Leasys, società italiana partecipata da Enel e Fiat, si è appoggiata a Symantec per verificare il livello di sicurezza Internet e la validità delle scelte adottate nel costruire il sistema informativo. Il tutto avviene grazie a un servizio a cadenza trimestrale erogato in modalità remota.
Nata nel settembre 2001, Leasys è una società italiana che opera nella gestione dei servizi di leasing operativo per flotte aziendali. La realtà vanta una flotta di 125mila unità di mezzi di vario tipo e un’ampia offerta di servizi, grazie al contributo portato da due importanti azionisti quali Fiat ed Enel.
Leasys ha recentemente attivato il sito aziendale, la posta elettronica e i primi moduli che permetteranno ai clienti di visualizzare la propria flotta online. Alcuni moduli sono collegati al sistema gestionale di Leasys e, indirettamente, agli Erp dei due azionisti fondatori. Ciò ha reso indifferibile una verifica del grado di sicurezza verso Internet dei sistemi e Leasys ha deciso di affidarsi a Symantec per effettuare un’attività di vulnerability assessment per verificare l’affidabilità del lavoro effettuato dal system integrator.
"Symantec si occupa di sicurezza a 360 gradi – ha commentato Fabio Saiu, direttore It di Leasys – con personale certificato, e vanta un curriculum che ci ha impressionato per le responsabilità assunte nella difesa di importanti istituzioni negli Stati Uniti e per la capacità di erogare servizi omogenei a livello internazionale".
Attraverso questa attività, Leasys voleva verificare l’iniziale stato di sicurezza delle porte di comunicazione e dei sistemi interfacciati a Internet per completare, in base ai risultati, le installazioni di protezione di firewall e intrusion detection, quest’ultimo ancora da definire. La situazione "in progress" del sito rendeva, inoltre, utile una periodica ripetizione dei test. "Abbiamo deciso di sottoscrivere un servizio annuale – ha continuato Saiu – distribuito in quattro fasi di verifica, che non ci vengono annunciate nei tempi ma rispettano una cadenza trimestrale prestabilita. A oggi la prima e più importante è consistita in un penetration test, un tentativo di penetrare le nostre porte sul Web per arrivare in aree profonde e sensibili". In base ai risultati di questo test, Leasys avrebbe progettato l’infrastruttura di sicurezza perimetrale più opportuna. I successivi tre test sarebbero, invece, serviti a verificare l’efficacia dei sistemi di protezione e monitoraggio installati.
L’attività di penetration test
I suggerimenti forniti per risolvere le eventuali lacune nell’infrastruttura sono scaturiti dall’analisi oggettiva, senza proporre prodotti specifici che, nel ruolo di Symantec, avrebbero configurato un conflitto di interessi. "Dopo avere contattato il Consulting Service di Symantec – ha spiegato Maurizio Pucinischi, responsabile delle infrastrutture informative di Leasys – ci siamo incontrati in una sola occasione, per i dettagli organizzativi. Symantec era, quindi, nelle medesime condizioni di un qualsiasi utente esterno>".
La durata del penetration test è stata concordata da Symantec e Leasys su 48 ore e ha richiesto un’approvazione scritta. "Si è trattato di un penetration test e non di un attacco – ha precisato Alberto Meneghini, account manager Symantec Security Services – il cui obiettivo è stato di cercare di sfruttare le vulnerabilità per lasciare una "calling card". Operavamo alla cieca per metterci nelle stesse condizioni di un possibile attaccante e conoscevamo solo i gateway attraverso i quali potevamo tentare di introdurci". Concretamente, nei test sono tanto cruciali i meccanismi automatizzati, che filtrano grandi volumi di informazioni, quanto la competenza umana, che dall’osservazione diretta di stringhe di codice riconosce, per esempio, una specifica versione del programma che può rivelare informazioni utili ai fini dell’attacco.
Per lo svolgimento di questi test Symantec si avvale di un laboratorio dotato di infrastrutture dedicate in modo specifico a queste attività, appoggiandosi ai propri Security operation center, distribuiti tra Usa e Regno Unito.
"Queste attività sono condotte da un pool di consulenti dislocati tra Spagna, Inghilterra e Usa – ha continuato Meneghini – e avvengono in modalità remota. Viene utilizzata una combinazione tra strumenti informatici e competenze dei singoli consulenti. Per la realizzazione del test ci basiamo su database internazionali e, in particolare, su Security Focus, che rappresenta il nostro riferimento per una comparazione del livello di sicurezza del cliente". Nel caso di Leasys è stato richiesto di limitare il test all’ambito tecnologico, anche se Symantec è anche in grado di sperimentare attacchi di tipo "social engineering". Il test ha previsto, per esempio, la verifica se alcuni sistemi interrogati restituivano più informazioni di quelle necessarie, che potessero essere utilizzabili da un attaccante per conoscere meglio l’ambiente: per esempio, scoprendo qual è il sistema operativo presente sul router o sul firewall. O, ancora, sono state svolte attività di verifica dei sistemi a livello di Dns o "honey pot" o legati all’infrastruttura di sicurezza, non celati in modo corretto sulla Dmz.
Al termine dell’attività è stato redatto un report. Symantec ha riconosciuto ai sistemi di Leasys una valutazione buona, attestando la sicurezza generale dell’architettura costruita, ma anche identificando gli aspetti ancora migliorabili. "Nel report che consegniamo e discutiamo con il cliente – ha detto Meneghini – viene dato un giudizio globale sul livello di sicurezza, ripartito su cinque livelli, e vengono delineate in dettaglio le vulnerabilità individuate, fornendo consigli su quali affrontare per prime e su come intervenire. Nel caso specifico di Leasys sono state apportate modifiche di lieve entità alla configurazioni dei sistemi".
Nell’ambito dell’accordo annuale, Symantec prevede di eseguire nuovamente il test in modo cadenziato, tenendo conto delle nuove vulnerabilità emerse nel frattempo e registrate all’interno del Security Focus. "Al di là della valutazione positiva per il livello di sicurezza che abbiamo conseguito, siamo ampiamente soddisfatti dei risultati ottenuti con il test – ha concluso Saiu -. Le indicazioni tratte sono state molto utili e il nostro sistema si è rivelato sufficientemente sicuro. Symantec ci ha fornito la conferma dell’affidabilità e della professionalità del lavoro svolto dal partner integratore. Siamo rassicurati nei confronti dei nostri clienti e dei nostri azionisti e siamo consapevoli che ogni giorno vengono scoperte nuove vulnerabilità e tipologie di attacco, per cui è necessario adeguare anche i sistemi: per questo motivo, abbiamo deciso di estendere il contratto di consulenza su 12 mesi".
