LA SICUREZZA NELLE INFRASTRUTTURE DI RETE GENERALITA
Transcript
LA SICUREZZA NELLE INFRASTRUTTURE DI RETE GENERALITA
LA SICUREZZA NELLE INFRASTRUTTURE DI RETE GENERALITA’ La sicurezza delle reti in uso è un patrimonio fondamentale per abilitare il business di qualsiasi azienda. Non solo per le informazioni che vengono gestite, ma anche per i servizi per i quali sono configurati. Pianificare, poi, la Sicurezza e la Conformità è l’unico strumento per ridurre il rischio in caso di attacco. L'enorme diffusione di applicazioni mobili, l'adozione da parte delle aziende del BYOD (bring your own device), il consolidamento e la migrazione verso ambienti virtualizzati, e il perimetro di una rete privata che ormai non ha più una sua precisa connotazione, sono fattori scatenanti che il cybercrime conosce molto bene. Ormai gli attachi malware di qualche anno fa sono solo dei ricordi sbiaditi in termini di obiettivi e di expertise. Il cybercrime inizia a conoscere per tempo il suo target, sapendo bene come agire e quali informazioni portare fuori della rete aziendale oggetto dell’attacco. Le tecnologie vincenti di questo cybercrime sono gli attacchi di tipo Advanced Persistent Threats (APT ) che usano tecnologie in grado di adattarsi alle esigenze dei nuovi vettori di attacco, rendendo ormai inutili i classici metodi di rilevamento del malware. Le minacce sempre più evolute, la rapida adozione dei social media e la diffusione di applicazioni web richiedono un nuovo approccio intelligente alla sicurezza. Per aiutare le aziende a proteggersi proattivamente dalle minacce in continua evoluzione, incluse quelle poste dai social media e dai siti web maligni, un certo numero di aziende propone oggi una classe di applicazioni per la sicurezza della rete, che fornisce una vista più granulare del livello di sicurezza dell’azienda e un’interfaccia di gestione semplificata. Queste soluzioni per la prevenzione delle intrusioni, aiutano le aziende ad affrontare gli attacchi più evoluti, fornendo visibilità precisa delle applicazioni utilizzate sulla rete, della navigazione degli utenti sul web, con inoltre la possibilità di monitorare e controllare queste attività, con conseguente miglioramento della sicurezza e riduzione dei costi operativi. LE AGGRESSIONI ALLA RETE: COSA STA SUCCEDENDO ? Gli attacchi di carattere avanzato: Le minacce alla sicurezza che ci troviamo ad affrontare sono sempre più dannose. Gli attacchi di massa non sono, in realtà, più all'ordine del giorno. Lo sono invece attacchi mirati, che utilizzano una gamma complessa di tecniche, che sono sofisticati nella loro capacità di sconfiggere le difese di sicurezza reattive e possono costare davvero cari alle loro vittime. Le difese tradizionali , reattive, che puntano sulla protezione contro attacchi di tipo noto non sono più all'altezza di tali minacce. Le aziende piuttosto devono adottare un approccio proattivo e preventivo per proteggere le proprie applicazioni e le informazioni sensibili che queste contengono, nonché per garantire che le proprie reti siano blindate e in uno stato di sicurezza estremo che impedisca il nascere di possibili vulnerabilità sfruttabili dall’attacco. Per stare al passo con i criminali informatici è quindi necessario un nuovo approccio alla sicurezza con un'infrastrutture di “engine” per un tipo di rilevamento di nuova generazione specializzato appunto negli attacchi APT. Questi sistemi di rilevamento assegnano le priorità e presentano solo quegli eventi che richiedono di essere esaminati, riducendo il tempo di analisi a pochi minuti. Operando con questi sistemi i responsabili informatici possono proteggere l’azienda contro quello che rappresenta il problema di sicurezza odierno più letale: i cosiddetti “ attacchi mirati persistenti” Le piccole e medie aziende sono indenni da questi rischi ? No, agli hacker non importa quale sia la dimensione del business . Si preoccupano solo di poter superare le difese e impossessarsi di valori. Da notarsi che le piccole imprese tendono ad avere più soldi in banca e meno difese informatiche delle grandi aziende. E questi hacker non sono più limitati a fanatici del computer altamente qualificati. Usano infatti dei toolkit di attacco facilmente disponibili anche in rete. Quindi anche un principiante puo’ infettare i computer e di estrarre tutte le informazioni di cui hanno bisogno per rubare login di conti bancari . IL MALWARE Nel 2013 i vettori e i metodi utilizzati dai cyber-criminali sono caratteristicamente diversi dai malware utilizzati qualche anno fa. Infatti, un elemento, da cui il malware moderno è 100% dipendente, è la rete informatica. Il nostro universo ipV4 ed ipV6, così come lo conosciamo oggi, e quello che stiamo costruendo per il futuro, saranno sempre più utilizzati per estendere i diversi vettori funzionali di un attacco malware moderno. E il fattore fondamentale di protezione, in questo caso, è il “tempo di identificazione”. Tra l’altro, se meditassimo sul ciclo di vita di un malware moderno, dalla nascita alla prima identificazione, ci accorgeremmo oggi della elevatissima complessità meccanica e logistica per arrivare ad avere copertura contro il malvare in tempi brevi. Infatti, poichè gli attacchi sono mirati e hanno uno scopo ben preciso, il delta di tempo della creazione e del primo utilizzo di un malware fino alla sua scoperta si allunga in maniera quasi esponenziale, e quindi i metodi tradizionali di identificazione sono praticamente inutili. In più, considerando la sintonia di molteplici vettori, una soluzione moderna deve offrire protezioni per tutti vettori verso tutte le tipologie di rete. E deve offrire protezioni attraverso tutta l’ampia gamma di applicazioni disponibili nell’ambiente Enterprise e Cloud e non soltanto Web ed E-Mail. Una soluzione deve non soltanto essere in grado di identificare ed analizzare, ad esempio, allegati sospetti, ma deve anche in tempo reale scatenare il processo di reverse engineering, classificazione, signature-delivery per tutti i vettori applicabili attraverso qualsiasi applicazione e protocollo di trasporto anche se cifrato; e in tempo reale. I SOCIAL NETWORKS E LA SICUREZZA I dipendenti di un’azienda utilizzano tutti i social network e così fanno i criminali informatici. La natura virale di questi servizi di social networking fa sì che i giusti messaggi di attacco possano essere diffusi con poca spesa. Inoltre, gli utenti finali hanno un falso senso di sicurezza sui social network, che li rende suscettibili a trucchi di social engineering. SICUREZZA E BYOD Se questo non bastasse, i criminali informatici si stanno preparando per andare sugli smartphone. Molte aziende hanno dipendenti che utilizzano smartphone e tablet per accedere ai dati aziendali, ma non hanno ancora attuato politiche di sicurezza per questi dispositivi. Con un aumento senza precedenti della mobility i dispositivi portatili quali notebook, ultrabook, tablet e smartphone si stanno diffondendo sempre di più. Gli utenti si aspettano di poter accedere ai servizi IT da un numero sempre maggiore di endpoint, inclusi i dispositivi personali. Di conseguenza, si moltiplica il numero dei diversi sistemi operativi presenti nella rete e si vengono a creare sfide importanti per l'identificazione e la gestione dei dispositivi da parte dell’IT. La connessione da qualsiasi luogo su qualunque dispositivo comporta rischi considerevoli per la sicurezza, i dati aziendali, la proprietà intellettuale e l'adempienza alle normative. Il più grave rischio attuale è che gli utenti potranno scaricare applicazioni contenenti codici maligni, dando agli hacker l'accesso alle informazioni degli utenti o persino controllare il dispositivo. Poiché i dispositivi mobili sono sempre più critici per il business nei prossimi anni, ci aspettiamo un forte aumento di software distruttivo sviluppato appositamente per questi dispositivi. Gli hacker stanno già prendendo atto di questa opportunità di sfruttare un nuovo mercato: il numero delle vulnerabilità segnalate per i dispositivi mobili è aumentato del 42 per cento nel 2012. RESPONSABILITA’ PENALE RELATIVA ALLE MISURE PER LA SICUREZZA INFORMATICA Il concetto di misure minime di sicurezza è definito dal Codice sulla protezione dei dati personali. Le misure di sicurezza sono costituite dal complesso delle misure organizzative, tecniche, informatiche, logistiche e procedurali volte a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, accesso non autorizzato; trattamento non consentito o non conforme alle finalità della raccolta, modifica dei dati in conseguenza di interventi non autorizzati o non conformi alla regole. Un'importante misura minima di sicurezza prevista era l'obbligo di adozione annuale da parte dei titolari di un documento programmatico sulla sicurezza: la stesura annuale del DPS è stata abrogata dall'art. 45 del decreto semplificazioni (convertito in legge il 4 aprile 2012). SOGGETTI OBBLIGATI ALL’ADOZIONE DELLE MISURE Tutti i titolari di trattamento dati sono tenuti ad adottare misure minime individuate dal Codice e secondo le modalità previste nel Disciplinare tecnico allegato al Codice. Va sottolineato come l'articolo 31 del Codice non fa differenza tra violazione della riservatezza dei dati personali propriamente detta - quale si avrebbe ad esempio nel caso di accesso a dati sensibili da parte di terzi non autorizzati - e distruzione o perdita accidentale di dati già legittimamente raccolti e trattati. La mancata custodia dei dati è comunque causa di un danno, e il responsabile di questo danno è sanzionato. Infatti dal solo danno della distruzione o perdita dei dati derivano varie gravi conseguenze: ad esempio il blocco delle attività, costi gestionali imprevisti, danno di immagine. Inoltre poiché il privato deve poter fare affidamento sui dati che ha già comunicato, ne consegue che in caso di negligente custodia egli può richiedere il risarcimento del danno. Per questi motivi il soggetto che non adotta misure di sicurezza adeguate è sanzionato penalmente (se le misure non rispettano i parametri previsti dal regolamento sulle misure minime secondo le modalità previste dal Disciplinare Tecnico) e può essere chiamato a rispondere civilmente per il risarcimento del danno (se le misure non sono idonee). Ai sensi dell’art 31 del Codice, le misure di sicurezza adottate per il trattamento dei dati personali devono essere: adeguate in relazione alle conoscenze acquisite in base al progresso tecnico e tali da ridurre al minimo i rischi di distruzione dei dati o accesso non autorizzato; adottate in via preventiva e differenziate in base alla natura dei dati e alle specifiche caratteristiche del trattamento. DIFFERENZA TRA MISURE MINIME E MISURE IDONEE Le misure di sicurezza minime si differenziano dalle idonee per i diversi livelli di responsabilità, ma non solo. Il titolare deve individuare preventivamente misure di sicurezza che devono almeno rispettare i parametri di sicurezza minimi individuati nel Codice (articoli 33, 34, 35 e 36) e nel Disciplinare Tecnico (Allegato B del Codice Privacy); se le misure di sicurezza adottate non rispettano i parametri minimi contenuti nel regolamento, si concretizza la fattispecie penale di omissione delle misure minime e la conseguente responsabilità. L'individuazione di misure che rispettano i parametri previsti come minimi non è sufficiente a liberare da ogni responsabilità il soggetto che effettua il trattamento. Se le misure adottate non sono idonee ad evitare il danno, il Titolare può essere coinvolto comunque sotto un profilo di responsabilità civile, anche se non ci sono gli estremi per la responsabilità penale prevista dalla legge. Le misure minime di sicurezza sono tipizzate dal legislatore. Quelle idonee no. Devono essere scelte dal buon Titolare sulla base della natura dei dati, delle caratteristiche del trattamento e dallo stato dell'arte e della tecnica. Conseguenze sanzionatorie Le conseguenze della mancata adozione di misure di sicurezza sono quindi le seguenti: la sanzione penale per omessa adozione delle misure minime è quella prevista dall'articolo 169 del Codice (arresto sino a due anni); il risarcimento del danno - nel caso le misure adottate non siano idonee ad evitare il danno è previsto dall'art. 15 legge del Codice che rimanda all’art. 2050 del Codice Civile (relativa allo svolgimento di attività pericolose); in questo tipo di responsabilità è prevista una presunzione speciale di colpa a carico del responsabile del danno (in questo caso chi effettua il trattamento): il responsabile ha l’onere della prova di aver adottato tutte quanto era possibile per evitare il danno, facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica, mentre il danneggiato deve solo dimostrare l'esistenza del danno. DISASTER RECOVERY: QUAL E’ L’AFFIDABILITA’ DELLE RETI TERRESTRI IN CASO DI DISASTRI ? Le applicazioni IT attuali sono sempre più da usare in rete: i collegamenti a sedi remote, le soluzioni gestionali accentrate o usufruibili on-line, la posta elettronica, le operazioni bancarie, le prenotazioni, le applicazioni CLOUD, e così via. Sempre più le attività aziendali sono legate alla Rete. Ma l’attuale ecosistema Internet non è più sostenibile. Le reti sono attraversate da un traffico dati sempre più pesante, per lo più generato da applicazioni e servizi Over-the-top. E’ cambiato tra l’altro il paradigma dell’utilizzo di Internet: si è passati da un sistema imperniato sulla trasmissione di testi ad un sistema con una forte componente di consumo di video, circostanza che ha causato un’impennata nel traffico di file audiovisivi e nel numero di utenti “pesanti”. E questa mole crescente di traffico mette sotto pressione le reti, rendendo necessari nuovi investimenti in infrastrutture. Ma questi investimenti tardano a venire, e quindi la quasi totalità della Rete, non solo in Italia, è gestita con qualità “Best Effort”. Ossia ciascun operatore, a meno di rarissimi casi, non garantisce assolutamente contro le cadute di rete: quando esse accadono il cliente non ha diritto di lamentarsi. E anche quegli operatori che contrattualizzano con il loro servizio il cosiddetto SLA (Service Level Agreement), garantiscono solo che una somma, indipendente dal danno subito, verrà pagata al cliente a titolo di risarcimento in caso di cadute della rete. Ma il danno subito può essere enorme; e non valutabile a priori. Anche perché il controllo della rete è frammentato spesso tra diversi operatori; il che, talvolta, rende complessa la diagnosi e sistemazione del guasto. E queste complessità, in futuro, aumenteranno La nostra adsl, hdsl, shdsl, linea dedicata quante volte è caduta? Quanto abbiamo dovuto aspettare per il ripristino, quanto tempo siamo rimasti isolati? Possiamo permetterci di restare isolati per qualche ora ? Per qualche giorno ? Quali sono i tempi di risoluzione dei problemi di centrale o di linea, di sede, di palazzo, di quartiere ? Certamente più lunghi di quelli che la nostra attività aziendale ci puo' permettere. D’altronde ridondare linee terrestri con altre linee terrestri, è una soluzione inefficiente in caso di alcuni disastri, come terremoti e alluvioni: anche se i percorsi sono differenziati è molto probabile che un terremoto o una inondazione possa mettere fuori uso tutte le centrali della zona; di qualsiasi operatore esse siano. Qualunque siano le reti, infatti, anche quelle wireless, si affidano pesantemente a strutture terrestri che, in caso di disastri sul territorio vengono, tutte , ad essere impattate contemporaneamente. BACKUP E DISASTER RECOVERY: DA NECESSITÀ A OBBLIGO DI LEGGE L’era digitale è l’era dei dati. Questi nuovi protagonisti sono spesso custodi di importanti informazioni che rivestono per una qualsiasi azienda un’importanza spesso vitale. Al rischio di perdere o vedersi danneggiati i sistemi fisici preposti alla memorizzazione, si aggiungono i rischi relativi alla perdita di connettività, e lo scenario che allora si prospetterebbe potrebbe essere più o meno drammatico a seconda nel danno. Per evitare queste spiacevoli quanto probabili circostanze è bene non solo effettuare sempre un back-up dei dati con una certa periodicità, ma anche assicurarsi che la connettività sia sufficientemente ridondata e testata periodicamente. L’aspetto che però può sfuggire alle aziende italiane sono gli obblighi di legge imposti a chiunque abbia dati in forma digitale da gestire. In particolare le prescrizioni riguardano i dati personali e sensibili, entrambi molto frequenti e diffusi. L’art 31 del D.lgs 196/2003 dice infatti: “I dati personali oggetto del trattamento devono essere custoditi e controllati […] in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale…” Ma i chiari riferimenti all’adozione di misure specifiche per la memorizzazione preventiva (backup) dei dati non si concludono in questa norma di carattere generale. Infatti l’art. 34 comma 1-f del codice autorizza il trattamento con strumenti elettronici solo se sono previste una serie di misure minime di sicurezza tra cui l’adozione di procedure per la custodia di copie di sicurezza, il ripristino di disponibilità dei dati e dei sistemi. E poi, al semplice back-up si aggiungono prescrizioni anche sul disaster recovery, con riferimento per i dettagli tecnici - all’Allegato B al codice. L’art. 18 del documento impone che il salvataggio abbia almeno frequenza settimanale e l’art. 23 obbliga ad adottare misure di ripristino idonee a rendere i dati nuovamente accessibili nell’arco massimo di sette giorni dal disastro. Tutti i provvedimenti presi dall’azienda devono inoltre essere riportati, secondo l’art.19, nel documento programmatico sulla sicurezza. E’ bene quindi ricordare che le misure richieste sono soprattutto improntate alla tutela dei diritti di privacy, ma per quanto detto è evidente che tali misure coinvolgono molti degli aspetti operativi della maggior parte delle aziende; e sono strettamente legati alla connettività. E’ logico infatti pensare che, qualora infatti il back-up periodico, non possa aver luogo, per motivi di connettività dovuti al disastro (ad esempio in presenza di database remoti), l’azienda si troverebbe con le proprie informazioni non allineate. Per quanto detto risulta ovvio dire che è importantissimo per le aziende, anche dal punto di vista giuridico, premunirsi contro il rischio di perdita dati in caso di disastri. E, per far ciò, non basta badare ai sistemi di memorizzazione; ma è d’obbligo ridondare la connettività. RIDONDANZA SATELLITARE PER LA CONTINUITA’ OPERATIVA (BUSINESS CONTINUITY) E PER IL BACK-UP Per Business Continuity si intende la capacità di un’azienda di continuare a esercitare la propria operatività in caso di indisponibilità, per periodi anche lunghi, di siti web, informatica mobile, persone, documenti, importanti fornitori, outsourcer, servizi di pubblica utilità, connessioni di rete. La business continuity si occupa del ripristino dei processi aziendali essenziali, in caso di eventi di estrema portata, ovvero di quegli eventi disastrosi che hanno una probabilità molto bassa, o quasi nulla, di accadere, ma le cui conseguenze possono essere estremamente gravose per il business. La pianificazione della continuità operativa e di servizio deve essere definita nel Business Continuity Plan (BCP), che, per quanto detto sopra, ogni azienda dovrebbe avere; e per talune aziende è obbligatorio. In esso vengono identificati i pericoli potenziali che minacciano l’organizzazione; viene fornita una struttura che consente di aumentare la capacità di adattamento alle condizioni d'uso e la capacità di risposta; in maniera da salvaguardare gli interessi delle parti in causa, le attività produttive, l’immagine, riducendo i rischi e le conseguenze sul piano gestionale, amministrativo e legale. La RIDONDANZA SATELLITARE (RS) è sicuramente uno dei temi che debbono essere affrontati nel BCP, e , probabilmente, è l’unica in grado di garantire l’opportuna ridondanza di connettività in caso di disastri . Infatti: 1. Tutte le reti posseggono una parte di accesso una la parte di back-haul distinte. Ed entrambe devono essere ridondate. Il satellite le ridonda entrambe con un’unica soluzione, immediata. 2. Il satellite funziona senza alimentazione terrestre; l’unica alimentazione da garantire è quella del modem (a bassissimo consumo, e quindi alimentabile con una economicissima batteria tampone) 3. La connettività satellitare è immediata e a basso costo, e può quindi essere tenuta permanente in funzione. 4. Il satellite, per motivi fisici, è il sistema meno attaccabile e intercettabile da pirati o vandali (motivo per cui è ampiamente usato dai sistemi dell’Esercito) Come detto, le aziende debbono trattare con massima priorità i problemi di back-up e business continuity, dotandosi di un collegamento di emergenza secondario. Ma questo collegamento di emergenza deve essere completamente indipendente da quello primario; e quindi è opportuno (per i motivi esposti sopra) che sia satellitare. Achille De Tommaso Settembre 2013