Ottimizzare denaro, tempo e risorse è ormai compito del Security manager. Emilio Turani di Stonesoft indica un percorso praticabile, che passa da un’attenta pianificazione.
Uno dei cambiamenti più evidenti che ha interessato lo scenario della sicurezza è stato il ricorso a elevati livelli di automazione nell’analisi del traffico di dati alla ricerca di malware, incursioni da parte di hacker e altri vettori di attacco.
Ricorda Emilio Turani, Country Manager di Stonesoft Italia, Svizzera Italiana, Grecia e Turchia come nel settore security alcuni vendor abbiano abbandonato la pura analisi in profondità dei pacchetti di dati, a causa dell’eccessivo carico del processore derivante da un controllo in tempo reale, per adottare il principio di verifica delle credenziali di autenticazione dell’utente su un dato indirizzo Ip e di quali applicazioni sono in esecuzione.
Quest’approccio si discosta dal tradizionale ricorso alla tecnologia Ids/Ips che richiede un’analisi euristica per monitorare le applicazioni dell’utente, prima di consentire o rifiutarne l’accesso all’indirizzo Ip.
Questo, per Turani, è un elemento interessante, dal momento che per migliorare la protezione delle reti aziendali dalla crescente ondata di minacce multi-vettoriali e ibride, è necessario uno sforzo comune per migliorare le performance dei sistemi e dei software di sicurezza It, oltre che dell’architettura che li supporta.
Serve una metodica di controllo
Secondo il manager vi è una chiara necessità di definire metodi misurabili per il controllo della sicurezza, insieme al monitoraggio automatizzato e al reporting degli incidenti.
In particolare, gli studi di Stonesoft sulle Tecniche di Evasione Avanzate (Aet) evidenziano come le organizzazioni debbano sviluppare un insieme ben progettato di azioni di risposta agli incidenti.
Per Turani l’adozione di quest’approccio da parte delle aziende può aiutarle a ridurre i costi marginali legati alla sicurezza, limitando anche i danni che un’assenza di sistemi di difesa può causare, oltre ai costi fissi, contribuendo così ad una diminuzione dei valori Capex e Opex.
Tutto scorre dalla porta 80
Il metodo automatizzato per il monitoraggio dell’utente e delle applicazioni in esecuzione si rivela essenziale per fronteggiare il crescente volume di traffico che scorre attraverso la porta 80, lo standard normalmente assegnato al traffico Internet.
Se si consente il passaggio del traffico dato dalla porta 80, come solitamente accade, automaticamente si approva il passaggio di pseudo traffico che transita insieme alle pagine Web regolari.
Ma se il processo di analisi in profondità del pacchetto dati letteralmente divora risorse, quali sono le alternative che può adottare il Security manager?
Per Turani la soluzione sta nel monitorare solo le applicazioni attive sulle macchine da ispezionare: insieme all’analisi del flusso di dati, questo metodo facilita notevolmente il livello di automazione nel processo di ispezione richiesto per quantificare il rischio generato dal passaggio di un certo segmento di codice all’interno dell’infrastruttura di rete.
C’è anche il problema legacy
Quest’approccio può essere utile nel difendersi dal problema crescente di legacy delle minacce di sicurezza che affligge i vendor di sicurezza che, con il rilevamento di decine di migliaia di nuove tipologie di malware alla settimana, costringono a focalizzare l’attenzione solo sulle ultime minacce scoperte.
Ciò significa che, se un hacker particolarmente capace, recupera malware già utilizzato e ne modifica la metodologia d’attacco, esiste il rischio che i tradizionali sistemi di protezione non siano in grado di rilevare la nuova minaccia modificata nel momento in cui viene lanciato il primo attacco.
La situazione, fa notare Turani, si aggrava se consideriamo che alcuni computer in molte aziende mancano di patch o di aggiornamenti dei sistemi operativi, vanificando l’efficacia dei sistemi di protezione da alcuni vettori di attacco.
E intervenire con patch successive dopo che l’attacco è stato sferrato non è sufficiente per eliminare il problema.
I tradizionali sistemi di Intrusion Prevention System sono progettati per operare su due livelli: per bloccare vettori di attacco conosciuti, e in secondo luogo per lanciare un allarme nel momento in cui rileva un’intrusione.
Per Turani i provider di Ips devono mostrare maggiore attenzione agli attacchi basati su Aet e utilizzare alcuni dei cicli di Cpu disponibili per analizzare ancora più a fondo i pacchetti di dati che transitano nei sistemi di rete.
Riuscire a sviluppare una strategia di sicurezza It economicamente efficiente significa ottimizzare le risorse già esistenti e utilizzare il denaro risparmiato per investire in un sistema di sicurezza It multi-livello.
Dall’analisi alla protezione multi-livello
Ma prima di percorrere questa strada, è necessario condurre un’analisi completa del rischio e una classificazione dei dati della propria organizzazione e solo quando questi due processi sono completi il Security manager può iniziare a pianificare le fasi di un processo di protezione multi-livello.
Queste fasi dovrebbero essere riviste alla luce della necessità di effettuare un’analisi dei costi, utilizzando indicatori Kpi (Key Performance Indicator), per rendere i valori Capex e Opex in un formato che può essere paragonato a quelli generati dalle più tradizionali architetture It.
Si tratta di un aspetto importante per una moderna pianificazione dei sistemi di sicurezza a protezione di una rete aziendale, spesso sottovalutato dai professionisti It che non considerano le valutazioni economiche tra le loro competenze, con il rischio che decisioni riguardanti l’infrastruttura It vengano prese dal reparto finanziario.
Si manifesta pertanto la necessità di lavorare in team collaborando allo sviluppo di strategie di sicurezza It più efficienti.
Per Turani che la pianificazione è fondamentale quando si tratta di affrontare un crescente flusso di attacchi ibridi da parte di hacker e di cyber criminali alla piattaforma It aziendale per meglio difendersi dagli attacchi basati sulle Aet in grado di eludere i sistemi di sicurezza esistenti.
