Orli Gan, ricercatrice israeliana, è Responsabile Product Management della Threat Prevention di Check Point Software, con base a Tel Aviv. Non è solamente esperta di It security, ma anche di piattaforme storage e cloud.
L’abbiamo intervistata per capire come stanno cambiando i malware e cosa sono le minacce persistenti avanzate e come si comportano. Ancora, abbiamo voluto capire come vanno difesi i dispositivi aziendali. Più in generale, come si sposa il senso di libertà tecnologica, che ognuno sente utilizzando i propri dispositivi mobili, con la sicurezza aziendale.
Difendere i dispositivi mobili è la stessa cosa che difendere le workstation?
Direi che si tratta di una miscela di sì e no. Come per le attività aziendali tradizionali (workstation e server), il numero di minacce e attacchi contro i dispositivi mobili (soprattutto smartphone e tablet) è in costante aumento e la loro complessità e funzionalità sono in continua evoluzione. Un numero crescente di imprese, grandi e piccole, stanno consentendo ai propri lavoratori di accedere a materiali sicuri e confidenziali dai loro dispositivi mobili privati. Questo significa che, per le aziende moderne, proteggere i propri dispositivi mobili può essere altrettanto importante quanto proteggere qualsiasi altra cosa. Ci sono molte analogie nei metodi di protezione dei dispositivi. Indipendentemente dalla piattaforma, combattere i moderni attacchi richiede una miscela di analisi statica e dinamica, che serve a creare una barriera stratiforme formata da funzionalità di protezione e rilevamento che lavorano insieme.
Detto questo, la sicurezza mobile presenta una sfida unica, che richiede diversi approcci radicalmente diversi per la protezione dei dati tradizionali. Per cominciare, la maggior parte delle aziende impiegano politiche BYOD, così ognuno di noi ha un dispositivo diverso, che esegue una versione diversa del sistema operativo, e che ha diverse applicazioni installate. Questa frammentazione costituisce una sfida molto complessa per la sicurezza. Inoltre, questi dispositivi sono forse orientati per il 75% ad attività private e solo per il 25% al lavoro, per cui l’usabilità e la comodità sono tanto importanti quanto la sicurezza per l’utente medio.
Un’altra differenza che ha effetto sulla protezione è la distanza tra chi compie l’attacco e l’utente. In un ambiente desktop, chi compie l’attacco deve passare tutte le difese della rete due volte: la prima volta per entrare e la seconda per prelevare i dati dalla rete. Quando si parla di mobile, oltre al fatto che i dispositivi sono vulnerabilmente collegati a Internet 24×7, gli utenti scaricano costantemente applicazioni, in alcuni casi da fonti dubbie, e danno loro stessi le autorizzazioni. È estremamente più facile evitare che i dipendenti scarichino giochi potenzialmente pericolosi, canzoni e software nei computer che nei loro dispositivi mobili privati. Infine, nella maggior parte dei casi, le minacce nonché i metodi di protezione sono completamente differenti rispetto al mondo delle reti e degli endpoint. Il panorama delle vulnerabilità e degli exploit di Android e iOS ha una dinamica molto diversa rispetto a quella del mondo desktop. Mentre molti dei concetti rimangono simili, la ricerca e lo sviluppo che serve a creare una soluzione di sicurezza mobile solida è un processo molto diverso.
Si dice sovente che i malware stanno cambiando. Con parole semplici, come accade? E dato che il fine degli attaccanti è sempre sottrarre informazioni e usarle illegalmente, cosa c’è di nuovo?
Penso che sia possibile evidenziare tre trend significativi.
Il primo è la disponibilità di malware molto evoluti: metodi e strumenti malevoli, che una volta erano disponibili solo agli Stati canaglia, ora possono essere sviluppati o acquistati da chiunque abbia abbastanza tempo o denaro. Ciò significa che un hacker solitario può attaccare un server, una workstation o uno dispositivo mobile nello stesso modo complesso utilizzato dalla NSA. Una volta dentro la rete, un hacker può ottenere il pieno controllo degli account, dei dispositivi e dei contatti di un’azienda, senza fare un passo fuori dalla propria porta di casa.
Il secondo è il crescente numero di vettori degli attacchi: quasi tutto può essere usato per colpire persino la più piccola impresa. Ad esempio, hotspot Wi-Fi canaglia, drive-by download da un sito web infetto, applicazioni bancarie vulnerabili e messaggi di testo malevoli sono tutti i metodi per colpire un utente che non esistevano a pochi anni fa. Le persone accedono a così tanti dati online, attraverso diverse piattaforme e strumenti, e gli hacker possono scegliere come vogliono attaccare.
Il terzo è la crescente dipendenza locale e/o di un IT remoto: quasi tutte le aziende, grandi o piccole, necessitano di tecnologie, in particolare Internet, per gestire il proprio business. Che sia B2B o B2C, cose come l’inventario, la gestione dei clienti, l’archiviazione, il marketing e la comunicazione sono tutte attività gestite online o su reti locali. Ciò significa che i potenziali guadagni derivanti da un cyber-attacco, anche se è contro una piccola azienda, sono di gran lunga maggiori rispetto al passato.
Oggi si parla di APT: qual è il modo più semplice per descriverli e far capire a un’azienda che è contro queste minacce che deve difendersi?
Un Advanced persistent threat utilizza più fasi e un periodo di tempo lungo per infiltrarsi in una rete, evitare di essere scoperto e, infine, raccogliere e prelevare informazioni preziose. Molto spesso, un attacco di tipo APT è estremamente mirato e viene lanciato contro un bersaglio specifico, al contrario di una campagna diffusa che mira a colpire più vittime possibili.
Anche se non è la forma più comune di attacco, l’APT è senza dubbio la forma più pericolosa di minaccia informatica. Una volta che l’hacker si è insediato in un dispositivo o una rete, può fare qualsiasi cosa, dalla distruzione (eliminando file) allo spionaggio industriale, al furto di identità e varie altre forme di attività criminali.
Le cose importanti da sapere sugli APT sono che nessuno è immune al 100% e ogni individuo è un potenziale bersaglio. Non solo questi attacchi continuano a migliorare ed evolvere, ma stanno diventando sempre più accessibili.
Gli APT possono variare da un attacco come CryptoLocker, un malware che limita l’accesso del dispositivo che infetta richiedendo un riscatto da pagare per rimuovere la limitazione, a una campagna ancora più avanzata come Carbanak, che ha preso di mira diverse banche in tutto il mondo sfruttando falle di sicurezza dei dispositivi personali dei dipendenti e delle reti aziendali, e ha causato danni per circa 1 miliardo di dollari.
Quali sono le soluzioni da mettere in campo per difendersi dagli APT? In termini di hardware, software e servizi.
Credo che il modo più responsabile di vedere le cose sia quello di riconoscere che non c’è davvero una formula magica, in grado di garantire una sicurezza al 100%. Ci sono tuttavia, più passaggi che possono essere adottati per diminuire le probabilità di essere infettati, aumentare la velocità di rilevazione e facilitare il processo di comprensione di ciò che è accaduto.
Adottare una soluzione di sicurezza per l’ambiente aziendale fatto di network, desktop, dispositivi mobili e cloud.
Garantire una protezione zero-day per le minacce note e sconosciute, impiegando una combinazione di metodi statici e dinamici per la prevenzione delle minacce. Oltre alla prevenzione delle minacce, assicurarsi di implementare tecnologie per il post-infezione.
Riconoscere l’importanza della visibilità e delle informazioni finalizzate all’azione, ossia assicurarsi che la soluzione scelta non richieda di essere un esperto di sicurezza informatica per capire che cosa sta dicendo.
Il modo in cui sviluppate le tecniche di difesa può interessare gli utenti?
Assolutamente. Come ho già detto il modo in cui costruiamo la tabella di marcia in Check Point si basa interamente su come pensiamo che possa avere un impatto sostanziale sui nostri utenti. Cerchiamo di individuare le tendenze nei cyber-attacchi emergenti in modo da poter fornire soluzioni di sicurezza che siano il più possibile pertinenti.
Credo che questo sia più evidente in due aree. La prima è nella nostra gestione consolidata e nelle nostre soluzioni di visibilità, insieme ai report dedicati che generano. Queste sono esattamente ciò che definiscono come un utente interagisce con un prodotto di sicurezza, ciò che sarà in grado di fare e imparare da esso. C’è una sottile linea tra il fornire report dettagliati, provenienti da più fonti, e rendere le informazioni travolgenti e inaccessibili. Questo è un settore in cui sento che Check Point si distingue dagli altri. Ci rendiamo conto che lo sviluppo di forti metodi di rilevamento e/o prevenzione è una cosa, ma se gli utenti non sono in grado di gestire le diverse soluzioni, integrarle tra di loro e capire ciò che stanno vedendo o leggendo, il risultato finale non è affatto così bello come dovrebbe essere.
La seconda area deriva dal fatto che gli amministratori e il personale della sicurezza dei dati non sono i soli utenti. Le soluzioni di sicurezza hanno la tendenza ad avere un impatto negativo sugli utenti finali. Quindi cerchiamo di rendere l’intera esperienza di uso il più semplice e trasparente possibile. Che si tratti di tempi di attesa o anche solo di un clic in più, cerchiamo di mantenere tutto al minimo.
In proporzione al fatturato, quanto deve spendere un’azienda per arginare concretamente gli attacchi?
Questa è una domanda difficile. Dirò questo: sia il costo che la probabilità di subire violazioni alla propria sicurezza, sono cresciuti notevolmente negli ultimi anni. Pertanto, è naturale che i CIO devono investire in soluzioni di sicurezza più avanzate che garantiscono una migliore protezione a diversi tipi di asset.
Detto ciò, credo che guardare la spesa complessiva per l’IT è forse un modo migliore per pianificare gli investimenti nella sicurezza informatica. In una certa misura, più una società spende per l’IT, più asset vulnerabili ha a disposizione, quindi occorre maggiore sicurezza.
