Come proteggersi dai virus informatici (e le sue mutazioni) ai tempi del Corona-virus.<\/p>\n
Eh s\u00ec, questo \u00e8 l\u2019ennesimo articolo sulle analogie fra virus biologico e virus informatico, non \u00e8 un\u2019idea originale, ma leggetelo perch\u00e9 spero di essere stato pi\u00f9 \u201cchirurgico\u201d nell’individuarle e definirle e soprattutto pi\u00f9 utile elencando consigli che derivano dalla lesson learned.<\/p>\n
La pandemia COVID-19 ci spiega in modo chiaro e potente come funziona un virus informatico e le misure di protezione dal COVID-19 ci dicono, in modo altrettanto chiaro e determinato, cosa fare per contenere e diminuire il rischio di contagio.<\/p>\n
La prima analogia (terreno fertile).<\/strong><\/p>\n Da diversi anni si parla ormai di cyber security, espressione che ha soppiantato information security.<\/p>\n L\u2019aggettivo cyber rimanda all’universo digitale interconnesso del quale non siamo pi\u00f9 parte singola ed indipendente e con le nostre informazioni contenute in un perimetro ben identificabile e quindi controllabile, siamo invece collegati con tutto e con tutti e in modo assolutamente interdipendente. Per di pi\u00f9 la rete (internet) e le tecnologie hanno diminuito le distanze aumentando le velocit\u00e0 di interconnessione, hanno aumentato le possibilit\u00e0 e necessit\u00e0 di collegamento, hanno aumentato il nostro senso di sicurezza dovuto alla resilienza dell\u2019architettura di rete. Tutto questo permette di spostare quantit\u00e0 immense di informazioni velocemente, facilmente, dovunque e contemporaneamente e ad un costo bassissimo.<\/p>\n Tutto questo non ricorda la globalizzazione e la quantit\u00e0 e velocit\u00e0 di scambio di merci e persone? Cio\u00e8 quello che ha permesso al Coronavirus di diffondersi cos\u00ec rapidamente ed efficacemente da trasformarlo in pandemia?<\/p>\n La seconda analogia (il nuovo sconosciuto)<\/strong><\/p>\n L\u2019espressione virus informatico \u00e8 desueta. Si parla ormai di malware anzi, meglio, di malware di nuova generazione (next generation malware). Cio\u00e8 di un virus di cui non riconosciamo la forma (in informatica la firma) perch\u00e9 nuovo (non riconoscibile come oggetto maligno) e perch\u00e9 agisce, nella sua diffusione (capacit\u00e0 di infezione) e manifestazione (qualit\u00e0 di infezione), in modo diverso rispetto a quelli conosciuti. \u00c8 ovvio che, in casi di oggetti sconosciuti, i nostri sistemi di protezione (il sistema immunitario in biologia, i sistemi anti-virus in informatica) basati sulla sola capacit\u00e0 di riconoscere per poi intervenire bloccando il virus (proprio come fanno gli anticorpi) non sono in grado di funzionare.<\/p>\n Non \u00e8 esattamente la descrizione del nuovo virus COVID-19?<\/p>\n La terza analogia (combattere per la salvezza)<\/strong><\/p>\n COVID-19 minaccia la nostra integrit\u00e0 fisica, attacca il sistema respiratorio e prendendolo in ostaggio ne impedisce il funzionamento corretto. Abbiamo un tempo limitato per intervenire cercando con le cure di impedire che il virus blocchi completamente la nostra capacit\u00e0 respiratoria portandoci alla morte. Non \u00e8 assolutamente simile a quello che succede quando il nostro sistema informatico \u00e8 colpito da un ransomware che attacca il nostro sistema informatico, lo prende in ostaggio bloccandolo fino a fermare le produzioni e a far collassare il nostro business?<\/p>\n La quarta analogia (controllarsi, essere in forma, prendersi cura dell\u2019altro, avere comportamenti sociali corretti)<\/strong><\/p>\n Tutti sappiamo come si trasmette il COVUD-19. Ha bisogno di un portatore (vettore) che lo ospiti garantendo la sua carica infettiva, ha bisogno di una certa prossimit\u00e0 con i target (ci deve essere la possibilit\u00e0 di stabilire una connessione fra portatore e target) che facilmente si ottiene in ambienti chiusi, sfrutta una vulnerabilit\u00e0 del target (la permeabilit\u00e0 di alcuni tessuti), attraverso un processo di escalation inganna superando le nostre barriere di difesa arrivando a colpire con severit\u00e0 diverse i nostri sistemi vitali (questo succede pi\u00f9 per carenza dei nostri sistemi di difesa che di modulabile capacit\u00e0 aggressiva del virus), si duplica in quantit\u00e0 in modo da mantenere elevata la sua capacit\u00e0 di diffusione che si amplifica in ambienti insalubri.<\/p>\n E tutto questo succede mentre il virus rimane silente per un periodo di circa due settimane prima di manifestarsi in modo conclamato (in informatica diremo dwell-time). Non \u00e8 esattamente come i malware di nuova generazione si comportano sfruttando vettori come l\u2019e-mail, portatori sani come documenti allegati, sfruttando vulnerabilit\u00e0 di sistema e facendo privilege escalation, trasferendosi da sistema a sistema con i c.d. movimenti laterali e rimanendo silenti per lunghi periodi come fanno gli APT?<\/p>\n Cosa fare?<\/p>\n Far evolvere i sistemi di detection basati su tecniche di riconoscimento anche evolute (IOC, reputation, ecc.) con tecnologie di AI che siano in grado di riconoscere comportamenti sospetti (direi lavorando quasi a livello di intenzione).<\/p>\n Far evolvere i sistemi di response con tecnologie programmabili in grado di automatizzare il pi\u00f9 possibile questa attivit\u00e0 rendendola efficace, immediata e graduabile in base alla severit\u00e0 dell\u2019attacco.Adottare comportamenti prudenti nelle relazioni fra utenti informatici (direi meglio identit\u00e0 digitali) e fra utenti ed oggetti informatici (applicazioni, documenti, link, istanze social, dispositivi, ecc.).<\/p>\n Essere pi\u00f9 reticenti che riservati nel comunicare informazioni.Migliorare il livello di attenzione aumentando la capacit\u00e0 di individuare segnali deboli.<\/p>\n \u00c8 necessario pensare come fondamentale alla salute informatica aziendale avere a disposizione un servizio organizzato con le migliori tecnologie, le migliori competenze professionali e con i processi pi\u00f9 efficaci che presidino e monitorino 24\/7 gli asset digitali aziendali (come un SOC \u2013 Security Operation Center).<\/p>\n Diminuire le occasioni di contagio lavorando sulla contrazione della superficie di attacco che si pu\u00f2 ottenere segregando in profondit\u00e0 le reti e curando gli accessi alle risorse aziendali in modo che siano disponibili solo agli stretti necessari, con il minimo set utile di privilegi (need-to-know), utilizzando dispositivi sicuri e controllati.<\/p>\n La segregazione delle reti \u00e8 da applicare anche per contenere, limitando e impedendo, la diffusione delle compromissioni.Intervenire sul \u201ccontagiato\u201d con decisione e immediatezza, isolandolo (quarantena), curandolo fino a ricorrere alla terapia intensiva (in termini informatici questo potrebbe equivalere nell’uso di tecnologie come quelle del punto 2 e fino ad arrivare all’attivazione di procedure di Disaster Recovery in attesa del ritorno alla normalit\u00e0), ricostruendo la catena di contagio (analisi forense) ed affidandosi ad esperti professionisti (come i medici) per l\u2019esecuzione di queste attivit\u00e0.Cambiare atteggiamento verso la cyber security. La cyber security non \u00e8 necessaria \u00e8 fondamentale per evitare che la nostra azienda chiuda, anche se solo per un periodo di quarantena, a causa di un contagio da malware.<\/p>\n Dobbiamo adottare un approccio zero-trust<\/strong>, principi di secure-by-design e default, rispettare alla lettera le diverse richieste di compliance che si applicano ai diversi settori industriali.Smettiamo di pensare, con un misto di arroganza ed ingenuit\u00e0, che la cyber security in azienda si possa gestire in modo autarchico. Smettiamo di comprare tecnologie che poi non sappiamo e non possiamo gestire, smettiamo di pensare che i nostri dipendenti IT possano fare cose che richiedono conoscenze e disponibilit\u00e0 che non hanno.<\/p>\n Non ci si pu\u00f2 pensare soli a contrastare il COVID-19, non ci si cura \u201cfai da te\u201d andando in farmacia a comprare farmaci, ma ci si affida medici e scienziati che sono in grado di gestire il prima-durante-dopo contagio. Cerchiamo allora alleati e partner fra societ\u00e0 specializzate in cyber security, affidiamoci a professionisti, analisti e ricercatori riconosciuti ed esperti di cyber security.<\/p>\n Utilizziamo servizi di sicurezza gestiti che 24\/7 possono prevenire gli incidenti cyber, per poi eventualmente intervenire a mitigarli ed alla fine risolvere aiutandoci a tornare alla normalit\u00e0. Considerare le connessioni che ci sono fra l\u2019ambiente fisico nel quale operano le societ\u00e0 e l\u2019ambiente informatico\/digitale perch\u00e9 le vulnerabilit\u00e0 dell\u2019uno possono compromettere l\u2019altro.Impegnarsi nella divulgazione della conoscenza dei rischi cyber che l\u2019azienda corre. Informate e formate le persone che interagiscono nel mondo cyber e fate di tutto per far aumentare il loro livello di consapevolezza.<\/p>\n Se seguiremo tutto questo #andr\u00e0tuttobene!<\/p>\n","protected":false},"excerpt":{"rendered":" Come proteggersi dai virus informatici (e le sue mutazioni) ai tempi del Corona-virus. Eh s\u00ec, questo \u00e8 l\u2019ennesimo articolo sulle analogie fra virus biologico e virus informatico, non \u00e8 un\u2019idea originale, ma leggetelo perch\u00e9 spero di essere stato pi\u00f9 \u201cchirurgico\u201d nell’individuarle e definirle e soprattutto pi\u00f9 utile elencando consigli che derivano dalla lesson learned. La …<\/p>\n