Axitea » Approfondimenti » Cosa l’IT Security Manager dovrebbe imparare dalla crisi COVID-19

Approfondimenti

Cosa l’IT Security Manager dovrebbe imparare dalla crisi COVID-19

Vuoi rimanere aggiornato con le ultime notizie? Iscriviti alla nostra newsletter

Autore

Tommaso Bucci

Come proteggersi dai virus informatici (e le sue mutazioni) ai tempi del Corona-virus.

Eh sì, questo è l’ennesimo articolo sulle analogie fra virus biologico e virus informatico, non è un’idea originale, ma leggetelo perché spero di essere stato più “chirurgico” nell’individuarle e definirle e soprattutto più utile elencando consigli che derivano dalla lesson learned.

La pandemia COVID-19 ci spiega in modo chiaro e potente come funziona un virus informatico e le misure di protezione dal COVID-19 ci dicono, in modo altrettanto chiaro e determinato, cosa fare per contenere e diminuire il rischio di contagio.

La prima analogia (terreno fertile).

Da diversi anni si parla ormai di cyber security, espressione che ha soppiantato information security.

L’aggettivo cyber rimanda all’universo digitale interconnesso del quale non siamo più parte singola ed indipendente e con le nostre informazioni contenute in un perimetro ben identificabile e quindi controllabile, siamo invece collegati con tutto e con tutti e in modo assolutamente interdipendente. Per di più la rete (internet) e le tecnologie hanno diminuito le distanze aumentando le velocità di interconnessione, hanno aumentato le possibilità e necessità di collegamento, hanno aumentato il nostro senso di sicurezza dovuto alla resilienza dell’architettura di rete. Tutto questo permette di spostare quantità immense di informazioni velocemente, facilmente, dovunque e contemporaneamente e ad un costo bassissimo.

Tutto questo non ricorda la globalizzazione e la quantità e velocità di scambio di merci e persone? Cioè quello che ha permesso al Coronavirus di diffondersi così rapidamente ed efficacemente da trasformarlo in pandemia?

La seconda analogia (il nuovo sconosciuto)

L’espressione virus informatico è desueta. Si parla ormai di malware anzi, meglio, di malware di nuova generazione (next generation malware). Cioè di un virus di cui non riconosciamo la forma (in informatica la firma) perché nuovo (non riconoscibile come oggetto maligno) e perché agisce, nella sua diffusione (capacità di infezione) e manifestazione (qualità di infezione), in modo diverso rispetto a quelli conosciuti. È ovvio che, in casi di oggetti sconosciuti, i nostri sistemi di protezione (il sistema immunitario in biologia, i sistemi anti-virus in informatica) basati sulla sola capacità di riconoscere per poi intervenire bloccando il virus (proprio come fanno gli anticorpi) non sono in grado di funzionare.

Non è esattamente la descrizione del nuovo virus COVID-19?

La terza analogia (combattere per la salvezza)

COVID-19 minaccia la nostra integrità fisica, attacca il sistema respiratorio e prendendolo in ostaggio ne impedisce il funzionamento corretto. Abbiamo un tempo limitato per intervenire cercando con le cure di impedire che il virus blocchi completamente la nostra capacità respiratoria portandoci alla morte. Non è assolutamente simile a quello che succede quando il nostro sistema informatico è colpito da un ransomware che attacca il nostro sistema informatico, lo prende in ostaggio bloccandolo fino a fermare le produzioni e a far collassare il nostro business?

La quarta analogia (controllarsi, essere in forma, prendersi cura dell’altro, avere comportamenti sociali corretti)

Tutti sappiamo come si trasmette il COVUD-19. Ha bisogno di un portatore (vettore) che lo ospiti garantendo la sua carica infettiva, ha bisogno di una certa prossimità con i target (ci deve essere la possibilità di stabilire una connessione fra portatore e target) che facilmente si ottiene in ambienti chiusi, sfrutta una vulnerabilità del target (la permeabilità di alcuni tessuti), attraverso un processo di escalation inganna superando le nostre barriere di difesa arrivando a colpire con severità diverse i nostri sistemi vitali (questo succede più per carenza dei nostri sistemi di difesa che di modulabile capacità aggressiva del virus), si duplica in quantità in modo da mantenere elevata la sua capacità di diffusione che si amplifica in ambienti insalubri.

E tutto questo succede mentre il virus rimane silente per un periodo di circa due settimane prima di manifestarsi in modo conclamato (in informatica diremo dwell-time). Non è esattamente come i malware di nuova generazione si comportano sfruttando vettori come l’e-mail, portatori sani come documenti allegati, sfruttando vulnerabilità di sistema e facendo privilege escalation, trasferendosi da sistema a sistema con i c.d. movimenti laterali e rimanendo silenti per lunghi periodi come fanno gli APT?

Cosa fare?

Far evolvere i sistemi di detection basati su tecniche di riconoscimento anche evolute (IOC, reputation, ecc.) con tecnologie di AI che siano in grado di riconoscere comportamenti sospetti (direi lavorando quasi a livello di intenzione).

Far evolvere i sistemi di response con tecnologie programmabili in grado di automatizzare il più possibile questa attività rendendola efficace, immediata e graduabile in base alla severità dell’attacco.Adottare comportamenti prudenti nelle relazioni fra utenti informatici (direi meglio identità digitali) e fra utenti ed oggetti informatici (applicazioni, documenti, link, istanze social, dispositivi, ecc.).

Essere più reticenti che riservati nel comunicare informazioni.Migliorare il livello di attenzione aumentando la capacità di individuare segnali deboli.

È necessario pensare come fondamentale alla salute informatica aziendale avere a disposizione un servizio organizzato con le migliori tecnologie, le migliori competenze professionali e con i processi più efficaci che presidino e monitorino 24/7 gli asset digitali aziendali (come un SOC – Security Operation Center).

Diminuire le occasioni di contagio lavorando sulla contrazione della superficie di attacco che si può ottenere segregando in profondità le reti e curando gli accessi alle risorse aziendali in modo che siano disponibili solo agli stretti necessari, con il minimo set utile di privilegi (need-to-know), utilizzando dispositivi sicuri e controllati.

La segregazione delle reti è da applicare anche per contenere, limitando e impedendo, la diffusione delle compromissioni.Intervenire sul “contagiato” con decisione e immediatezza, isolandolo (quarantena), curandolo fino a ricorrere alla terapia intensiva (in termini informatici questo potrebbe equivalere nell’uso di tecnologie come quelle del punto 2 e fino ad arrivare all’attivazione di procedure di Disaster Recovery in attesa del ritorno alla normalità), ricostruendo la catena di contagio (analisi forense) ed affidandosi ad esperti professionisti (come i medici) per l’esecuzione di queste attività.Cambiare atteggiamento verso la cyber security. La cyber security non è necessaria è fondamentale per evitare che la nostra azienda chiuda, anche se solo per un periodo di quarantena, a causa di un contagio da malware.

Dobbiamo adottare un approccio zero-trust, principi di secure-by-design e default, rispettare alla lettera le diverse richieste di compliance che si applicano ai diversi settori industriali.Smettiamo di pensare, con un misto di arroganza ed ingenuità, che la cyber security in azienda si possa gestire in modo autarchico. Smettiamo di comprare tecnologie che poi non sappiamo e non possiamo gestire, smettiamo di pensare che i nostri dipendenti IT possano fare cose che richiedono conoscenze e disponibilità che non hanno.

Non ci si può pensare soli a contrastare il COVID-19, non ci si cura “fai da te” andando in farmacia a comprare farmaci, ma ci si affida medici e scienziati che sono in grado di gestire il prima-durante-dopo contagio. Cerchiamo allora alleati e partner fra società specializzate in cyber security, affidiamoci a professionisti, analisti e ricercatori riconosciuti ed esperti di cyber security.

Utilizziamo servizi di sicurezza gestiti che 24/7 possono prevenire gli incidenti cyber, per poi eventualmente intervenire a mitigarli ed alla fine risolvere aiutandoci a tornare alla normalità. Considerare le connessioni che ci sono fra l’ambiente fisico nel quale operano le società e l’ambiente informatico/digitale perché le vulnerabilità dell’uno possono compromettere l’altro.Impegnarsi nella divulgazione della conoscenza dei rischi cyber che l’azienda corre. Informate e formate le persone che interagiscono nel mondo cyber e fate di tutto per far aumentare il loro livello di consapevolezza.

Se seguiremo tutto questo #andràtuttobene!

Iscriviti alla nostra newsletter per rimanere sempre aggiornato su Axitea e sul mondo della sicurezza!

Scroll to Top
Torna su