Non è sempre possibile tracciare un bilancio della sicurezza informatica a 360°, a meno di potersi confrontare un esperto cyber, appassionato di tecnologia, utilizzatore di prodotto e rappresentativo di un vendor.
Parliamo di Cristiano Cafferata, Regional Sales Manager at SonicWALL Inc. intervistato per commentare l’annual threat report recentemente divulgato e che, nemmeno a dirlo, conferma l’incremento di aggressività nelle strategie di attacchi invisibili a danno di IoT, device mobili e di ogni ambito digitale e conferma l’espansione del cattivo di sempre: il ransomware.
=> Nuovi Ransomware: soliti problemi, rapide soluzioni
Quali gli elementi del report più rilevanti, a parte l’incremento dei ransomware oltre livelli tollerabili?
Tutto il report ha una valenza notevole perché espone in modo chiaro un concetto comune a tutti gli ambiti operativi tecnologici il problema non è che i clienti non adottino security, il problema è che la security fatta in modo tradizionale ha dei “piccoli” buchi che vengono puntualmente sfruttati.
Che fare con la IoT? Da tempo i sercurity expert allertano sui rischi di sicurezza per questi dispositivi. Cosa si può fare? Distinguiamo tra aziende e privati.
Ti ringrazio per la domanda che mi offre l’opportunità di fare un chiarimento. Perché dividere le “persone comuni” dalle aziende? sono proprio i dispositivi delle persone comuni che entrano nelle reti delle aziende e creano un primo livello di rischio. I dati personali di un privato sono meno sensibili di quelli di una azienda, questo è vero ma il device privato dell’utente è un vettore di attacco ed un veicolo di ransomware, ad es. il malware hopping bad-BIOS per le reti aziendali quindi ad oggi conviene che tutti i dispositivi siano considerati “hostile” o “half-a-friend” e mai totalmente “trusted”. Non si parla solo di telefoni ma di tutti i dispositivi equivalenti ai sistemi cellulari e che offrono connettività mobile.
Gli exploit kit sono finiti o sono solo in pausa, in attesa di nuove tipologie?
A ragion veduta pare che sia un periodo di pausa anche considerando il ragionamento del generico attaccante che non ha convenienza nell’investire in nuovi E-kit che hanno ormai 10 anni di anzianità quando basta sfruttare i danni lasciati da Angler (un exploit kit molto sofisticato n.d.r.). Le nuove tipologie di E-kit dovranno vedersela con soluzioni di sicurezza software di tipo Ring0 (software che implementano la protezione a ring, ovvero ad anelli concentrici, partendo dal kernel del sistema operativo e successivamente estendendosi ai sistemi periferici) che lavorano quindi al Kernel Mode e che renderanno la vita difficile ai “vecchi” virus …
In questo rincorrersi fra attaccanti e difensori, perché la velocità degli attaccanti è maggiore? Hanno più soldi? Più idee? Più entusiasmo? Perché sembrano più avanti?
La realtà è lievemente diversa: le aziende di tecnologie dedicate a difendere, sono ricche ed abili a sufficienza a contrastare gli attaccanti siano esse russe, italiane, cinesi o americane, però il loro schema organizzativo è comunque meno efficace e meno flessibile in termini di delivery delle soluzioni stesse. Chi attacca può permettersi di sperimentare gratis e colpire “a caso” sino a sviluppare un “prodotto funzionante”, ma chi difende deve garantire l’ottimo funzionamento della soluzione stessa e questo rallenta il processo. Le aziende hanno clienti da rispettare, gli attaccanti non guardano in faccia nessuno e questo costituisce una importante differenza. Nella vita di tutti i giorni gli attaccanti sembrano più avanti ma è una percezione che dipende anche da quanto le aziende riescano a divulgare le loro capacità e prodotti per la difesa. Ad esempio SonicWALL protegge da attacchi su SSH diversamente da altri vendor che ancora non lo fanno, ma se il marketing non divulgasse la notizia o i clienti non dovessero avere budget per acquisire questa tecnologia, il nostro essere “avanti” non è efficace, poiché chi attacca su SSH lo fa e basta e non si pone problemi di budget.
Si fa ancora nelle aziende la considerazione “non mi preoccupo tanto capita a qualcun altro”? Oppure qualcuno inizia a farsi venire il dubbio?
Purtroppo nel 2016 meno del 10% delle aziende pensa ancora di non essere un target, anche se i danni da cryptolocker hanno aumentato l’awareness di essere potenziali vittime. Grazie al GDPR le aziende hanno anche iniziato a capire quanto sia importante a gestione della rete e delle informazioni. La nuova generazione di manager fatica ancora ma i responsabili IT si siedono al tavolo dei CDA finalmente con un peso diverso, anche se è solo l’inizio.
Le PMI hanno poche risorse ma dotazioni irrinunciabili quali sono? NGFW (Next Generation FireWall), Identity Management? DLP ? O outsourcing di tutto?
Le PMI lavorano da sempre “a silos” e questa è la loro grossa vulnerabilità perché perdono la visione d’insieme. In ordine di importanza metterei la formazione, i PT/VA di terze parti, seguiti da soluzioni di gestione della posta elettronica parallele ai NGFW, condito ovviamente da una buona soluzione di Identity management e questo significa appunto evitare l’approccio “a silos” ma gestire le esigenze con soluzioni adattive e capaci di interoperabilità. L’outsourcing è una buona proposta se le aziende scelte sono di qualità evitando opportunamente outsourcing ad aziende russe, o di paesi dalla reputazione dubbia.
Qualcuno dice che la infoSec è finita o fallita. Tu cosa ne pensi?
Dalla notte in cui Adamo ha scordato di attivare l’antifurto sulle mele chi ha gestito le informazioni ha vinto, oggi diventa sempre più utile e necessaria la gestione degli accessi, la tutela dei dati, quelli personali e quelli sensibili. La perfezione è ovviamente impossibile, direi che siano falliti i metodi tradizionali, ma oggi è fondamentale scalare verso soluzioni organizzate.
Arrivati a questo punto che fanno gli esperti di sicurezza? Si cambiano i messaggi, si riparte dalla cultura? O si inneggia al contrattacco?
Sono convinto che cultura sia la partenza corretta. Chiunque vanti di essere “esperto di sicurezza” dovrebbe mettere a disposizione di tutti le sue conoscenze. Poi eventualmente si può insegnare a contrattaccare. Il Report SonicWALL è chiaro in questo senso: si devono preparare gli utenti prima ancora dei responsabili IT, nel segnalare le stranezze e non cadere nei tranelli. Ogni 100 email di phishing (pratica che spesso costituisce la prima fase di attacco), ne sono state riscontrate almeno 15 che hanno sortito successo mediante il bypass dei filtri o l’inesistenza degli stessi, e almeno altre 45 messe “in dubbio” ma poi sono state lette e quindi aperte. Sensibilizzare gli utenti per aiutarli a capire il valore dei dati e soprattutto l’esigenza di non diventare loro stessi un veicolo di attacco verso terzi, è una azione che deve coinvolgere tutta l’azienda: la protezione del proprio posto di lavoro dovrebbe diventare uno standard.
Per il contrattacco la questione delle regole di ingaggio è in dirittura d’arrivo?
Temo le differenze fra stati, in particolare sulle regole di ingaggio è necessario che comuni a tutti altrimenti possono diventare un’arma a doppio taglio, soprattutto causa dei mezzi di anonimizzazione che rendono più difficile il rispetto delle regole. Molte situazioni accadute in questi ultimi mesi richiederebbero una reazione, ma ogni stato potrebbe pesare e reagire in modo diverso. Sarebbe utile sviluppare un approccio unico comune per tutti, ma certo paesi nemici raramente si accordano e anzi tendono a mantenere volutamente le distanze. Il World Economic Forum segnala come principali attori gli USA, la Russia, la Cina, Israele,il Regno Unito, ma aggiungerei la Corea del Nord e l’Iran.
Tornando indietro rifaresti l’esperto di security?
Sono stato fortunato nel abbracciare questo settore e lo rifarei specialmente perché sempre più oggetti della vita comune hanno un indirizzo IP, incluso il navigatore dell’auto, ed altri oggetti di uso comune. Sapendo che per disarmare un potenziale rischio serve prima il pc e poi il cacciavite confermo la mia scelta basata prima sulla passione ed oggi anche sull’esperienza. Magari qualcuno dei miei device è stato violato in qualche modo ma se me ne accorgessi almeno potrei provvedere.