione delle tecnologie non implica un suggerimento all’uso dell’una o dell’altra così come il parere espresso su alcuni argomenti da parte di Reportec è puramente personale. La vastità dell’argomento affrontato e la sua rapida evoluzione possono avere portato a inaccuratezze di cui Reportec non si ritiene responsabile, pur avendo espletato i possibili controlli sulla correttezza delle informazioni medesime; il libro non rappresenta una presa di posizione a favore di una o l’altra delle tecnologie, standard o prodotti ivi riportati né garantisce che le architetture, apparati, prodotti hardware e software siano stati personalmente verificati nelle funzionalità espresse; le descrizioni delle architetture, delle piattaforme, dei servizi e dei dati aziendali sono stati elaborati in base alle informazioni fornite dalle aziende, con le quali gli stessi sono stati analizzati e ridiscussi.

Copyright Reportec – 2015

www.reportec.it

http://www.reportec.it/

I

SOMMARIO

1 -L'EVOLUZIONE DELLA SICUREZZA AZIENDALE .............................. 1

Un approccio concreto alla sicurezza .............................................. 2

Il costo di una violazione alla sicurezza dei dati ............................... 6

Mobility, cloud e social cancellano i confini delle imprese ............. 11

I rischi di un mondo mobile ........................................................ 14

Minacce dal Web e protezione dei dati .......................................... 16

Il Phishing .................................................................................... 20

Lo spear phishing ........................................................................ 22

Il social engineering .................................................................... 24

Il furto di identità ........................................................................ 28

L'Internet of Things ..................................................................... 28

2 -LA SICUREZZA ENTERPRISE DI HP .............................................. 31

HP Enterprise Security Products ................................................... 32

Risorse e iniziative per aumentare la sicurezza aziendale .............. 33

HP DVLabs ....................................................................................... 33

HP Security Research ...................................................................... 34

HP TippingPoint ThreatLinQ ........................................................... 35

HP Threat Central ........................................................................... 36

Zero-Day Initiative .......................................................................... 37

HP Reputation Security Monitor (RepSM) ...................................... 37

HP TippingPoint Web AppDV .......................................................... 39

Digital Vaccine Toolkit (DVToolkit) ................................................. 39

Threat Digital Vaccine (ThreatDV) .................................................. 39

3 -LA NETWORK SECURITY ........................................................... 41

La sicurezza delle reti ................................................................... 42

L'evoluzione della network security ................................................ 43

Le Virtual Private Network (VPN) ................................................... 46

L’architettura IPsec ..................................................................... 47

II

Rispondere alle minacce in tempo reale ......................................... 48

Controllare chi o cosa vuole entrare nella rete: i rischi degli endpoint .. 50

Gli attacchi DDoS (Distributed Denial of Service) ........................... 51

Le vulnerabilità dei sistemi SCADA.................................................. 52

Verso i firewall e IPS di prossima generazione .............................. 54

Le ragioni per adottare un NGFW/NGIPS ....................................... 55

HP TippingPoint Next Generation Firewall (NGFW) ....................... 57

HP TippingPoint Next Generation Firewall S1050F ......................... 59

HP TippingPoint Next Generation Firewall S3010F/S3020F ........... 59

HP TippingPoint Next Generation Firewall S8005F/S8010F ........... 60

HP TippingPoint Security Management System ............................ 61

HP TippingPoint Next Generation IPS ........................................... 63

HP TippingPoint IPS Serie NX ........................................................ 65

HP TippingPoint IPS Serie N ............................................................ 66

HP TippingPoint Core Controller ............................................... 67

HP TippingPoint CloudArmour ........................................................ 68

HP TippingPoint SSL ........................................................................ 70

HP TippingPoint Advanced Threat Appliance (ATA) ....................... 70

4 -LA SICUREZZA DELLE APPLICAZIONI .......................................... 73

Una protezione multilivello .......................................................... 74

Design sicuro e vulnerability patching ............................................ 75

L'analisi del traffico applicativo .................................................... 77

Applicazioni e RASP ......................................................................... 79

Runtime Application Self Protection ............................................... 80

Web Application Firewall e Interactive Application Security Testing..... 82

HP Application Defender .............................................................. 84

Le soluzioni HP Fortify per un codice sicuro .................................. 87

HP Fortify Software Security Center ............................................... 88

HP Fortify Runtime .......................................................................... 90

HP Fortify Static Code Analyzer ...................................................... 91

HP Audit Workbench ................................................................... 93

III

HP WebInspect ................................................................................ 93

HP WebInspect Enterprise .......................................................... 94

HP WebInspect Real-Time .......................................................... 95

HP QAInspect .................................................................................. 95

HP Fortify on Demand: sicurezza applicativa come servizio cloud . 95

Analisi di sicurezza statica ........................................................... 97

Analisi di sicurezza dinamica ....................................................... 97

Analisi delle applicazioni mobile ................................................. 98

Test delle applicazioni in produzione .......................................... 99

Fortify Vendor Software Management (VSM) .............................. 100

Il servizio HP Digital Discovery ...................................................... 100

5 -SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI ........... 103

L’approccio gestionale alla sicurezza dei dati .............................. 104

Le 3A della sicurezza ..................................................................... 105

Implementare un sistema di autenticazione ................................ 105

L’identity management ................................................................. 108

La Data Loss Prevention ............................................................. 111

Rivedere i processi e coinvolgere i dipendenti .............................. 113

La sicurezza nell'era dell'as-a-service e del cloud........................ 114

Sicurezza negli ambienti private e public cloud ............................ 115

La sicurezza delle applicazioni eseguite nel cloud ........................ 117

Scegliere il cloud security service provider.................................... 119

La protezione crittografica dei dati ............................................. 121

Il sistema di crittografia simmetrico o a chiave condivisa ........... 123

Il sistema di crittografia asimmetrico o a chiave pubblica .......... 124

Una protezione che si sposta nel cloud insieme al dato ............... 125

Crittografia e cloud ....................................................................... 126

La protezione Atalla dei dati nel cloud ........................................ 128

HP Atalla Cloud Encryption ........................................................... 128

Come funziona HP Atalla Cloud Encryption .............................. 128

HP Atalla Cloud Encryption Virtual Key Management Service ..... 130

La cifratura a chiave divisa ........................................................... 131

IV

Tecnologia omomorfica per proteggere le chiavi in uso .................... 133

HP Atalla Cloud Encryption Agent ................................................ 133

Le opzioni di offerta di HP Atalla Cloud Encryption ...................... 134

HP Atalla Information Protection and Control ............................ 135

HP Atalla IPC Suite ........................................................................ 136

HP Atalla IPC Bridge per i servizi di analisi dei contenuti.............. 136

HP Atalla IPC Scanner ................................................................... 136

Servizio di compliance HP Atalla IPC per Exchange ...................... 136

HP Atalla IPC AD RMS extensions for Outlook .............................. 137

HP Atalla IPC Mobile Support for Microsoft AD RMS ................... 137

Le soluzioni Atalla per la sicurezza dei pagamenti ....................... 137

HP Atalla Network Security Processor (NSP) ................................ 137

HP Enterprise Secure Key Manager (ESKM) .................................. 139

6 -LA SECURITY INTELLIGENCE .................................................... 141

La sofisticatezza degli attacchi .................................................... 142

Le Advanced Persistent Threat (APT) ............................................ 144

I SIEM "intelligenti" ................................................................... 149

Progettazione ed "enforcement" delle policy ............................... 153

Le soluzioni HP ArcSight ............................................................. 155

HP ArcSight ESM ........................................................................... 156

HP ArcSight Command Center .................................................. 157

HP ArcSight Express ...................................................................... 158

HP ArcSight Logger ....................................................................... 159

HP ArcSight IdentityView .............................................................. 161

HP ArcSight Threat Detector ......................................................... 161

HP ArcSight Application View ....................................................... 162

HP ArcSight Risk Insight ................................................................ 164

HP ArcSight Management Center ................................................. 165

HP ArcSight Threat Response Manager ........................................ 165

CONCLUSIONI ............................................................................ 167

1

L'EVOLUZIONE DELLA SICUREZZA

AZIENDALE

Sfruttare le opportunità di Internet e delle nuove

tecnologie, dalla mobility al cloud, dai big data al

machine to machine, mantenendo la conformità a

leggi e normative sulla protezione dei dati e sulla

salvaguardia della privacy.

1

ICT SECURITY PER LE NUOVE ESIGENZE DI BUSINESS

2

Un approccio concreto alla sicurezza

La totale sicurezza informatica non è un obiettivo raggiungibile. In

altre parole, tutti devono aspettarsi di subire una violazione alla

sicurezza. Non tutti sono d'accordo, in particolare, sono tipicamente

certi del contrario coloro i quali hanno inventato l'ultimo

sofisticatissimo sistema per la protezione dei dati.

Ma per quanto possa essere potente quest'ultimo o la sua prossima

generazione, resta valida la teoria dei sistemi, per cui il livello di

sicurezza è pari a quello del suo elemento più debole. In tutte le

aziende questo è rappresentato dal fattore umano.

Ogni nuova ricerca che indaga le cause primarie degli incidenti alla

sicurezza aziendale indica l'errore del dipendente al primo posto. Può

essere un errore dovuto all'ingenuità del suo comportamento, come

l'aver cliccato su una mail palesemente falsa, l'attaccare un post-it

con la password sul monitor, oppure un errore dovuto a una

casualità, come l'aver spedito un file confidenziale alla persona

sbagliata o, ancora, l'aver perso un dispositivo mobile su cui c'erano

dati importanti.

La stragrande maggioranza (tra l'85% e il 95%, in base alle ricerche

pubblicate più di recente) dei più clamorosi incidenti verificatisi negli

ultimi due anni sono dovuti a errori di questo tipo.

Peraltro, può anche trattarsi di un comportamento volutamente

doloso, come nel famoso caso avvenuto in Formula 1 alcuni anni

orsono, quando un dipendente della Ferrari consegnò dei progetti al

concorrente McLaren.

Se, dunque, si deve mettere in conto di incorrere in un incidente, non

è però detto, che tale incidente debba avere conseguenze

drammatiche per l'impresa vittima dell'attacco informatico. Intanto,

si può ridurre il più possibile l'esposizione all'attacco, renderlo cioè

più difficile e, in secondo luogo, si possono attivare sistemi di

protezione dinamici che contrastano l'attacco in corso per bloccarlo.

Infine, si devono impostare sistemi di analisi forense, per

comprendere fino in fondo l'accaduto ed evitare che si ripeta.

1 - L'EVOLUZIONE DELLA SICUREZZA AZIENDALE

3

Dato per assodato che la sicurezza assoluta non esiste, una corretta

strategia per l’enterprise security prevede un processo ciclico che

alterna: vulnerability assessment, analisi del rischio, definizione di un

piano di contenimento del rischio, realizzazione di tale piano. Le

tecnologie che andranno implementate sono di volta in volta

dipendenti dalle condizioni al contorno, oltre che dalle esigenze delle

specifiche imprese.

Il problema è tipicamente fare i conti con il budget a disposizione,

che troppo spesso risulta insufficiente a realizzare il sistema di

sicurezza idealmente definito dal piano. Del resto, i costi per

quest’ultimo continuano a lievitare, mentre i budget IT si

contraggono drasticamente ed è sempre più difficile giustificare

spese senza presentare un valore previsto di ROI (Return On

Investment). Ma se è già difficile calcolare il ritorno di un

investimento infrastrutturale, qual è tipicamente quello in

Information e Communication Technology, come è possibile

quantificare il valore di una soluzione di sicurezza, quando, se tutto

va bene, non succede niente?

La risposta è in realtà banale nella forma, un po’ meno nella pratica.

Chiaramente il problema se lo sono già posto i vendor del settore che

da sempre hanno trovato le loro difficoltà a vendere i sistemi di

protezione contro qualcosa di impalpabile come le minacce Internet.

Come si accennava precedentemente, il valore di un sistema di

sicurezza deve essere correlato al livello di rischio accettabile per

un’impresa. Dove per rischio s’intende il danno economico che si

avrebbe in caso di un attacco andato a buon fine, di un disservizio

totale o parziale e così via. Il primo passo da compiere per il calcolo

del ROI coincide con quello che è necessario per definire che sistema

di sicurezza implementare: effettuare un’analisi delle vulnerabilità cui

è esposta l’azienda e del livello di rischio relativo.

Non si tratta di un’operazione banale, tanto che è codificata in precisi

standard ISO, meglio noti con la sigla BS7799. Per effettuare tale

operazione è bene affidarsi a una società indipendente, ovviamente

dotata delle opportune certificazioni, poiché non di rado in questa


4

fase si fanno vere e proprie scoperte: per esempio, applicazioni o

servizi ritenuti poco importanti, se confrontati con l’impatto reale sul

business, possono risultare molto più critici di quanto pensato fino a

quel momento.

Condotta con tutti i crismi, tale analisi produce una documentazione

oggettiva che, ricordando che questa fase deve essere ciclicamente

ripercorsa, sarà molto utile per valutazioni successive.

Per valutare il rischio correttamente, quindi correlando alle

dinamiche e logiche di business, è necessario coinvolgere il

management aziendale a vari livelli.

Questo è il principale vantaggio di tutta l’operazione, nonché la vera

chiave di volta per il calcolo del ROI. Infatti, costretti a riflettere sulle

ripercussioni di un attacco informatico, i manager svilupperanno

quella sensibilità verso i temi della sicurezza che per anni è stata il

cruccio degli addetti ai lavori.

Il risk assessment, inoltre, produce un numero, cioè il valore del

danno che si potrebbe creare in funzione del grado di vulnerabilità

reale determinato dall’attuale sistema di sicurezza. Un dato

facilmente comprensibile anche dal consiglio di amministrazione,

tanto più quando è certificato da una società indipendente.

Una volta stabilito quale deve essere il piano di contenimento del

rischio, quindi quali misure devono essere implementate per ridurre

le vulnerabilità e aumentare il grado di protezione, è necessario

realizzare un security plan dettagliato.

Questo deve considerare l’evoluzione nel tempo e conteggiare il TCO

(Total Cost of Ownership) di tutte le soluzioni.

È importante osservare che in molti casi il prezzo di acquisto di un

prodotto è solo il primo elemento di spesa: in ambito sicurezza, non

vanno trascurati i costi dei servizi di aggiornamento, senza i quali le

soluzioni diventano presto (praticamente immediatamente) obsolete

e inutili. Un piano della sicurezza ben dettagliato è utile per

confrontarlo con un modello del rischio. Mettendo in una sorta di

matrice la spesa necessaria per “tappare una potenziale falla” e il

rischio economico che la “falla” lasciata aperta potrebbe causare


5

(eventualmente ipotizzando più eventi correlati a tale vulnerabilità

trascurata), si ottiene uno strumento di immediato raffronto.

All’atto pratico, una soluzione di sicurezza deve raggiungere almeno

uno dei seguenti obiettivi per poter dimostrare di avere un ROI

sostenibile: ridurre i costi correnti, ridurre i costi futuri, ridurre il

rischio finanziario, aumentare la produttività, aumentare il fatturato.

Rappresentazione grafica degli investimenti in sicurezza

Molto spesso ci sono benefici intangibili che è difficile calcolare, ma è

bene non esagerare nel cercare di aumentare il valore del sistema di

sicurezza al solo fine di convincere il management a investire. Anche

perché importanti argomenti sono stati forniti dal Testo Unico sulla

privacy, che, unitamente alle precedenti disposizioni legislative, sta

imponendo l’adozione di misure minime, spingendo molte aziende a

effettuare analisi di vulnerability assessment con ottimi risultati di

sensibilizzazione.


6

Il costo di una violazione alla sicurezza dei dati

Chiaramente, ridurre l'esposizione ha un costo e ciascuna impresa

deve valutare qual è il livello d'investimento più adeguato alle proprie

esigenze e a proteggere il proprio business.

Può sembrare assurdo, ma nella maggior parte delle aziende non si

ha alcuna idea di quali siano le strategie più opportune. La sicurezza è

introdotta in azienda solo per rispettare la legge sulla Privacy. Si

spende per la sicurezza fisica, senza rendersi conto che gli asset sono

ormai perlopiù immateriali.

Per proteggere il patrimonio economico delle imprese o le

infrastrutture critiche dello Stato, sono state promulgate normative

sempre più stringenti in tema di sicurezza dei dati: ingannevolmente

catalogate come "privacy", tali normative non servono a proteggere

la riservatezza di chi si mette già a nudo sui social network, ma

forniscono, soprattutto alle imprese, un'indicazione e direttive

sull'importanza di proteggere i proprio asset, brevetti compresi, che

nel terzo millennio sono appunto digitali.

La compliance alle normative è però vista quasi esclusivamente come

un obbligo dalle imprese, che non affrontano il problema con

un'adeguata strategia, non avendo la certezza di essere realmente

protette.

L'opera di sensibilizzazione da parte del Garante della Privacy e, più

recentemente, dell'Agenzia per il Digitale, hanno certamente reso le

imprese più consapevoli "dell'insicurezza" nella quale si trovano a

operare, ma manca ancora una reale conoscenza del fenomeno e,

soprattutto, manca una cultura della sicurezza in azienda.

Lo dimostra, per esempio, il Rapporto 2014 del Clusit, nota

associazione di professionisti della sicurezza nata in seno

all'Università Statale di Milano. Gli esperti del Clusit hanno

classificato i principali incidenti pubblici verificatisi su scala mondiale

negli ultimi tre anni, rilevandone una percentuale estremamente

bassa in Italia (3%). Un dato eccessivamente discostato dalla media

internazionale. Perché per gli italiani vale sempre il proverbio: " I


7

panni sporchi vanno lavati in famiglia". In altre parole, non c'è

condivisione delle informazioni sugli attacchi di sicurezza. Una sorta

di "omertà" che, pur comprendendo i timori in termini di immagine,

risulta invece controproducente per le stesse imprese, penalizzando

l'opera di prevenzione.

L'importanza della condivisione è sottolineata sia dal recentemente

istituito CERT italiano, che a fine 2013 ha annunciato il "Piano per la

protezione cibernetica e la sicurezza informatica", sia dall'Unione

Europea, che ha costituito la Piattaforma europea su Network e

Information Security (NIS).

I suddetti timori sono poi infondati, perché è comunque possibile

mettere a disposizione le informazioni in maniera anonima. Sempre il

Rapporto Clusit riporta infatti i dati provenienti dal monitoraggio

della rete di Fastweb, che mostrano uno scenario preoccupante: la

sicurezza delle aziende italiane continua a scendere, pure a fronte di

un incremento o mantenimento dei budget e mentre cresce il

mercato della sicurezza informatica e continua a registrarsi una

richiesta di figure professionali in quest'ambito superiore alla

disponibilità.

Ripartizione del costo di una violazione in 6 macro voci (Fonte: Ponemon Institute)

A determinare questa paradossale situazione contribuisce in massima

parte l'incapacità da parte della classe dirigente di comprendere il

costo per l'azienda della perdita di un dato. Intanto, il dato non viene


8

"rubato" ma copiato. A essere compromessa è la sua riservatezza e

buona parte del costo dipende dall'utilizzo che il cyber criminale può

farne. Per esempio, l'anno scorso un'azienda d'abbigliamento italiana

ha subito un furto di dati, ma se ne è accorta solo mesi dopo, quando

in alcuni negozi cinesi sono stati messi in vendita capi uguali ai

bozzetti della nuova collezione.

Questa non è neanche classificabile come contraffazione, ma si

somma a questa nel conto economico negativo. Inoltre, una

violazione dei dati può comportare un danno enorme per l'impresa

che la subisce, e va ben oltre gli aspetti finanziari. In gioco ci sono

infatti la fidelizzazione dei clienti e la reputazione del marchio. Per

esempio, un incidente di sicurezza per una banca mette certamente

in discussione il rapporto di fiducia che è alla base della relazione con

la clientela.

Ancora troppi imprenditori e dirigenti hanno bisogno di comprendere

in quali modi i dati aziendali possono essere compromessi e come ciò

possa pregiudicare l'attività della loro impresa. Si tratta di un aspetto

fondamentale, perché senza questa comprensione e senza stimare il

valore da assegnare ai dati, non è possibile calcolare quale budget e

quali azioni sia adeguato riservare alle risorse per la prevenzione, il

rilevamento e la risoluzione di un incidente.

Rapporto tra costo degli attacchi e numero di giorni occorsi per la remediation (Fonte: Ponemon Institute)


9

Queste sono tutte fasi importanti, anche perché, come hanno

mostrato gli analisti del Ponemon Institute nel loro studio "2014

Global Report on the Cost of Cyber Crime", il rapporto tra costo e

tempo occorso per rimediare al danno è ovviamente proporzionale.

In altre parole, tornando al rapporto del Clusit, non comprendendo il

fenomeno e l'importanza della sicurezza, rapportata ai propri dati, si

rischia di investire tanto, poco o troppo poco e, soprattutto, nella

direzione sbagliata.

Ci sono procedure che aiutano le imprese a effettuare un'analisi del

rischio e a valutare il valore del dato, però non può essere il

responsabile della sicurezza informatica a effettuare queste

valutazioni, ma è necessario che siano coinvolti i business manager,

che possono assegnare un costo alla perdita di ciascun dato. Per

questo è importante che il responsabile della sicurezza possa contare

sulla collaborazione di tutti i dirigenti aziendali.

Prima di investire il budget per la sicurezza in maniera sbagliata, è

opportuno valutare una soluzione che possa identificare le

vulnerabilità della sicurezza nell'ambiente ICT aziendale, arrivando a

supportare le imprese nel determinare una roadmap delle attività, in

modo da prevenire la violazione dei dati e la compromissione della

rete.

Secondo il "2014 Global Report on the Cost of Cyber Crime"

realizzato annualmente dal Ponemon Institute a livello internazionale

e sponsorizzato da HP, la media annuale dei costi dovuti agli attacchi

subiti dalle imprese nel 2014 è risultata pari a 7,6 milioni di dollari,

con un range però abbastanza ampio che va da 0,5 ai 61 milioni. Nel

2013 il costo medio era risultato pari a 7,2 milioni. Obiettivamente il

range appare molto ampio, anche perché c'è da considerare un picco,

rappresentato da una singola azienda che da sola ha denunciato un

costo di 61 milioni. Se viene esclusa dal calcolo, la media si abbassa di

circa 0,25 milioni, che non è poco. Se poi le aziende sbilanciate verso

il valore massimo sono più di una il costo per le altre si abbassa

ulteriormente. In ogni caso si tratta di costi da affrontare che danno

obiettivamente da pensare.


10

Un altro dato interessante è che i costi variano rispetto alla scala

delle imprese considerate. In particolare, l'indagine ha riguardano

257 imprese di grandi o medio grandi dimensioni (numero medio di

postazioni circa 8000) in sette nazioni: Usa, Australia, Giappone,

Russia, Francia, Germania e il Regno Unito. È risultato che minore è il

numero di postazioni da proteggere, maggiore è il costo per

postazione che si è dovuto sostenere per rimediare agli attacchi

subiti. Non è solo un fattore matematico, ma anche una conseguenza

della quantità di attacchi. La ricerca, infatti, mostra che i settori più

colpiti sono energia e utility, finanziario, tecnologia.

Costo medio annuo degli attacchi subiti per settore (dati espressi in milioni di dollari – fonte Ponemon Institute)

Un approccio orientato al costo della violazione e alla gestione del

rischio, permette di valorizzare la sicurezza, inserendola tra gli

elementi abilitatori del business. In altre parole, significa riconoscere


11

che la sicurezza informatica contribuisce ai ricavi. Questo deve essere

chiaro non solo nel caso delle transazioni finanziarie, ma in tutti i

processi di business, come nell'esempio prima riportato riguardante

l'azienda di abbigliamento.

Mobility, cloud e social cancellano i confini delle

imprese

Diversi fattori hanno contribuito a cambiare il punto di vista e a

considerare la sicurezza un vantaggio e, in taluni casi, un motore per

il business. Il primo, dal punto di vista cronologico, di questi fattori è

la mobility, cioè l’insieme di opportunità derivanti dall’utilizzo di

strumenti wireless e dall’accesso alle risorse IT aziendali da remoto e

in mobilità. L’utilizzo sempre più diffuso della posta elettronica

mobile, in particolare, ha spinto molte aziende ad attivare una serie

aggiuntiva di servizi usufruibili via cellulare o smartphone, a partire

da società di telecomunicazioni e banche. È evidente che attività del

genere presentano un prerequisito imprescindibile di sicurezza, per

garantire la riservatezza delle transazioni, di qualunque natura esse

siano.

Lo sviluppo di Internet, con il fenomeno del cosiddetto Web 2.0

consolidatosi nei social network e con l'always on, cioè la continua

disponibilità di una connessione, ha permesso la diffusione di

tecnologie vecchie e nuove. Vecchie, come la videoconferenza,

esplosa dopo la definizione di standard per la compressione e la

trasmissione ottimizzata su IP, che la rendono efficace, economica e,

soprattutto, semplice. Nuove come molto di quello che sta nascendo

in cloud.

Pure dirompente è il fenomeno della cosiddetta "consumerization",

tradotta in "consumerizzazione". In sintesi, si tratta dell'ingresso in

azienda di tecnologie nate per il mondo consumer e, pertanto, non

progettate con i requisiti tipici di affidabilità e sicurezza delle

soluzioni di classe enterprise. Ma le problematiche connesse a tale

fenomeno vanno ben oltre gli aspetti prettamente tecnologici e,


12

riguardando direttamente aspetti sociali, coinvolgendo

l'organizzazione del lavoro e i processi di business.

Tutto è cominciato con il "boom" del social software o delle

applicazioni di social networking accessibili via Web. Sono sempre di

più gli studi che testimoniano come, perlomeno in taluni ambiti

funzionali (come il marketing) o settori industriali (anche, ma non

solo, quelli dedicati al consumer), l’utilizzo oculato di Facebook,

Twitter, YouTube o altri strumenti analoghi, può essere utile per il

business aziendale, non solo in termini di immagine. In ogni caso,

esiste una spinta costante all’utilizzo di tali strumenti da parte dei

dipendenti che già hanno account personali su tali siti. Si sono, al

riguardo, anche verificati casi spiacevoli, con informazioni divulgate

ingenuamente attraverso questi canali o, più banalmente, a causa di

commenti sui colleghi postati online.

Sul Web, però, gli strumenti utili non si limitano al social software: le

migliaia di applicazioni disponibili per smartphone e tablet sono

diventate uno strumento irrinunciabile per milioni di persone che le

usano per organizzare le proprie attività nel tempo libero, più che per

divertimento.

Per tali individui, diventa naturale usare le loro "app" anche nel

lavoro e farlo attraverso il loro dispositivo personale, cui sono

abituati e che si sono scelti. Si è sviluppato così il meccanismo del

BYOD (Bring Your Own Device): le aziende concedono ai dipendenti di

usare per lavoro i loro dispositivi personali, non solo quelli mobili. Ciò

genera grandi rischi per la sicurezza dei dati, nonché la perdita di

controllo sugli strumenti di lavoro da parte dell'azienda. D'altro

canto, genera effetti benefici altrettanto potenti, per esempio, in

termini di soddisfazione del dipendente e di produttività.

Più in generale, l’estensione in rete dell’azienda, il successo di

Internet, intranet ed extranet hanno favorito lo sviluppo di soluzioni

e strumenti informatici, sia hardware sia software, che rispondono a

esigenze di protezione differenti dal passato. Un mondo quindi

completamente nuovo che coglie impreparate molte aziende, ma per

il quale ci si può e si deve organizzare, anche perché le minacce


13

hanno cambiato forma e obiettivi: il mondo virtuale della Rete sta

diventando sempre più simile a quello reale, solo un po’ più “cattivo”,

perché più distaccato.

Teoricamente, l’unico sistema completamente sicuro è quello

totalmente isolato dal resto del mondo. Evidentemente, non può

essere un sistema aziendale, che altrimenti risulterebbe asfittico.

Certamente, se si pensa comunque al mondo informatico di qualche

anno fa, ci si potrebbe chiedere quali sono le ragioni che portano ad

aprire l’azienda verso l’esterno e, quindi, che obbligano

all’introduzione di un più o meno accurato sistema di sicurezza. Se si

guarda, invece, alle potenzialità fornite dall’IT, ma anche dalla

consumer electronic, con gli smartphone in testa, è evidente che le

aziende conviene aprirle, come, del resto sta accadendo.

Si moltiplicano, infatti, le reti di imprese, come pure si spinge alla

realizzazione dei distretti. Ci sono poi situazioni anche più complicate,

come nelle nuove forme di collaborazione, per esempio la cosiddetta

“coopetition”, misto tra cooperazione e competizione, tipica

dell’industria automobilistica.

Qui, case concorrenti si alleano e uniscono, magari

temporaneamente, gruppi di lavoro per sviluppare componenti

comuni (telai, motori o altro), in modo da attivare sinergie sulla

produzione, mantenendo la possibilità di differenziare i prodotti

finali. Si ottengono risparmi e si innalza l’innovazione.

Si incide su fatturato e costi, ma il presupposto è la sicurezza dei dati,

affinché si possa aprire l'azienda a queste formule che rispondono

alla crisi, alle necessità di aumentare la massa critica e alla

globalizzazione.

Di fatto, volendo identificare con Internet la causa primaria di tutte le

minacce alla sicurezza del sistema informativo aziendale, andare

online può rappresentare un rischio elevato. Un rischio che non si

può però fare a meno di correre: per restare al passo con i tempi, per

sfruttare i vantaggi competitivi delle nuove tecnologie, per poter

godere di particolari condizioni che una società può riservare ai

partner commerciali comunicanti in intranet, per migliorare la


14

comunicazione aziendale, per fornire servizi ai propri clienti, per

implementare un'attività di commercio elettronico, per aumentare la

produttività aziendale.

I rischi di un mondo mobile

Come accennato, dispositivi come gli smartphone e i tablet ci hanno

abituato a trovare online tutti i contatti e gli strumenti che servono

per organizzare la nostra vita sociale e professionale, contribuendo in

maniera sostanziosa al processo di "business transformation", che

ridefinisce completamente i processi aziendali, aumentando la

produttività, cambiando le relazioni di lavoro e sviluppando attività

completamente nuove.

I nuovi modelli di lavoro in mobilità rappresentano la fase finale di

quel processo di allargamento del perimetro aziendale cominciato

con l'avvento di Internet di cui la mobilità ha rimosso gli ultimi limiti

in termini di spazio e tempo, non solo per l'azienda ma anche per i

suoi clienti e fornitori.

Le tematiche di sicurezza legate alla mobilità sono riconducibili a

molteplici aspetti.

Un primo tema riguarda l'utilizzo di dispositivi di tipo personale in cui

sono archiviate informazioni che caratterizzano in modo orizzontale

la vita di un individuo includendo sia la sfera personale sia quella

professionale. Peraltro i dispositivo mobili non sempre sono

progettati per fornire il livello di affidabilità e resistenza necessario

per un utilizzo aziendale.

Poi c'è l'aspetto applicativo e i malware per i sistemi operativi mobili

e le App. Per avere un'idea della portata del rischio si pensi che il

numero di App potenzialmente nocive per Android è stato stimato

abbia raggiunto l'impressionante numero di un milione. Si tratta di un

fenomeno che ricorda quello che ha caratterizzato altri sistemi

operativi di grandissima diffusione, come Windows, con la differenza

che lo sviluppo tecnologico sta rendendo tutto più rapido portando il

numero di minacce a crescere costantemente sia in numero sia in

pericolosità.


15

Un terzo fondamentale aspetto riguarda le modalità di utilizzo dei

dispositivi mobili. È ormai entrata nello slang comune la sigla BYOD

(Bring Your Own Device), che rappresenta una conseguenza del

fenomeno più ampio della consumerizzazione, portando con sé i

rischi legati un uso promiscuo, personale e aziendale, di dispositivi

informatici.

Una soluzione parziale al problema è stata fornita dai principali

produttori di software con soluzioni o appliance per la protezione

degli endpoint, che si preoccupano di verificare che un dispositivo

mobile che si vuole connettere alla rete aziendale soddisfi i requisiti

di sicurezza e conformità necessari: per esempio che abbia installato

l'ultima patch del sistema operativo o che non abbia disattivato

funzioni di protezione.

Queste soluzioni forniscono una protezione efficace per evitare di

portare all'interno della rete aziendale malware contratti all'esterno,

ma non c'è tecnologia che tenga per proteggersi dalla superficialità e

dalla noncuranza manifestata troppo spesso dagli utenti.

La possibilità di lasciare incustodito il proprio dispositivo mobile o di

connettersi a una rete domestica che non dispone dei sistemi di

protezione di quella aziendale, lascia aperta la possibilità di smarrire

o di diffondere informazioni aziendali importanti e riservate, incluse

password di accesso alla rete aziendale, dati sensibili o business

critical.

Quella di privilegiare l'utilizzo di uno strumento unico è, peraltro,

un'abitudine diffusa all'interno del mondo dei business manager che

facilmente si trovano a ospitare sul proprio dispositivo mobile

personale dati fondamentali per l'azienda: per esempio password di

accesso alla rete che, di fatto, lasciano una porta aperta per entrare

nell'intero network aziendale.

Non è poi insolito l'uso di software o di servizi online (per esempio

Dropbox) pensati per un uso domestico, per trattare o archiviare dati

critici con modalità che sfuggono al controllo dell'IT, spesso con

insufficiente consapevolezza dei rischi.


16

Tutto ciò apre innumerevoli falle nella sicurezza aziendale che vanno

affrontate attraverso un approccio strategico che definisce modalità

e regole per l'uso dei dispositivi mobili e preveda altresì opportune

tecnologie di gestione e controllo per verificarne il rispetto.

Minacce dal Web e protezione dei dati

Una volta c’erano gli hacker e il loro spirito goliardico. Lo stesso

termine “to hack”, nato negli anni Cinquanta al MIT di Boston

indicava un’innocua pratica illegale: sfidare i divieti di accesso ad aree

riservate per sfruttare i tunnel sotterranei come scorciatoie tra i

padiglioni del campus universitario. Uno spirito goliardico

testimoniato dalle firme nascoste nel codice e lasciate per acquisire

“gloria” quantomeno negli ambienti underground.

Dall’iniziale obiettivo di mostrare il proprio valore penetrando in

sistemi considerati inviolabili, il passaggio a un’attività criminale vera

e propria non è stato breve, ma si è ormai compiuto. È così cambiato

completamente il modo di approcciare la gestione delle minacce. In

passato a ogni nuovo codice maligno, a ogni nuova tecnica di attacco,

a ogni vulnerabilità veniva contrapposto un nuovo sistema di difesa,

ma si è infine compreso che l’escalation, quando ormai si era arrivati

agli “0 day attack”(la registrazione di un attacco il giorno stesso in cui

veniva annunciata una vulnerabilità), avrebbe solo fatto lievitare i

costi.

Poi è entrata in gioco la criminalità organizzata e ha cambiato le

regole: i professionisti del cyber-crime non divulgano le vulnerabilità

senza averle prima averle sfruttate, mentre gli attacchi sono diventati

sempre più “silenziosi” e spesso mirati.

Le tecniche, ormai di tipo completamente ibrido, combinano sviluppo

di codice con servizi di hacking (anche in modalità cloud) e con

attività di social engineering. Le contromisure diventano altrettanto

sofisticate, smettendo di limitarsi a rincorrere i “cattivi” e attuando

una massiccia prevenzione.


17

L’emergenza di nuove minacce nell’era del Web 2.0

Correva l’anno 2004 quando si iniziò a parlare di Web 2.0 durante

una sessione di brainstorming tra O’Reilly e la MediaLive

International, in cui Dale Dougherty, pioniere del Web e vice

presidente di O’Reilly, coniò questo termine per sottolineare

l’evoluzione sempre più marcata che stava prendendo piede nel Web

con il proliferare continuo di nuovi siti e applicazioni. Da allora il

termine Web 2.0 è stato accettato e il suo utilizzo si è diffuso a

macchia d’olio, facendolo diventare popolare tra i frequentatori del

World Wide Web, nonostante non esista una sua definizione univoca

e ben definita ma piuttosto un insieme di possibili applicazioni e

aspetti caratterizzanti.

Ciò che è certo è che il Web negli ultimi anni si è evoluto e ha assunto

un nuovo ruolo per i suoi utenti rispetto al passato, passando da una

certa staticità a una maggiore dinamicità, che deriva dalle sue

capacità di strumento di collaborazione, condivisione, scambio,

interazione, comunicazione, partecipazione collettiva. Il Web è

diventato il terreno di incontro tra tutti gli abitanti del pianeta che

hanno la possibilità di collegarsi in Rete attraverso un computer o

altri dispositivi che lo permettono. Nel Web è possibile informarsi

(Wiki), socializzare (social networking), scambiare file (P2P

networking), creare pagine di opinioni personali (blog) e così via. Il

Web è diventato un mondo senza confini e aperto a chiunque voglia

parteciparvi per portare il proprio contributo. Purtroppo proprio

questa apertura totale lo rende un’attrattiva interessante per chi ha

ben altri scopi, non del tutto leciti, come gli hacker e chi, con metodi

diversi ,cerca di compiere frodi a danno degli utenti, spesso

inconsapevoli dei pericoli che corrono.

Un aspetto di cui si continua a discutere riguarda la sicurezza dei dati

sensibili, non soltanto quelli degli utenti privati che condividono e

scambiano informazioni nel Web, ma anche a livello di aziende e

organizzazioni. Queste ultime potrebbero a loro insaputa subire

fughe di dati diffusi ingenuamente o inconsapevolmente dai propri

dipendenti, che spesso utilizzano il computer aziendale (magari un


18

notebook) anche per scopo personale di intrattenimento. Navigando

nei blog e nei siti di social networking gli utenti si espongono a diversi

pericoli.

Percentuali di attacchi noti per tecnica impiegata (Fonte: Clusit)

Per esempio un tipo di minaccia legata inizialmente al mondo delle e-

mail, ma che ha trovato ampio terreno nel Web 2.0, sono gli attacchi

di phishing, che inducono gli utenti a inviare informazioni

confidenziali e password all’interno di una riproduzione fedele ma

illegittima di un sito Web. Questi siti di phishing, creati facilmente

utilizzando le Rich Internet Application (RIA), arrivano a trarre in

inganno anche gli utilizzatori più esperti. L’utilizzo delle RIA si è

rivelato da un lato estremamente vantaggioso, poiché rende più

veloce l’esecuzione di programmi attraverso il Web e sposta la

maggior parte dei compiti di elaborazione a livello di client.


19

La presenza di un client eseguibile, tuttavia può diventare facilmente

un vettore per il trasferimento di codici maligni e, in particolare, le

RIA che utilizzano plug-in basati su ActiveX risultano particolarmente

vulnerabili.

Non solo le false riproduzioni di pagine Web possono rappresentare

una minaccia per l’utente, ma anche i siti legittimi possono diventare

pericolosi poiché in essi è possibile che malintenzionati inseriscano

malware all’interno di eseguibili XML, come è già successo per

esempio nel popolare sito di My Space o sull’home page del

Superbowl statunitense di qualche anno fa.

Un altro pericolo arriva dal video streaming. Attraverso la fruizione di

video on-line, per esempio dal sito di YouTube, è possibile che un

inconsapevole utente scarichi sul suo computer trojan horse, ovvero

programmi che potrebbero contenere codice dannoso in grado di

sottrarre dati confidenziali.

Un altro elemento di rischio può essere posto dai siti Web che

utilizzano la cifratura SLL (Secure Socket Layer). Infatti, molti sistemi

di sicurezza non esaminano il “tunnel SSL” all’interno del quale

vengono trasportati in modalità punto-a-punto i dati criptati,

rendendo il traffico SLL un possibile vettore da sfruttare per

predisporre azioni indirizzate alla sottrazione dei dati. L’utilizzo del

protocollo SSL in Web server predisposti da malintenzionati può

anche diventare un veicolo con cui trasportare trojan e bot al di là

della protezione del firewall e farli penetrare nella rete aziendale

protetta. Una volta installati i bot sono in grado di costruire reti di

collegamento tra computer che sfruttano analoghe sessioni SLL per

far fuoriuscire informazioni dall’azienda o per introdurre virus

informatici e trojan.

Da ultimo, ma non per importanza, va citato l’emergere dei botnet

(termine derivato da Robot), universalmente considerati una delle

principali minacce del momento. Si tratta di una rete di computer che

vengono di fatto “controllati” da un cyber criminale, che li può

utilizzare per inviare un attacco o uno spam su grande scala, senza

che l’utente del computer si accorga di niente. Il fenomeno è in


20

espansione e si prevede che in futuro le botnet, e chi le governa,

assumeranno il ruolo di centrali distribuite di comando e controllo. In

realtà, già oggi esistono botnet disponibili a noleggio, come altri

servizi di hacking a pagamento.

Il Phishing

Lo spam è molto utilizzato per il phishing, termine con la medesima

pronuncia, ma storpiato nell’ortografia, dell'inglese "fishing",

pescare.

Si tratta di un sistema inizialmente indirizzato a carpire dati personali

e, tipicamente, numeri di carta di credito, grazie alla collaborazione,

in buona fede, delle vittime della frode. Il sistema è,

concettualmente, molto semplice e perlopiù condotto via e-mail; il

bersaglio si vede recapitato un e-mail da parte di un’organizzazione o

di una banca nota, in cui lo si informa che, a causa di inconvenienti di

vario tipo, si sono verificati problemi relativi al suo conto oppure che

un acquisto da lui effettuato mediante la carta di credito non è

potuto andare a buon fine. L’utente viene, quindi, invitato a collegarsi

a un sito in cui inserire nuovamente i suoi dati, cliccando su un link

contenuto all’interno del messaggio di posta elettronica che,

apparentemente, corrisponde a quello del mittente del messaggio. Il

sito è, ovviamente, fasullo, ma replica in modo perfetto quello

originario, in modo da carpire le informazioni che è lo stesso utente a

inserire.

L’e-mail, apparentemente, ha tutte le caratteristiche di un messaggio

“ufficiale” riportando logo, informazioni di copyright, slogan e

messaggi di marketing identici a quelli utilizzati tipicamente dalle

presunte aziende o banche mittenti. Spesso sono contenuti dati

personali carpiti magari attraverso siti di social networking, dando

l’impressione che effettivamente ci si trovi davanti a un messaggio

reale. I principali target di questo tipo di attacchi sono le banche e i

siti finanziari e, tra le organizzazioni prese di mira, vi è anche la casa

d’aste on line e-bay, che ha prontamente avvisato i propri utenti che


21

l’invio di messaggi di questo tipo non rientra nelle proprie modalità

operative.

Il contenuto delle mail può far riferimento alla necessità di inserire

nuovamente i propri dati per una verifica del proprio conto, al fine di

prevenire possibili frodi o di verificare che presunte violazioni che

hanno interessato l’organizzazione finanziaria non abbiano arrecato

danni allo specifico utente. Il tono può essere minimale, invitando a

eseguire operazioni che vengono descritte come di routine, oppure

più allarmista, sottolineando l’importanza e l’urgenza di collegarsi al

sito e reinserire i dati; è anche possibile che inviti l’utente a scaricare

e installare “security update” presenti in allegato al messaggio e

contenenti codice maligno. Sebbene, apparentemente, possa

sembrare un approccio ingenuo, il successo che ottiene questa

tecnica è sorprendente.

Il phishing è in forte aumento e risulta tra le tipologie di attacchi più

sviluppati negli ultimi anni con tecniche che si affinano molto. Le

tecniche di social engineering, spesso adottate in abbinamento al

phishing, hanno visto aumentare la loro efficacia con la diffusione del

Web 2.0. Al successo di questo fenomeno si accompagna, secondo gli

addetti ai lavori, un aumento delle problematiche di sicurezza, prima

fra tutte il furto di identità: gli utenti si sentono fiduciosi e pubblicano

in rete non solo i propri dati anagrafici, ma anche svariate

informazioni sulla propria vita privata, tutti dati utili per truffe mirate.

Peraltro, oggi i tool necessari per attività di spamming e phishing

sono pubblicamente disponibili su Internet e strumenti più sofisticati

sono comunque in vendita online, mentre è possibile acquistare

elenchi di indirizzi validi con milioni di nominativi per poche decine di

euro. Il successo dello spamming è dovuto proprio ai grandi numeri:

gli spammer vengono pagati pochi centesimi per ogni click registrato

su un sito da loro indirizzato, ma pochi centesimi per decine di milioni

di messaggi spediti fanno un sacco di soldi, pur considerando basse

percentuali di messaggi andati a buon fine.

Esistono anche varianti del phishing, come il “pharming” (che fa

riferimento alla manipolazione delle informazioni Domain Name


22

Server per reindirizzare l’utente in modo inconsapevole su siti Web

falsi), lo “spear phishing” (utilizzato per indicare attacchi indirizzati in

modo molto mirato a specifici target), lo “smishing” (che fa

riferimento ad attacchi portati sfruttando i servizi SMS disponibili sui

telefoni cellulari) e il “vishing” o “voice phishing (che sfrutta la

messaggistica vocale e, in particolare, il Voice over IP (VoIP), il cui

vantaggio per gli attacker è che offre garanzie ai truffatori di non

essere individuati poiché molti servizi telefonici via IP non prevedono

un preciso punto di partenza della chiamata).

Lo spear phishing

La posta elettronica resta uno dei veicoli d'infezione preferiti o,

quantomeno, uno degli strumenti utilizzati per le sofisticate tecniche

di phishing o "spear phishing", quello, cioè, mirato. Lo spam

tradizionale è infatti in calo, stando ad alcuni rilevamenti, ma sta

crescendo quello collegato ai social network. Al contrario, sempre più

efficaci si dimostrano gli attacchi mirati che partono con una mail di

phishing appunto.

Quest'ultima tecnica si è evoluta, per cui bloccare tali email è molto

più difficile che in passato, in quanto non si tratta di messaggi rivolti

alla massa, quindi standardizzati e facilmente riconoscibili. Lo spear

phishing si basa su dati appositamente raccolti per colpire uno

specifico target. Si tratta di email personalizzate, che non sono state

osservate da altri sistemi precedentemente e che non sembrano

"estranee" all'azienda.

Gli attacchi di phishing, in passato, erano tutti basati sulla stessa

procedure: l'email inviata a centinaia di migliaia di indirizzi contava

sulla legge dei grandi numeri. Statisticamente una piccola

percentuale di destinatari reagiva alla mail finendo nella trappola dei

cyber criminali e infettando il pc.

L'efficacia del sistema si basava sulla statistica e sull'ingenuità degli

utilizzatori. Anche se di poco, però, la cultura di questi ultimi sulla

sicurezza è andata aumentando negli anni e, parallelamente, è calata

l'efficacia del phishing tradizionale. Ovviamente la maggior parte del


23

merito va al miglioramento dei sistemi antispam e antiphishing, che

adesso includono tecnologie come: la "reputation" del mittente, che

classifica gli indirizzi di spedizione per bloccare quelli che

notoriamente riversano spam; l’analisi lessicale sul contenuto delle

email per individuare frasi e combinazioni di parole o schemi usati di

solito per lo spam; l'integrazione con gli antivirus, che identificano i

codici maligni noti abbinati alla posta elettronica.

L'efficacia della protezione, porta i cyber criminali professionisti a

cercare nuove strade. Di fatto, la ricerca e sviluppo sul "lato oscuro" è

avanti, preparando le tecniche innovative mentre ancora quelle

tradizionali portano i loro frutti.

Il modello degli attacchi di phishing è quindi evoluto di conseguenza

negli ultimi anni e, soprattutto, si è fatto ancora più mirato:

indirizzandosi a piccole comunità, come possono essere i dipendenti

o, più in dettaglio, i quadri di una specifica impresa. Si è anche

semplificato, perché non contiene direttamente il malware, ma un

link a un sito Web, non di rado legittimo, dove però è stato annidato

il kit maligno. Inoltre, i server utilizzati non risentono di una cattiva

reputazione, perché inviano pochi messaggi che non sono

riconosciuti come spam.

Chiaramente questo presuppone qualche sforzo in più, per esempio

per compromettere un sito legittimo senza che i suoi gestori se ne

accorgano, anche solo per il tempo necessario a portare a termine

l'attacco.

Il successo della tecnica resta ancorato alla ingenuità/diffidenza del

dipendente, ma l'accuratezza di questi attacchi "ripaga" il

malintenzionato. C'è da dire che l'errore o il dolo del dipendente

interno rappresenta sempre il rischio maggiore, come dimostrano

costantemente tutte le ricerche del settore.

Rispetto allo spam, il phishing ha tassi di redemption più elevati, se

poi è mirato l'efficacia è alta. Tali sforzi andranno ripagati, quindi il

bottino sarà ricco: per esempio un numero elevato di dati, come i

numeri di carte di credito o proprietà intellettuali (per esempio

brevetti).


24

Anche l'analisi lessicale fallisce e lascia passare il phishing sofisticato,

perché i contenuti, essendo mirati, sono compatibili con il contesto e

non riconosciuti come spam. Gli antivirus non trovano malware da

analizzare e bloccare.

Impatto sul costo delle tipologie di attacco: il rischio interno è il più costoso (fonte Ponemon)

Occorrono soluzioni più sofisticate, che eventualmente siano in grado

di seguire il link verso il codice maligno, riconoscerlo come tale e

bloccare il download di dati compromessi. Meglio se possono

operare in tempo reale.

Il social engineering

Può sembrare strano, ma uno degli strumenti più efficaci nella

compromissione della sicurezza informatica è condotto senza

l’utilizzo di strumenti informatici. Si tratta del cosiddetto “social

engineering”, una tipologia di attacco indirizzata a carpire

informazioni sensibili attraverso l’uso del contatto umano, utilizzando

come complici inconsapevoli gli stessi obiettivi dell’attacco. Di fronte

a sistemi evoluti progettati per analizzare traffico sulle porte,

signature o anomalie di protocollo, il social engineering sfrutta una


25

delle principali vulnerabilità nella sicurezza informatica di un’azienda:

l’elemento umano.

Le motivazioni che inducono i cyber criminali all’utilizzo di tecniche di

social engineering sono molteplici. Innanzitutto si tratta di un metodo

più semplice rispetto alla violazione di un sistema e che non richiede

costi elevati o tool sofisticati. Permette, inoltre, di aggirare sistemi di

intrusion detection e non è influenzato dalla piattaforma operativa

utilizzata all’interno dell’azienda target.

I bersagli tipici sono rappresentati dal personale di help desk, dagli

addetti al customer service, da assistenti amministrativi, personale

vendite, sistemisti o tecnici. Questo perché, da un punto di vista

generale, i soggetti sono tanto più disponibili a fornire informazioni,

quanto meno sono direttamente coinvolti o interessati dalla

richiesta. Spesso, alle vittime di tali attacchi manca la consapevolezza

del rischio o anche solo l’interesse a discutere o esaminare le

motivazioni alla base di richieste che non sono direttamente

pertinenti ai loro compiti specifici.

Un attacco giunto a buon fine può fornire numeri di dial-in o

procedure di accesso remoto, permettere di creare un account o

modificare privilegi o diritti di accesso fino a determinare

l’esecuzione di programmi potenzialmente dannosi quali trojan

horse. Questo tipo di attacco può anche essere indirizzato a carpire

informazioni quali, per esempio, liste di clienti, dati finanziari, offerte

associate a contratti o informazioni riservate sui processi produttivi. I

metodi utilizzati per carpire informazioni sono vari e dipendono solo

dalla fantasia dell’attaccante.

Una tecnica è quella di raccogliere preventivamente una serie di

informazioni che possano fornire un pretesto credibile per la

costruzione di un attacco e permettano di guadagnare la fiducia di chi

subisce l’attacco. Tipicamente, infatti, il social engineering è una

tecnica preparata e costruita in step successivi e basata su una

precisa strategia, che preveda anche contro-argomenti in caso di

possibili obiezioni e vie di uscita ragionevoli per non bruciarsi il

“lavoro” svolto.


26

Va poi ricordato che, a differenza di un firewall, l’essere umano

tendenzialmente è portato a fidarsi degli altri o ad avere illusione che

certe cose a lui non possano capitare. Spesso accade anche che venga

sottostimato il valore dell’informazione o si abbia poca

consapevolezza dalle conseguenze di azioni apparentemente

innocue.

Altre tecniche sono indirizzate a costruire un rapporto di fiducia

attraverso una serie di contatti ripetuti completamente innocui. Un

metodo molto efficace è quello di raccogliere una serie di piccole

informazioni che, singolarmente, non hanno utilizzo pratico ma che,

se considerate nel loro complesso, possono rappresentare una fonte

di informazione di valore elevato. Frammenti di informazione utili a

tal fine possono essere facilmente recuperabili da un cyber criminale

tramite i siti Web, l’organigramma aziendale, attraverso newsletter o

anche documenti di marketing. Altre informazioni di carattere

personale possono essere ricavate da siti Web che contengono nomi

di parenti o di interessi specifici, a cui spesso un utente si ispira per

elaborare le proprie password.

Inoltre, poiché l’uomo è naturalmente curioso, altri “trucchi” sono di

lasciare supporti quali CD ROM o floppy contenenti codici maligni

presso specifiche postazioni sperando che vengano aperti ed

esaminati oppure inviare e-mail che invitano a visitare siti Web

potenzialmente dannosi.

Un esempio di attacco di social engineering può partire

dall’individuazione, da un documento di marketing, del nominativo di

una persona che ricopre una specifica carica aziendale. Telefonando

al centralino e chiedendo di essere messo in comunicazione con

quella persona (citando nome e cognome) è facile che si venga

passati al suo numero interno. Se la telefonata avviene in un giorno

in cui questa persona non è sicuramente in ufficio, per esempio

perché dal sito Web viene annunciata la sua partecipazione a un

evento o a una conferenza, non è infrequente poter recuperare il

numero dell’interno dal sistema di risposta automatica che invita a

lasciare un messaggio. A questo punto si dispone già di un numero di


27

informazioni utili a lanciare un attacco. Con un po’ di astuzia è

possibile, per esempio, ricavare informazioni riservate da un collega,

ottenendo la sua fiducia adducendo motivazioni di urgenza, la stretta

conoscenza del contatto “sfortunatamente” mancato e supportando

le proprie affermazioni con i dati in proprio possesso. Spesso basta

conoscere anche solo poche informazioni personali di un individuo

per lasciare presupporre a qualcun altro una sua conoscenza

approfondita.

Un’ulteriore fonte di informazioni è rappresentata dai rifiuti.

Documenti, bozze, annotazioni o anche nomi di piani e di progetti,

trovano spazio su documenti cartacei che vengono gettati

nell’immondizia. Ancora più rischioso è gettare supporti di

memorizzazione danneggiati quali hard disk o sistemi removibili da

cui è sempre possibile ricavare informazioni parziali. Inoltre,

l’appropriazione dei rifiuti altrui non è, di per se stessa, una pratica

illegale.

Gli aspetti psicologici sono un elemento essenziale nel social

engineering. In generale un attaccante che utilizza queste tecniche

può essere individuato dal fatto che fa richieste fuori dall’ordinario o

adotta comportamenti anomali, quali manifestare estrema urgenza

in modo immotivato, utilizzare toni autoritari o intimidatori, offrire

aiuto per risolvere un problema sconosciuto o citare il management

come ente autorizzatore della richiesta. Particolari condizioni

lavorative possono aumentare il rischio associato a tali attacchi. Per

esempio, una forte pressione a svolgere i lavori in tempi rapidi, la

presenza di uffici distribuiti in varie località o l’utilizzo di personale

esterno all’azienda, sono tutti elementi che possono contribuire a

facilitare le condizioni affinché un attacco di social engineering abbia

successo.

L’unico sistema per proteggersi efficacemente è quello di aumentare

la cultura della sicurezza in azienda, in modo che questa non sia

percepita come una perdita di tempo o un ostacolo all’attività

lavorativa, predisponendo procedure apposite per la gestione delle

informazioni e la loro classificazione e mettendo a punto policy per la


28

“pulizia” della postazione di lavoro. La contromisura più efficace resta

quella di attivare sessioni di addestramento indirizzate alla

consapevolezza dell’importanza della sicurezza e dei possibili rischi

associati a comportamenti superficiali.

Il furto di identità

La cronaca, a onor del vero, dà maggior risalto a fenomeni di massa,

come i vari worm o pseudo tali che di tanto in tanto riescono a

perforare le difese diffondendosi in tutto il mondo, ma le attività

realmente criminali si concentrano su altri fronti: primo fra tutti il

furto di identità.

Rubare l’identità di qualcun altro significa riuscire a raccogliere

sufficienti informazioni al fine di spacciarsi per lo stesso, ad esempio,

per commettere frodi, aprire conti correnti, navigare su siti

pornografici, carpire dati aziendali riservati o quant’altro. Alle volte lo

scopo è indiretto, come nel caso dei database costituiti illegalmente

tramite strumenti di spamming.

Un’identità può essere utilizzata per sferrare attacchi contro terzi o

frodarli, con il rischio di dover anche affrontare spese legali per

dimostrare la propria innocenza.

Oltre al phishing, un metodo molto in voga per reperire/rubare

informazioni è collegato all’utilizzo di programmi cosiddetti spyware,

il cui scopo è quello di registrare il comportamento di navigazione,

esplorare il disco rigido, esportare dati raccolti, intercettare posta

elettronica o file, catturare dati immessi in sistemi Web (per esempio

con i keylogger, che memorizzano i tasti premuti) e altro ancora. Con

uno o più strumenti del genere è possibile “assemblare” sufficienti

dati per mettere insieme l’identità di un individuo.

L'Internet of Things

Dopo il Web 2.0, si è cominciato a parlare di Web 3.0, una definizione

che è stata presto abbandonata a vantaggio di due altre diciture:

Machine to Machine (M2M) o Internet of Things (IoT). Di fatto, il Web

è sempre stato concepito come l'interazione tra un individuo e una


29

macchina (server), poi si è passati al 2.0, che prevede l'interazione tra

gli individui, comunque mediata da una macchina. Il terzo passo è

l'interazione diretta tra macchine.

Prima di lasciarsi andare a scenari apocalittici stile Matrix, si rifletta

sul fatto che, al contrario dell'essere umano, le macchine non

posseggono l'istinto della sopravvivenza né quello della

perpetuazione della specie.

Di fatto, sarà presto maggioritario il numero di dispositivi posti in rete

per svolgere compiti diversi da quelli di mettere in comunicazione

individui o fornire informazioni a questi stessi. Si tratta di, per

esempio, sistemi di controllo di impianti industriali collegati a sensori

che rilevano determinati parametri. Quando questi ultimi superano

una soglia potrebbe partire un allarme e il sistema di controllo genera

un’azione corrispondente. La possibilità di utilizzare la rete IP e

Internet in particolare per attuare una soluzione del genere è già

stata presa in considerazione. Ancora una volta, sono le

problematiche di sicurezza che faranno la differenza. Quali saranno le

sfide del futuro per le aziende che si occupano di sicurezza, una cosa

è certa: non possono continuare a giocare a nascondino con i “ragazzi

cattivi”. Un rincorsa senza sosta da una minaccia a un nuovo rimedio

non ha senso. È necessario modificare le regole del gioco: cambiare

approccio e anticipare le mosse dell’avversario, scendendo sul suo

stesso terreno e partendo dagli obiettivi che si pone.


30

31

LA SICUREZZA ENTERPRISE DI HP

Attraverso la divisione Enterprise Security Products

(ESP) HP propone un modello di sicurezza enterprise

integrato, pensato per rispondere anche alle richieste

di protezione dei nuovi ambienti virtualizzati e cloud.

Questa strategia è sorretta da un portafoglio d'offerta

articolato che comprende hardware, software ,

soluzioni e servizi, rafforzato da una serie di risorse,

competenze, laboratori e iniziative complementari che

ne cementano e rafforzano la portata.

.

2


32

HP Enterprise Security Products

Per rispondere alle nuove esigenze di protezione HP ha messo a

punto una strategia per la gestione del rischio che prevede interventi

sia sul versante della protezione richiesta dalle aziende, sia per

garantire agli utenti un accesso sicuro alle corrette risorse aziendali,

ponendo le basi per un approccio unificato alla sicurezza enterprise.

L'approccio integrato alla sicurezza di HP risponde anche alle

crescenti richieste di protezione dei nuovi ambienti virtualizzati e

cloud.

Le soluzioni che compongono la piattaforma di sicurezza di HP di

Security Intelligence e Risk Management sono proposte attraverso

una divisione specifica denominata Enterprise Security Products (ESP)

e comprendono i sistemi di nuova generazione HP TippingPoint per la

prevenzione delle intrusioni (NGIPS) e firewall (NGFW), le soluzioni di

security intelligence ArcSight, la famiglia Fortify per la sicurezza delle

applicazioni e Atalla per la cifratura e la protezione dei dati, in un

contesto di integrazione che coinvolge servizi, applicazioni e prodotti.

Le soluzioni che compongono la piattaforma di Security Intelligence e Risk Management di HP Enterprise Security Products

2 - LA SICUREZZA ENTERPRISE DI HP

33

Questa gamma di soluzioni segue un processo evolutivo che prevede

sia la trasformazione e il miglioramento continuo di ciascuna

tecnologia verticale, sia un'integrazione sempre più spinta delle

diverse funzionalità al fine di sfruttare al massimo la sinergia di

strumenti che affrontano, su piani diversi, il tema della protezione,

migliorando la gestione e incrementando il livello di intelligenza

necessario a fronteggiare le nuove minacce che operano in modo

sempre più stratificato.

Risorse e iniziative per aumentare la

sicurezza aziendale

L'offerta di soluzioni hardware e software di HP è completata da una

serie di risorse, competenze, iniziative e servizi complementari che

cementano e rafforzano l'ossatura completa del modello di

protezione. Queste risorse includono laboratori di ricerca,

competenze, iniziative ad ampio spettro, risorse distribuite e una

serie di soluzioni e servizi che, tutte insieme, operano in modo

sinergico per analizzare costantemente a livello globale le nuove

minacce, stabilire la reputazione e il livello di rischio e abilitare

interventi in tempo quasi reale per proteggere gli utenti delle

soluzioni HP.

HP DVLabs

Punta di diamante dell'ecosistema per la protezione enterprise di HP

sono gli HP DVLabs, il team di ricerca di sicurezza per la scoperta delle

vulnerabilità nel settore della sicurezza. Il team è composto da

ricercatori riconosciuti nel settore che applicano tecniche di analisi

all'avanguardia nelle loro operazioni quotidiane.

DVLabs trasferisce tutte le scoperte delle vulnerabilità ai produttori di

software interessati per favorirli nella creazione di patch e crea filtri

di protezione per i suoi sistemi NGFW/ NGIPS per proteggere gli

utenti da potenziali attacchi zero-day prima che le vulnerabilità siano

rese note al pubblico.


34

L'attività svolta dagli HP DVLabs si concentra sulla creazione di filtri

per la protezione contro ogni tipo di vulnerabilità (vaccini digitali) e

non solo gli exploit noti, applicando tecniche di decodificazione e

analisi all'avanguardia

I filtri di vulnerabilità prodotti sono distribuiti settimanalmente e

puntano a bloccare tutti gli exploit delle vulnerabilità del software,

fornendo un elevato livello di accuratezza in modo che gli NGFW non

blocchino il traffico legittimo mentre proteggono la rete.

Esempio di Report fornito dai DVLabs

HP Security Research

HP Security Research è la struttura che conduce ricerche e fornisce

servizi di intelligence per l’intero portafoglio di soluzioni HP ESP.

HP analizza le informazioni provenienti da diverse fonti, tra cui indagini

proprietarie, intelligence open source e feed dei dati attivi generati dai

propri prodotti e servizi. L’ampiezza e la profondità degli asset di

sicurezza, della sua base installata e della sua community di sicurezza,

collocano HP Security Research nella posizione ideale per agevolare la

condivisione dell’intelligence indispensabile per contrastare le minacce.

Pubblicazioni sulle ricerche sul tema della sicurezza e briefing

periodici sulle minacce completano i servizi di intelligence HP e

offrono un’analisi approfondita del futuro della sicurezza e dei più

importanti rischi di violazione che le aziende si troveranno ad

affrontare.


35

HP Security Research, che si occupa di dettare l’agenda della ricerca

in materia di sicurezza per conto di HP, si avvale del contributo dei

gruppi di ricerca già esistenti che includono HP DVLabs e HP Fortify

Software Security Research; inoltre, gestisce il programma Zero Day

Initiative (ZDI) che premia i ricercatori di tutto il mondo che

individuano nuove vulnerabilità.

HP TippingPoint ThreatLinQ

Un'altra risorsa messa in campo da HP è TippingPoint ThreatLinQ, un

portale di Security Intelligence accessibile a tutti i clienti HP

TippingPoint attraverso HP TippingPoint Threat Management Center,

che offre un modo efficace per valutare l'evoluzione delle minacce e

collegare l'intelligenza raccolta a specifiche modifiche di policy dei

NGIPS/NGFW.

ThreatLinQ consente di ottimizzare in modo proattivo la sicurezza di

rete e di ridurre i rischi di business, sulla base di un'analisi dettagliata

svolta in tempo reale delle informazioni inerenti le minacce

(comprese quelle di nuovo tipo e gli attacchi "top"), suddivise per

Paese e per categoria.

Un esempio di report fornito tramite HP ThreatLinQ


36

HP Threat Central

Tutti i report di vendor e analisti confermano che lo scenario delle

minacce è in costante peggioramento. Uno dei meccanismi capaci di

contribuire a controbattere questo crescente livello di minaccia è lo

scambio d’informazioni per condividere esperienze e misure di

contrasto.

Per questo motivo HP ha sviluppato Threat Central, una piattaforma

collaborativa d’informazioni sulla sicurezza che permette di

condividere, all'interno di una comunità, dati e analisi sulle minacce

fornendo intelligence in tempo reale su vettori di attacco, metodi,

motivazioni e autori specifici che si celano dietro gli attacchi.

HP Threat Central è una piattaforma collaborativa di security

intelligence pensata per creare un sistema di difesa contro le minacce

informatiche più avanzate e per la condivisione di informazioni di

sicurezza da parte di una community di utenti HP che operano su

settori simili.

Attraverso HP Threat Central i membri autorizzati di una community,

per esempio di operatori del settore bancario (dove frequentemente

la stessa tipologia di attacchi viene replicata su più organizzazioni

dello stesso tipo), vengono allertati in tempo reale non appena viene

identificata una minaccia, consentendogli di ricercare all’interno delle

proprie organizzazioni la presenza di indicatori simili a quelli

notificati. Facendo leva sulla piattaforma, i membri della community

possono inviare informazioni sulle minacce, analisi e metodi per

contrastarle.

Lo scambio dei dati all'interno della community avviene in modo

sicuro e riservato, sotto la garanzia dell'HP Security Research Group

che, peraltro, contribuisce direttamente all'attività della community

aggiungendo best practice, risultati delle proprie indagini e

suggerimenti operativi.

Questa piattaforma è stata ulteriormente potenziata con

l’introduzione della HP Threat Central Partner Network, un sistema di

collaborazione tra imprese impegnate nella sicurezza che sta alla


37

base dell’importanza della collaboration a livello di industry per

combattere gli attacchi.

HP sta già collaborando con partner quali Arbor Networks, Blue Coat

Systems, InQuest, ThreatGRID, Trend Micro e Wapack Labs allo scopo

di produrre informazioni strategiche sulla sicurezza per fornire

indicatori pratici alla comunità HP Threat Central.

HP Security Research e HP Enterprise Security Services forniscono

dati alla piattaforma HP Threat Central in aggiunta alle informazioni

condivise tra i membri della comunità e i partner.

Zero-Day Initiative

Tra le iniziative sviluppate da HP a supporto di un approccio proattivo

alla sicurezza enterprise va certamente ricordata la HP Zero-Day

Initiative (ZDI), un programma pubblico di ricerca sulle vulnerabilità

Zero-Day che da molti anni supporta le soluzioni TippingPoint

favorendo una copertura efficace dalle tecniche di attacco sfruttabili

"in the wild" e non ancora risolte da patch rilasciate dai produttori.

ZDI arricchisce l'attività svolta dai Laboratori HP DVLabs con

metodologie, competenze e iniziative di ricercatori indipendenti,

incoraggia la generazione di report sulle vulnerabilità zero-day

attraverso programmi di incentivi per i contributori e permette di

incrementare il livello di protezione offerto attraverso i sistemi HP

TippingPoint NGIPS/NGFW.

HP ZDI mette a disposizione un portale Web per l'invio di

vulnerabilità e per monitorare lo stato, filtri NGIPS per definire i dati

sulle ultime minacce di classe enterprise e per fronteggiare

immediatamente le vulnerabilità mentre sono ancora in corso i lavori

per predisporre patch efficaci.

HP Reputation Security Monitor (RepSM)

Si tratta di uno strumento di Threat Intelligence basato su un livello di

reputazione che viene definito sulla base di dati provenienti dalla

comunità di sicurezza globale e di rilevazioni effettuate da HP.


38

RepSM fornisce un ulteriore livello di intelligenza alla soluzione di

Security Information and Event Management (SIEM) di HP per

operazioni di correlazione in tempo reale, abilitando una reazione

attiva in risposta alle attività dannose e stabilendo il livello di priorità

con cui fronteggiare attività sospette. In tal modo fornisce un utile

sistema per identificare le APT (Advanced Persistent Threat), che

risultano spesso non individuate dai controlli di sicurezza basati su

firme di sicurezza (signature) e, più in generale, abilita operazioni di

sicurezza in risposta ad attacchi sconosciuti con azioni manuali o

automatiche.

L'utilizzo di RepSM abbinato ad H ArcSight Application View permette

di avere visibilità sul comportamento di un malintenzionato

all'interno di un'applicazione e di controllare, per esempio, se

effettua connessioni esterne e se queste sono verso un sito o un IP da

considerare pericolosi.

HP Reputation Security Monitor (RepSM)


39

HP TippingPoint Web AppDV

HP TippingPoint mette a disposizione di propri utenti anche Web

AppDV, una soluzione pensata per proteggere le applicazioni Web

critiche che permette di identificare, monitorare, proteggere e

controllare le applicazioni e il loro utilizzo. Attraverso una scansione

personalizzata delle applicazioni Web, questo servizio consente lo

sviluppo di vaccini digitali specifici per l'utente.

WebAppDV, grazie alla tecnologia Adaptive Web Application Firewall

(WAF), permette di estendere la protezione alle applicazioni online,

attraverso l'identificazione in tempo reale delle vulnerabilità nelle

applicazioni Web e la distribuzione di patch virtuali che consentono di

proteggere l'azienda in attesa della disponibilità di un rimedio

definitivo.

Digital Vaccine Toolkit (DVToolkit)

DVToolkit è lo strumento che apre alle aziende la possibilità di ampliare il

livello di personalizzazione di sicurezza creando internamente filtri di

protezione personalizzati oppure importando nativamente firme create

in open source, per poi trasformarle in filtri TippingPoint ed inserirle in

un package Digital Vaccine specifico.

Questo toolkit permette alle aziende di integrare la protezione DV con

quella dei filtri già realizzati per specifiche applicazioni legacy e di ridurre

i rischi nella condivisione di informazioni sensibili con le terze parti.

Threat Digital Vaccine (ThreatDV)

TippingPoint ThreatDV è un servizio in abbonamento indirizzato agli

utenti delle soluzioni HP TippingPoint NGIPS e NGFW pensato per

favorire la difesa contro le nuove minacce avanzate.

ThreatDV è la combinazione tra un servizio di analisi della

reputazione (in precedenza fornito come servizio autonomo con la

denominazione Reputation Digital Vaccine-RepDV) e un pacchetto

comprendente già oltre mille filtri progettati per rilevare il traffico

nocivo e inibire l'attività del malware. Il pacchetto malware viene


40

aggiornato su base settimanale e i filtri vengono rilasciati in stato

disattivato.

Il servizio di analisi della reputazione di ThreatDV abilita funzionalità

di analisi di contesto e geolocalizzazione sulle sonde IPS in aggiunta a

quelle di analisi del contenuto di dati e protocolli già presenti nei

Digital Vaccine sviluppati da HP. La valutazione del livello di

reputazione si basa sull'analisi incrociata di milioni di data stream

raccolti giornalmente dalla rete mondiale di intelligence HP

TippingPoint ThreatLinQ, dal repository sul malware dei DVLabs, da

reti "honeypot", da fonti gestite da operatori specializzati e da black

list open source. L'analisi di questi dati consente di classificare gli

indirizzi IP (v4 e v6) e i siti pubblici (DNS) potenzialmente pericolosi,

assegnandogli un indice del livello di pericolosità da 1 a 100, stabilito

in base all'analisi della fonte, del livello di attività, della categoria e

del tipo di minaccia. Questo "feed" di reputazione viene aggiornato

ogni 2 ore.

In base al valore di un indicatore di reputazione o di rischio e alla

localizzazione geografica è possibile bloccare le connessioni in uscita

e in entrata dalla rete aziendale con siti non affidabili e anche inibire

gli exploit degli attacchi di nuovo tipo provenienti da attaccanti noti,

prima che siano disponibili le corrispondenti firme di sicurezza.

Il servizio di analisi della reputazione fornito da HP Threat DV

41

LA NETWORK SECURITY

Le reti sono l'elemento abilitante per la realizzazione

di qualsiasi servizio IT a supporto del business

aziendale. Come tale devono essere intrinsecamente

sicure e, a loro volta, un elemento attivo nella

protezione degli asset informativi aziendali. I firewall,

che da sempre rappresentano la prima linea di difesa

per il network aziendale, hanno dovuto evolvere per

riuscire a fronteggiare le nuove minacce. Questo ha

determinato l'arrivo di dispositivi di nuova

generazione, più granulari nell'analisi e più efficaci

nella difesa.

HP ESP risponde a queste esigenze con la gamma di

soluzioni HP TippingPoint.

3


42

La sicurezza delle reti

Il problema di come impostare una strategia per l’infrastruttura di

rete aziendale si abbina, in una buona parte delle realizzazioni, al

modo di predisporre la migrazione e la sostituzione partendo dalla

situazione preesistente e trovando il modo più adatto per perseguire

una trasformazione che determini il minor impatto possibile.

Da questa esigenza specifica, ma basilare nel contesto di

un’operatività aziendale che non può subire interruzioni, non

possono prescindere i fornitori di piattaforme, che si trovano a dover

predisporre modelli architetturali in grado di adattarsi da subito a

nuove esigenze e requisiti di business, integrando l’esistente,

elevando le prestazioni e mantenendosi aperti per un’evoluzione

scalabile.

I requisiti sono sempre più legati ai temi di sicurezza, convergenza,

gestione unificata fisso-mobile, virtualizzazione. Tutto ciò

contribuisce a delineare un’evoluzione tecnologica e una strategia di

trasformazione delle reti in una direzione ben identificata in grado di

dare agli utilizzatori (aziende e operatori) una risposta alle loro

necessità.

Il legame tra requisiti applicativi caratteristiche dell’infrastruttura di

rete e un progressivo orientamento verso un modello orientato ai

servizi ha portato l’approccio al networking sempre più vicino a

quello dell’IT. Per questa ragione perseguire un approccio che punti

semplicemente alle prestazioni può rappresentare, ora più che mai,

una scelta miope. Per esempio l’aspetto della semplicità e

dell’unificazione gestionale diventa sempre più importante. Per le

aziende semplificare le reti significa poter ridurre sostanzialmente i

costi di manutenzione, incrementare i servizi esistenti offrendone

altri multimediali e integrati, incrementare l’affidabilità e il controllo.

Ciò che a volte si sottovaluta è quanto questi aspetti (si pensi per

esempio alla semplificazione) contribuiscano anche in modo

significativo ad aumentare la capacità di controllo del rischio e

favorire un maggiore livello di sicurezza.

3 - LA NETWORK SECURITY

43

A livello di sicurezza, la crescente sofisticazione degli attacchi e il

fatto che questi avvengano tramite una rete trasmissiva obbligano il

manager dei sistemi informativi a considerare quali possono essere le

soluzioni al problema in termini progettuali, le strategie da attuare e

la localizzazione più adatta degli strumenti e delle applicazioni che a

questi attacchi si devono opporre. In pratica, sia che si tratti della

rete di un carrier, di una rete virtuale privata (VPN) o di una rete

aziendale, il problema consiste nell'abbinare le funzioni di sicurezza

con quelle di trasporto della rete in modo che le stesse risultino

sinergiche ed efficaci, idealmente massimizzando i livelli sia di

protezione sia di servizio.

Un ulteriore elemento in grado di caratterizzare il modello

architetturale e condizionare l’efficacia di una rete a supportare

innovativi modelli di business è la capacità di implementare un livello

di intelligenza e di distribuirlo in base agli specifici requisiti di

business. Per queste ragioni, sempre più spesso, le funzioni di

sicurezza sono affidate a dispositivi posti sulla rete e integrati con

quelli preposti a realizzare le funzioni di switching e routing, mentre

cresce la diffusione di appliance dedicate, pronte a integrare

all’interno di quelli che in passato erano semplici switch (anche

periferici) una serie di funzionalità in costante evoluzione. Tutto ciò si

va sempre più combinando con modelli as a service e "cloud based".

L'evoluzione della network security

Il settore tecnologico è in rapido mutamento sotto la spinta

contemporanea di più trend tra loro correlati e ognuno dei quali

racchiude in sé le potenzialità per rivoluzionare il modo di concepire

l'IT stesso. Parliamo di fenomeni quali cloud computing,

virtualizzazione, mobilità e BYOD che cambiano non solo il paradigma

tecnologico, ma anche e soprattutto il modo con cui le aziende

conducono il proprio business. Questi fenomeni creano non solo

opportunità ma anche nuovi rischi di sicurezza.

Il cloud computing introduce nuove modalità per accedere alle

applicazioni all’esterno dei confini aziendali, imponendo alle aziende


44

di predisporre le condizioni per proteggere le interazioni con le

applicazioni enterprise su cloud, come nel caso del Software-as-a-

Service e del cloud storage.

La mobility richiede un controllo e una visibilità delle applicazioni più

ampi, indipendentemente dal punto di accesso. Le aziende devono

tutelarsi dall'introduzione di malware o da potenziali brecce che

potrebbero essere determinate dall'accesso da dispositivo mobile alla

rete aziendale.

Il BYOD ha introdotto un utilizzo promiscuo dei dispostivi mobili per

attività private e aziendali al fine di favorire la produttività e il

coinvolgimento dei dipendenti. Tuttavia, tali dispositivi si collocano ai

confini della rete e sono perciò fuori dalla portata dei tradizionali

sistemi IPS e per proteggere le reti dalle potenziali minacce

introdotte da questi dispositivi, le aziende devono mettere in atto

controlli capaci di operare ai margini esterni della rete.

I rischi si espandono anche verso l'orizzonte applicativo influenzando

i metodi di test dei processi di sviluppo e richiedendo modelli di

protezione basati sull'analisi comportamentale anziché sulla mera

classificazione del malware.

A livello di rete cresce l'impatto degli attacchi DDoS (Distributed

Denial of Service) e si affacciano le APT (Advanced Persistent Threat)

mentre i sistemi di difesa di tipo più tradizionale mostrano i propri

limiti nel rilevare le nuove tipologie di intrusioni o nel contrastare la

sofisticazione dei malware più recenti.

Infine, la crescente diffusione dell'uso di risorse IT sotto forma di

servizio o nel cloud estende le problematiche legate alla conformità

normativa poiché sposta i dati aziendali in un Web privo di confini

nazionali.

Le conseguenze di questo rinnovato scenario sono che le aziende si

trovano ad avere un minor controllo sui punti di accesso alla rete. Ne

deriva l'esigenza di disporre di soluzioni di sicurezza capaci di

estendere la protezione oltre il perimetro della rete aziendale, di

realizzare una più profonda integrazione delle soluzioni IT per

difendere le interazioni degli utenti da potenziali minacce alla


45

sicurezza e di predisporre una protezione dinamica basata su

meccanismi automatizzati e strumenti costantemente aggiornati.

Per stare un passo avanti rispetto all'evoluzione delle minacce

servono sistemi e dispositivi di nuova generazione che sappiano

intervenire in modo più mirato e dispongano del livello di

"intelligenza" necessario a valutare in modo più approfondito e

circostanziato i dati di sicurezza.

Predisporre misure efficaci di sicurezza significa anche affrontare una

revisione della rete non solo di natura tecnologica, ma anche di

carattere strategico.

Un tema da sottolineare nell'evoluzione della network security

riguarda il legame tra i requisiti applicativi e le caratteristiche

dell'infrastruttura di rete nonché il progressivo orientamento verso

un modello orientato ai servizi e al cloud.

Il passaggio da una visione centrata sulla parte "tecnica" di una rete a

quella "applicativa" ha profonde implicazioni a livello di sicurezza,

anche perché coinvolge nel processo decisionale e di cambiamento

un insieme di figure manageriali e aree di responsabilità aziendale più

orientate al business e che, per molto tempo, sono state

sostanzialmente non interessate a quanto era ritenuto di esclusiva

competenza del reparto IT.

La sicurezza del futuro non potrà, quindi, essere un elemento

aggiuntivo del sistema informativo o dell'infrastruttura aziendale ma,

dovrà invece essere un componente pervasivo e integrato di

entrambi, come pure di tutti gli elementi tecnologici, anche non IT,

presenti in azienda. Un primo elemento che emerge è che sicurezza e

rete sono due cose che è sempre più opportuno siano pensate e

sviluppate in modo parallelo. Una tale sinergia appare poi tanto più

necessaria quanto più la rete agisce come integratore e come base

per applicazioni convergenti e per l'erogazione di servizi.

Si tratta del punto di arrivo di un processo di convergenza tra security

e networking che parte da lontano: quando gli switch hanno

cominciato a fare i router e questi ultimi hanno iniziato a controllare

gli accessi tramite le ACL (Access Control List).


46

Le Virtual Private Network (VPN)

La consolidata affermazione delle reti private virtuali (VPN) basate su

protocollo IP è legata al presupposto di realizzazione a basso costo di

una rete privata end-to-end che sfrutti la “gratuità” di Internet.

Vi sono fondamentalmente due modi con cui utilizzare

vantaggiosamente una rete VPN nel contesto aziendale. Il primo,

disponendo di un adeguato accesso a Internet, prevede l’obiettivo

principale di espandere le relazioni con i propri clienti. Il secondo, più

complesso, consiste nell'utilizzare Internet o il protocollo IP,

canalizzato tramite un carrier, non solo per i propri clienti ma anche

per interconnettere le proprie sedi aziendali. In pratica, con una VPN

si ha la realizzazione di un’interconnessione geografica da sede a

sede (generalmente da LAN a LAN) con un costo che è solo una

frazione di quello tipico delle reti geografiche.

Una VPN utilizza un’infrastruttura condivisa per la connessione delle diverse sedi aziendali

Una VPN è virtualmente privata, proprio perché utilizza infrastrutture

di rete condivise anche da altri utenti. Internet, poi, è una classica

rete "aperta", quindi, in linea di massima, aperta lo è anche una VPN.


47

Per questo è necessario che siano implementati opportuni criteri sia

da parte del fornitore sia dell’utilizzatore della VPN stessa.

I dati immessi in rete nel punto di origine, per arrivare al punto di

destinazione, attraversano nodi appartenenti a sottoreti diverse, che

assicurano come funzione di base la commutazione o routing dei

pacchetti IP verso il nodo di destinazione. Proprio questa

"multiproprietà" apre la strada ad attacchi dall'esterno e, in sostanza,

chi si appresta a utilizzare una VPN, ha la necessità di essere protetto

dall'accesso ai suoi dati da parte di persone non autorizzate.

Esistono oggi risposte concrete a queste esigenze, di cui alcune

sviluppate proprio per l’ambito IP, come l’IPsec (Internet Protocol

Security), uno standard specifico per Internet e applicazioni di

commercio elettronico su Internet.

L’architettura IPsec

La suite di protocolli per la sicurezza del livello di rete IPsec prevede

la realizzazione di due diverse modalità di protezione dei dati. La

prima permette di autenticare i dati inviati, la seconda aggiunge a

questo anche la cifratura degli stessi. IPsec costituisce una vera e

propria architettura aperta per la realizzazione di reti sicure che

consente di inserire nuovi metodi di cifratura mano a mano che

vengono sviluppati o che i sistemi utilizzabili per attaccare i dati si

perfezionano.

Le aree che sono state affrontare nella definizione di IPsec sono:

Autenticazione dei dati di origine per verificare che gli stessi siano

stati inviati effettivamente dal mittente.

Protezione dal rischio che i dati possano essere intercettati e

ritrasmessi in un momento successivo.

Integrità dei dati per verificare che quanto inserito nei

datagrammi non sia stato alterato.

Gestione automatica delle chiavi di cifratura in modo da poter

stabilire una politica di rete che non richieda continui interventi

manuali.


48

Le tecnologie di autenticazione possono anche utilizzare elementi

esterni, come i token, ma tali meccanismi rimangono esterni

all’architettura VPN propriamente detta. Così come lo è il protocollo

tipicamente usato nelle reti per la realizzazione di una sessione sicura

su Internet, cioè il Secure Socket Layer (SSL).

Rispondere alle minacce in tempo reale

A monte di qualsiasi progetto per la sicurezza è necessario effettuare

un’operazione culturale. Errare humanum est e appunto sfruttando

l’ingenuità, l’ignoranza o comportamenti irresponsabili dei

dipendenti, gli “attacker” penetrano nei sistemi e reti aziendali.

Negli anni sono aumentati gli attacchi perpetrati attraverso il social

engineering. È facile credere a una mail che arriva apparentemente

da un dirigente aziendale con un tono minaccioso e quindi cascare in

trappole tese da un malintenzionato che era riuscito a impossessarsi

di un paio di informazioni, magari raccolte su un sito di social

networking, dove in molti si confessano liberamente. Il phishing, in

particolare, è nato proprio con il concetto di sfruttare l’ingenuità

delle persone e, utilizzando tecniche di spamming, colpisce sempre

più facilmente nel segno. Statisticamente, inviando centinaia di

migliaia di e-mail, c’è certamente qualcuno che crede a messaggi

sempre più plausibili e clicca sul link-esca.

Le logiche dei grandi numeri fanno il resto: se “abbocca” l’1% dei

destinatari (è una percentuale stimata da diversi security advisor),

significa migliaia di identità elettroniche, numeri di carta di credito,

password o altre informazioni rubate. Anche percentuali inferiori

portano a risultati interessanti, che spesso rappresentano solo la

base di partenza per ulteriori crimini.

Conoscenza e consapevolezza riducono il rischio, ma, soprattutto

nelle grandi imprese, non è facile diffondere una cultura sulla

sicurezza a tutti i dipendenti. Senza contare che combattere la

pigrizia e la debolezza della natura umana è una battaglia persa in

partenza.


49

Allora la guerra va combattuta e vinta su altri terreni e, vista la

sofisticazione e la crescente rapidità degli attacchi, l’unica strategia

possibile consiste nell’applicare strumenti automatici.

Un esempio può aiutare a comprendere le dimensioni del problema.

A partire dalla seconda metà del 2007, si è assistito all’affermazione

di una tecnica preoccupante: “l’infezione” di siti insospettabili.

Su home page e pagine interne di Web facenti capo a enti

governativi, università, aziende anche note sono stati inseriti link che

attivano il download di codici maligni. È evidente che qui non c’entra

la cultura e solo un software di protezione può impedire all’utente

ignavo di scaricare malware. Peraltro, il sistema di sicurezza deve

essere sofisticato e aggiornato in tempo reale: in altre parole,

automatico. Altrimenti non può essere efficace. Basta infatti

considerare che viene pubblicata una pagina infetta ogni 5 secondi e

una percentuale sempre più alta di tali pagine appartiene a siti

“innocenti”.

Siti che non ricevono alcun danno e, quindi, difficilmente possono

percepire che c’è qualcosa di sbagliato, almeno non in tempi rapidi. Il

punto è che queste azioni sono rapidissime: viene pubblicata la

pagina infetta, contestualmente vengono mandate centomila e-mail

utilizzando pc “puliti” all’insaputa del proprietario (questo sì

colpevole di scarsa protezione). Nel giro di pochi minuti, se non

secondi, circa mille malcapitati (l’1% dei destinatari) avranno cliccato

sul link trappola.

Oggi, esistono soluzioni che proteggono da tecniche come queste, ma

non tutti ne dispongono. I primi passi in questa direzione sono stati

compiuti con le soluzioni NAC (Network Access Control) che

consentono di verificare il livello di sicurezza dei client prima di

concedergli l’accesso alla rete aziendale. Ma in realtà il problema da

affrontare è quello accelerare l’aggiornamento dei sistemi aziendali

per diffondere la protezione a ogni sistema contemporaneamente.

Nell’ultimo periodo soprattutto tra gli ambiti emersi come i più critici

nell’ambito della network security possiamo ricordare: l'esigenza di

protezione degli endpoint in uno scenario di mobilità crescente, gli


50

attacchi DDoS (Distributed Denial of Service), le minacce APT e la

lotta alle intrusioni che ha portato allo sviluppo di Firewall e IPS

(Intrusion prevention system) di “prossima generazione".

Controllare chi o cosa vuole entrare nella rete:

i rischi degli endpoint

Il punto di partenza è che non solo qualunque utente, ma anche

qualsiasi sistema dovesse chiedere accesso alla rete potrebbe portare

traffico nocivo.

Abbandonando il concetto di perimetro, gli endpoint sono da sempre

un pregiato oggetto di attacco. Oggi più che in passato, perché molte

delle tecniche emergenti, oltre a tentare di sfruttare l’ignoranza o la

disattenzione dell’utilizzatore, sono state sviluppate proprio per

agganciare un “endpoint” e usarlo come chiave d’accesso al sistema

aziendale. Il tutto all’oscuro del proprietario del mezzo, cui si cerca di

dare meno fastidio possibile.

Per questo, l’approccio al controllo degli accessi è profondamente

cambiato nel giro di pochi anni e, se in passato appariva sufficiente

controllare l’identità di chi chiedeva l’accesso, oggi risulta sempre più

importante verificare anche le condizioni del sistema utilizzato per il

collegamento. In altre parole è opportuno capire se il computer con

cui un utente si vuole connettere è dotato di quei requisiti di

sicurezza che si ritengono necessari.

Questo controllo è importante tanto per il pc dell’utente occasionale

(il partner, il fornitore, il cliente) quanto, anzi di più, per quello del

dipendente. Non è più pensabile affidarsi alle policy aziendali, che

vengono sistematicamente disattese (troppi utenti, per esempio,

disattivano l’antivirus o la suite di sicurezza perché rallenta troppo le

applicazioni, ancora oggi che le soluzioni sono decisamente più

performanti di un tempo). Non è un caso che, negli anni, si è assistito

a un proliferare delle caratteristiche di “enforcement” all’interno

delle soluzioni per la protezione del pc: queste sono necessarie per

obbligare l’utente a mantenere adeguato il livello di sicurezza della


51

propria macchina. La probabilità dell’attacco e la rapidità dello

stesso, infatti, non consentono di avere un pc “scoperto”.

L’errore dell’utente, dolente o nolente, è statisticamente tra le

principali cause di problemi per la sicurezza ed è ovvio che i

malintenzionati cercheranno sempre di approfittarne. Per questi

motivo, l'adozione di sistemi automatizzati per la protezione degli

endpoint è diventata ancor più cruciale con la diffusione di minacce

nascoste, che si annidano sul terminale per poi trasferirsi all’interno

del sistema aziendale una volta che il pc si connette alla rete. Anche

senza dolo, l’utilizzatore potrebbe essere il punto debole attraverso il

quale viene sferrato un attacco.

Il problema ha assunto un ulteriore carattere d’urgenza, con il

proliferare di sistemi portatili, spesso impiegati anche per attività

personali e frequentemente collegati a reti e sistemi di terze parti,

sulla cui sicurezza l’azienda fatica ad esercitare un controllo. Ma

anche perché è sempre più necessario e frequente far entrare anche

utenti occasionali, come partner e fornitori.

Gli attacchi DDoS (Distributed Denial of Service)

Tra le minacce alla sicurezza di rete che meritano, sfortunatamente,

un approfondimento, vi è il tema degli attacchi di Distributed Denial

of Service (DDoS) che nell'ultimo periodo sono emersi come una delle

minacce critiche nell'ambito della network security.

I DDoS, in estrema sintesi, consistono nel "bombardare" un servizio

Web con grandi volumi di traffico, fino a metterlo in tilt. Sono

diventati noti perché strumento preferito per le azioni dimostrative

dei gruppi Anonymous, che hanno avuto una grande eco mediatica.

Negli ultimi dieci anni, gli attacchi DDoS si sono moltiplicati,

allargando gli ambiti di impiego. Crescono, per esempio, gli attacchi

mirati di sabotaggio. Sabotaggi che riguardano soprattutto il mondo

aziendale, con episodi di concorrenza sleale, per esempio nell'ambito

del gaming online e del commercio elettronico.

Va infatti considerato che l'industria dei servizi online sta crescendo

notevolmente, affiancando anche attività tradizionali: non è inusuale,


52

per esempio, che piccole aziende agricole riescano a vendere i propri

prodotti DOP o IGP in tutto il mondo attraverso Internet. C'è chi

sente sicuro, magari perché ritiene di non avere concorrenti o di

essere troppo benvoluto per diventare un bersaglio. Il problema,

però, sono i danni collaterali: si sono verificati, infatti, attacchi

destinati a data center di provider, che hanno colpito più servizi. Per

le Telco e i service provider quello dei DDoS sta diventando un

problema serio.

Dallo spionaggio industriale a quello dei servizi segreti, il passo è

purtroppo breve e la Cyber War è una preoccupazione che agita molti

governi. Il primo caso di Cyber War che viene citato è l'attacco che

nel 2007 ha isolato da Internet l'ex Repubblica sovietica d'Estonia

proprio con attacchi DDoS. La Russia, principale indiziato nega.

In nome della Cyber Defense si investe, ricordando la Guerra Fredda,

nella corsa agli "armamenti", in termini di CyberWarefare, cioè nel

dotarsi di competenze, risorse umane e "armi" informatiche,

compresi gli strumenti DDoS.

Le vulnerabilità dei sistemi SCADA

Un tema collegato alla Cyber War e al cyber terrorismo e che

riguarda la network security è quello delle infrastrutture critiche che

erogano servizi essenziali ai cittadini.

In particolare, il tema riguarda gli Industrial Control Systems (ICS) che

sono dispositivi, sistemi, reti e controlli utilizzati per operare e/o

automatizzare i processi industriali, presenti in quasi ogni settore,

dalla produzione di veicoli al trasporto, dall’energia al trattamento

delle acque. Gli ICS comunicano con i sistemi e le reti SCADA

(Supervisory Control And Data Acquisition) che forniscono agli

operatori i dati per le attività di supervisione e la capacità di controllo

per la gestione dei processi.

La sicurezza di sistemi ICS/SCADA resta un tema importante perché

sono comunemente utilizzati per il funzionamento di industrie di

grande rilevanza e per il monitoraggio e controllo della maggiore

parte dei servizi essenziali ai cittadini, come la fornitura di acqua,


53

elettricità, gas e anche i mezzi di trasporto. In ambito industriale i

sistemi ICS/ SCADA sono utilizzati da tempo e, mano a mano che

l’automazione continua a evolversi e diventa più importante a livello

mondiale, la loro diffusione e importanza cresce.

Una crescita a cui, purtroppo, fa eco una mancanza di protezione ben

documentata e ampiamente conosciuta. È noto, per esempio, che

attraverso Internet si possono effettuare ricerche che restituiscono

facilmente l’accesso ai pannelli di controllo di sistemi SCADA,

l’identificazione delle macchine e delle loro funzioni. Altri siti

vengono sempre più spesso utilizzati per la diffusione di informazioni

legate ai dispositivi ICS/SCADA come, per esempio, i loro indirizzi IP.

Tutto ciò ha favorito e continua a favorire le azioni del cyber crimine

che, negli ultimi anni, ha segnato importanti punti a proprio favore

con minacce quali Stuxnet considerato uno dei codici malware più

sofisticati che sia mai stato scritto.

Va rimarcato che i sistemi ICS/SCADA, sebbene simili nelle funzioni ai

sistemi di ICT Security, differiscono notevolmente da questi ultimi nel

modo di interpretare l’esigenza di sicurezza. La prima priorità dei

sistemi IT di sicurezza è tipicamente la protezione dei dati mentre nei

dispositivi ICS/SCADA si tende a privilegiare l’affidabilità e

l’accessibilità dei dati per non compromettere la produttività.

Ogni sistema SCADA presenta poi caratteristiche specifiche in termini

di requisiti di disponibilità, architettura, obiettivi e requisiti

prestazionali e questo richiede che vengano trattati in modo unico.

Solitamente i sistemi SCADA non prevedono di default la presenza di

soluzioni anti malware. Questo è legato sia alla loro natura

intrinsecamente legacy sia perché si tratta di macchine deputate al

controllo di altri strumenti per cui una qualsiasi forma di ritardo nel

calcolo computazionale introdotta da un sistema di controllo

potrebbe causare inconvenienti. Per questa ragione solitamente il

controllo dei sistemi SCADA viene effettuato a livello di singola

macchina in modalità batch e, in molti casi, non è neppure possibile

effettuare controlli in rete.


54

Un altro problema di cui le aziende solitamente non si preoccupano è

che le macchine SCADA sono gestite e manutenute da terze parti.

Pertanto, se non si ha la possibilità di esercitare un’azione di

controllo sui processi di queste operatori o se non si mette a loro

disposizione un sistema per effettuare un controllo in linea della

macchina, il rischio di introdurre malware su uno di questi dispositivi

diventa elevato.

In base a queste considerazione, l'approccio più efficace che emerge

per la protezione di questi sistemi (analogo a quello utile per

fronteggiare le APT) è di predisporre un modello di security

intelligence in grado di fornire un monitoraggio affidabile e continuo

del comportamento di reti e sistemi per segnalare prontamente

eventuali anomalie sospette.

Verso i firewall e IPS di prossima

generazione

Uno dei primi problemi che le aziende si sono poste con l'apertura

verso il Web è stato il controllo degli accessi alla rete aziendale, per il

quale sono stati sviluppati opportuni protocolli di autenticazione.

È stato però subito evidente che dalla Rete potevano arrivare sul

sistema e sul Web aziendale dei malintenzionati. Inizialmente, si

temeva più che creassero danni per gioco, mentre oggi si sa che

vogliono colpire in maniera mirata per sottrarre informazioni di

business da rivendere o sfruttare ai propri fini.

Sono nati i firewall, che si preoccupavano di "chiudere" alcune porte

della rete, permettendo il passaggio solo di "traffico giusto". Nel

corso del tempo, tuttavia, i firewall di tipo tradizionale si sono

dimostrati inadatti a filtrare in modo efficace il traffico di rete per

bloccare le minacce avanzate che sono diventate anche capaci di

eludere, con piccole modifiche al codice, il sistema di rilevazione degli

IPS tradizionali, basato sulla corrispondenza tra "signature" di

sicurezza ed exploit.


55

L'escalation tra tecniche d'intrusione e sistemi per rilevarle e

bloccarle è storia. La rincorsa prosegue, ma il modo di

fronteggiarsi tra aspiranti intrusori e aziende ha cambiato ritmo e,

da entrambe le parti, si adottano sistemi più automatizzati e

sofisticati.

I Next Generation Firewall rappresentano uno degli ultimi step di

questo percorso evolutivo.

La prima definizione di Next Generation Firewall si deve a Gartner

che nel suo "Magic Quadrant for Enterprise Network Firewalls" del

2009 individua come requisiti caratterizzanti per questo tipo di

soluzioni l'integrazione delle seguenti funzioni:

analisi approfondita dei pacchetti (Deep Packet Inspection),

Intrusion Detection,

capacità di riconoscere le applicazioni,

capacità di controllo granulare.

Inoltre i Next Generation Firewall differiscono dai firewall

tradizionali nella loro efficacia quando operano anche come

sistemi di Intrusion Prevention (IPS).

Le ragioni per adottare un NGFW/NGIPS

Gli NGFW/NGIPS rispondono all'esigenza delle imprese di

incrementare il livello di sicurezza e, nel contempo, di conseguire

una minore complessità grazie all'elevato livello di integrazione. Più

specificatamente, le ragioni per indirizzarsi verso un NGFW/NGIPS

sono molteplici ma possiamo individuarne almeno tre.

La prima riguarda la possibilità di controllo a livello di applicazioni,

le cui vulnerabilità rappresentano ormai il veicolo prevalente di

tutte le violazioni. Si tratta, in realtà, di una conseguenza

dell'evoluzione e dell'innovazione di approccio degli attacchi che si

stanno spostando dalla rete, per sfruttare le falle anche dei

sistemi operativi e delle applicazioni. Di conseguenza, dato che il

cyber crimine trova modi sempre più ingegnosi nello scoprire

nuovi percorsi dati, è fondamentale rendere sicuro l'intero flusso.


56

Un controllo a livello di applicazione è di fondamentale

importanza, perché permette alle organizzazioni di impostare

policy specifiche per un utente, per ogni applicazione che

utilizza.

Una seconda motivazione riguarda la diffusione della mobilità e

la crescita fenomenale di App che, come dimostrano diversi studi

(per esempio il Cyber Risk Report 2014 di Ponemon

sponsorizzato da HP), presentano per la maggior parte

vulnerabilità in relazione alla possibile perdita o fuoriuscita di

dati.

Un risultato che non sorprende se si considera che, i campioni

unici di minacce indirizzati al sistema Android hanno già superato

abbondantemente l'impressionante numero di un milione.

Un'ulteriore driver riguarda la constatazione che le nuove

minacce come le APT stanno aumentando di numero, mentre gli

obiettivi si estendono progressivamente dalle aziende più grandi

per includere, potenzialmente, qualsiasi tipo di organizzazione.

L'importanza delle tecnologie firewall evolute diventa evidente

se si considera che la prima fase di un attacco APT è di penetrare

le difese di rete in modo inosservato. Dopo la realizzazione di

questo obiettivo, il cyber criminale può eseguire una serie di

azioni, come il furto di dati sensibili, il sabotaggio dei sistemi o

l'utilizzo illecito delle risorse di calcolo.

Questi attacchi sono molto efficaci nel passare inosservati e

possono protrarsi per diversi mesi o addirittura anni.

In un contesto di reti senza perimetro, minacce persistenti e

utenti remoti, gli NGFW/NGIPS rappresentano, pertanto,

soluzioni efficaci per la sicurezza di rete e versatili nel poter far

evolvere le modalità di protezione senza impattare su processi e

infrastruttura.


57

HP TippingPoint Next Generation

Firewall (NGFW)

Con la gamma TippingPoint di sistemi firewall di nuova generazione

(NGFW) HP si propone di fornire una soluzione per contrastare il

malware avanzato e le minacce APT.

I dispositivi della gamma HP TippingPoint di nuova generazione

forniscono il livello di visibilità necessario a riconoscere quali

applicazioni stanno girando sulla rete aziendale e chi sta accedendo a

tali applicazioni per poi consentire di predisporre le policy richieste

per bloccare e controllare le applicazioni non richieste.

Questo livello di visibilità e controllo consente alle organizzazioni di

restringere l’accesso generale di certi dipendenti alle applicazioni di

trasferimento dei file nel cloud, qualora sussista il rischio che la

proprietà intellettuale possa essere memorizzata in contrasto alle

policy aziendali.

Per fronteggiare i rischi legati alla mobilità gli NGFW/NGIPS di HP

abilitano il blocco automatico del codice nascosto o dannoso che può

introdursi in rete, ricorrendo a capacità di blocco delle vie d’uscita in

modo da evitare la fuoriuscita di dati sensibili verso destinazioni

"Command-and-Control".

Per rispondere ai rischi introdotti dal BYOD gli utenti delle soluzioni

HP TippingPoint hanno a disposizione controlli sulle policy delle

applicazioni a livello granulare, che consentono anche di gestire

l’interazione con le più diffuse piattaforme social e consumer come

Facebook, Google e Twitter.

Tra i punti distintivi di queste soluzioni vi è anche la semplicità d'uso

che le rende adatte anche alle organizzazioni prive di personale

specializzato. L'installazione e il rilascio in produzione può avvenire,

secondo HP, in meno di un'ora e mettendo a disposizione una singola

interfaccia di gestione in grado di condividere la configurazione delle

policy per la sicurezza di rete.


58

L'affidabilità è un altro aspetto su cui HP intende rimarcare il

valore dei propri dispositivi mentre, per quanto riguarda l'efficacia

della propria tecnologa di protezione nel bloccare possibili

minacce, HP mette sul piatto l'attività del team di ricerca DVLabs

che ha pubblicato migliaia di filtri e che è costantemente

impegnato in operazioni per arrestare gli exploit e bloccare gli

attacchi.

Il portafoglio prodotti della famiglia HP TippingPoint NGFW

prevede attualmente cinque modelli.

Tra le funzionalità comuni a tutti i modelli vi è il supporto per

funzionalità di rete predisposte per il protocollo IPv6 che

includono Link aggregation, OSPF, RIP, supporto VLAN, BGP e

routing multicast dinamico. Inoltre, prevedono funzioni di alta

disponibilità sia in modalità attiva sia passiva. Questi appararti

supportano connettività tramite VPN IPsec sia in modalità "site-to-

site" sia "client-to-site".

I Next Generation Firewall di HP prevedono anche il supporto

integrato per la definizione di policy basate sull'utente con servizi

di autenticazione basati su Active Directory, LDAP o RADIUS. Le

funzioni di controllo d'accesso tramite ruolo (RBAC) consentono di

avere sempre sotto controllo chi è in grado di intervenire sulla

configurazione del dispositivo e su quali parti.

Tutti i modelli dispongono di una porta di rete RJ-45 10/100/1000

per la gestione out-of-band oppure possono essere gestiti in

modalità

in-band tramite porte di rete. Inoltre è presenta una porta seriale

RJ-45 per la console.

La gestibilità può avvenire tramite Security Management Server

(SMS), linea di comando SSH, Web browser (https) oppure

utilizzando la HP TippingPoint NGFW Management Information

Base (MIB).

Il consumo energetico è di 142 W per il modello entry level e di

493 W per gli altri quattro.


59

HP TippingPoint Next Generation Firewall S1050F

È la soluzione entry level adatta per le implementazioni di rete delle

filiali.

Si tratta di un dispositivo da rack di dimensioni 1U che supporta un

throughput fino a 500 Mbps in modalità solo firewall, che lo rende

adatto a supportare fino a 250mila connessioni simultanee e fino a

10mila nuove connessioni per secondo; se utilizzato in modalità

Firewall+IPS+Application control il throughput massimo suggerito è di

250 Mbps.

I valori di latenza tipici di questo dispositivo nella modalità d'utilizzo

Firewall+IPS sono inferiori a 600 microsecondi. Il throughput a

disposizione per la realizzazione di VPN IPsec è di 250 Mbps con la

possibilità di creare fino a 1250 tunnel VPN.

HP TippingPoint Next-Generation Firewall S1050F

Il firewall S1050F dispone di 8 GB di storage integrato su memoria

Flash CFast rimovibile. La connettività di rete prevede otto porte

RJ-45 10/100/1000 più una porta 10/100/1000 per l'alta disponibilità.

HP TippingPoint Next Generation Firewall

S3010F/S3020F

I Next Generation Firewall S3010F/S3020F sono apparati di

dimensioni 2U indicati per le implementazioni di rete di campus e

filiali, essendo adatti per un numero di connessioni simultanee

rispettivamente di 500mila e 1 milione.

La capacità storage in dotazione è di 8 GB, mediante memoria Flash

CFast rimovibile.


60

La connettività di rete prevede otto porte 10/100/1000 e otto porte 1

Gbps SFP rame/fibra a cui si aggiunge una porta 10/100/1000 per

l'alta disponibilità.

Il tempo di latenza tipico in modalità Firewall+IPS è inferiore a 120

microsecondi e possono essere stabilite fino a 500mila (S3010F) o un

milione (S3020F) di sessioni contemporanee.

Il modello 3010F mette a disposizione un throughput di 500 Mbps in

modalità Firewall+IPS+Application control che sale a 1 Gbps quando

utilizzato in modalità di solo Firewall. Una banda di 500 Mbps a

disposizione per le VPN IPsec.

Il modello S3020F raddoppia il throughput arrivando a 2 Gbps in

modalità solo Firewall e 1 Gbps quando opera come

Firewall+IPS+Application control.


HP TippingPoint Next Generation Firewall

S8005F/S8010F

Al top della gamma si collocano i due modelli S8005F e S8010F di

dimensioni 2U adatti per 10 e 20 milioni di connessioni simultanee.

Si tratta di apparati indicati per le implementazioni di rete dei data

center che dispongono di 32 GB di storage integrato su memoria

Flash CFast rimovibile.


61

La connettività di rete prevede otto porte 10/100/1000, otto

porte 1 Gbps SFP rame/fibra, quattro porte 10 Gbps SFP

rame/fibra e due porte 10/100/1000 per l'alta disponibilità.

Il tempo di latenza tipico in modalità Firewall+IPS è inferiore a

120 microsecondi e possono essere stabilite fino a 50mila

nuove connessioni al secondo.

A livello di prestazioni il modello S8005F mette a disposizione un

throughput di 5 Gbps in modalità solo Firewall o di 2,5 Gbps in

modalità Firewall+IPS+Application control e 1,5 Gbps per le VPN

IPsec; questi numeri raddoppiano sul modello S8010F.


HP TippingPoint Security Management System

HP TippingPoint SMS mette a disposizione un sistema di management

centralizzato per la condivisione di configurazioni e policy di sicurezza

della rete attraverso i firewall (NGFW) e i sistemi IPS di nuova

generazione dispositivi (NGIPS).

HP TippingPoint SMS è un'appliance che fornisce una vista globale e

la possibilità di amministrazione, configurazione, monitoraggio e

reporting nelle implementazioni su larga scala di molteplici IPS.

Una tipica distribuzione di IPS HP su tutta la rete è costituita da un client

SMS (basato su Java), da un sistema centralizzato SMS e da molteplici

IPS.


62

Un esempio di visualizzazione fornita da HP Security Management System

L'SMS prevede livelli di controllo di accesso basati su privilegi di

operatore (sola lettura), amministratore e supervisore. Fornisce una

vista generale, con analisi sui trend, correlazione e grafici in tempo reale,

compresi report con statistiche sul traffico, attacchi filtrati, host di rete e

servizi di inventario e stato di salute degli IPS.

Le caratteristiche principali includono:

reporting e analisi dei trend a livello enterprise,

cruscotto che fornisce una vista globale,

configurazione e monitoraggio del dispositivo,

reporting automatico,

meccanismi di Automated Security Response,

gestione basata su policy,

gestione del Digital Vaccine,

gestione e revisione degli eventi,

risposta automatica a eventi e operazioni di rimedio,

gestione degli user account e degli accessi.


63

HP TippingPoint Next Generation IPS

Per superare i limiti di un IPS tradizionale e fregiarsi del titolo di "next

generation", un NGIPS dovrebbe offrire funzionalità avanzate di

rilevamento delle minacce, compresa la rilevazione delle anomalie di

comportamento, la reputazione IP e analisi di tipo euristico. Questi

metodi di rilevamento sono necessari se si vuole sperare di

sconfiggere exploit su misura, attacchi zero-day e polimorfici. Inoltre,

deve essere in grado di identificare ed effettuare controlli sia a livello

di applicazioni sia di utente finale.

Un NGIPS dovrebbe anche essere in grado di raccogliere e analizzare

un volume ingente di dati per essere efficace, ma introducendo una

latenza minima e con un impatto trascurabile sulla disponibilità dei

sistemi.

Per supportare i requisiti di larghezza di banda richiesti è importante

anche la presenza di un'elevata densità di porte ed è auspicabile il

supporto per il 40 GbE (sempre più adottato nelle reti aziendali) e di

standard come IEEE 802.1AX Link Aggregation Control Protocol

(LACP).

Un NGIPS dovrebbe poter essere implementato come appliance di

bridging trasparente poiché, come tale, può essere inserito sulla rete

senza richiedere un indirizzo IP o modifiche, semplificando

notevolmente il processo di acquisizione, approvazione e

distribuzione.

Un altro fattore che influenza il valore di business nella scelta di un

NGIPS è la sua predisposizione a supportare le nuove tecnologie

come la virtualizzazione e il cloud computing. Per esempio, le

appliance di sicurezza di rete fisiche non sono in grado di controllare

le comunicazioni tra macchine virtuali; di conseguenza, sarebbe

auspicabile che un portafoglio di prodotti NGIPS includesse anche

appliance virtuali NGIPS per monitorare le comunicazioni tra

macchine virtuali e proteggere completamente ambienti cloud

privati, pubblici e ibridi.


64

Infine, un NGIPS dovrebbe offrire anche la possibilità di aggiungere

facilmente nuove funzionalità di sicurezza, al fine di adattarsi ai

cambiamenti ambientali e al mutamento degli scenari di minaccia

nonché alla crescita organizzativa di un'azienda.

Tutti questi requisiti trovano conferma nella gamma di soluzioni HP

TippingPoint NGIPS che prevede tre macro componenti:

le piattaforme hardware specializzate per la prevenzione delle

intrusioni (IPS);

le soluzioni appliance e virtual machine HP TippingPoint

Security Management System (SMS) che forniscono funzioni di

gestione della sicurezza di livello enterprise a tutti i prodotti di

sicurezza HP TippingPoint;

l'organizzazione di ricerca per la sicurezza DVLabs che effettua

una ricerca avanzata delle minacce correlando eventi di

sicurezza e di vulnerabilità, per fornire le informazioni

intelligenti di sicurezza che alimentano le piattaforme IPS come

i Digital Vaccine (i filtri per proteggere le reti dai diversi tipi di

minacce) e il servizio integrativo di reputazione dinamica della

rete pubblica ThreatDV.

HP TippingPoint Security Management System (SMS)


65

Le soluzioni HP TippingPoint NGIPS individuano le nuove vulnerabilità

presenti sulla rete e intervengono applicando delle "patch" virtuali

che fermano sul nascere la diffusione di traffico dannoso. Di fatto, il

sistema IPS di HP ottimizza le prestazioni del traffico legittimo

effettuando una continua pulizia della rete e assegnando la massima

priorità alle applicazioni mission critical.

Queste soluzioni dispongono anche di funzioni di elevata disponibilità

e ridondanza e sono caratterizzate da una latenza tipica inferiore a

40 microsecondi, per proteggere dispositivi di rete, software di

virtualizzazione, sistemi operativi e applicazioni da attacchi senza

impattare sulle prestazioni.

Le soluzioni HP TippingPoint NGIPS e il sistema di gestione della

sicurezza (SMS) possono essere facilmente installati in rete,

tipicamente in un tempo che varia, secondo quando indicato da HP,

da 30 minuti a due ore, senza richiedere di associare alcun indirizzo IP

o MAC, in modo da poter iniziare immediatamente a filtrare il traffico

dannoso e indesiderato.

Gli NGIPS di HP consentono di gestire le policy di sicurezza con

granularità fine: gli amministratori possono impostare criteri di

sicurezza di rete specifici per segmento di rete, VLAN, o Classless

Inter-Domain Routing (CIDR). Inoltre, attraverso le funzionalità di

reputazione della piattaforma NGIPS e il Reputation Digital Vaccine,

gli utenti possono incorporare l'uso di indirizzi IP e dei nomi DNS

all'interno della loro gestione delle policy di sicurezza.

HP TippingPoint IPS Serie NX

La serie HP TippingPoint NX di sistemi di prevenzione delle intrusioni

di prossima generazione è in grado di fornire in tempo reale

protezione in linea dalle intrusioni e una sicurezza proattiva della rete

adatte a sostenere l'evoluzione e la crescita dei data center.

Utilizza la tecnologia X-Armour di TippingPoint per garantire un

sistema di prevenzione delle intrusioni adattivo che protegge dalle

minacce informatiche che aggrediscono le applicazioni, le reti e i dati

critici.


66

La serie NX comprende i modelli S2600NX, S5200NX, S6200NX con un

throughput di rete di 40 Gbps e una capacità di ispezione

rispettivamente di 3, 5 e 10 Gbps.

I modelli S7100NX S7500NX hanno un throughput di rete di 100 Gbps

e una capacità di ispezione rispettivamente di 15 e 20 Gbps,

supportando fino a 60 milioni di sessioni contemporanee.

Tutti i dispositivi Serie NX hanno tempi di latenza inferiori a 40

microsecondi.

HP TippingPoint NGIPS S7100NX

HP TippingPoint IPS Serie N

La serie N di appliance NGIPS HP TippingPoint per la prevenzione

delle intrusioni mette a disposizione delle aziende un elevato livello

di protezione in-line e in tempo reale attraverso differenti sistemi che

si differenziano per prestazioni e capacità di filtro.

I modelli HP 660N e HP 1400N sono i sistemi "entry level" dotati di 10

segmenti con interfaccia a 1 Gbps e supportano una capacità di

ispezione IPS rispettivamente di 750 Mbps e 1,5 Gbps.

Alle esigenze di fascia superiore si indirizzano i modelli HP S2500N,

S5100N e S6100N dotati di interfacce a 1 e 10 Gbps e adatti a un

throughput consigliato rispettivamente di 3, 5 e 10 Gbps.

In particolare la piattaforma TippingPoint 6100N ha una capacità di

filtro fino a 10 Gbps e un tempo di latenza di soli 40 microsecondi


67

adatto alle richieste di protezione di traffico in ambienti altamente

virtualizzati senza penalizzare la qualità operativa.

Tutti i modelli prevedono il sistema di alimentazione ridondante e

altre funzionalità per l'alta disponibilità quali Layer 2 Fallback e

Stateful Redundancy.

HP TippingPoint Core Controller

Sotto la continua spinta del consolidamento a livello di data center,

dell'high performance computing (HPC) e delle applicazioni a elevata

richiesta di ampiezza di banda come il video on-demand e il file

sharing, le reti "core" utilizzano sempre più spesso tecnologia di rete

a 10 Gbps.

Pertanto, l'esigenza di ispezionare il traffico e bloccare le minacce

dannose presso i punti caratterizzati da elevato traffico di throughput

senza compromettere il livello prestazionale diventa sempre più

pressante. Per questo motivo i responsabili della rete e della

sicurezza si preoccupano di predisporre sistemi IPS non solo presso il

tradizionale perimetro WAN, ma anche tra i principali segmenti di

rete all'interno delle reti "core" e dei data center.

HP Core Controller è un sistema dotato di 48 porte 1000Base-T e 6

porte 10GbE che estende la protezione IPS basata su tecnologia

TippingPoint ai collegamenti a 10 Gbps.

HP TippingPoint Core Controller


68

Questa soluzione consente un'ispezione automatizzata del traffico in linea,

fino a 20 Gbps, per proteggere dagli attacchi i dispositivi di rete, i software

di virtualizzazione, i sistemi operativi e le applicazioni Web e aziendali.

HP TippingPoint Core Controller viene implementato inserendolo

come elemento di rete, adatto a supportare fino a 3 connessioni di

rete a 10 Gbps. Il traffico che entra nel Core Controller viene

bilanciato in modo intelligente verso una serie di IPS, mentre quello

affidabile viene inviato nuovamente al Core Controller per la

distribuzione verso gli appropriati collegamenti a 10 Gbps.

HP TippingPoint CloudArmour

HP TippingPoint CloudArmour è una combinazione di prodotti

progettati per garantire la sicurezza delle infrastrutture data center

virtualizzate, che controlla e proteggere il traffico di macchine virtuali

all'interno di server host fisici, offrendo piena capacità IPS.

Si compone di diversi prodotti: la piattaforma fisica NGIPS e le

soluzioni software virtual Controller (vController) e virtual

Management Center (vMC) e virtual Firewall (vFW).

vController è il software che viene installato nella Service Virtual

Machine di ogni host virtualizzato e che si colloca all'interno

dell'hypervisor VMware tramite l'API VMsafe.

Una volta installato, vController può analizzare tutto il traffico

proveniente da qualsiasi delle macchine virtuali applicative

presenti sull'host virtualizzato e permette di applicare

all'hypervisor un firewall virtuale che esegue tre compiti:

verifica se il traffico è consentito o meno e decide se lasciarlo

passare;

se il traffico non è consentito, lo blocca completamente a

livello di hypervisor;

se il traffico è consentito offre la possibilità di ispezionarlo.

Il vController indirizza il traffico attraverso una VLAN dedicata verso il

dispositivo fisico IPS per l'analisi. L'IPS ispeziona il traffico, blocca

qualsiasi contenuto dannoso e quindi passa il traffico ispezionato di


69

nuovo al vController (sempre attraverso una VLAN) che inoltra il

traffico verso la sua destinazione originaria.

Questo meccanismo permette di controllare il traffico in entrata e in

uscita dal data center al perimetro, quello tra host fisici presenti nel

data center, tra host fisici e VM e anche il traffico tra due macchine

virtuali sullo stesso host virtualizzato, facendo rispettare le policy di

sicurezza.

Dato che ogni vController presente nel data center dispone di tutte le

policy di reindirizzamento, viene garantita la medesima condizione di

sicurezza per ogni macchina virtuale o applicazione,

indipendentemente da dove venga collocata all'interno del data

center, su un sistema fisico o virtuale.

HP TippingPoint CloudArmour


70

La soluzione vController è completamente gestita da virtual

Management Center che è pienamente integrato con il Security

System Management di HP TippingPoint abilitando, in tal modo, una

gestione integrata e che mette sotto il controllo esclusivo del

personale addetto alla sicurezza IT tutte le funzioni di gestione della

protezione. vMC fornisce la piena visibilità del data center

virtualizzato favorendo il controllo e la sicurezza delle macchine

virtuali.

HP TippingPoint SSL

HP TippingPoint S1500 SSL è l'appliance che offre funzionalità di

"offloading" e "bridging" sicuro per le attività di ispezione del traffico

crittografato SSL (Secure Sockets Layer).

Questa capacità aumenta la sicurezza all'interno dei data center di

nuova generazione e consente di prevenire che attacchi crittografati

possano compromettere Web server e applicazioni Web, favorendo

anche il rispetto della compliance.

HP TippingPoint Advanced Threat

Appliance (ATA)

HP TippingPoint ATA sfrutta i Next-Generation Firewall, gestiti

attraverso la HP TippingPoint Security Management System (SMS),

per bloccare immediatamente le minacce evitandone la

propagazione attraverso la rete, spuntando una delle armi che

caratterizzano l'attacco strutturato in più fasi che contraddistingue gli

attacchi mirati e persistenti (i cosiddetti APT).

Questa soluzione utilizza un insieme diversificato di tecniche di

rilevamento di tipo statico, dinamico e comportamentale affiancando

tecniche di blocco automatizzato con sistemi di rilevazione delle

minacce. L'obiettivo è quello di fornire una difesa efficace in

corrispondenza o immediatamente dopo il punto iniziale di infezione

(paziente zero), bloccando rapidamente ulteriori infiltrazioni e la

possibile diffusione laterale e, nel contempo, predisponendo in modo

http://www.tomshw.it/cont/news/hp-tippingpoint-blocca-sul-nascere-gli-attacchi-mirati/58941/1.html


71

automatizzato le condizioni per inibire attacchi futuri dello stesso

tipo.

Quando un'appliance HP TippingPoint ATA rileva una possibile

minaccia, l'informazione viene passata al TippingPoint Security

Management System che, a sua volta, comunica in tempo reale con

gli HP TippingPoint Next-Generation Firewall. La combinazione tra i

risultati dell'analisi sulla nuova minaccia e l'applicazione di policy di

sicurezza permette di coordinare in modo automatico una risposta

alla minaccia a livello dell'intero network.

Nel caso in cui venga rilevato un comportamento di rete sospetto, la

soluzione TippingPoint ATA è anche in grado di eseguire il potenziale

malware in un ambiente sandbox sicuro.

L'appliance HP TippingPoint ATA permette di identificare l'utente, il

dominio e la macchina coinvolti in un incidente di sicurezza e di

rendere disponibile i dati di sicurezza corrispondenti alle funzioni di

reporting di SMS o a un'interfaccia utente utilizzabile per attività

investigative a fini legali.

Le soluzioni di HP per l'identificazione del "paziente zero" di un'infezione


72

73

LA SICUREZZA DELLE APPLICAZIONI

Cresce costantemente la pressione degli attacchi che

mirano al livello applicativo per sfruttarne le

vulnerabilità. Questo incremento di rischio pone

l'enfasi sulla necessità di rafforzare il controllo di

sicurezza nei processi di sviluppo del codice e di

predisporre accurate azioni di test, per approdare alla

realizzazione di nuove tipologie di applicazioni in

grado di resistere agli attacchi con sistemi di

autoprotezione.

HP ESP risponde a queste esigenze attraverso la

famiglia di soluzioni HP Fortify.

4


74

Una protezione multilivello

Il 24% degli attacchi informatici che si sono verificati nel 2013 e nel

primo semestre del 2014 hanno sfruttato vulnerabilità note. Almeno

stando al Rapporto Clusit 2014, che ha analizzato solo gli attacchi resi

pubblici. Peraltro, altre ricerche dimostrano che non solo le

vulnerabilità sono ancora al primo posto tra le "falle" preferite, ma

che addirittura l'80% degli attacchi sono rivolti al layer applicativo.

La maggior parte delle soluzioni di sicurezza sono concentrate,

storicamente, sul "perimetro" aziendale. Un concetto che sta

perdendo vieppiù di significato. Anche per le applicazioni i fornitori di

Information Security hanno seguito questo approccio, per esempio

con i Web Application Firewall e altre soluzioni un po' più sofisticate,

progettate per identificare anomalie.

L'evoluzione delle minacce, però, ha reso poco efficaci le classiche

tecniche per l'analisi del traffico, richiedendo controlli

"contestualizzati", al fine di comprendere la natura di determinate

azioni, apparentemente maligne ma, in realtà lecitamente previste

dall'applicativo.

La sicurezza perimetrale resta fondamentale per monitorare il

traffico e bloccare una gran numero di attacchi. Anche se il perimetro

aziendale è sempre più "liquido", sul mercato si trovano soluzioni che

sono in grado di adattarsi alle nuove architetture "aperte".

Esistono, però, diversi aspetti da considerare quando si guarda alle

applicazioni. il primo è quella delle vulnerabilità: cioè dell'utilizzo

improprio di quelle soluzioni applicative o di altre componenti

software, un cui difetto di programmazione permette di superare i

controlli di sicurezza. Il secondo aspetto riguarda il traffico

applicativo, che è in forte aumento e ancor più lo sarà, tanto per il

successo della mobility, quanto e soprattutto per quello del cloud.

Infine, un terzo aspetto riguarda l'utilizzo delle applicazioni, che va

monitorato soprattutto per verificare che un utilizzatore non abusi

dei propri privilegi, accedendo, magari, a informazioni riservate (per

esempio, l'ammontare dello stipendio dei colleghi), ma anche per

4 - LA SICUREZZA DELLE APPLICAZIONI

75

evitare che ci si distragga troppo, magari su Facebook, o addirittura

mettendo a rischio l'impresa (accedendo a contenuti illegali, come

quelli pedopornografici).

In particolare, per quanto riguarda la mobility, bisogna distinguere

tra quello che è l'accesso alle applicazioni aziendali attraverso

dispositivi mobili, da quello che è invece il traffico generato verso

Internet per l'utilizzo di app non direttamente aziendali.

Le app aziendali sviluppate sui diversi sistemi operativi per dispositivi

mobili, che, di fatto sono iOS di Apple, BlackBerry 10 di BlackBerry,

Windows 8 e le molteplici versioni di Android, rispondono alle stesse

logiche di qualsiasi pezzo di software sviluppato internamente.

Diverso è il caso delle app scaricate dagli store disponibili

commercialmente. Queste, infatti, non sono sotto il diretto controllo

dell'azienda e presentano diverse criticità: innanzitutto ne esistono

molte che contengono direttamente malware o reindirizzano a esso.

Altre potrebbero contenere vulnerabilità che consentono di

penetrare sul dispositivo e qui carpire informazioni aziendali. Questo

ultimo caso, in genere, viene affrontato dalle soluzioni di mobile

security, in particolare, con quelle recenti di "containerization", che

isolano i dati aziendali dal resto dispositivo, impedendone l'accesso

se non attraverso le app aziendali.

Design sicuro e vulnerability patching

Una strategia di sicurezza accurata è basata sulla gestione del rischio,

il cui processo è basato su tre fasi: identificazione delle minacce cui

sono soggette le risorse (insieme e singolarmente); identificazione

delle vulnerabilità (o vulnerability assessment); valutazione del

rischio. Nel vulnerability assessment, che identifica tutte le aree di

esposizione alle minacce, dall'errore involontario del dipendente al

dolo, al disastro naturale, è compresa anche l'analisi delle

vulnerabilità applicative o di sistema.

Tali vulnerabilità sono, in generale, dovute a errori o trascuratezze di

gestione: una configurazione superficiale, un bug del software, una

versione non aggiornata dell’antivirus e così via. Tali errori sono


76

molto diffusi e si possono identificare con accurate analisi sia del

software stesso, attraverso specifici strumenti, sia delle minacce

note, perché la vulnerabilità potrebbe sorgere grazie a una

combinazione di elementi.

Un difetto di un programma, però, non è necessariamente una

vulnerabilità, se non consente di sfruttare l'errore per penetrare nella

rete aziendale. In altre parole, una vulnerabilità diventa una minaccia

quando viene anche realizzato un exploit.

Quando viene rilevata da uno dei tanti ricercatori assoldati perlopiù

dai vendor di soluzioni informatiche, la vulnerabilità viene

comunicata all'editore del software che presenta il bug,

consentendogli di mettersi subito al lavoro per "riparare" il buco.

Passato del tempo il problema viene reso noto. Questo normalmente

avviene quando è disponibile una patch (toppa in inglese), cioè un

aggiornamento del software che elimina la vulnerabilità correggendo

il difetto. Il giorno in cui viene disvelata la vulnerabilità è detto "0

day". Un tempo, occorreva qualche giorno prima che venissero

inventati gli exploit, ma ben presto si è cominciato a parlare di "0 day

threat": in realtà, oggi, sono molte le vulnerabilità che vengono

scoperte e denunciate, dopo che un malintenzionato le abbia

sfruttate.

Sono diversi gli exploit sviluppati dagli attacker e hanno un ciclo di

vita variabile, ma spesso inopinatamente lungo. Si potrebbe pensare

che la disponibilità di una patch ponga fine a tale ciclo vitale, ma sono

molte le imprese che non riescono a stare dietro ai processi di path

management e questo permette di usare una vecchia vulnerabilità

anche ad anni di distanza, come nel caso della SQL Injection.

Per risolvere queste problematiche, sono stati realizzati negli anni dei

sistemi che consentono di realizzare una sorta di pathing virtuale.

Sono tecnologie che consentono di proteggere l'infrastruttura

aziendale, come se fosse stato corretto il difetto, anche se,

permanendo il difetto, un eventuale secondo exploit potrebbe non

essere coperto.


77

Queste difficoltà hanno portato alcuni editori di software tra i più

diffusi a impostare regole ferree nella fase di sviluppo del software: in

altre parole, l'idea è quella di eliminare il problema alla base,

producendo software che non contenga errori.

Ovviamente questa è una soluzione preventiva efficace che permette

di mitigare il rischio derivante dagli attacchi evidenziati nel rapporto

Clusit e non solo. Tale azione può essere effettuata con l'application

security testing. Quest'ultimo permette di verificare passo il

funzionamento del software e di controllare che non si possano

utilizzare le sue caratteristiche in maniera malevola. In altre parole

impedisce di mettere in esercizio applicazioni che contengono

vulnerabilità note e previene il rischio che si lascino altre falle nei

nuovi sistemi sviluppati.

Certamente sono stati compiuti giganteschi passi avanti rispetto al

passato, quando alcuni software vendor trovavano "naturale" e forse

divertente demandare ai clienti la bug discovery. Oggi i processi sono

stati notevolmente migliorati e le applicazioni sono molto più sicure

sin dalla nascita, ma le esigenze di time to market, le conoscenze non

sempre approfondite sulla sicurezza e, soprattutto, le maggiori

risorse di sviluppo sul fronte dei cyber criminali, rendono impossibile

disporre di un'applicazione sicura al 100%. Questo non significa che

non si debbano seguire processi di testing accurati per progettare le

applicazioni il più sicure possibili.

L'analisi del traffico applicativo

Secondo il rapporto Clusit 2014, gli attacchi dovuti ad azioni di

Cybercrime (furti o frodi, perlopiù) sono circa un quarto del totale. Il

resto sono attacchi dei cosiddetti hactivist (sempre meno numerosi e

sempre meno dannosi, perché crescono le protezioni contro il

Distributed Denial of Service), azioni di sabotaggio e spionaggio.

Diversi sono i percorsi di attacco, ma molti di questi hanno un

elemento in comune: le applicazioni, che sono poi il motivo per cui ci

si collega a Internet e al Web o, se si preferisce, il motivo per cui si


78

utilizzano dispositivi mobili e non. In ogni caso, il dato è comunque

l'obiettivo finale nella stragrande maggioranza dei casi.

Senza considerare, per ovvie ragioni, gli enormi volumi di traffico

generati dagli attacchi DDoS, peraltro sempre più destinati a essere

bloccati direttamente dal provider di connettività, il traffico

applicativo risulta fortemente cresciuto e si prevede che continuerà a

crescere, per la diffusione e il successo delle soluzioni in cloud: dai

Web Service al Software as a Service. A questo si aggiunge la

crescente tendenza a consentire il telelavoro, che prevede l'accesso

da remoto alla rete e alle applicazioni che risiedono nel data center

aziendale.

Si consideri che, tra globalizzazione, internazionalizzazione, mobility

e, non ultima, una rivoluzione nell'ambito delle procedure di backup,

di fatto il sistema informativo non viene più spento (almeno nella

stragrande maggioranza delle imprese), come avveniva fino a qualche

anno fa. Dunque questo flusso continuo di traffico deve trovare

canali di comunicazione aperti che, pertanto, possono diventare una

comoda porta d'accesso all'infrastruttura IT aziendale.

Per questo motivo le nuove tecniche per la prevenzione delle

minacce informatiche si basano su analisi approfondite del codice in

ingresso sulla rete aziendale. Non è una questione banale, perché

queste grandi quantità di traffico non possono essere rallentate a

piacere. In generale, ne risente la produttività dei lavoratori, che

avvertono anche la frustrazione di una user experience non ottimale.

In particolare, inoltre, ci sono applicazioni che sono altamente

sensibili alla latenza della rete: basti pensare alla videoconferenza,

che è una soluzione di comunicazione sempre più apprezzata da

quando nuovi standard di compressione ne permettono l'utilizzo

attraverso Internet direttamente dal proprio pc, senza tutte le

complessità delle grandi sale riunioni con i sistemi complessi di una

volta.

Da qui il successo e il crescente interesse verso i firewall e gli

Intrusion Prevention System (IPS) di ultima generazione, che


79

implementano soluzioni per l'analisi delle anomalie e per la

simulazione del "comportamento" applicativo.

Perlopiù si tratta di soluzioni cosiddette di "sandboxing". Come nelle

"scatole di sabbia" in cui giocano al sicuro i bambini nei parchi giochi,

in queste sandbox è possibile depositare il codice e "giocarci" con

tranquillità per verificarne le azioni e la sua pericolosità. Aspetto

fondamentale dei sistemi di sandboxing è classificare il malware che

viene riconosciuto come tale, in modo da poterlo facilmente

identificare una seconda volta.

La logica, inoltre, è creare una "signature" o qualcosa che permetta

comunque ad altri sistemi di riconoscere l'impronta di questo

malware. Tali analisi possono essere accelerate da servizi in cloud,

che aggiornano prontamente tutti i dispositivi non appena una nuova

minaccia viene identificata e, in qualche modo, resa immediatamente

riconoscibile da tutti i sistemi.

Applicazioni e RASP

L'aspetto della rapidità non è indifferente, considerando che non si

può pensare di bloccare tutto il traffico solo sulla base di un sospetto.

Per questo i Web Application Firewall, che originariamente nascono

per controllare i contenuti e l'utilizzo delle applicazioni per impedirne

abusi, non possono agire in tempo reale, ma devono aspettare i

risultati delle analisi, e quando li ricevono potrebbe essere troppo

tardi.

Un altro problema è rappresentato dalle più recenti tecniche

impiegate dai cyber criminali nelle minacce APT (Advanced Persistent

Threat) utilizzate per attacchi mirati. In questi casi, il codice non viene

prodotto per colpire un gran numero di computer, ma bersagli

precisi, con più fasi. Una delle quali può essere l'annidamento di un

codice nocivo non identificabile con l'analisi del comportamento.

Questi malware, infatti, se vengono lanciati in esecuzione non

compiono alcuna azione maligna. Ma, dopo un programmato lasso di

tempo che può essere anche piuttosto lungo, attivano nuove funzioni

che ne cambiano l'azione.


80

Non tutte le soluzioni sono in grado di rilevare queste minacce. Così

come tecniche dette "evasive" possono confondere firewall e IPS. A

questo si aggiunga il sempre attuale tema delle vulnerabilità e

relative patch e si arriva a comprendere quanto complesso possa

essere il fronte applicativo nella lotta al cybercrime.

È dunque a ragion veduta che gli analisti del Gartner, già nel 2012,

avevano evidenziato l'importanza delle soluzioni per il collaudo delle

applicazioni. Non solo un test statico, utile soprattutto prima del

rilascio del software, ma anche un testing dinamico e, addirittura

interattivo. Queste funzionalità si uniscono a quelle dei Web

Application Firewall per costituire una nuova classe di soluzioni,

chiamate RASP (Runtime Application Self Protection), che si stanno

rivelando fondamentali per una protezione in tempo reale delle

applicazioni.

Di fatto, le applicazioni devono essere intrinsecamente sicure, a

partire dal progetto e dalla fase di sviluppo. Questo non basta, però,

perché solo in runtime è possibile verificare il funzionamento.

Ricordiamo che l'applicazione è sviluppata per svolgere determinate

funzioni e non è possibile immaginare tutti i possibili "abusi" di tali

funzioni. Solo analisi durante la fase d'elaborazione, con i dati e le

query reali, possono intercettare situazioni anomale. Proprio questo

è l'ambito in cui operano le soluzioni RASP.

Runtime Application Self Protection

Le soluzioni "Runtime Application Self Protection" (RASP) non

nascono per sostituire questi primi due livelli di protezione, ma per

aumentarne l'efficacia. I Web Application Firewall, infatti, sarebbero

in grado di eseguire le azioni protettive necessarie, se solo avessero

le informazioni giuste e le avessero in tempo, ma in ogni caso

forniscono tecnologie dedicate alla protezione delle applicazioni.

La protezione RASP è appunto capace di analizzare il codice in tempo

reale e di attuare contromisure sulla base dei risultati. Punto

fondamentale: l'analisi deve avvenire nel contesto reale,

direttamente nell'ambiente di produzione.


81

Questo perché solo il reale funzionamento, con l'utilizzo dei dati

effettivi permette di portare a termine l'analisi: per capire il

comportamento di una query SQL, per esempio, è necessario

guardare la query completa, che si costruisce, di fatto, all'interno

dell'applicazione.

Le soluzioni RASP, definite da Gartner un "must to have" per la prima

volta nel 2012, dunque, costituiscono una protezione essenziale per

le applicazioni in produzione.

Come accennato, il funzionamento di un'applicazione varia anche in

base alla tipologia di dati che essa deve elaborare. Per verificarne il

comportamento è dunque necessario osservare lo stesso

nell'ambiente d'elaborazione, durante l'elaborazione stessa.

Attualmente, le soluzioni sul mercato effettuano questo tipo di

controlli con dispositivi "esterni" all'ambiente di runtime, come

firewall e IPS. Si tratta di soluzioni certamente valide ma la cui

efficacia potrebbe essere ridotta dall'impossibilità d'entrare nella

logica dell'applicazione, della sua configurazione e delle sue relazioni

con i flussi dei dati e degli eventi. Non a caso sono spesso "relegati" a

una funzione di alerting, non potendo garantire l'accuratezza

necessaria a evitare tassi di falsi positivi accettabili.

Secondo gli analisti di Gartner, le imprese cosiddette "pioniere" della

tecnologia hanno già adottato tecnologie RASP o lo stanno facendo,

mentre le altre dovrebbero comunque implementarle entro i

prossimi tre anni. Un lasso di tempo durante il quale le tecnologie

oggi sul mercato arriveranno a una piena maturità. Già adesso,

peraltro, sono in essere soluzioni che, appoggiandosi al cloud,

permettono alle imprese di utilizzare lo stato dell'arte in ambito

RASP, seguendone "naturalmente" l'evoluzione e, non per ultimo, di

incontrare minori difficoltà nell'implementazione, installazione e

gestione delle soluzioni.

Peraltro, sempre secondo Gartner, entro il 2017 il 25% degli ambienti

di elaborazione avranno capacità di autoprotezione integrate

(rispetto a meno dell'1% nel 2012).


82

Questa "urgenza" deriva dalla crescente pressione delle minacce sul

layer applicativo. È fondamentale che le applicazioni siano in grado di

"autoproteggersi": cioè disporre di funzioni che le proteggano

durante l'elaborazione. Queste devono idealmente poter osservare

qualsiasi dato entri o esca dall'applicazione, tutti gli eventi che la

riguardano, ogni istruzione eseguita e tutti gli accessi al database.

Una soluzione RASP possiede tutti questi requisiti e così permette

all'ambiente d'elaborazione di rilevare gli attacchi e proteggere

l'applicazione più a fondo.

Web Application Firewall e Interactive Application

Security Testing

In buona sostanza, le soluzioni RASP combinano le tecnologie dei

Web Application Firewall (WAF) e dell'Interactive Security Testing

(IAST), mettendo insieme funzionalità di scansione, monitoraggio in

real time, detection, protezione, analisi dell'esecuzione e analisi del

traffico. In pratica, si tratta di una nuova tecnologia resa possibile

solo grazie all'interazione di altre tecnologie. La componente IAST, di

recente introduzione, è fondamentale, perché è questa che "arma"

l'ambiente di runtime. Tali soluzioni di testing s'integrano per

esempio in una Java Virtual Machine (JVM) o nel .NET Common

Language Runtime (.NET CLR) diventando parte.

Essendo all'interno della JVM o del .NET CLR, il sistema di test riesce a

"vedere" i flussi indotti da un attacco. Meglio ancora, li può simulare

per prevederli.

Le soluzioni RASP prendono a prestito tale capacità dalle tecniche

IAST e, contemporaneamente, utilizzano la capacità di reazione in

tempo reale dei Web Application Firewall per terminare una sessione

"maligna" o per lanciare un alert in caso di esecuzioni sospette

rilevate dall'Interactive Application Testing.

È quindi la combinazione delle due tecnologie che rende possibile la

Runtime Application Self Protection. Di fatto, la massima efficienza si

ottiene combinando tutte le tipologie di application protection

disponibili, dal testing statico a quello dinamico fino a quello


83

interattivo. Non solo, perché le analisi delle vulnerabilità e quelle

degli attacchi condotte da queste tecnologie sono alla base delle

soluzioni RASP. Proprio la loro combinazione realizza la self

protection, permettendo di superare i principali limiti. Se l'analisi

statica permette di sospettare una vulnerabilità in una linea di codice,

solo l'analisi in runtime consente di verificare la consistenza di un

exploit che sfrutta la vulnerabilità ipotizzata. Potrebbe dunque

accorgersene il test dinamico dell'applicazione. Nessun sistema di

test, peraltro, è in grado di fermare un attacco. Può invece farlo il

RASP, prendendo la decisione in base alle informazioni fornite dal

testing applicativo e utilizzando le capacità d'azione real time del

WAF.

In effetti, può avvenire anche il contrario: la componente Web

Application Firewall può rilevare traffico sospetto e "richiede" alla

componente IAST di effettuare un supplemento di analisi testando il

flusso d'elaborazione e di dati durante l'esecuzione.

In ogni caso, la soluzione RASP sfrutta la combinazione delle

tecnologie, ma non le sostituisce. Il Web Application Firewall, infatti,

ha ragione di sussistere anche a sé stante per bloccare un'azione

potenzialmente dannosa, come il collegamento a un sito Web

elencato in una blacklist.

Le soluzioni RASP rappresentano una prima pietra miliare di un

percorso verso il cosiddetto "Application Shielding", che potremmo

tradurre come la "blindatura delle applicazioni". Blindare

un'applicazione per renderla resistente agli attacchi, permettendole

di difendersi direttamente da sola.

Ancora una volta, sottolineiamo che non si tratta di sostituire un

precedente livello di protezione, né, in realtà di aggiungerne uno

nuovo, ma più semplicemente di allargare l'orizzonte di protezione,

per rispondere all'espansione del fronte di attacco.

È ancora presto per capire fino in fondo come si svilupperà

l'Application Shielding o quanto rapidamente si affermeranno le

tecnologie RASP. Anche perché ci sono diversi fattori che

intervengono nel disegnare tale scenario. Per esempio, l'adozione di


84

soluzioni per la Runtine Application Self Protection sarebbe

probabilmente accelerata dalle alleanze che i produttori di

applicazioni e/o quelli del middleware per gli ambienti d'elaborazione

potrebbero siglare con i vendor che sviluppano e vendono soluzioni

RASP. In pratica, si potrebbero realizzare ambienti di runtime blindati

alla nascita.

Questo avrebbe anche il benefico effetto di rendere meno invasiva

l'analisi di sicurezza e testing, riducendo il rischio di impatti sulle

capacità di elaborazione.

Un contributo ad accelerare la blindatura delle applicazioni potrebbe

arrivare anche dal cloud, come precedentemente accennato.

L'ambiente di runtime è pressoché totalmente controllato dal cloud

provider. Per costoro è quindi logico installare soluzioni RASP che

garantiscano la sicurezza dell'elaborazione. Con tale garanzia

possono girare la responsabilità di eventuali attacchi alla connessione

di rete utilizzata dal loro cliente.

Lasciare la gestione della soluzione RASP al provider è un vantaggio

anche per il cliente, che non si dovrà più preoccupare di installare e

manutenere tali soluzioni.

In un circuito virtuoso queste soluzioni contribuiscono a sciogliere i

dubbi sulla sicurezza del cloud che rimane uno dei principali ostacoli

alla sua adozione.

HP Application Defender

HP ha introdotto tecniche RASP già da qualche tempo, per esempio

nelle soluzioni HP WebInspect e HP ArcSight Application View.

Soprattutto la tecnologia RASP di HP Fortify Runtime è implementata

come estensione di un debugger Java o di un profiler .NET, appunto a

protezione delle applicazioni Java e .NET. A queste si aggiungono

altre funzioni inserite nei sistemi per il monitoraggio.

Insomma una base significativa, che ha permesso ad HP di maturare

un consistente esperienza in materia di tecnologie RASP.


85

Esperienza che è stata ulteriormente messa a frutto con il servizio per

la protezione delle applicazioni in cloud HP Application Defender.

Più precisamente, si tratta di un managed service per

l'autoprotezione delle applicazioni, in risposta alla crescente

pressione degli attacchi informatici ai servizi applicativi online.

Con l'aumentare del numero e della complessità delle applicazioni

aziendali, la superficie esposta agli attacchi cresce considerevolmente

e, come in precedenza osservato, i tradizionali metodi per proteggere

le applicazioni richiedono tempi lunghi, a cominciare dall'installazione

delle patch, mentre le difese perimetrali rappresentano solo una

protezione indiretta.

Per questo motivo HP ha progettato un sistema di autoprotezione

delle applicazioni, basato sull'analisi in tempo reale dell'esecuzione

stessa del codice, monitorandone così l'attività per prevenire le

aggressioni dall'interno dell'applicazione. Grazie al servizio di auto-

protezione delle applicazioni, HP Application Defender consente alle

aziende di identificare automaticamente le vulnerabilità del software

e di proteggersi in tempo reale.

Gli aspetti caratteristici di HP Application Defender

Dopo il processo di configurazione, la piattaforma cloud based

consente ai professionisti della sicurezza d'individuare e bloccare le

aggressioni senza cambiare codice o installare altri dispositivi sulla

rete.


86

HP Application Defender Threat Management Timeline (in blu le istanze protette, in rosso quelle monitorate)


87

La soluzione permette di gestire e riportare i dati di sicurezza in

tempo reale, tramite dashboard interattive e alert che forniscono

informazioni dettagliate sulla natura dell'attacco e sul punto in cui si

è verificato.

L'accuratezza è garantita dal fatto che HP Application Defender

fornisce informazioni dall'interno dell'applicazione. Questo aiuta gli

sviluppatori a risolvere il problema in via permanente nel codice

sorgente, mentre lo stesso viene risolto in maniera virtuale

nell'ambiente di produzione.

Le soluzioni HP Fortify per un codice

sicuro

La diffusione di nuove tecnologie cloud e mobili ha notevolmente

incrementato la richiesta di sviluppo di nuovi software contribuendo

ad accelerare ulteriormente l'esigenza delle software house di fornire

in tempi rapidissimi una risposta alle richieste espresse dai loro

clienti. Tutto ciò sta mettendo alla prova la capacità di molte

organizzazioni di effettuare test di sicurezza approfonditi prima della

distribuzione dell'applicazione e l'elevatissimo numero di

vulnerabilità associato alle applicazioni ne è un'evidenza.

All'interno della propria visione complessiva per la protezione

enterprise, HP colloca le soluzioni della gamma HP Fortify.

Si tratta di una serie di strumenti pensati per favorire uno sviluppo

sicuro ed eliminare alla fonte le possibili vulnerabilità e per

predisporre ambienti di test di tipo statico, dinamico e in tempo reale

adatti a verificare le caratteristiche di sicurezza del codice.

HP Fortify predispone un approccio proattivo di Software Security

Assurance per affrontare in modo sistematico il rischio di

vulnerabilità nel software sulla base del principio che è più efficace e

conveniente proteggere le applicazioni mentre sono in fase di

sviluppo che farlo dopo che sono state rilasciate.


88

L'ambito di intervento dei componenti della famiglia HP Fortify

HP Fortify definisce quattro livelli di priorità per classificare la gravità

delle vulnerabilità: critico, alto, medio e basso.

I risultati delle valutazioni sono consegnati in un insieme di

semplici grafici basati su un sistema coerente di valutazione a

cinque stelle, che fornisce informazioni sulla probabilità che la

vulnerabilità venga identificata e sfruttata da un outsider e

sull'impatto in termini di danno potenziale che un

malintenzionato potrebbe arrecare al patrimonio aziendale,

sotto forma di perdita finanziaria, violazione della conformità,

perdita di reputazione del marchio, pubblicità negativa o altro.

HP Fortify Software Security Center

HP Fortify Software Security Center è una suite di soluzioni altamente

integrate pensata per automatizzare e gestire la sicurezza applicativa

e prevenire le vulnerabilità di sicurezza all'interno delle applicazioni.

Questa famiglia di soluzioni riduce i rischi di sicurezza legati al

software aziendale garantendone l'affidabilità e la conformità ai


89

requisiti aziendali, indipendentemente dal fatto che sia stato

sviluppato in casa o acquisito da terze parti, sia nel caso che sia stato

sviluppato per il desktop o per ambienti mobili o cloud.

HP Fortify Software Security Center consente di testare la sicurezza

delle applicazioni e di identificare le vulnerabilità sia in modalità on-

premises sia on-demand.

Visualizzazione dei trend in Fortify Software Security Center

Questa suite svolge due attività fondamentali a supporto della

gestione di sicurezza del software.

La prima è di mettere a disposizione funzioni di test di sicurezza per

identificare le vulnerabilità lungo il ciclo di vita di un’applicazione, sia

sviluppata internamente sia esternamente, attraverso tecnologie di

test statico, dinamico e di analisi ibrida (statico-dinamica) in tempo

reale.

La seconda attività riguarda l’analisi del ciclo di vita del processo di

sviluppo attraverso funzioni di automazione di gestione,

tracciamento, correzione e governance del rischio associato al

software enterprise.


90

HP Fortify Runtime

Oltre alla suite di controllo della sicurezza delle applicazioni, HP

Fortify è in grado di fornire anche una protezione attiva in tempo

reale per le applicazioni Web con il componente Fortify Runtime

(in precedenza denominato Runtime Analyzer).

HP Fortify Runtime esegue il monitoraggio, la registrazione e la

protezione delle applicazioni da minacce alla sicurezza; raccoglie dati

sugli attacchi reali ed è in grado di identificare e interrompere

minacce quali gli attacchi di script a più siti.

HP Fortify Runtime è integrato con:

HP Fortify Software Security Center per la gestione,

HP WebInspect per la convalida approfondita delle

vulnerabilità e della protezione della sicurezza delle

applicazioni al runtime (ovvero RASP),

HP ArcSight ESM/Express via Application View per l'intelligence

e la correlazione degli eventi di sicurezza.

L'integrazione tra Fortify Runtime e le altre componenti della sicurezza HP

Questo componente è un agent che si installa sui server che ospitano

le applicazioni basate su Java o .Net e che, monitorando dall’interno

l’esecuzione delle applicazioni stesse, è in grado di riconoscere

quando le richieste fatte a quest’ultime siano lecite o possano

contenere evidenze di un potenziale comportamento illecito.


91

Questo è possibile grazie alla particolare esecuzione dei due linguaggi

fatta in ambienti virtuali (CLR per .Net e JVM per Java) che consente

di vedere l’esecuzione dell’applicazione sequenzialmente: se a questo

si aggiunge la capacità globale di HP Global Security Research di

fornire l’intelligenza necessaria a distinguere quando nei processi di

esecuzione dell’applicazione in atto qualche cosa disattende la

normalità e manifesta una netta propensione al comportamento

illecito, il potenziale della protezione esprimibile da questo connubio

è evidente. Non esiste, infatti, un punto di osservazione più interno e

più concreto di questo: dall’interno dell’applicazione poi è possibile

non solo osservare ma anche bloccare questi comportamenti e

generare allarmi che possono essere presi in carico da SIEM come HP

ArcSight.

Fortify Runtime

HP Fortify Static Code Analyzer

HP Fortify Static Code Analyzer (SCA) è la tecnologia sviluppata da HP

per valutare il livello di sicurezza del software e rendere sicuro il

codice legacy mentre questo viene sviluppato. Questa tecnica

analizza ogni percorso che l'esecuzione e i dati possono seguire per

identificare ed eliminare le vulnerabilità di sicurezza nel codice

sorgente.


92

La soluzione proposta da HP utilizza diversi algoritmi e una base di

conoscenza estesa di regole di codifica sicure per analizzare il codice

sorgente di un'applicazione alla ricerca di vulnerabilità che

potrebbero essere sfruttate in applicazioni distribuite. Fortify SCA ha

la capacità di rilevare più di 500 tipi di vulnerabilità in 21 linguaggi di

sviluppo e più di 700mila componenti a livello di API.

Per verificare che i problemi più gravi siano affrontati per primi,

correla e assegna una priorità ai risultati per fornire una classifica dei

rischi e una guida dettagliata su come risolvere le vulnerabilità a

livello di linea di codice.

A partire dalla versione 4.0, HP Fortify SCA adotta un nuovo

approccio basato sull'analisi di più thread di applicazioni software in

parallelo per migliorare le prestazioni di scansione e per velocizzare il

rilevamento e la risoluzione delle vulnerabilità. In tal modo è

possibile effettuare test di sicurezza più frequenti, consentendo la

scansione completa delle applicazioni senza impattare il processo di

sviluppo. Questo approccio consente di minimizzare i falsi positivi e

mette a disposizione report di analisi della sicurezza software più

dettagliati con classifiche di rischio per applicazioni mobili, Web,

client e server.

HP Fortify SCA mette disposizione opzioni di implementazione

flessibili con possibilità di accesso on-premises oppure on-demand.

ABAP/BSP COBOL Python

ASP.NET JavaScript/Ajax Ruby

C Java (with Android) T-SQL

C# JSP VB6

C++ Objective C VBScript

Classic ASP PHP VB.NET

ColdFusion PL/SQL HTML

Flex XML

Principali linguaggi supportati dall'analisi statica di Fortify


93

HP Audit Workbench

HP Fortify Static Code Analyzer è completato dal tool HP Audit

Workbench, che fornisce un'interfaccia grafica utilizzabile per

effettuare la scansione dei progetti software e per organizzare,

investigare e predisporre i livelli di priorità sui risultati delle analisi, in

modo che il team di sviluppo possa risolvere problemi di sicurezza.

Tramite Audit Workbench è possibile visualizzare ed effettuare l'audit

dei file FPR direttamente da HP Fortify Static Code Analyzer, da HP

Fortify Runtime Application Protection e da HP Fortify Program Trace

Analyzer.

La presenza di una serie di template di progetto permette di

organizzare al meglio grandi scansioni.

Un campione di file FPR nell'interfaccia di auditing Fortify Audit Workbench

HP WebInspect

HP WebInspect è uno strumento automatizzato e configurabile che

effettua test dinamici sulla sicurezza delle applicazioni Web e test di

penetrazione. Imita le tecniche di hacking e gli attacchi, consentendo

di analizzare a fondo le applicazioni e i servizi Web per individuare

possibili vulnerabilità di sicurezza.


94

HP WebInspect

HP WebInspect consente di testare le applicazioni Web dallo sviluppo

alla produzione, di gestire in modo efficiente i risultati dei test e

favorisce la distribuzione di conoscenza sulla sicurezza all'interno

dell'azienda; fornisce, per esempio, la possibilità di verificare se un

server è vulnerabile alla nota minaccia Heartbleed (associata a un

bug delle versioni OpenSSL 1.0.1 e 1.0.2 beta) per porvi rimedio.

HP WebInspect Enterprise

La versione HP WebInspect Enterprise consente di condurre e gestire

migliaia di valutazioni di sicurezza di applicazioni Web distribuite.

Concentrandosi sui punti di ingresso più esposti verso l'esterno,

permette di definire priorità di intervento e di ottenere visibilità

sull'efficacia dei meccanismi di protezione, di controllare

accuratamente i programmi di sicurezza utilizzando una scansione

basata sui ruoli e di predisporre misure necessarie a garantire la

conformità con le normative e le policy interne di sicurezza.


95

HP WebInspect Real-Time

HP WebInspect Real-Time combina la tecnologia avanzata di test di

sicurezza applicativa di HP WebInspect con la tecnologia protezione

in tempo reale delle applicazioni di HP Fortify SecurityScope.

Con WebInspect Real-Time è possibile controllare parti

dell'applicazione che non sono presi in considerazione dalle scansioni

normali, raccogliere informazioni sui comportamenti interni di

un'applicazione durante test dinamici e individuare nuovi tipi di

vulnerabilità.

HP QAInspect

Le applicazioni Web sono un punto di ingresso molto sfruttato dai

criminali informatici e con QAInspect HP fornisce uno strumento per

testare la sicurezza delle applicazioni in relazione alle vulnerabilità

prima di andare in produzione.

QAInspect colma il gap tra sviluppo e produzione poiché consente di

incorporare, all'interno del processo di Quality Assurance, il software

per testare la sicurezza delle applicazioni ed effettuarne il controllo di

qualità, rilevando possibili vulnerabilità nel corso del ciclo di sviluppo

ed evitando possibili costi e rischi legati a un loro rilascio in

produzione.

HP Fortify on Demand: sicurezza applicativa come

servizio cloud

HP Fortify on Demand (FoD) è il servizio di tipo Software-as-a-Service

di analisi del codice che consente alle aziende di testare la sicurezza

del software in modo rapido e accurato. Fortify on Demand non

richiede l'acquisto di alcun hardware né l'istallazione di alcun

software: è sufficiente caricare il codice e scegliere il tipo di test che

si desidera effettuare per ottenere un report dettagliato.

HP FoD è disponibile per assessment sia statici sia dinamici e con

diverse opzioni all'interno di ciascuna di queste categorie.


96

È possibile acquistare singole valutazioni o un abbonamento di un

anno per valutazioni illimitate di una particolare applicazione. È

possibile caricare i file e avviare una valutazione statica del codice

oppure, se è stata acquistata una valutazione dinamica, è possibile

verificare la URL.

Dashboard esecutiva del servizio HP Fortify on Demand

Questo servizio supporta Web, mobile e applicazioni thick-client sia

sviluppati internamente sia da organizzazioni di terze parti, con

quattro livelli di priorità per classificare la gravità delle vulnerabilità

differenziate in base al livello di rischio a cui l'applicazione espone

l'azienda: critico, alto, medio e basso.

Il processo di scansione automatica che effettua la verifica

dell'applicazione in merito alle vulnerabilità di sicurezza prevede che

l'utente fornisca a FortifyMyApp i file di analisi e il codice sorgente e

Fortify esegue test automatici.

L'utente riceve i risultati in 1-3 giorni lavorativi e i risultati delle

valutazioni sono consegnati in un insieme di semplici grafici basati su

un sistema coerente di valutazione a cinque stelle.


97

Analisi di sicurezza statica

L'analisi statica di Fortify on Demand permette di valutare il livello di

sicurezza del software e di rendere sicuro il codice legacy mentre

questo viene sviluppato. L'utente carica il codice sorgente, byte o

binario di un'applicazione e riceve risultati recensiti manualmente

solitamente in meno di 24 ore.

La soluzione proposta da HP utilizza diversi algoritmi e una base di

conoscenza estesa di regole di codifica sicure per analizzare il codice

sorgente di un'applicazione alla ricerca di vulnerabilità che

potrebbero essere sfruttate in applicazioni distribuite.

Questa tecnica analizza ogni percorso che l'esecuzione e i dati

possono seguire per identificare ed eliminare più di 500 categorie di

vulnerabilità nel codice sorgente, in 21 linguaggi di sviluppo

esaminando più di 700mila componenti a livello di API.

Analisi di sicurezza dinamica

L'analisi di sicurezza di Fortify on Demand di tipo dinamico combina

l'attività di test automatico con una metodologia di test manuale

svolta da un gruppo di "application penetration tester"

sull'applicazione Web.

Questo tipo di test imita le tecniche di attacco dei cyber criminali,

consentendo di analizzare a fondo le applicazioni e i servizi Web per

individuare possibili vulnerabilità di sicurezza.

LIVELLO DI RISCHIO DELL'APPLICAZIONE

Basso App di Marketing

Medio Identificazione a livello personale

Alto Carta di credito

Basic Standard Premium

Automated Scan

False Positive Removal

Remediation Scan

Manual Testing

Business Logic Testing

Web Services

Static Analysis (Opzionale)

Possibili azioni commisurate al livello di rischio dell'applicazione


98

Analisi delle applicazioni mobile

Gli analisti stimano che entro il 2020 i dipendenti aziendali avranno a

loro disposizione circa 6 dispositivi mobili ciascuno. Questa maggiore

connettività porta con sé l'esigenza di migliorare gli sforzi per la

sicurezza mobile.

L'approccio HP Fortify on Demand ai test delle applicazioni mobili

prende in considerazione i tre livelli che costituiscono lo stack

tecnologico: client, rete e server. Questo approccio fa in modo che le

vulnerabilità presenti in un componente (il client, per esempio)

possano essere utilizzate durante il test per delineare un quadro più

veritiero possibile del rischio legato all'applicazione mobile, in modo

simile alla metodologia che potrebbe adottare un hacker.

Gli aspetti di protezione che intervengono per ognuno dei tre

componenti sono i seguenti:

Client

Credenziali in memoria

Credenziali nel file system

Dati memorizzati nel file system

Carenze nella gestione della certificazione

Difetti della privacy (per esempio GPS)

Rete

Credenziali in chiaro

Dati testuali in chiaro

Dati di Backdoor

Data leakage

Server

Difetti di inserimento ("injection")

Autenticazione

Gestione della Sessione

Controllo d'accesso

Difetti Logici


99

Il servizio prevede l'installazione iniziale di un'applicazione per poi

eseguire un'analisi preliminare sfruttando tutte le funzioni disponibili.

Questa fase permette di comprendere dove vengono richiesti i dati

sensibili, come si spostano attraverso l'applicazione, come sono

utilizzati e così via. Viene quindi costruito un diagramma di come

questi componenti operano congiuntamente, che viene sfruttato per

determinare la progressione della valutazione.

Il test viene eseguito sia su dispositivi mobili di prova sia utilizzando

dispositivi simulati, a seconda del tipo di applicazione e delle sue

funzionalità.

Tutte le valutazioni HP su applicazioni mobile coprono le prime 10

vulnerabilità definite all'interno dell'Open Web Application Security

Project (OWASP).

Test delle applicazioni in produzione

Troppo frequentemente le applicazioni vengono rilasciate in

produzione in modo frettoloso, con vulnerabilità non risolte .

HP FoD risponde a questo problema fornendo un servizio per

effettuare il test delle applicazioni Web in produzione senza causare

interruzioni dell'attività.

L'approccio seguito da HP parte dal presupposto che le applicazioni di

produzione non dovrebbero essere testate con lo stesso approccio

aggressivo utilizzato nelle fasi di sviluppo (perché quando si è in

produzione sono i dati reali che vengono esposti a un rischio).

Per questo motivo Fortify on Demand offre quattro opzioni

metodologiche per la verifica delle applicazioni in produzione:

Sicuro - Il team HP FoD realizza una mappatura autenticata

dell'intero sito, esamina il sito alla ricerca di vulnerabilità che

non richiedono l'invio di moduli usando tecniche di test

automatizzato e manuale e poi ricerca le vulnerabilità che

possono essere presenti all'interno dei campi modulo.

Verificato - Il team HP FoD verifica che le problematiche

identificate e risolte negli ambienti di pre-produzione siano

state risolte anche nella fase di produzione.


100

Aggressivo non autenticato - La base di questo metodo è di

verificare l'applicazione similmente a come un hacker o un BOT

attaccherebbero il sistema usando una combinazione di

tecniche manuali e automatizzate.

Combinato - Fornisce una combinazione di tutti i metodi.

Fortify Vendor Software Management (VSM)

Fortify VSM è un sevizio on demand che consente di verificare la

sicurezza di un software di terze parti, lasciando al fornitore del

software la possibilità di mantenere il controllo del processo.

I fornitori di software possono semplicemente caricare i propri codici

binari, sottoporli a scansione, risolvere eventuali problemi e quindi

pubblicare un report che sintetizza la sicurezza della loro

applicazione.

Fortify VSM svolge quindi il compito di un laboratorio indipendente,

in grado di fornire un'analisi imparziale e coerente dell'applicazione e

di produrre una relazione dettagliata di prova che ne attesti il livello

di resistenza a possibili manomissioni.

Questo servizio mette a disposizione:

funzioni di test statico e/o dinamico on demand;

funzioni di test in modalità self-service o con supporto;

una gestione flessibile delle interazioni tra i fornitori;

la disponibilità di un "technical account manager";

supporto e coordinamento dedicato del processo di scansione

e bonifica;

carattere di imparzialità, con un'analisi coerente che restituisce

un rapporto dettagliato sulla resistenza alla manomissione.

Il servizio HP Digital Discovery

Il servizio di Digital Discovery si propone di fornire alle aziende la

visibilità (che spesso viene a mancare) su quali delle loro proprietà

sono su una rete interna o esterna a causa di vari fattori quali:

ristrutturazione e acquisizioni, alterazioni della rete, attività di


101

marketing, nuove registrazioni di sottodominio e consumerizzazione

dell'IT.

Il ciclo di assessment fornito da Fortify On Demand consente di

eseguire un'attività di "digital discovery" sia interna sia esterna su

domini e spazi di protocollo Internet di proprietà di un'azienda.

Come parte di questa valutazione il servizio determina quanti siti

Web "live" o sconosciuti l'azienda possiede, quale di questi siti ospita

funzionalità applicative sconosciute e il profilo di rischio di questi siti.


102

103

SOLUZIONI ENTERPRISE

PER LA PROTEZIONE DEI DATI

Il dato è l'obiettivo finale degli attacchi informatici e,

come tale, va protetto in maniera integrata, sia esso

residente in cloud o nel data center aziendale. Al

controllo delle identità e dei privilegi di chi vi accede,

sempre più si deve aggiungere un livello di sicurezza

intrinseco. Le nuove generazioni di tecniche per la

cifratura e la decodifica dei dati prevedono approcci

innovativi.

HP ESP risponde a queste esigenze con le soluzioni

avanzate della famiglia HP Atalla.

5


104

L’approccio gestionale alla sicurezza

dei dati

Il riconosciuto valore dell’informazione per un’azienda,

accompagnato dalla crescita indiscriminata del numero delle stesse,

ha portato nel tempo verso la definizione di regole di tipo standard

per l’organizzazione della sicurezza che non si limiti agli aspetti

tecnologici, ma che prenda in considerazione anche aspetti di tipo

operativo, logico, materiale e legislativo focalizzandosi sugli aspetti di

tipo gestionale.

Le esigenze aziendali che inducono a considerare l’adozione di un

approccio gestionale verso la sicurezza delle informazioni sono

molteplici. Da un lato la risposta a esigenze interne relative a

conseguire un miglioramento dell’efficienza e a ottimizzare

l’organizzazione dei processi di business, dall’altro il desiderio di

ridurre i costi e aumentare il ritorno dagli investimenti effettuati.

A queste si aggiungono una serie di “pressioni” provenienti

dall’esterno e legate, per esempio, alla necessità di adeguarsi

progressivamente a direttive comunitarie unificate, di controbattere

le crescenti minacce provenienti da Internet o, ancora, di rispondere

a specifici requisiti legali relativi alla manutenzione e protezione dei

dati e alla tutela della privacy.

Un Sistema di gestione per la sicurezza delle informazioni (SGSI)

prevede che l'azienda implementi una politica di sicurezza allo scopo

di gestire le aree a rischio. I principi fondamentali alla base di un SGSI

sono di definire una gamma di policy per la sicurezza delle

informazioni, prevedendo l’assegnazione specifica di responsabilità e

l’implementazione di metodologie che considerino la gestione della

business continuity, il report degli incidenti e una serie di controlli

periodici per assicurare il raggiungimento degli obiettivi previsti

nell’ambito della security. Tutto ciò all’interno di un processo di

educazione, sensibilizzazione e training verso le tematiche della

sicurezza.

5 - SOLUZIONI ENTERPRISE PER LA PROTEZIONE DEI DATI

105

Il passo successivo è quello di adottare un sistema per verificare il

proprio SGSI, attraverso una certificazione, in conformità ad alcuni

standard specifici. Tutte le organizzazioni possono trarre beneficio da

questo tipo di certificazione ma soprattutto quelle che devono

proporre all’esterno un’immagine di sicurezza come aziende operanti

in ambito finanziario, delle telecomunicazioni, dell’erogazione di

servizi IT o la Pubblica Amministrazione.

Le 3A della sicurezza

Il tema centrale attorno al quale costruire queste politiche di

sicurezza ruota attorno alle cosiddette “3A” ovvero all’insieme delle

tecniche di autenticazione, autorizzazione e "accounting" che,

insieme, svolgono un ruolo coordinato e sinergico all’interno del

processo di protezione dei dati e dei servizi aziendali.

Questi concetti riassumono le procedure e le funzioni necessarie per

lo svolgimento di molti dei processi di sicurezza che avvengono sul

Web. In un contesto di accesso geograficamente distribuito alle

risorse informatiche è indispensabile, infatti, trovare dei metodi e

delle regole in grado di garantire e proteggere il corretto svolgimento

delle operazioni tra le parti che scambiano informazioni.

Le 3A sovrintendono proprio a questo tipo di funzioni. In particolare

l’autenticazione è il processo per garantire in modo univoco l’identità

di chi si appresta ad accedere alle risorse, l’autorizzazione definisce i

privilegi di cui dispone questo utente, mentre l’accounting si riferisce

all’analisi e alla registrazione sistematica delle transazioni associate a

un’attività di business sul Web. La sicurezza di questi processi viene

assicurata da una serie di tecnologie e procedure che si appoggiano

su protocolli e standard.

Implementare un sistema di autenticazione

I trend che alimentano il mercato delle tecnologie di autenticazione

sono molteplici. Innanzitutto va considerata la continua espansione

dell’accessibilità alle informazioni, legata alle nuove categorie di

lavoratori mobili e da remoto nonché alla progressiva apertura del


106

network delle grandi aziende verso partner e clienti. Inoltre cresce il

numero di informazioni critiche e, conseguentemente, delle misure

necessarie per controllare il loro accesso. A questi va aggiunta quella

che si potrebbe definire come la “crisi delle password” ormai

definitivamente abbandonate da tutti i principali fornitori di

tecnologie in cerca di soluzioni più affidabili e meglio gestibili.

A controbilanciare questi argomenti concorrono aspetti quali i lunghi

tempi di implementazione (trattandosi spesso di soluzioni che

coinvolgono un grandissimo numero di utenti), i costi associati alla

realizzazione di infrastrutture dedicate, ma anche la giustificazione

dell’investimento rispetto ad altri ambiti tecnologici e di business, in

un momento in cui i budget scarseggiano.

Resta in ogni caso il dilemma della scelta del sistema e della

tecnologia da adottare tra le molteplici opzioni disponibili sul

mercato. La risposta a quest’esigenza risiede nella valutazione di una

serie di motivazioni che devono tenere in considerazione gli aspetti

specifici di ogni azienda e dei suoi processi di business. Come sempre

non esistono ricette uniche ma, di seguito, cercheremo di fornire

alcuni spunti metodologici per orientarsi meglio in questo processo

decisionale.

Il primo e fondamentale punto è quello di riconoscere che

l’individuazione di una soluzione di autenticazione rappresenta un

compromesso tra costi, sicurezza e praticità d’uso e che, pertanto,

ogni decisione in merito dovrebbe essere presa come risultato di

un’analisi di questi tre aspetti. La cosa è complicata dal fatto che si

tratta di parametri generalmente antagonisti fra loro: incrementare il

livello di sicurezza determina costi proporzionalmente crescenti e una

riduzione della flessibilità e semplicità d’uso perché richiede

l’adozione di strumenti, procedure e tecnologie.

Un approccio metodologico dovrebbe partire da una metricizzazione

di tali aspetti, inizialmente da un punto di vista qualitativo delle

implicazioni e, se possibile, successivamente anche di tipo

quantitativo. Per esempio è possibile individuare tutti gli aspetti

significativi e correlarli attribuendo loro un indice numerico.


107

Anche se a qualcuno potrebbe sembrare un esercizio un po’

accademico, l’adozione di una metodologia di questo tipo permette

di chiarirsi le idee su domande di difficile risposta quali: di quanta

sicurezza ho effettivamente bisogno?

Non da ultimo, permette di facilitare la comprensione di determinate

scelte tecnologiche anche da parte di chi mastica più il linguaggio del

budget che quello tecnologico.

Affrontare l’aspetto dei costi significa, ovviamente, considerare il

Total Cost of Ownership della soluzione, che comprende non solo i

costi di acquisizione, ma anche e soprattutto quelli di deployment e

operativi, che vanno associati alle tecnologie, al personale, ai processi

e alla struttura.

Eseguire un’analisi degli aspetti di sicurezza e praticità è, invece, il

risultato di una valutazione strategica difficilmente ingabbiabile in

regole. Tuttavia è possibile almeno separare gli aspetti legati al valore

di una soluzione di autenticazione rispetto agli utenti e all’azienda.

La praticità e la semplicità d’uso, per esempio, dipendono, in

generale, dalla tipologia di utenti che si stanno considerando e

cambiano a secondo che si tratti di partner, dipendenti o clienti.

Accanto alla complessità di apprendimento va considerata anche la

praticità di utilizzo, che può inibire il suo impiego.

Anche gli aspetti legati alla trasportabilità della soluzione di

autenticazione (indice importante della sua flessibilità) possono

essere sensibilmente differenti in funzione della tipologia di utente e

sono spesso legati a doppio filo con i costi. Per esempio, l’adozione di

soluzioni che richiedono la presenza di un software sul lato client

possono limitare l’accessibilità da aree esterne quali le filiali aziendali.

Un altro esempio può essere quello di soluzioni di autenticazione che

sfruttano dispositivi mobili e che possono essere condizionate

dall’area di copertura del servizio.

Un ulteriore valore per l’utente può essere la versatilità. A volte il

sistema di autenticazione può essere costituito da un dispositivo

specifico, ma in altri casi può combinare in un unico dispositivo una


108

pluralità di funzioni: sistema di autenticazione, documento di identità

dotato di foto, strumento di memorizzazione di dati e così via.

Dal punto di vista della valenza strategica per l’azienda l’elemento

primario da considerare è la sicurezza relativa, che deve tenere conto

del livello di protezione offerto dal sistema di autenticazione, della

sicurezza della sua implementazione, dall’adeguatezza a proteggere

la tipologia di informazioni per cui lo si vuole utilizzare e anche della

garanzia di compatibilità con la normativa. A ciò va aggiunta la

possibilità di integrazione all’interno dell’infrastruttura esistente e

l’interoperabilità con i sistemi di back-end.

In una valutazione non va, infine, trascurata la possibilità di lasciarsi

aperte opzioni per le future evoluzioni tecnologiche.

L’identity management

La diffusione attraverso il Web o le reti aziendali di dati ad alto

valore, collegata a transazioni, all’accesso ad applicazioni e a processi

di business che prevedono il trasferimento di informazioni sensibili,

ha accresciuto l’importanza di possedere un’identità digitale sicura.

Determinare un sistema per poter dimostrare ad altri di essere un

individuo con determinate caratteristiche, rappresenta un modo per

interagire con le regole che caratterizzano le attività che svolgiamo.

Disporre di un’identità digitale significa possedere credenziali che

consentono lo svolgimento di determinati compiti, abilitano l’accesso

a informazioni e servizi e permettono l’utilizzo di determinate

applicazioni.

Il parallelo tra l’identità all’interno di un concetto di rete enterprise

virtuale e il mondo reale è fin troppo ovvio. Appare quindi

immediatamente chiaro che una specifica identità digitale deve

essere associata a un unico utente; è inoltre auspicabile che uno

specifico utente possa disporre di un unico set di credenziali per

accedere a ogni tipo di servizio ed è altrettanto importante che un

utente possa disporre delle credenziali ogni volta che gli vengano

richieste. In questi processi la sicurezza rappresenta un requisito

fondamentale.


109

Resta però il fatto che, in un mondo digitale caratterizzato dalla

distribuzione delle informazioni, dalla loro accessibilità virtualmente

da qualsiasi terminale connesso in rete, in uno scenario di sistemi

informativi eterogenei per tecnologia, protocolli e regole, gestire

un’identità digitale in modo da realizzare i requisiti di sicurezza,

unicità e affidabilità appena espressi, rappresenta un compito

tutt’altro che banale.

La prima osservazione che si può fare è che la gestione di un grande

numero di persone, sistemi, policy e privilegi differenti introduce

possibili cause di inefficienza, errori o compromissione della

sicurezza.

Si deve poi considerare il fatto che soluzioni quali, per esempio, CRM,

ERP o la posta elettronica si sono spesso diffuse all’interno delle

aziende in relazione a specifiche esigenze e, dunque, in modo

separato le une dalle altre per quanto riguarda la gestione del loro

accesso. Pertanto le informazioni relative all’identità sono spesso

frammentate e distribuite attraverso molteplici sistemi.

Infine ci si deve confrontare con l’esigenza, da parte di diverse

funzioni aziendali (quali l’IT, la gestione delle risorse umane e la

sicurezza), di mantenere un certo grado di controllo e visibilità

rispetto ad alcune informazioni relative all’identità di un utente, quali

il tipo di attività svolta, i privilegi di accesso o l’indirizzo di posta

elettronica.

La difficoltà nell’affrontare in modo unificato e automatizzato queste

difficoltà induce spesso ad adottare un sistema di controllo

dell’accesso basto su procedure impostate in modo manuale che,

tuttavia, introducono una serie di rischi per la sicurezza e di ritardi

non accettabili in relazione, per esempio, all’attribuzione o alla

revoca di privilegi.

L’affermazione del concetto di Identity Management e delle

tecnologie a suo supporto nascono proprio da questa esigenza di

gestione efficace dell’accesso e di autenticazione mediante

un’identità digitale univoca.


110

L’interesse per questa tematica è alimentato (e alimenta a sua volta)

dalla presenza in formato digitale di informazioni critiche per il

successo di un’azienda e dalla progressiva affermazione delle

modalità di erogazione di servizi on-demand.

Si capisce dunque che occuparsi di identity management non significa

parlare di un prodotto, ma di una serie di modalità, regole, processi

che si appoggiano su tecnologie e architetture specifiche e su

un’infrastruttura di supporto per la creazione, il mantenimento e

l’utilizzo di identità digitali. Pertanto, un unico tool o una singola suite

di strumenti non è in grado di risolvere tutti i problemi di gestione

dell’identità e dell’accesso ma serve un approccio di protezione più

strutturato e integrato.

Nella relazione che intercorre tra utente e fornitore di servizio

all’interno di un processo di Identity Management, l’utente deve

essere garantito in termini di sicurezza, affidabilità e tutela della

privacy. Da parte sua, il fornitore dei servizi deve predisporre un

sistema di autenticazione che consenta di potersi fidare dell’identità

dell’utente, deve esercitare un controllo costante attraverso sistemi

di gestione dell’accesso basati su regole ed effettuare un’attività

continua di verifica per assicurarsi che le regole vengano applicate in

modo corretto.

Va detto che nella sua accezione più completa, una soluzione di

identity management si adatta in modo particolare alle esigenze di

una grande azienda, in cui i vantaggi forniti possono essere valorizzati

e bilanciare i costi di implementazione. In aziende con un grande

numero di addetti, una soluzione di questo tipo permette, per

esempio, di mettere immediatamente a disposizione di un nuovo

impiegato tutte le risorse a cui ha necessità di accedere per il suo

lavoro in modo rapido e attraverso una gestione centralizzata nonché

di aggiornare o rimuovere immediatamente i criteri e i privilegi di un

utente che fuoriesce dalla azienda o che cambia mansioni.

Il primo passo verso la realizzazione di una soluzione di Identity

Management è rappresentato dalla disponibilità di Single Sign-On

(SSO) che realizza la possibilità di accedere, con un unico set di


111

credenziali, a tutte le applicazioni e i servizi a cui si ha diritto

all’interno di un dominio, nel pieno mantenimento dei criteri di

sicurezza e, per quanto possibile, in modo trasparente, delegando al

sistema la gestione di tutto il sistema di protezione.

L'idea di base è di spostare la complessità dell'architettura di

sicurezza verso il servizio di SSO, liberando così altre parti del sistema

da determinati obblighi di sicurezza. Quindi un utente deve

autenticarsi soltanto una volta, anche se interagisce con una

molteplicità di elementi sicuri presenti all'interno dello stesso

dominio. Il server SSO può essere anche rappresentato da un servizio

cloud che, in un certo senso, “avvolge” l’infrastruttura di sicurezza

che sovrintende alla funzione di autenticazione e autorizzazione.

La Data Loss Prevention

Quando si parla di ICT security si fa generalmente riferimento ai

pericoli che sono al di fuori del perimetro aziendale, ovvero agli

attacchi dei cyber criminali, ai virus, alle intrusioni nei sistemi. Gli

investimenti delle aziende, che mirano a contenere al più basso

livello possibile i rischi per il business, si concentrano su tecnologie

quali i firewall, gli intrusion prevention o i software anti-malware, che

hanno appunto il compito di elevare una sorta di muraglia difensiva

che non fa entrare nella rete aziendale nessun utente e nessuna

porzione di codice considerati pericolosi.

Non ci si preoccupa quasi mai, invece, di quello che i dipendenti, o

comunque persone autorizzate, possono portare via dall’azienda,

ovvero del pericolo che deriva dalla fuoriuscita, intenzionale o meno,

di dati sensibili e informazioni strategiche: anagrafiche clienti, listini,

numeri di telefono, offerte, contratti, documenti con rilevanza legale

e via discorrendo.

In assenza di policy specifiche, di un’adeguata cultura della

prevenzione e di tecnologie ad hoc, è troppo facile, per chiunque

abbia accesso a un pc collegato alla rete aziendale, entrare in

possesso di tali documenti e divulgarli: con una chiavetta USB, con un


112

tablet, spedendole via mail, stampandole, faxandole o banalmente

salvandole nel pc portatile che poi viene rubato al bar sotto l’ufficio

mentre il dipendente sta prendendo l’aperitivo. O, ancora, usando

sistemi di e-mail via Web, che spesso sfuggono ai sistemi di controllo

della posta aziendale, o attraverso l’instant messaging, anch’esso

raramente posto sotto osservazione, o semplicemente su fogli di

carta, che quasi mai vengono distrutti prima di essere gettati nei

cestini.

Recenti indagini confermano che il fenomeno ha una portata

significativa.

L'insieme di soluzioni tecnologiche che mirano ad arginare il

problema sono definite con locuzione anglosassone di Data Loss

Prevention (DLP) e vengono spesso associate a quelle di

monitoraggio e filtro dei contenuti, che presentano funzionalità

analoghe.

Tali soluzioni stanno attirando sempre più interesse, anche perché

costituiscono una protezione di secondo livello per le intrusioni

dall’esterno. Se un cyber criminale riesce a entrare nella rete

aziendale, infatti, si troverà poi a dover affrontare il sistema DLP che

gli impedisce di portare fuori le informazioni sensibili, per esempio

con un filtro che non riconosce come valido l’indirizzo IP a cui il

malintenzionato tenta di inviare i dati o con l’impossibilità di aprire il

file protetto. Inoltre, potrebbe essere autorizzato ad aprire un

determinato documento, per esempio un pdf, solo chi è in possesso

di una specifica chiave hardware.

I vantaggi ci sono e alcuni studi lo hanno dimostrato. L'aumento dei

furti di proprietà intellettuale e dati rende pressoché ineluttabile

l'adozione della DLP.

Le soluzioni DLP possono agire a livello di rete o di singolo host,

individuando i comportamenti non conformi alle policy che l’azienda

si è data. A questo punto possono intervenire bloccando l’azione

oppure mettendola in quarantena fino a che qualcuno, in possesso di

opportuna autorizzazione, verifichi se esisto o no una reale

violazione.


113

La notifica del pericolo può essere indirizzata al responsabile di

settore, a quello delle risorse umane o al manager di area, ma

comunque a qualcuno che sia in grado di valutare il valore

dell’informazione da un punto di vista del business. Anche all’utente

è opportuno segnalare il problema, poiché la maggior parte della

fuoriuscita di dati non è da imputare a cattive intenzioni, ma solo a

imperizia o ignoranza.

Per implementare in modo efficace questo tipo di soluzioni diventa

indispensabile comprendere quali sono i dati da proteggere e qual'è il

rischio che questi vengano resi noti all’esterno dell’organizzazione.

In altre parole è necessaria un’attività di risk assessment mirata a

classificare i dati: un’operazione tutt’altro che banale e che, se non

viene fatta con attenzione, rischia di vanificare anche la tecnologia

più sofisticata.

Il rischio di falsi positivi e l’ampia zona grigia che emerge quando si

cerca di dividere le informazioni da proteggere da quelle poco

sensibili rendono lo scenario complesso e spostano il peso

dell’investimento più sulla parte di servizi di consulenza che su quello

della tecnologia in sé.

Rivedere i processi e coinvolgere i dipendenti

Definire e classificare le informazioni da proteggere è un problema

complesso, ma a volte risulta ancora più complicato individuare tutte

le diverse modalità con le quali i dipendenti riescono a portare le

informazioni al di fuori dell’organizzazione. Ecco perché

implementare una soluzione DLP può avere come risultato sia quello

di rilevare le “fughe” di dati sia di identificare processi di business

poco efficaci e renderli più sicuri, implementando controlli più

rigorosi. In altre parole, è un’occasione per monitorare a fondo le

attività e scoprire i punti deboli, verificando “chi” può accedere a

“cosa”.

Si pone, ancora una volta, il problema di bilanciare le esigenze di

security con quelle di business, ovvero di proteggere l’azienda senza,


114

però, porre vincoli operativi troppo stringenti che portano a

inevitabili perdite di tempo e, non ultimo, a malcontento.

Questo tipo di attività richiede il massimo coinvolgimento dei

dipendenti, che devono essere informati dei rischi e devono

uniformarsi alle policy di sicurezza nel trattamento dei dati sensibili

che ogni azienda dovrebbe avere. Tuttavia, nella pratica, ciò avviene

molto raramente.

La sicurezza nell'era

dell'as-a-service e del cloud

L’evoluzione verso il cloud computing rappresenta il punto finale di

un lungo processo di apertura delle aziende verso l’esterno. Le reti

aziendali, una volta roccaforti gelosamente celate a qualsiasi utente

esterno, si sono progressivamente aperte prima ai fornitori, poi verso

i clienti fino ad approdare ai social media.

Con l’avvento del cloud questa apertura è stata estesa non solo

all’accesso delle informazioni, che in precedenza restavano

comunque custodite all’interno di un perimetro di rete ben definito,

ma alle informazioni stesse che, potenzialmente, sono libere di

spostarsi ovunque e anche di allontanarsi molto dall’azienda.

Le soluzioni di protezione hanno quindi dovuto rinnovarsi ed

espandere il livello di protezione perimetrale per “agganciarsi” ai dati

e seguirli nei loro spostamenti.

Ecco allora che nel cloud la protezione diventa sempre più focalizzata

sul dato pur mantenendo le tradizionali difese di tipo perimetrale,

perché gli attacchi di tipo tradizionale continuano e, anzi, sono

costantemente in crescita per numero e sofisticazione.

Il cloud stesso viene poi utilizzato per rafforzare il livello di

protezione: l’analisi delle minacce si avvale, infatti, sempre più spesso

di meccanismi di diffusione collettiva della conoscenza che, non

appena vengono identificate nuove minacce, permettono di

esercitare istantaneamente la protezione su tutti i client connessi per

ridurre al minimo i rischi e i possibili contagi.


115

Sicurezza negli ambienti private e public cloud

Il tema della sicurezza negli ambienti private cloud è in buona

parte, riconducibile a quello della protezione in ambienti

virtualizzati, che ha alcuni requisiti specifici.

Tra i temi tecnologici da affrontare vi è per esempio quello di

determinare dove collocare il livello di protezione in relazione

all'hypervisor.

Un altro problema che emerge in modo preponderante negli

ambienti virtualizzati (più che in quelli fisici) è quello della

business continuity che sta diventando anch’essa sempre più

un’offerta di servizi. Per rendersene conto basta riflettere

sull’impatto che può derivare dal guasto di un singolo sistema

fisico su cui sono ospitate le immagini anche di migliaia di

macchine virtuali.

Il cloud porta con sé anche nuove opportunità per la protezione

dei sistemi informativi, con servizi di backup as a service e disaster

recovery as a service, mentre si affacciano anche nel nostro Paese

le prime offerte di servizi per il backup dei dati sul cloud e per il

disaster recovery delle virtual machine presenti nel cloud,

effettuati direttamente sul cloud anziché (o in aggiunta) sui

sistemi interni all'azienda.

In molti ritengono che le opportunità più significative aperte dal

cloud computing vadano ricercate nel public cloud. È infatti in

questo caso che la flessibilità diventa massima ed è possibile per

le aziende aggiungere risorse IT a piacere, in modalità on-demand

e pagandole solo per il tempo effettivo di utilizzo, avendo la

possibilità di scavalcare gli alti costi di investimento necessari per

innovare e modernizzare l’infrastruttura informatica, senza

doverci rinunciare.

Il public cloud, però, porta i dati fuori dall’azienda, anche se non

sempre fuori dal controllo dell’azienda. Non è comunque

infrequente che il proprietario delle informazioni, che è anche il

soggetto che risponde di fronte alla legge di eventuali irregolarità,


116

non sappia dove fisicamente siano collocati i propri dati o che non

disponga degli strumenti per poter controllare che tutti i processi

che coinvolgono i suoi dati siano conformi alle normative del

proprio Paese o perlomeno alle policy interne aziendali in merito

alla sicurezza.

Va rimarcato che l’esternalizzazione di servizi da parte di aziende

o Pubbliche Amministrazioni che adottano soluzioni di cloud

computing non le esime dalle loro responsabilità legali in merito,

per esempio, al trattamento o alla diffusione di dati sensibili

personali. La responsabilità di assicurarsi che il fornitore di servizi

cloud tratti i dati nel rispetto della Legge e delle finalità del

trattamento resta, infatti, a carico dell’azienda che possiede i dati

e, nel caso di trattamento illecito o diffusione incauta, sarà quella

che ne risponderà direttamente.

Per garantire il livello di protezione necessario per gli ambienti

public cloud sono state messe a punto sofisticate soluzioni di

cifratura e gestione delle chiavi, tool per garantire la conformità,

sistemi di gestione dell’accesso sicuri e operanti all’interno di

strutture federate sicure.

Diventa in ogni caso essenziale scegliere in modo oculato il cloud

service provider a cui affidarsi considerando che il trasferimento

della gestione della sicurezza a un fornitore di servizi esterni

trasforma, di fatto, le pratiche di gestione del rischio in Service

Level Agreement (SLA) contrattuali valutati sulla base di parametri

di riferimento specifici e oggettivi.

Ma dopo aver concordato e definito gli SLA con il security service

provider, l’azienda deve anche avere a disposizione gli strumenti

per monitorarli attraverso strumenti di reportistica e indicatori

che possono preferibilmente anche essere personalizzati in base

alle esigenze specifiche del business. La perdita del controllo

diretto sulla gestione del patrimonio informativo resta, peraltro,

uno dei nodi centrali che attualmente rallentano l’utilizzo dei

servizi public cloud.


117

La sicurezza delle applicazioni eseguite nel cloud

Il software applicativo che viene sviluppato oppure eseguito

all'interno degli ambienti di cloud computing si trova sottoposto a

una serie di requisiti legati alla sicurezza che dipendono dalla

tipologia di modello di distribuzione cloud a cui è indirizzato.

Per valutare il livello di sicurezza delle applicazioni in un ambiente

cloud, i security manager aziendali si trovano, pertanto, non solo a

dover decidere se sia opportuno sviluppare o eseguire

un'applicazione su una piattaforma di cloud computing ma, nel caso

in cui decidano di farlo, anche di scegliere accuratamente la modalità

più appropriata per farlo.

Per garantire la sicurezza delle applicazioni in un ambiente cloud

almeno due aspetti vanno considerati.

Il primo è di determinare i controlli di sicurezza che un'applicazione

deve fornire in aggiunta al livello di controllo intrinseco alla

piattaforma cloud. Un secondo punto chiave riguarda le modalità che

legano il ciclo di vita di sviluppo a livello enterprise con quello degli

ambienti cloud. Questi due aspetti vanno esaminati in relazione alle

differenti tipologie di piattaforma cloud ovvero IaaS, PaaS e SaaS.

All'interno di un'infrastruttura erogata sotto forma di servizio (IaaS), il

fornitore mette a disposizione dell'utente diversi componenti virtuali

e un primo aspetto da considerare per garantire la sicurezza

applicativa è che l'immagine virtuale fornita dal provider IaaS sia

sottoposta allo stesso livello di controllo di sicurezza e di conformità

a cui sono soggetti gli host presenti all'interno della rete enterprise.

Va poi evidenziato che la maggior parte delle applicazioni interne

all'azienda enterprise non si preoccupa eccessivamente di garantire

la sicurezza della comunicazione tra gli host di un'applicazione

distribuita, poiché il traffico transita solo attraverso una rete sicura.

In un ambiente cloud gli host operano, invece, all'interno di

un'infrastruttura condivisa con altre aziende e, pertanto,

un'applicazione "cloud based" deve farsi carico anche di garantire la

comunicazione tra host per evitare che, durante l'elaborazione, possa


118

verificarsi una diffusione non autorizzata di dati sensibili. Tutte le

precauzioni adottate all'interno dell'ambiente enterprise a

protezione dei dati sensibili dovrebbero perciò essere applicate

anche alle applicazioni ospitate all'interno di un ambiente IaaS.

Nel valutare l'impatto del PaaS sull'architettura di sicurezza delle

applicazioni si deve tenere conto che questo tipo di piattaforme

fornisce anche l'ambiente di programmazione per accedere e

utilizzare i componenti applicativi aggiuntivi, il quale ha un impatto

non trascurabile sull'architettura dell'applicazione.

Le tre opzioni d'offerta di servizi cloud

In un ambiente Software as a Service (SaaS) vanno affrontate le

medesime cautele di sicurezza degli ambienti PaaS e IaaS. Come le

piattaforme PaaS, anche il SaaS rappresenta, di fatto, un nuovo

ambiente di programmazione che richiede la messa a punto di

specifici schemi di codifica e di progettazione sicura.


119

Un'azienda che decide di adottare questo tipo di servizi dovrebbe

anche poter disporre di un modo per stabilire che il ciclo di vita di

sviluppo del proprio fornitore di servizi software sia sicuro quanto

il proprio e dovrebbe, preferibilmente, richiedere SLA contrattuali

e verificabili.

Scegliere il cloud security service provider

Ma quali sono gli elementi ideali che dovrebbero caratterizzare un

fornitore di servizi di sicurezza per l’ambito cloud enterprise?

Perlomeno tre sono gli aspetti che si evidenziano come

particolarmente critici e che, in fase di identificazione, è

opportuno considerare attentamente.

Il primo riguarda l’esistenza di un framework di riferimento che

permetta di traslare le policy e le procedure in servizi reali

applicabili alle attività di business e che fornisca informazioni

inerenti il livello di sicurezza esistente nonché una visione sul

grado di efficacia delle specifiche regole e procedure attivate.

Inoltre, è importante che un fornitore di servizi di sicurezza nel

cloud metta a disposizione delle aziende anche le capacità umane

necessarie per supportarle nello sviluppo di servizi aziendali,

guidandole nella valutazione del livello di sicurezza esistente e

della sua efficacia.

Ultimo aspetto, ma non per importanza, è che l'offerta comprenda

adeguati servizi di Security service management che permettano

di fondere, in un unico insieme, le attività di business e di

sicurezza, favorendo lo sviluppo di un modello di governance e

della valutazione dei risultati dello specifico ambiente business.

Intervenendo in queste aree fondamentali è possibile

personalizzare il sistema di sicurezza in modo che risponda alle

specifiche necessità di un’azienda e del suo modo di condurre il

business e fare in modo che l’approccio basato sul cloud diventi

un’efficace leva competitiva.

Il tema della scelta di un fornitore di servizi cloud (e quindi anche

di servizi di cloud security) è stato affrontato anche dal Garante


120

della Privacy che ha messo in evidenza l'importanza di effettuare

delle verifiche sulle certificazioni possedute oltre che sui servizi

offerti e sulla qualità della sua infrastruttura, sull’idoneità della

piattaforma tecnologica, sulle competenze del personale e sulle

misure di sicurezza che garantisce in caso si verifichino situazioni

di criticità.

Se il fornitore non fa parte dell’Unione Europea è meglio verificare

che sia possibile effettuare il trasferimento dei dati personali

verso il Paese in questione (consentito nei casi previsti dal D.lgs.

196/2003) e che ci sia una legislazione che garantisca un adeguato

livello di protezione della privacy. Altrimenti è opportuno

sottoscrivere dei modelli di contratto che siano stati approvati

dalla Commissione Europea e dal Garante della Privacy.

Se, invece, il fornitore svolge un ruolo da intermediario

appoggiandosi a un terzo soggetto, è opportuno non perdere di

vista l’allocazione fisica dei server. L’azienda deve sapere con

certezza sotto quale giurisdizione risiedono i dati per conoscere la

legge applicabile nel caso di controversie tra l’utente e il fornitore

del servizio o in cui l’autorità giudiziaria debba eseguire ordini di

perquisizioni, sequestro e così via.

Nel caso in cui l’azienda decide di trasferire il servizio a un nuovo

fornitore, bisogna accertarsi anche dei tempi che intercorrono

dalla scadenza del contratto alla cancellazione definitiva dei dati

da parte del fornitore che li ha avuti in gestione, il quale deve

garantire di non conservare i dati oltre i termini stabiliti per

contratto.

Sempre nell’ottica di un passaggio ad altro fornitore è utile

privilegiare i servizi che garantiscono la portabilità dei dati, quindi

basati su formati e standard aperti, che facilitino la transizione da

un sistema cloud a un altro, anche se gestiti da fornitori diversi.


121

La protezione crittografica dei dati

La crittografia è una scienza antica, nata per proteggere le

comunicazioni militari ai tempi di Giulio Cesare. Il concetto è

semplice: inventare una regola che modifica il significato del dato

scritto, cosicché non possa essere compreso da chi non conosce

tale regola.

I sistemi più antichi si basavano sulla trasposizione delle lettere

dell’alfabeto. Il metodo Cesareo, per esempio, sostituiva ogni

lettera con quella successiva: in questo modo ROMA diventava

SPNB. Una versione più evoluta di questi sistemi prevedeva anche

una regola di sostituzione.

La crittografia moderna si basa ancora sui sistemi di sostituzione e

trasposizione, ma la sicurezza non è più affidata alla segretezza

dell’algoritmo di cifratura (i sistemi di crittografia moderni sono,

infatti, rilasciati con i codici sorgenti), ma a quella di una chiave

esterna. Le tecniche di crittografia delle informazioni si basano,

infatti, su sofisticati algoritmi di tipo matematico che utilizzano

una chiave per modificare il dato. Quanto più bit sono utilizzati,

quanto più è lunga la chiave, tanto più, tanta più potenza di

calcolo sarà necessaria per "crackare" il sistema e ottenere la

chiave.

Il limite di un modello di crittografia statica è di non essere in

grado di modificare il tipo di protezione offerta in funzione

dell’esperienza acquisita. In altre parole, una volta superata la

protezione cifrata, il successivo tentativo di intrusione non

incontrerà più ostacoli. Considerando che la disponibilità di

potenza di calcolo è in continua crescita, si intuisce quanto

rapidamente possa aumentare l'obsolescenza di un sistema per la

cifratura, che dipende dalle prestazioni dei computer disponibili e

dagli sviluppi delle tecniche di criptoanalisi. Anche grazie alla

dinamicità offerta dalla virtualizzazione e dal cloud, si stanno

sviluppando nuove tecniche di crittografia che prevedono una

cifratura "interna" al dato stesso, in particolare per applicazioni in


122

ambito cloud storage. Su altri fronti, si lavora per migliorare la

criptazione dei canali per la comunicazione.

In ogni caso, le soluzioni di sicurezza crittografiche vanno riviste

periodicamente nel tempo, per garantire che il livello di

protezione si mantenga costante e adeguato.

Da un punto di vista del business, le funzioni di sicurezza garantite

dalla crittografia contribuiscono in modo significativo a estendere

il livello di protezione nel processo di gestione degli accessi,

intervenendo nei seguenti ambiti:

Autenticazione, che assicura che il mittente e il destinatario

di un messaggio siano quelli che affermano di essere;

Confidenzialità, che fa in modo che le informazioni siano

accessibili solo da chi è preposto a farlo;

Integrità, garantendo la non alterazione delle informazioni

da parte di persone non autorizzate;

Non ripudiabilità, impedendo a utenti di negare la paternità

delle informazioni trasmesse;

Identità, verificando l’associazione tra uno specifico

individuo e una risorsa o un’informazione;

Autorizzazione, che definisce i privilegi e le azioni permesse

rispetto a una specifica risorsa.

Le tecniche di crittografia delle informazioni utilizzano sofisticati

algoritmi di tipo matematico per rendere incomprensibili i dati a

un utente non autorizzato e fornire nel contempo, a chi è

autorizzato a farlo, la possibilità di ricostruire le informazioni in un

formato comprensibile riconvertendo il testo cifrato in testo in

chiaro. Lo strumento alla base del processo di

cifratura/decifrazione delle informazioni è quello della gestione

delle chiavi.

I modelli di base da cui discendono le diverse evoluzioni dei

sistemi di gestione delle chiavi sono quelli a chiave condivisa e

chiave pubblica, che vengono brevemente ricordati di seguito.


123

Il sistema di crittografia simmetrico

o a chiave condivisa

Un sistema di crittografia simmetrica (detto anche a chiave condivisa)

prevede che venga utilizzata un’unica chiave per effettuare le

operazioni di cifratura e decifrazione del testo.

Si tratta di un sistema che si basa sulla reciproca fiducia delle due

parti e in cui i detentori della chiave, che in questo contesto viene

anche detta “privata” (per distinguerla da quella “pubblica”),

confidano sulla protezione che ognuno, reciprocamente, garantirà

alla chiave in suo possesso. Questo sistema richiede una fase di

scambio della chiave tra le due parti che deve essere effettuata in

condizioni di sicurezza.

Si tratta di un metodo che consente di cifrare grandi quantità di dati

in modo rapido e veloce, soprattutto se eseguito in modalità

hardware.

La garanzia di sicurezza in questo sistema è determinata dalla

dimensione della chiave: quanto più è lunga la chiave, tanto più

numerosi sono i tentativi che devono essere effettuati per

individuarla.

Schema di un sistema di crittografia simmetrico basato sull’uso di chiavi private


124

Il sistema di crittografia asimmetrico

o a chiave pubblica

La crittografia di tipo asimmetrico prevede l’utilizzo di due chiavi

distinte che interoperano tra loro per realizzare le procedure di

cifratura e decifrazione dei dati. Le due chiavi, una pubblica e una

privata, hanno funzionalità reciproca, in modo che i dati cifrati con

una chiave possono essere decifrati solo con l’altra.

Ogni utente dispone di due chiavi: una chiave privata specifica e

univoca conosciuta solo dal suo possessore e una chiave, detta

pubblica, inserita in un archivio liberamente consultabile e

mantenuto a cura di un ente certificatore (Certification Authority).

Un utente che voglia inviare un messaggio protetto, provvede a

cifrarlo mediante la chiave pubblica del destinatario, il quale potrà

risalire al messaggio originale decifrandolo per mezzo della propria

chiave privata.

Questo sistema si basa sul principio che la conoscenza della chiave di

cifratura non permette di ricostruire alcuna informazione su quella di

decifrazione, poiché le due chiavi non hanno alcun elemento in

comune.

Schema di un sistema di crittografia asimmetrico basato sull’uso di una coppia di chiavi distinte (pubblica e privata)


125

I sistemi crittografici di tipo asimmetrico garantiscono un elevato

livello di sicurezza, ma richiedono una notevole potenza di calcolo

e sono più lenti di quelli simmetrici. Richiedono, inoltre, massima

attenzione nella conservazione della chiave privata poiché, in caso

di sua perdita, l’unico modo per recuperare i dati è quello di

ricorrere ad agenti autorizzati.

Una protezione che si sposta nel cloud insieme al

dato

L'esigenza di una crescente sicurezza nell’accesso alle informazioni

è fortemente aumentata con la diffusione di Internet e con lo

sviluppo di modelli di interazione tra aziende che hanno portato a

un concetto di azienda estesa, dove la relazione tra le entità

coinvolte si basa sulla certezza dell’interlocutore (sia esso una

persona fisica o un programma) e sulla inalterabilità dei dati e

delle informazioni (per esempio ordini, fatture, bolle di

spedizione, documenti amministrativi e legali, bollette) che sono

scambiate nel corso delle usuali attività di business.

I nuovi modelli cloud e l'affermazione della mobilità hanno

ulteriormente contribuito a complicare lo scenario della gestione

del rischio. Per esempio, la componente di cloud pubblica rende

difficoltoso sia conoscere la collocazione fisica dei dati di business

affidati al proprio cloud provider sia riuscire a seguirli nei loro

spostamenti.

Indipendentemente dall'approccio di sicurezza seguito, il dato

rappresenta, in ultima analisi, l'elemento da proteggere.

Proteggere i dati significa molte cose: garantirne la disponibilità,

l'accessibilità, la conservazione ma, dal punto di vista del business,

una delle esigenze primarie è quella di impedirne la diffusione non

autorizzata e la riservatezza.

In molti casi mantenere i dati privati e sicuri costituisce anche un

requisito di conformità, per esempio alle norme Sarbanes-Oxley

(SOX), al Payment Card Industry Data Security Standard (PCI DSS) o

alle direttive sulla protezione dei dati dell'Unione Europea che


126

richiedono che le organizzazioni proteggano i loro dati a riposo e

garantiscano efficaci difese contro le minacce.

L'adozione di tecnologie di crittografa consente di predisporre un

livello di sicurezza intrinseco al dato stesso, che viene esercitato al

momento stesso della sua creazione e che è in grado di spostarsi

insieme all'informazione.

Questo livello di protezione è alla base dell'offerta di soluzioni

HP Atalla, sviluppate per proteggere i dati inattivi, attivi e in uso

nel corso del loro intero ciclo di vita, all'interno di ambienti cloud,

on-premises e mobili.

La gamma d'offerta è strutturata attorno a tre macro esigenze di

business: soluzioni per la protezione dei dati nel cloud, soluzioni

per la protezione e il controllo dei dati e soluzioni per la sicurezza

dei pagamenti.

L'ambito di intervento delle soluzioni HP Atalla

Crittografia e cloud

Diverse sono i benefici che le aziende possono ottenere spostando

applicazioni e dati nel cloud: dalla scalabilità, all'agilità, alla

riduzione dei costi. Tuttavia, ai potenziali vantaggi sono associati

anche nuovi rischi. Una dimostrazione di ciò giunge anche dal


127

survey HP Cloud-public cloud security research che ha messo in

luce come il 16 per cento delle aziende intervistate presenti sul

cloud abbia riportato almeno una violazione del cloud pubblico

negli ultimi 12 mesi.

Peraltro, va ricordato che i cloud provider che offrono servizi di

Infrastructure as a Service (IaaS) e Platform as a Service (PaaS)

propongono solitamente un modello di "responsabilità condivisa"

per le applicazioni e i dati dei loro clienti e, di conseguenza, la

responsabilità della sicurezza dei dati nel cloud è un problema la

cui soluzione spetta alle aziende proprietarie dei dati.

La crittografia dei dati è uno dei metodi più efficaci per proteggere

i dati a riposo nel cloud, ma non tutte le tecnologie sono

identiche. Al fine di selezionare la soluzione più efficace per le

proprie specifiche esigenze aziendali, è importante analizzare

alcuni aspetti fondamentali legati alla gestione del processo di

crittografia e al modo in cui viene esercitata la protezione dei dati

in uso o a riposo attraverso ogni fase del loro ciclo di vita e a come

viene affrontata la gestione e la sicurezza delle chiavi di

crittografia.

Una delle preoccupazioni primarie per chi sceglie modelli cloud di

tipo ibrido o pubblico è proprio quella di garantire la massima

segretezza delle chiavi di cifratura riuscendo, nel contempo, a

mantenerne la proprietà e il controllo: due obiettivi spesso tra

loro antagonisti.

Infatti, tutti i sistemi di crittografia dei dati, sia nel cloud o in un

data center fisico, condividono una vulnerabilità comune: hanno

bisogno di utilizzare le chiavi di crittografia e, quando queste sono

in uso, è possibile, ipoteticamente, rubarle.

Nell'analizzare una soluzione di crittografia è anche opportune

valutarne il livello di versatilità e la sua capacità di supportare i

diversi possibili casi d'uso: crittografia del disco, del database, del

file system e dello storage distribuito.


128

La protezione Atalla dei dati nel

cloud

Attraverso la divisione Enterprise Security Products, in risposta a tutte

queste esigenze, HP propone HP Atalla Cloud Encryption, una soluzione

che adotta numerose precauzioni conosciute e le combina con altre di

nuovo tipo.

HP Atalla Cloud Encryption

HP Atalla Cloud Encryption, avvalendosi del motore Porticor, combina

cifratura allo stato dell'arte implementata su appliance (fisica o

virtuale) con una tecnologia brevettata di gestione delle chiavi

progettata per proteggere i dati critici in ambienti cloud di tipo

pubblico, ibrido e privato. Questa soluzione permette di crittografare

l'intero layer dei dati, inclusi i principali database (Oracle, MySQL,

Microsoft SQL Server e IBM DB2), i file e lo storage distribuito

all'interno di un Cloud pubblico, ibrido e privato con chiavi che non

risultano mai esposte in modo vulnerabile.

Per fornire protezione nel cloud HP Atalla Cloud Encryption utilizza

tre tecnologie di base:

crittografia dei dati basata su standard gestibile attraverso

un'interfaccia utente molto semplice;

un servizio cloud-ready per la gestione delle chiavi che utilizza

la tecnologia brevettata di cifratura con chiave divisa;

tecniche di crittografia a chiave omomorfica che proteggono le

chiavi anche quando sono in uso.

Come funziona HP Atalla Cloud Encryption

HP Atalla Cloud Encryption fornisce la possibilità di inserire la

soluzione di crittografia tra l'archiviazione dei dati e l'applicazione o il

database server nel cloud. Una volta che è stata concessa

l'autorizzazione, la soluzione di crittografia risulta trasparente per


129

l'applicazione e può essere integrata velocemente e con facilità senza

modificare alcuna applicazione.

Ogni volta che un'applicazione (per esempio un database server)

scrive un blocco dati su un disco, questo passa attraverso

un'appliance virtuale sicura in cui i dati vengono crittografati e poi

inviati al volume del disco. Tutte le richieste per leggere i dati dal

disco vengono inviati alla appliance virtuale sicura, che legge i blocchi

di dati cifrati, li decodifica, e quindi invia i dati di testo in chiaro

all'applicazione richiedente.

L'interfaccia grafica per la gestione di HP Atalla Cloud Encryption

HP Atalla Cloud Encryption utilizza l'algoritmo di crittografia

Advanced Encryption Standard (AES) con chiave a 256 bit. Blocchi

multipli sono incatenati con Cipher-Block Chaining (CBC) e lo schema

Encrypted Salt-Sector Initialization Vector (ESSIV) viene utilizzato per

contrastare i cosiddetti attacchi "watermarking" indirizzati ai metodi

di cifratura del disco e in cui la presenza di un blocco di dati

appositamente predisposto (per esempio, un file di richiamo) può

essere rilevato da un attaccante senza conoscere la chiave di

crittografia.


130

La soluzione proposta da HP può cifrare in modo dinamico:

i volumi di un disco, sia che si presentino alle applicazioni come

dischi NFS o come volumi CIFS;

i volumi di dischi in una SAN, tramite il supporto del protocollo

iSCSI;

lo storage distribuito, nei casi in cui le applicazioni scrivono

l'intero file all'interno di un Web service. Il motore Porticor

supporta sia Amazon S3 (Simple Storage Service) che è

attualmente l'implementazione più diffusa sia consente

l'integrazione con altre implementazioni.

Oltre alla crittografia, HP Atalla Cloud Encryption mette a

disposizione anche altre tecnologie per rafforzare la sicurezza dei dati

quali:

firma digitale per garantire che il dato non venga alterato,

una tecnologia brevettata di dispersione dei dati e di

decostruzione per rendere più difficoltoso trovare i dati nel

cloud,

sistemi di registrazione e di allerta su eventi legati ai dati a

supporto delle azioni di auditing e di compliance.

HP Atalla Cloud Encryption Virtual Key

Management Service

Le best practice di sicurezza prevedono di non memorizzare la chiave

di cifratura accanto ai dati crittografati, in quanto entrambi le

componenti potrebbero risultare vulnerabili al medesimo attacco.

Nel cloud questo rappresenta un obiettivo irrealizzabile: non è

possibile evitare di memorizzare le chiavi nel cloud assieme ai dati

poiché si ha bisogno delle chiavi per accedere ai dati memorizzati sui

server applicativi e sui database server.

L'approccio seguito da HP per ovviare a questa condizione all'interno

della soluzione HP Atalla Cloud Encryption prevede di mettere a

disposizione un servizio di gestione delle chiavi ospitato all'interno

del cloud che eviti di penalizzare la sicurezza grazie all'utilizzo di una


131

tecnologia di crittografia a chiave divisa e omomorfica.

Questo servizio denominato HP Atalla Cloud Encryption Virtual Key

Management (VKM) Service è fornito attraverso il cloud ed è

supportato dal partner di HP, Porticor. Il servizio VKM fornisce la

capacità di generare chiavi di crittografia che possono essere

utilizzate dal software HP Atalla Cloud Encryption implementato

nell'infrastruttura cloud.

L'accesso al servizio avviene dal sito Web di HP Atalla Cloud

Encryption su connessione https attraverso l'integrazione con

un'appliance virtuale.

Il servizio è disponibile in modalità 24x7 ed è progettato per fornire

un livello di disponibilità (SLO) del 99,99 per cento. Nel caso in cui un

disastro di varia natura abbia un impatto sul servizio, HP garantisce il

ripristino dell'accesso entro 15 giorni lavorativi.

La cifratura a chiave divisa

La cifratura a chiave divisa utilizzata nella soluzione HP Atalla Cloud

Encryption prevede che ogni "data object" (per esempio un disco o

un file) venga cifrato con un'unica chiave che viene separata in due.

La prima parte, la cosiddetta Master Key, è uguale per tutti i "data

object" nell'applicazione e rimane in possesso solo del proprietario

dell'applicazione mentre è sconosciuta ad HP. La seconda parte della

chiave è differente per ogni "data object" e viene generata

dall'appliance virtuale sicura all'interno del servizio di gestione delle

chiavi e di HP e memorizzata nel Key Management Service dopo

averla ulteriormente cifrata con una chiave privata RSA.

Entrambi le chiavi devono essere utilizzate contemporaneamente per

svolgere le operazioni crittografiche. Quando un'applicazione accede

all'archivio dati, l'appliance combina la chiave master con la seconda

chiave per ottenere una chiave che può effettivamente decifrare un

oggetto.


132

La soluzione HP Atalla Cloud Encryption

In altre parole, ogni volta che un utente crea un nuovo progetto

(applicazione), si genera una sola chiave Master che viene

memorizzata in modo sicuro su sistemi on-premises. La chiave

Master viene utilizzata dall'appliance virtuale sicura che risiede nel

Cloud dell'utente, ma non viene mai trasferita al Key Management

Service di HP Atalla Cloud Encryption. Quando un volume di disco o

un oggetto Amazon S3 viene crittografato, questo riceve una nuova

chiave che è una combinazione matematica della Master Key e di una

chiave casuale univoca creata dall'appliance virtuale sicura e

conservata in forma crittografata nel Key Management Service. In tal

modo, per ogni applicazione o progetto, l'utente deve tenere traccia

solo di una Master Key.

Quando non è più necessario l'accesso continuato a un "data object",

è possibile utilizzare l'interfaccia di gestione (API) per "bloccare"

l'oggetto. La chiave viene poi cancellata, e solo la seconda parte viene

conservata (criptata) nel virtual Key Management Service.

L'oggetto in tal modo risulta ancora protetto sia dalla Master Key sia

dall'altra chiave e quando la chiave dovesse servire di nuovo per la

riattivazione del volume, può essere prelevato dal virtual Key

Management Service.


133

Tecnologia omomorfica per proteggere le chiavi in uso

L'operazione con cui l'appliance virtuale combina le due parti delle

chiavi di cifratura solitamente richiederebbe che entrambi le parti

della chiave vengano esposte in modo non cifrato.

HP Atalla Cloud Encryption, invece, mantiene sicuri i dati e le chiavi di

cifratura anche quando sono in uso nel cloud, grazie all'uso di

tecnologia crittografica omomorfica: una tecnica che abilita

l'esecuzione di operazioni matematiche su dati cifrati. Di fatto, con

HP Atalla Cloud Encryption entrambi le parti della chiave sono cifrate

prima e durante il loro utilizzo nell'appliance. Di conseguenza,

l'appliance virtuale fornisce all'applicazione l'accesso all'archivio dei

dati senza mai esporre le chiavi Master in modo non cifrato.

La soluzione Atalla cifra la Master Key in modo differente per ogni

istanza della virtual appliance sicura. Nel caso improbabile che

l'appliance virtuale fosse violata e la chiave di crittografia venisse

rubata, solo l'oggetto dati stocasticamente dipendente che è in

memoria in quel momento sarebbe esposto. Per accedere al resto dei

dati atrchiviati, il ladro avrebbe bisogno della Master Key del

progetto enterprise.

Va osservato che l'esecuzione di un processo di cifratura omomorfica

completo consentirebbe di effettuare tutte le operazioni

matematiche sui dati cifrati ma richiederebbe un'enorme potenza

elaborativa, difficilmente disponibile. Per ovviare a questo

inconveniente HP ha predisposto una tecnologia di cifratura (in

attesa di brevetto) parzialmente omomorfica per combinare e

separare le chiavi di cifratura, che interessa solo il link più critico del

processo di cifratura dei dati all'interno del cloud (di fatto la Master

Key) riducendo, in tal modo, il carico elaborativo complessivo.

HP Atalla Cloud Encryption Agent

L'agent HP Atalla Cloud Encryption, consente agli utenti delle

soluzioni HP Atalla di crittografare i dati su disco direttamente sul

loro server applicativo e anche di generare dischi cifrati virtuali


134

all'interno di file regolari in un file system esistente. Tutti i processi di

cifratura e decifratura avvengono localmente sull'host server per

massimizzare le prestazioni.

HP Atalla Cloud Encryption Agent si aggiunge alle funzionalità di

creazione dei dischi crittografati in modalità inline fornite

dall'appliance virtuale di HP Atalla Cloud Encryption.

Come misura di sicurezza aggiuntiva, l'agente HP Atalla Cloud

Encryption viene rilasciato utilizzando una chiave API sicura, che

permette di accedere alle sue chiavi crittografiche gestite ma non alla

Master Key. Le procedure di cifratura del disco avvengono

localmente sull' host server che fa girare HP Atalla Cloud Encryption

Agent, e le chiavi di cifratura sono divise tra la virtual appliance HP

Atalla Cloud Encryption e il HP Atalla Cloud Encryption Virtual Key

Management (VKM) Service.

Le opzioni di offerta di HP Atalla Cloud Encryption

HP Atalla Cloud Encryption viene offerto da HP in molteplici opzioni

di deployment, supportando VMware e Amazon Web Services con

possibilità di supporto 9x5 e 24x7.

In particolare l'offerta prevede

HP Atalla Cloud Encryption for Amazon Web Services per

virtual appliance ovvero rilasciato nell'ambiente cloud del

cliente con un prezzo per appliance virtuale

HP Atalla Cloud Encryption for VMware per virtual appliance

ovvero rilasciato nell'ambiente cloud del cliente con un prezzo

per appliance virtuale

HP Atalla Cloud Encryption agent per istanza su VMware

ovvero rilasciato per l'installazione sull' application server

nell'ambiente cloud del cliente su sistema operativo Linux e un

prezzo per istanza dell'agente su VMware.

HP Atalla Cloud Encryption agent per istanza su AWS ovvero

rilasciato per l'installazione sull' application server

nell'ambiente cloud del cliente su sistema operativo Linux e un

prezzo per istanza dell'agente su AWS.


135

HP Atalla Information Protection and

Control

HP Atalla Information Protection and Control (IPC) mette a

disposizione una serie di soluzioni per la classificazione e la

protezione delle informazioni all'interno dell'organizzazione

aziendale. L'offerta HP Atalla IPC include software di gestione,

reporting e analytics, moduli per la protezione di file e cartelle,

protezione dei dati delle applicazioni, protezione della posta e dei

dati non strutturati multi-formato.

HP Atalla Information Protection and Control

HP Atalla IPC si avvale del motore della piattaforma IQProtector,

grazie alla partnership con Secure Islands Technologies, per fornire

una protezione incorporata ai dati al momento della loro creazione.

Gli Agenti IQProtector presenti sull'host enterprise, identificano

immediatamente e in modo preciso i dati sensibili nuovi, modificati o

acceduti da qualsiasi origine, applicandogli un livello avanzato di

classificazione, contrassegnandoli e consentendo il controllo

completo sul loro accesso e utilizzo.


136

La famiglia di software HP Atalla IPC è strutturata nelle seguenti

componenti.

HP Atalla IPC Suite

È la suite centrale per la protezione delle informazioni che include il

software di gestione e i seguenti moduli funzionali:

Persistent Multi-format File Protection;

Persistent Email Protection;

Persistent Web, Application, and Cloud Protection;

Persistent Information Protection Data Analytics;

Persistent Protection for Remote Desktop Services (per

esempio Citrix/Terminal Services);

SharePoint Classification and Protection.

HP Atalla IPC Bridge per i servizi di analisi dei

contenuti

Viene rilasciato su servizi enterprise quali antivirus, DLP, ricerca,

archiviazione, indicizzazione per accedere e scandire contenuti cifrati

senza soluzione di continuità.

HP Atalla IPC Scanner

Una soluzione per la classificazione e la protezione. Si tratta

essenzialmente di un "document crawler" che passa in scansione

classifica e protegge i dati preesistenti sui repository.

Servizio di compliance HP Atalla IPC per Exchange

Un 'offerta che mette a disposizione la possibilità di decifrare le email

e gli allegati protetti per l'archiviazione e per esigenze di conformità.

Questo servizio viene distribuito sui server Microsoft Exchange e

gestito centralmente.


137

HP Atalla IPC AD RMS extensions for Outlook

Fornisce un modo semplice per applicare la protezione Microsoft

Active Directory Rights Management Services (AD RMS) all'interno di

Microsoft Outlook per incrementare l'effettivo utilizzo dei servizi RMS

all'interno dell'organizzazione. Consente un livello di flessibilità

all'utente finale per applicare permessi che si estendono oltre gli

standard di Microsoft Outlook.

HP Atalla IPC Mobile Support for Microsoft AD RMS

Mette a disposizione delle organizzazioni la possibilità di collaborare

con email ed allegati protetti da servizi di gestione dei diritti (Rights

Management Services, RMS) in modo sicuro sui principali sistemi

operativi e device mobili come iOS, Android, Windows, BlackBerry.

Le soluzioni Atalla per la sicurezza

dei pagamenti

HP Atalla fornisce anche una gamma di soluzioni di sicurezza per

pagamenti e transazioni elettroniche che mette a disposizione chiavi

di crittografia business-critical. Le soluzioni HP Atalla soddisfano i

requisiti degli standard critici per la sicurezza e la conformità dei

servizi finanziari, inclusi NIST, PCI-DSS e HIPAA/HITECH per la

protezione dei dati sensibili e la prevenzione delle frodi.

La soluzione per la sicurezza dei pagamenti prevede due componenti

che operano congiuntamente per garantire una protezione della rete

end-to-end, trasparente per l'utente e a elevate prestazioni.

HP Atalla Network Security Processor (NSP)

Il primo è il modulo di crittografia hardware HP Atalla Network

Security Processor (NSP) che soddisfa i più stringenti standard incluso

FIPS 140-2 livello 3 a supporto delle attività di gestione delle

autorizzazione di pagamento a mezzo carta e delle verifiche di PIN

ATM/POS.


138

Si tratta di un modulo di sicurezza hardware a prova di

manomissione, pensato per le soluzioni di cifratura sulle reti di

trasferimento elettronico dei fondi, di bancomat e di POS, che

fornisce crittografia ad alte prestazioni e capacità di gestione delle

chiavi per l'autorizzazione dei pagamenti con carta di credito.

HP Atalla Network Security Processor (NSP) A10160

Sono disponibili tre modelli di Network Security Processor, ognuno

dei quali fornisce le medesime funzionalità di sicurezza ma con

differenti livelli prestazionali.

HP Atalla A8160 NSP è una soluzione adatta per ambienti

transazionali caratterizzati da bassi volume, che è in grado di tradurre

80 PIN per secondo.

HP Atalla A9160 NSP è una soluzione per gli ambienti di transazioni di

medio livello che traduce fino a 280 PIN al secondo, mentre HP Atalla

A10160 NSP è la soluzione per gestire ambienti transazionali ad alto

volume di traffico che traduce 1060 PIN al secondo quando utilizzata

con il Key Block Atalla.

Inoltre, tramite Atalla Secure Configuration Assistant, HP mette a

disposizione degli amministratori della sicurezza uno strumento

tablet-based che consente di configurare comandi, definire

parametri, calcolare crittogrammi e inserire chiavi crittografiche

all'interno dei moduli HP Atalla NSP distribuiti in tutto il mondo.


139

HP Atalla Secure Configuration Assistant

HP Enterprise Secure Key Manager (ESKM)

Il secondo componente è il sistema sicuro di gestione delle chiavi HP

Enterprise Secure Key Manager (ESKM) che consente di ridurre il

rischio di danni ai dati crittografati e alla reputazione e che facilita la

conformità con le normative del settore.

HP ESKM è una soluzione per la creazione, l'archiviazione, la

fornitura, il controllo e l'accesso per esigenze di auditing alle chiavi di

cifratura dei dati; permette di proteggere e preservare l'accesso alle

chiavi di crittografia sia in locale sia da remoto.

HP Enterprise Secure Key Manager

La soluzione Atalla prevede la compatibilità con applicazioni ATM,

POS e EFT personalizzate o fornite dai principali produttori.


140

141

LA SECURITY INTELLIGENCE

Le minacce sono andate crescendo in complessità e

volumi. Contemporaneamente sono state sviluppate

tecniche di attacco sempre più sofisticate. Il numero

di eventi legati alla sicurezza, registrati dalle

soluzioni di protezione in essere presso le imprese, ha

raggiunto livelli tali da rendere impossibile la loro

gestione senza l'utilizzo di soluzioni "intelligenti", in

grado di attuare meccanismi automatici d'analisi e

intervento.

HP ESP ha raggruppato all'interno della famiglia

HP ArcSight le soluzioni software indirizzate risponde

a queste esigenze

6


142

La sofisticatezza degli attacchi

Negli anni si è assistito a un costante aumento delle minacce, ma,

cosa ancora più grave, a un continuo "miglioramento" delle stesse: in

altre parole, sono sempre più sofisticate e difficili da rilevare.

Non è più il tempo dei virus, ma quello di più pericolosi malware e

tecniche di attacco, quali phishing, adware, spyware e botnet, che si

combinano con codici maligni spesso scritti per specifici attacchi e

con exploit kit specializzati.

Si comprende che questo livello di sofisticatezza non è opera dei

cosiddetti “script kid”, giovani in cerca di notorietà che si pongono

obiettivi ambiziosi per mettere alla prova le proprie capacità, ma di

organizzazioni criminali vere e proprie, le quali, talvolta usano ancora

la spinta entusiasta del ragazzo preso e compreso dalla "causa" del

momento e contribuisce con il suo genio informatico alle azioni di

Anonymous o di altri gruppi hacktivisti, ignaro del disegno

complessivo, messo in piedi da associazioni criminali.

Semplificando, possiamo individuare tre tipi di hacker: l'hacktivist, il

cyber criminale e l'ethical hacker. Quest'ultimo è generalmente

considerato l'esperto buono. Può essere colui che lavora presso le

società che combattono il crimine informatico o che cercano di

proteggere le aziende, ma può anche essere un "cane sciolto", che, in

base a una propria morale, sceglie cosa considerare hackerabile e

cosa no. Certamente non trafugherà denaro direttamente, ma

potrebbe trovare giusto piratare del software considerato troppo

costoso.

L'hacktivist compie azioni dimostrative contro enti governativi,

associazioni, imprese, tipicamente attraverso attacchi DDoS, creando

danni a volte consistenti a volte no. La finalità è soprattutto la

"vetrina", cioè il guadagnare un palcoscenico e una platea per

effettuare una denuncia di un qualche tipo.

Il cyber criminale è fortemente motivato dal profitto e può, a sua

volta, essere di due tipi: professionista o dilettante. C'è chi produce e

sviluppa malware e sistemi di attacco che vende o noleggia via Web e

6 - LA SECURITY INTELLIGENCE

143

chi li utilizza per arricchirsi. Anche il ragazzino appena un po'

competente può avviare un'attività illegale compiendo frodi e

attacchi di varia natura. Dopodiché esistono anche organizzazioni che

compiono azioni criminose anche per conto terzi.

Il cybercrime ha dunque fatto un salto di qualità, non solo il tempo

della goliardia è ormai solo un ricordo, ma dalle azioni

"estemporanee" finalizzate a frodi online, si è andato oltre.

La redditività del crimine informatico ha rapidamente portato alla

costituzione di vere e proprie forme di criminalità organizzata. Una

cospicua fetta del Deep Web, tutto il mondo sommerso di Internet,

che ne rappresenta la porzione maggiore, si occupa di sviluppare

strumenti di attacco, mentre altri utenti, non necessariamente

esperti li utilizzano.

Al gioco partecipano anche le organizzazioni di stampo mafioso

"tradizionali", che, perlopiù, agiscono localmente, "noleggiando" i

servizi di attacco per raccogliere denaro, attraverso il furto di

identità, cioè sottraendo e utilizzando in modo fraudolento dati degli

utenti, numeri di carta di credito, password e altro, oppure con il

ricatto, per esempio minacciando un’organizzazione di mettere ko i

suoi sistemi Internet, o ancora sfruttando l’ingenuità di chi riceve

mail mascherate da richieste di beneficenza, pubblicità di prodotti

super economici e via dicendo.

A rendere estremamente efficaci questi messaggi, spesso scritti

anche in italiano maccheronico, sono diversi fattori: l'ignoranza in

materia; l'ingenuità di chi fino a poco fa non navigava su Internet, la

facilità con cui riuscendo al leggere poco o niente si clicca su tutto e

poi si pensa. Da questo punto di vista, la diffusione degli smartphone,

attraverso i quali si collegano a Internet e leggono la posta

elettronica un numero sempre maggiore di utilizzatori, rappresenta

un aiuto insperato per i cyber criminali.

A creare preoccupazione, inoltre, è la sempre maggiore attività di

collaboration nel Deep Web: chi scrive malware oggi condivide

informazioni con i “colleghi”, mentre prima non accadeva o, almeno,

non con le stesse modalità. Ormai vengono seguite le stesse fasi di


144

sviluppo del software normale, secondo il modello open source, con

il rilascio successivo di diverse versioni, il debug e via dicendo.

Dalle più recenti analisi, inoltre, si evince che sta aumentando

notevolmente l’utilizzo del social engineering come base per il

phishing. Traducendo: il furto di credenziali elettroniche con le quale

perpetrare frodi informatiche avviene sempre più facilmente

attraverso attacchi non informatici. In passato, era sempre possibile

avvicinare un dipendente per carpire informazioni riservate, con

tecniche di spionaggio tradizionale, ma era costoso e possibile solo su

obiettivi mirati con interventi diretti. Oggi, grazie ai siti di social

networking, è possibile reperire quantità enormi di informazioni

private senza neanche incontrare il o i potenziali target. Gli stessi siti

Web aziendali contengono informazioni apparentemente innocue e

utili per l'immagine (come il "chi siamo" completo di organigramma).

Tanto basta per comporre una mail di "spear phishing"

sufficientemente credibile per trarre in inganno magari un quadro o

un dirigente aziendale, che, inconsapevolmente, consegna le chiavi di

accesso alla rete e, magari, con privilegi di alto livello.

Come accennato queste minacce di ultima generazione vengono

combinate con quelle più vecchie (anche perché alcune vulnerabilità

del software applicativo continuano a essere presenti in molte

imprese) e con diverse tecniche di attacco (compreso il social

engineering offline) per realizzare quelle che vengono chiamate

minacce avanzate o Advanced Persistent Threat (APT).

Le Advanced Persistent Threat (APT)

Tutti i rapporti divulgati dalle principali società impegnate nella

sicurezza concordano su un dato: aumentano il numero degli attacchi

"mirati", cioè condotti con un preciso fine, e di quelli "silenti", cioè

orientati a un obiettivo evitando di "far rumore". Sono quelli che

vengono raccolti nella categoria Advanced Persistent Threat.

Gli APT sono lo strumento principale per perseguire tali obiettivi

illeciti e sono utilizzati in tutti gli ambiti: nello spionaggio industriale o


145

governativo, nelle azioni di sabotaggio, nelle frodi, nei furti di

proprietà intellettuale, nella sottrazione di dati e così via.

Gli aggettivi "advanced" e "persistent" indicano le caratteristiche

principali di questi attacchi: l'uso di tecniche sofisticate, la

combinazione delle stesse in una strategia basata su più fasi e la

tenacia con cui questa viene applicata con continuità fino

all'ottenimento dell'obiettivo e oltre. Oltre, perché in casi come lo

spionaggio, il malware è progettato per annidarsi e continuare a

spiare anche per anni, finché non viene scoperto.

Recentemente, per esempio, sono stati trovati malware che

"spiavano" enti governativi e aziende statunitensi, probabilmente di

origine russa (un sospetto dovuto alla presenza di caratteri cirillici in

alcune stringhe di testo incluse nel codice).

Le fasi di un attacco APT sono diverse: secondo alcune classificazioni

5, per altri 6 o 7. Di fatto, non c'è una reale uniformità, perché alcune

di queste fasi possono mancare o, più spesso, essere accorpate in

un'unica azione a seconda dei casi.

Le sette fasi di un attacco APT

La caratteristica principale è l'utilizzo di più tecniche organizzate

secondo una sequenza abbastanza standard, perlopiù rappresentata

in sette fasi. Queste sono:


146

1 - Ricognizione – Come detto, gli APT sono perlopiù attacchi mirati,

che, come nella migliore strategia di guerra, sono preceduti da una

fase di studio del "nemico". In questo caso, il cyber criminale cerca

dati sul bersaglio da colpire, partendo, tipicamente, dal sito Web e

facendo sfoggio di capacità deduttive. Per esempio, un'offerta di

lavoro in cui si ricerca personale specializzato in un determinato

applicativo software permette di comprendere quali sistemi vengano

utilizzati in un'azienda, identificando potenzialmente delle

vulnerabilità. In generale, si vuole trovare dati personali tra i profili

online, gli indirizzi e-mail, gli organigramma aziendali, gli hobby e

interessi sui Social Network. Più informazioni si ottengono, maggiori

sono le probabilità di affinare e rendere efficaci le successive fasi di

attacco.

2 -- Adescamento – Questa fase è diventata più facile di quanto si

possa immaginare con la diffusione dei sistemi mobile. La cultura

sulla sicurezza informatica è scarsa ed è facile incuriosire, soprattutto

se si conoscono (vedi fasi uno) i punti deboli della persona cui si

spedisce un messaggio mirato. Inoltre, quando questi messaggi

arrivano sullo smartphone, dove complice la "visibilità ridotta" e

soprattutto l'abitudine a cliccare prima e pensare dopo, è alta la

possibilità che il malcapitato caschi nella trappola. Quasi certamente

non se ne accorgerà, perché il cybercriminale si guarderà bene dal

creare disturbo, magari gli manderà un secondo messaggio di scuse

perché il primo aveva avuto un comportamento strano,

tranquillizzando gli eventuali dubbiosi.

I filtri antispam possono fermare attacchi di massa, ma nel caso di

quelli mirati i messaggi puntano su comunicazioni normalmente

attese dall’utente, che spesso questi filtri considerano attendibili.

Secondo alcune ricerche fra i cinque argomenti più usati come esca

via e-mail sono l’avviso riguardo un ordine, la conferma di un

biglietto, l’annuncio di una consegna di un corriere espresso, un’e-

mail di verifica e una notifica di informazioni sui rimborsi fiscali. Ma

sono tattiche generiche usate da chi vuole sparare nel mucchio. Gli

attacchi mirati usano anche messaggi apparentemente inviati dal


147

proprio capo e sfruttano i dati raccolti, quindi la sicurezza aziendale,

teoricamente, andrebbe estesa anche alla pagina Facebook dei

dipendenti. Quantomeno, le informazioni sulle minacce raccolte dai

sistemi di sicurezza aziendali dovrebbero correlare Web ed e-mail,

anche considerando che il 92% dello spam via e-mail contiene un

URL.

3 - Reindirizzamento – L'esca della fase due molto spesso reindirizza

verso un sito Web dove è annidato un exploit kit. Anche in questo

caso, c'è molta differenza tra gli attacchi APT di massa e quelli mirati.

I primi cercano di adescare il maggior numero di persone, ma per

questo non possono essere troppo sofisticati nel messaggio e nel tipo

di trappola. Per quelli mirati, ci si può anche prendere la briga di

attaccare un sito insospettabile per installarvi sopra il kit di malware.

Fa specie che la tecnica tuttora più utilizzata per il redirect è basata

sull'SQL injection, inventata prima della nascita di Internet. Insieme

alla iFrame injection conducono gli utenti ignari verso servizi Web e

contenuti non richiesti. Il cosiddetto “malvertising” (malware

advertising) invece dirotta gli utenti inconsapevoli all’interno di siti

conosciuti. I re-indirizzamenti di nuova generazione, infine,

comprendono i post sulle bacheche dei social network, finti plug-in,

certificati falsi e java script abilmente occultati. Tali reindirizzamenti

sono spesso dinamici, cambiano cioè in continuazione, per cui i

sistemi di Web Filtering avanzati devono poter verificare i link in

tempo reale.

4- Exploit – La fase centrale è fondamentale per l'attacco vero e

proprio, cioè per penetrare all'interno delle difese avversarie. Gli

exploit sono sempre più sofisticati: per esempio i Blackhole utilizzano

sistemi di cifratura difficili da identificare con soluzioni antivirus.

Decisamente più efficaci possono essere i gateway di ultima

generazione, come i Next Generation Firewall, ma non tutti arrivano

a comprendere il reale funzionamento del malware, che, talvolta,

rimane "inattivo" a lungo dopo l'installazione sulla rete del bersaglio.

Rispetto al passato quando i kit erano numericamente di meno e

basati su relativamente poche varianti, era possibile anche filtrare il


148

traffico sulla base di signature, ma ormai questi sistemi possono

essere paragonati ai cecchini invece che alle truppe d'assalto. Gli

exploit kit, adesso colpiscono con un malware di tipo dropper (che si

deposita direttamente nel sistema informatico attaccato), solo

quando rileva una porta aperta sicuramente vulnerabile. In caso

contrario devia l’utente verso una pagina web normale e rimane

nascosto, aspettando la prossima occasione.

5 - Installazione – Siamo a quello che viene considerato l'attacco vero

e proprio: il nemico avanza pronto a sfondare le barriere esterne.

Non a caso, dunque, è qui che si concentrano i cosiddetti sistemi di

protezione perimetrale, analizzando ogni file che penetra nella rete

per rilevare eventuale malware. Come accennato, però, non è facile

come prima rilevare i codici maligni di nuova generazione attraverso

signature e pattern, perché questi utilizzano pacchetti dinamici.

6 – Call Back – Una volta compiuta l'installazione del primo malware,

il sistema informativo è presto in balia del cyber criminale. Il malware

contatta un server e attiva il download di strumenti e altro codice

maligno per raccogliere e inviare informazioni sul sistema violato, al

fine di proseguire al suo interno fino all'obiettivo finale.

Evidentemente, per la protezione in questa fase occorre un sistema

che analizzi il traffico in uscita, ma sono ancora poco diffusi. Ne

occorrono di abbastanza sofisticati, infatti, perché attraverso

strumenti semplici, come un DNS dinamico i cyber criminali evitano il

rilevamento delle operazioni di chiamata a casa verso indirizzi statici.

Tuttavia è possibile inibire l'uscita di dati verso sistemi che non siano

noti e quindi inibire l'uso di DNS che rimandano a server di

"command and control". Del resto chi vuole nascondere la propria

ubicazione geografica è in genere sospetto.

Una soluzione efficace viene applicata dalle soluzioni di Data Loss

Prevention integrate con sistemi in grado di effettuare un'analisi

contestuale dei dati: chi è l’utente, dove sono destinati i dati e altre

variabili sono informazioni utili per i prodotti che devono evitare

l'invio di informazioni riservate a Web mail personali, account di


149

social network o mandate all’interno di app per la connessione a

cloud storage privati.

7 – Azione – La fase finale è quello in cui l'attacco va tipicamente a

buon fine se non si è riusciti a intervenire prima. Certamente, anche

qui ci sono ancora margini per bloccare il furto dei dati obiettivo dei

cyber criminali, ma occorre disporre di sistemi in grado, per esempio,

d'identificare una password che sta uscendo dalla rete aziendale

oppure di rilevare traffico criptato verso l'esterno con chiavi di

cifratura illecite o estranee al proprio sistema di crittografia. Ci sono

poi tecniche, chiamate drip (gocciolare), che trasferiscono file verso

l’esterno in piccole quantità in tempi dilatati, per rendere più difficile

il rilevamento.

I SIEM "intelligenti"

La crescente complessità dei malware e la sempre maggiore

sofisticatezza degli attacchi hanno reso rapidamente obsoleti quei

sistemi di protezione che non prevedevano azioni automatiche.

In particolare, però, a dimostrare la propria inadeguatezza sono i

SIEM (Security Information Event Manager) di prima generazione.

Inizialmente, la gestione della sicurezza era statica: si installava un

firewall o poco più e, una volta definite le regole per governare il

traffico, gli si lasciava seguire il proprio lavoro.

Man mano si sono aggiunti altri dispositivi e/o software per applicare

alcuni controlli aggiuntivi, resi necessari dall'evoluzione delle

minacce.

La definizione delle policy è un processo che richiede una certa

dinamicità per essere efficace, perché le condizioni del traffico

cambiano nel tempo. Anche la soluzione di sicurezza

tecnologicamente più avanzata è, infatti, destinata a fallire se non è

coadiuvata da regole implementate sulla base della specifica realtà e,

quindi, tali da soddisfare gli obiettivi aziendali e i requisiti di

applicabilità e idoneità.


150

Il ciclo di definizione e implementazione delle policy

Stabilire una politica di sicurezza significa prevedere tutte le possibili

violazioni alla sicurezza e il modo per proteggersi da esse,

formalizzandole anche in un documento. Documento che è

importante, non solo per la compliance alle normative sulla sicurezza

dei dati, ma perché riguarda la governance stessa dell'impresa. Le

policy di sicurezza, infatti, riguardano questioni quali l’impostazione

del livello di sicurezza relativo ai singoli apparati e alle soluzioni

informatiche, la gestione del rischio di perdite finanziarie associato a

intrusioni e le modalità comportamentali degli impiegati.

Il problema è che questo approccio ha dimostrato rapidamente la sua

inefficacia sia per la rapidità con cui evolvono le minacce, ma

soprattutto per la incredibile pressione che si deve sopportare: i log

dei sistemi per la gestione di informazioni ed eventi di sicurezza

arrivano a registrarne centinaia di migliaia al giorno. Chiaramente

non è possibile analizzarli manualmente, ma neanche con i motori di

correlazione di prima generazione, che riescono a incrociare alcuni

dati, ma non hanno, in realtà, accesso a tutte le informazioni

necessarie a rilevare attacchi ATP.


151

Questo scenario pone due problemi che sono stati affrontati

aumentando "l'intelligenza" dei sistemi SIEM e, sotto un altro punto

di vista, anche quella dei dispositivi per la protezione. In particolare,

questi ultimi, come i firewall e gli IPS di nuova generazione sono stati

raffinati per analizzare con maggiore dettaglio il traffico e i pacchetti

che lo compongono. A tali capacità si aggiunge soprattutto una più

semplice definizione delle policy, che non devono più essere

impostate con parametri tecnici comprensibili solo agli esperti, ma

sono espresse con formule "business", quindi più facilmente

comprensibili anche all'interno di quel documento di

programmazione, che viene così a far parte intrinseca del processo di

gestione del rischio e governance aziendale.

Questo livello di semplificazione, dall'altro lato, comporta anche

l'automazione delle regole poi effettivamente applicate e la

possibilità di gestirle centralmente in maniera integrata. In pratica, se

il SIEM è in grado di rilevare un innalzamento del livello di rischio

generale, potrà automaticamente innalzare le soglie d'attenzione dei

dispostivi. In parte, tale capacità può sfruttare le informazioni

provenienti dai dispositivi sulla rete, combinando tecniche di

Information Security utilizzate in diversi ambiti: per esempio quelle

per la Web security e l’application security, con quelle di sicurezza

fisica. Incrociando, per esempio, i dati di autenticazione per l'accesso

alle applicazioni con quelli per la registrazione delle presenze e/o con

i controlli dei varchi d’ingresso nelle aree degli edifici e uffici, si potrà

evidenziare l'anomalia di un utente che non risulta entrato in ufficio,

ma il cui account sta accedendo dal suo desktop al sistema ERP o sta

spedendo informazioni via mail.

Ma, per compiere un salto di qualità è necessario che il SIEM possa

tener conto del livello di rischio su tutta la rete Internet e non solo su

quanto sta accadendo al suo interno. Per questo, non bastano i

semplici motori di correlazione interni. Questi ultimi, infatti, sono in

grado di confrontare l'avvenire di eventi misurati sulla rete aziendale

e quindi registrati nel log del SIEM.


152

Con gli attacchi ATP, purtroppo, questo è necessario e può spezzare

la sequenza di fasi di un attacco, ma non è detto che sia sufficiente, a

causa della persistenza degli ATP.

Un attacco che comincia con una mail di spear phishing ha buone

probabilità di arrivare indisturbato alla quarta fase e da qui alla

quinta, senza che i sistemi di protezione se ne possano accorgere. A

questo punto potrebbe essere troppo tardi. Peraltro, con un sistema

SIEM in grado di ricevere e selezionare informazioni anche da fonti

esterne alla rete aziendale, cioè di appoggiarsi a un sistema di

"intelligence", l'attacco potrebbe essere bloccato alla fase 2 se non

alla 1.

Per chiarire in cosa consiste un sistema di intelligence ripercorriamo

appunto la sequenza di un attacco APT, dopo la ricognizione, partono

le strategie di adescamento, nella maggior parte dei casi basate

sull'invio di una mail di spear phishing. Un sistema

antispam/antiphishing potrebbe bloccarla, ma è facile che gli sfugga,

perché non è composta con lo stile classico dello spam o del phishing

di massa. Soprattutto non fa parte di massicce campagne di

spamming che vengono rilevate per gli elevati volumi.

In genere contengono un link, ma un'analisi superficiale dei contenuti

cui rimanda non è sufficiente a stabilirne la malevolenza. Peraltro,

un'analisi accurata, per esempio con l'emulazione del

comportamento attraverso tecniche di sandboxing, richiede del

tempo e viene spesso effettuata offline. A meno che l'attacco non sia

condotto a una singola impresa o, addirittura a uno specifico reparto

di una singola impresa, è possibile che tali mail di spear phishing

siano state già "sotto esame" su qualche sistema, magari dall'altra

parte del mondo. Se quest'ultimo dovesse rivelare un elemento

sospetto potrà "firmare" la mail (cioè trovare un elemento che la

contraddistingua e ne permetta l'identificazione) e di trasmettere

immediatamente questa informazione in tutto il mondo.

Quest'ultima fase è quella che viene chiamata di threat intelligence,

anche se le definizioni non sempre coincidono. In buona sostanza un

sistema di threat intelligence è in grado di correlare informazioni di


153

sicurezza registrate sulla propria rete e di confrontarle con quelle

raccolte da un network, generalmente appoggiato su cloud. Quindi

svolge una funzione di "intelligence", indagando sulla rete che

gestisce. A sua volta, il sistema diffonderà le informazioni al network

cui appartiene, secondo una logica di collaborazione e condivisione.

Queste soluzioni si stanno rivelando sempre più efficaci e utili,

spingendo le imprese a sviluppare metodi di raccolta dati per

l'intelligence. Partendo dal valutare quali risposte possono arrivare

da soluzioni analitiche interne, vanno selezionate le fonti di

informazioni che sono utili. Fino ad arrivare a un set ritenuto

soddisfacente, eventualmente negoziando acquisizioni o scambi di

dati con fornitori esterni. Quindi si potranno arricchire le analisi

attraverso strumenti di threat intelligence esterni. Ottimizzando tali

processi, inoltre, si può minimizzare l'aumento della capacità storage

necessaria per supportare l'aumento dei log, che, come accennato,

sta diventando critico.

Progettazione ed "enforcement" delle policy

Le istruzioni specificate dalle policy possono essere di tipo generale,

cioè applicate indifferenziatamente a tutta l'impresa, oppure

suddivise per tipologia di risorse aziendali o per aree di

responsabilità. In ogni caso la progettazione di una policy deve

recepire le indicazioni provenienti dall’analisi del rischio in merito alle

risorse da considerare importanti e deve definire opportunamente gli

step da seguire per la loro protezione.

La messa a punto di una policy aziendale deve essere fatta in modo

da favorire il suo effettivo utilizzo, evitando di trasformarsi in un

documento formale per clienti o revisori, ma di nessuna utilità

pratica. Spesso questo aspetto è legato alla presenza, in molte realtà

aziendali, di criteri poco significativi, che restano troppo generici e

non danno indicazioni precise sulle azioni da intraprendere.

L'intelligenza delle più recenti soluzioni per la sicurezza permette di

superare quest'ultimo inconveniente, grazie alla definizione di regole

tecniche basate su definizioni generali, ma occorre comunque che a


154

livello strategico si adottino criteri che soddisfano requisiti di

flessibilità, chiarezza negli obiettivi, applicabilità. Inoltre, i criteri per

la sicurezza dovrebbero essere introdotti in modo da evidenziare il

sostegno incondizionato da parte della direzione dell'azienda e

coinvolgere, per quanto possibile, i diretti interessati. Proprio per

questo è stata semplificata la loro definizione.

Se male organizzato, paradossalmente, un criterio di sicurezza può

determinare una riduzione del livello di protezione. Spesso policy

troppo restrittive vengono ignorate, perché ostacolano l’attività

lavorativa. Per esempio, l’utilizzo di password troppo lunghe o

complesse e, pertanto, difficili da ricordare, potrebbe indurre gli

impiegati a scriverle e lasciarle più facilmente in balia di possibili

malintenzionati.

Per essere efficace un criterio di sicurezza deve essere diffuso e

applicato: ci si deve assicurare che tutti gli impiegati conoscano le

relative policy di sicurezza e che ne possano disporre prontamente e

in qualunque momento e va garantita la pronta comunicazione di

ogni loro eventuale cambiamento.

Per la diffusione efficace di ogni criterio è opportuno mettere a punto

un insieme di regole scritte, che definiscono le responsabilità

relativamente a chi progetta le policy, chi le garantisce, le

implementa e la fa rispettare e le relative conseguenze a seguito di

eventuali violazioni.

Infine, sarebbe buona pratica coinvolgere gli utenti influenzati dalle

policy di sicurezza nel loro processo di sviluppo o almeno di revisione.

Si tratta di un'opera di educazione e sensibilizzazione che, da sola,

contribuisce a ridurre drasticamente il rischio: per esempio,

rendendo difficile realizzare una mail di spear phishing.

Le vulnerabilità indotte dal comportamento dei dipendenti

rappresentano il principale punto debole per tutte le imprese e

coinvolgerli permette di ridurre il rischio da loro rappresentato.

Per altro, è utopistico sperare di risolvere i problemi di sicurezza in

questo modo, perché ci sarà sempre il nuovo assunto o l'ultimo dei


155

"fannulloni" che non seguirà un comportamento corretto. Senza

contare i casi di violazioni dolose.

Le tecnologie possono aiutare anche in questi casi, ma i risultati migliori

si ottengono grazie agli automatismi che sono stati introdotti in molte

delle soluzioni di ultima generazione, imponendo, di fatto l'enforcement

delle policy di sicurezza, per esempio impedendo che un determinato

file classificato come confidenziale, possa essere spedito via mail, magari

anche solo per sbaglio, senza che sia crittografato con un sistema che ne

impedisce la decodifica se non attraverso un sistema aziendale.

Capacità di tal genere, peraltro, devono accompagnarsi a un SIEM di

nuova generazione, che le potrà mettere a frutto configurando il sistema

di sicurezza aziendale, in modo che sia pronto a fronteggiare le minacce

"in arrivo", cioè quelle rilevate dai sistemi di threat intelligence e

prontamente segnalate al SIEM. Anche tale configurazione dovrà

avvenire il più automaticamente possibile (almeno in base alla flessibilità

posseduta dal sistema di protezione stesso), perché il tempo è tutto

nell'era della globalizzazione e nel mondo interconnesso del terzo

millennio.

Le soluzioni HP ArcSight

HP ha raggruppato all'interno della famiglia ArcSight le soluzioni

software indirizzate a proteggere i dati attraverso il monitoraggio,

l'analisi e la correlazione di eventi di sicurezza provenienti da differenti

tipologie di sorgenti.

Nel suo complesso ArcSight rappresenta una piattaforma integrata di

Security Intelligence e Risk Management in grado di abbinare le

funzionalità di un Sistema di gestione delle informazioni e degli eventi di

sicurezza (SIEM) con un approccio preventivo basato su un modello di

analisi intelligente delle minacce, effettuato su scala globale attraverso

una serie di servizi predisposti da HP.

La piattaforma HP ArcSight Security Intelligence fornisce visibilità sulle

attività che interessano l'intera infrastruttura enterprise correlando log,

ruoli dell’utente e flussi di rete per individuare eventi legati alla sicurezza


156

in base ai quali definire priorità e predisporre risposte efficaci e

preventive a minacce di vario tipo. Attraverso una console di sicurezza

unificata e centralizzata (HP ArcSight Management Center) è possibile

configurare, distribuire e gestire l'analisi dei Log su deployment a larga

scala e fornire funzioni unificate di gestione delle modifiche.

L'elemento centrale e abilitante di questa famiglia di soluzioni è il

motore di analisi per la gestione di minacce e rischi HP ArcSight ESM.

HP ArcSight ESM

HP ArcSight ESM rappresenta l'elemento centrale e abilitante di

questa famiglia di soluzioni. Si tratta di una soluzione SIEM per la

raccolta, l’analisi e la correlazione delle informazioni di sicurezza e

degli eventi di rischio, la protezione delle applicazioni e la difesa della

rete e per il Governance, Risk management and Compliance (GRC).

HP ArcSight ESM è in grado di effettuare analisi capaci di correlare:

minacce esterne come malware e attacchi di hacker,

minacce interne come le violazioni di dati e le frodi,

rischi derivanti da flussi applicativi,

modifiche della configurazione,

problemi di conformità che scaturiscono dal mancato

superamento dei controlli.

HP ArcSight ESM


157

HP ArcSight ESM automatizza le operazioni di ricerca su Terabyte di

dati, la produzione di report per la compliance e raccoglie dati di

business intelligence.

Il fulcro tecnologico di questa soluzione è costituito dalla quinta

generazione (con prestazioni fino a 30 volte superiori rispetto alla

versione precedente) del motore di correlazione Correlation

Optimized Retention and Retrieval Engine (CORR-Engine) che

permette di scalare nel livello di risposta, in funzione della minaccia

che ci si trova a dover affrontare.

L'integrazione con il file system di Hadoop (HDFS - Hadoop

Distributed File System) consente di sfruttare il CORR-Engine per

effettuare funzioni avanzate di analytics in tempo reale oppure di

inviare ad alta velocità ad Hadoop i log normalizzati dal CORR-Engine

per una lettura da HDFS (per esempio per operazioni di batch

analytics).

Integrazione tra ArcSight ESM e Hadoop Distributed File System (HDFS)

HP ArcSight utilizza anche il motore HP Reputation Security Monitor

che permette di analizzare in tempo reale gli indirizzi IP e i DNS

potenzialmente dannosi, al fine di contrastare gli attacchi che

sfruttano le vulnerabilità delle applicazioni Web.

HP ArcSight Command Center

L'interfaccia HP ArcSight Command Center riunisce funzionalità

amministrative e di reportistica Web-based con funzioni di

configurazione, distribuzione, analisi dei log e gestione delle


158

modifiche, attraverso un'impostazione basata su cruscotti altamente

personalizzabili.

Anche le applicazioni di terze parti possono essere integrate

direttamente all'interno del front end Web di HP ArcSight ESM.

HP ArcSight Command Center

HP ArcSight Express

HP ArcSight Express è una soluzione preconfigurata che viene

integrata su un'appliance (disponibile in diverse configurazioni e

modelli). Riunisce la piattaforma SIEM con la gestione dei log e il

monitoraggio dell'attività degli utenti, integrando le funzionalità di

IdentityView, Threat Detector e l'analisi del flusso di rete e utilizzo

della banda.

In pratica, questa soluzione raccoglie i log da qualsiasi origine dati,

consolida le informazioni per migliorare l'efficienza dello storage e

mette in correlazione gli eventi su più dimensioni, tra cui identità,

vulnerabilità, analisi statistica e rilevamento di schemi per

identificare le minacce avanzate prima che possano danneggiare i

sistemi.


159

HP ArcSight Logger

All'interno della famiglia ArcSight questa soluzione abilita la raccolta

di log provenienti da diversi dispositivi e in qualsiasi formato

attraverso oltre 300 connettori. I dati raccolti vengono poi unificati

attraverso la normalizzazione e la categorizzazione in un formato

eventi comune (registrazione CEF) per poter effettuare ricerche,

indicizzazione, generare report, analisi e favorirne la conservazione.

È possibile, in tal modo, migliorare le operazioni IT, dalla conformità

alla gestione dei rischi, fino all'intelligence di protezione contro le

minacce interne e quelle avanzate e persistenti (APT).

L'ultima release della soluzione si caratterizza per la maggiore

scalabilità che permette di gestire volumi di dati otto volte maggiori

rispetto alla precedente versione con un incremento di prestazioni

fino dieci volte superiori.

HP ArcSight Logger 6.0

Queste caratteristiche si rendono necessarie per affrontare le sfide

imposte dall'analisi di un volume crescente di dati e favoriscono le

operazioni di monitoraggio continuo e le funzioni di investigazione

contestuale forense ad alta velocità.


160

Le funzionalità di HP ArcSight Logger includono:

la disponibilità di una app Mobile per attività di monitoraggio

continuo anche in mobilità;

una nuova interfaccia Web 2.0 che migliora l'esperienza

utente;

possibilità di effettuare raccolta e memorizzazione di log

provenienti da oltre 350 fonti;

funzioni di compressione fino a 10:1.

La strategia alla base del portafoglio d'offerta HP ArcSight


161

HP ArcSight IdentityView

HP ArcSight IdentityView è una soluzione software pensata per la

protezione delle aziende enterprise da possibili minacce interne. Combina

capacità di raccolta e analisi SIEM con le informazioni legate a utenti e

ruoli relative ai diversi sistemi di accesso utilizzati.

Se l'attività di un utente sulla rete non corrisponde ai controlli di accesso

consentiti o ai comportamenti tipici di un utente (valutati sulla base di dati

storici correlati), la soluzione contrassegna il suo profilo perché venga

sottoposto a indagini approfondite. Questo meccanismo aiuta il team di

sicurezza a distinguere tra attività nocive intenzionali e involontarie. Il

risultato è un meccanismo efficace per la mitigazione del rischio da minacce

interne in tempo reale, che contribuisce a migliorare la governance degli

accessi e che offre la possibilità di eseguire analisi forensi più

rapidamente.

Questa soluzione, inoltre, arricchisce i log di sicurezza con

informazioni sull'utente e il suo ruolo, fornendo un quadro completo delle

attività anche per account ad alto rischio, privilegiati e condivisi.

Con il rilascio della versione 2.5 di ArcSight IdentityView, HP ha

ampliato i meccanismi di correlazione dell'identità, dei ruoli e delle

attività di sicurezza, incrementando di 10 volte il numero di utenti

che una singola istanza è in grado di monitorare.

HP ArcSight Threat Detector

È uno strumento pensato per gli analisti della protezione a cui

fornisce gli strumenti necessari per distinguere un evento sospetto

dai normali eventi che si verificano in rete.

HP ArcSight Threat Detector identifica il traffico normale e gli schemi

di eventi sospetti attraverso un'analisi euristica effettuata sulla base

dei dati storici e una serie di strumenti di visualizzazione e analisi del

flusso dei dati.

Questo tool semplifica l'individuazione di worm "zero-day" e di

attacchi complessi oltre a favorire il rilevamento degli errori di

configurazione dei dispositivi di rete, dei sistemi e delle applicazioni.


162

Fornisce, inoltre, supporto alla creazione di regole basate su modelli

comportamentali.

HP ArcSight Threat Detector favorisce anche il rilevamento degli

errori di configurazione dei dispositivi di rete, dei sistemi e delle

applicazioni.

HP ArcSight Application View

Uno degli aspetti troppo spesso trascurati o sottovalutati nell'ambito

della sicurezza IT è quello legato alle applicazioni a cui, secondo gli

analisti di mercato, sono riconducibili oltre l'80% delle vulnerabilità

totali. Un tema quanto mai attuale se si pensa che le vulnerabilità

attualmente identificate associate alle applicazioni mobili in

ambiente Android si stanno rapidamente avvicinando alla quota di 2

milioni.

Con il rilascio di ArcSight Application View, HP mette a disposizione

una soluzione per la visibilità sugli eventi di sicurezza delle

applicazioni, combinando le funzionalità di HP Fortify e di ArcSight

ESM.

HP ArcSight Application View è stato progettato in base al

presupposto che, il posto migliore per individuare, comprendere e

mitigare le minacce legate alle applicazioni, risieda nel software

stesso. Questa soluzione controlla automaticamente le applicazioni

per fornire un'analisi intelligente sulle minacce combinando i log

degli eventi di sicurezza generati dalle diverse applicazioni, incluse

quelle legacy o personalizzate che, in molti casi, non sono state

progettate per fornire capacità di registrazione dei log.

HP ArcSight Application View fornisce funzionalità di registrazione dei

log senza la necessità di alcuna personalizzazione e mette i dati

raccolti a disposizione di HP ArcSight ESM, integrandoli nei suoi

dashboard e report.

HP ArcSight Application View è basato su Fortify Runtime e

rappresenta un agent a livello di Application Server, la cui

implementazione non richiede di effettuare modifiche alle

applicazioni.


163

Questa soluzione fornisce una capacità di monitoraggio delle

applicazioni (Java, .NET e Cold Fusion) sensibile al contesto e può

essere utilizzata per contribuire a colmare le lacune di sicurezza

legate alle modalità di accesso degli utenti o a un utilizzo improprio

delle applicazioni: per esempio, distingue tra l'accesso di un utente

autorizzato a un'applicazione durante il normale orario di lavoro e il

suo accesso ripetuto di Sabato a mezzanotte.

Rappresenta anche una soluzione complementare al software HP

Identity View focalizzato sul monitoraggio dell'identità degli utenti a

cui, di fatto, può mettere a disposizione ulteriori dati legati alla

sicurezza. Inoltre, consente di correlare le informazioni sugli eventi

legati alle applicazioni con quelle associate ai sistemi IDS/IPS: per

esempio gli attacchi intercettati dai sistemi IDS/IPS possono essere

correlati a uno specifico login alla applicazione, per conseguire una

migliore visibilità su ciò che l'attaccante sta cercando di ottenere.

HP ArcSight Application View individua e rende disponibili ad altre

soluzioni della famiglia ArcSight una serie molto estesa di fenomeni di

sicurezza tra cui citiamo, per esempio, errori nel controllo

dell'autorizzazione, link interrotti, tentativi di forzare l'accesso in

modalità "forza bruta", Denial of Service, modifiche ai privilegi

dell'utente, navigazione nelle directory, buffer overflow, sicurezza dei

cookie, violazioni della privacy, sottrazioni dei dati della carta di

credito e attacchi spam.

L'azione complementare di HP ArcSight Identity View e Application View


164

HP ArcSight Risk Insight

HP ArcSight Risk Insight è una delle soluzioni software aggiunte più

recentemente da HP al suo portafoglio d'offerta.

Abilita, tramite ArcSight ESM, funzioni di analisi del rischio e di

impatto sul business, fornendo:

una mappa del rischio dei servizi di business,

una mappatura degli asset che estende il modello di ArcSight

ESM,

Mappa degli asset in HP ArcSight Risk Insight

funzioni per l'analisi di conformità dei processi di business.

una serie di indicatori di rischio capaci di aggregare molteplici

fonti,

Indicatori di rischio in ArcSight Risk Insight


165

HP ArcSight Management Center

HP ArcSight Management Center è la console di sicurezza unificata e

centralizzata di HP che permette di configurare, distribuire e gestire

l'analisi dei Log su deployment a larga scala e di fornire funzioni

unificate di gestione delle modifiche.

HP ArcSight Threat Response Manager

HP ArcSight Threat Response Manager (TRM) mette a disposizione

funzionalità cloud-ready per accelerare il rilevamento delle minacce e

le azioni di risposta alle APT.

Rilasciato come un add-on cloud-ready per la piattaforma HP

ArcSight di Security Information and Event Management (SIEM),

ArcSight TRM è una soluzione end-to-end di sicurezza di rete e

monitoraggio che accelera il rilevamento delle minacce e automatizza

l'intero processo di risposta.

Questa soluzione consente di:

gestire e elaborare ad alta velocità le informazioni di sicurezza,

analizzare i dati (strutturati e non strutturati),

monitorare gli eventi

predisporre azioni automatiche una volta che una minaccia è

stata rilevata.

In caso di rilevamento, prima che il personale di sicurezza provveda a

disattivare manualmente l'account, ArcSight TRM interviene per

interrompere immediatamente l'accesso.


166

167

CONCLUSIONI

Attraverso un'offerta di soluzioni hardware e software ampia e diversificata,

HP Enterprise Security Products mette a disposizione della aziende enterprise

un insieme di componenti e strumenti adatto a rispondere alle esigenze di

rilevamento delle minacce esterne e interne e a predisporre azioni di risposta

che intervengono per proteggere dati, rete e applicazioni.

I centri di ricerca e l'offerta di servizi distribuiti a livello globale mettono a

disposizione delle aziende una "intelligence" di sicurezza globale e aggiornata

in tempo quasi reale che contribuisce ad accelerare la risposta a minacce e

predisporre azioni proattive nei confronti di nuove minacce come le APT.

L'offerta di HP ESP è in costante ampliamento e la costante attività rivolta a

incrementare il livello di integrazione tra le differenti famiglie di soluzioni non

potrà che contribuire a incrementare ulteriormente l'efficacia complessiva

dell'approccio alla sicurezza proposto dal vendor.

Le soluzioni HP TippingPoint NGFW, rappresentano un ulteriore tassello che

completa e incrementa li livello di protezione enterprise, in uno scenario

caratterizzato da cloud computing, virtualizzazione, mobilità e

consumerizzazione dell'IT. I sistemi per la prevenzione delle intrusioni di nuova

generazione HP TippingPoint NGIPS mettono a disposizione dei security

manager contromisure che intervengono in modo differenziato e granulare

per proteggere la rete aziendale, ormai senza confini, da minacce e intrusioni

che sfruttano tutti i vettori disponibili, dai dispositivi mobili alle applicazioni.

Con le soluzioni HP Fortify HP ESP fornisce una risposta efficace alle esigenze

di sviluppare codice sicuro, mentre la gamma HP Atalla interviene per

proteggere il dato nei suoi spostamenti adattandosi alle esigenze di

protezione del cloud.

Con le soluzioni HP ArcSight, il vendor completa il quadro di una protezione

integrata fornendo un'analisi intelligente a supporto dell'individuazione di

minacce note e di nuovo tipo.

L'insieme di queste soluzioni, risorse e servizi da corpo a una piattaforma

integrata di security intelligence e risk management che mette a disposizione

della aziende gli strumenti adatti a rispondere alle esigenze legate

all'evoluzione dei modelli di protezione.

ICT Security per le nuove esigenze di business

L'evoluzione dei modelli di protezione e

le soluzioni di HP Enterprise Security Products

Copyright © Reportec S.r.l. - 2015 - Tutti i diritti riservati