Proteggere i sistemi IT dagli attacchi è
sia una sfida tecnologica sia un problema gestionale. La parte tattica è costituita dal patching dei sistemi di cui occuparsi ogni giorno, in base a un piano operativo ben ponderato che indichi le corrette priorità. Questo richiede a livello strategico un'attenta
comprensione dei rischi affrontati dall'azienda, nonché la completa
visibilità, consapevolezza e conoscenza di tutte le risorse IT del panorama digitale.
Non ci piace ammetterlo, ma il rischio accettabile e il
trasferimento del rischio sono i problemi che guidano l'industria della sicurezza oggi. Non è possibile perseguire la protezione perfetta a livello di perimetro che era possibile in passato: la
complessità IT di oggi ostacola tale perfezione. Meglio guardare dove concentrare maggiormente gli sforzi. Coloro che pianificano la strategia di sicurezza di un'organizzazione è meglio che si pongano questa domanda nel senso più letterale del termine:
cosa abbiamo da perdere?L'ambiente IT è caratterizzato da una
vasta gamma di dispositivi. Oggi, i dispositivi in rete sono ovunque: dai dispositivi standard come laptop e server, telefoni e tablet, router e stampanti, fino a macchine da caffè e altri dispositivi IoT. Questo universo digitale deve essere
catalogato e gestito nel tempo. Senza un elenco accurato e aggiornato, la sicurezza diventa impossibile.
Il problema è avere un elenco completo quando i dispositivi possono connettersi e disconnettersi dalla rete in quasi ogni momento. Ciò che complica ulteriormente il processo è la
vasta gamma di applicazioni utilizzate. Oltre ai pacchetti acquistati che vengono eseguiti localmente su una workstation, le aziende si affidano sempre più alle applicazioni basate su cloud e Software as a Service (SaaS) per condurre il business.
Per i professionisti della sicurezza, dell'IT e della compliance incaricati di tenere il passo con tutte queste risorse, ciò rappresenta un grosso problema, poiché è possibile che gli utenti
acquisiscano applicazioni o risorse in modo autonomo, spesso senza richiedere l'approvazione del dipartimento IT.
Questo fenomeno denominato
Shadow IT si riferisce alle applicazioni e ai dispositivi utilizzati dai dipendenti per condurre la loro attività quotidiane che
non sono gestiti o addirittura conosciuti dall'organizzazione. Si tratta di un mix di telefoni personali o computer, che si aggiungono all’acquisto di hardware, servizi cloud e applicazioni fatti dai diversi dipartimenti.
Affinché i team di sicurezza IT possano gestire questo fenomeno in modo efficace, il vecchio approccio di impedire semplicemente alle persone di accedere alla rete dal lavoro o da remoto non è efficace. Al contrario, l'unico approccio consiste nel
creare un dialogo aperto con le parti interessate assieme a un monitoraggio efficace delle nuove risorse nuove o vulnerabilità.
Entrambi gli aspetti sono importanti: è fondamentale che le parti interessate sentano di poter discutere degli strumenti che usano senza timore di punizioni, mentre i team IT devono essere in grado di scoprire rapidamente nuove risorse IT o software quando accedono alla rete. Incoraggiando queste conversazioni aperte sull'IT con maggiore visibilità di potenziali problemi, i team di sicurezza possono gestire in modo più efficace i livelli di rischio.
Sappiamo cosa è vulnerabile?
In L'Arte della Guerra, Sun Tzu scrisse: “
Se conosci il nemico e conosci te stesso, non devi temere il risultato di cento battaglie. Se conosci te stesso ma non il nemico, per ogni vittoria ottenuta subirai anche una sconfitta. Se non conosci né il nemico né te stesso, soccomberai in ogni battaglia”.
Non commettere errori, la conoscenza è potere. Per i professionisti della sicurezza IT il primo passo è
conoscere le risorse nel proprio universo. Successivamente, è possibile stabilire le priorità su cosa valutare, proteggere, difendere e risolvere. Un approccio basato sui dati, sul vedere cosa esiste in rete e in quale stato si trova usando l’elenco delle risorse e del software, permette di
dare una priorità ai problemi e capire dove indirizzare le risorse a disposizione.
Diventa quindi necessario considerare quali minacce e vulnerabilità necessitano di una
correzione immediata e quali possono attendere perché non sono gravi o perché sono meno sfruttabili. Il rischio passa di conseguenza dal regno della pratica al mondo della teoria.
Per questo è necessario stilare un
elenco di vulnerabilità del software che sono specificamente rilevanti per l'ambiente IT, indicando quanto gravi sono questi problemi e quanto sono facili da risolvere. Attraverso la gestione delle vulnerabilità e l’inventario delle risorse IT è possibile determinare su quali risorse è necessario lavorare e quando.
Oltre a questo, è utile esaminare quali sono le
risorse IT transitorie che entrano nella rete aziendale solo per brevi periodi. La prassi comune per questi asset è identificarli ed agire appena si affacciano in rete, prima di una nuova disconnessione. Oggi, utilizzando
sensori specializzati e servizi online, è possibile vedere tutti i dispositivi che un'azienda potrebbe avere ovunque si trovino. Gli interventi o gli aggiornamenti necessari possono quindi essere orchestrati nel flusso di lavoro in modo che avvengano in opportune finestre temporali preposte per l'installazione, piuttosto che aspettare che gli utenti aggiornino.
Per le aziende moderne sicurezza significa anche la capacità di esaminare le condizioni del mondo reale e qualsiasi potenziale
interruzione alla continuità del business che può derivare dalla risoluzione di un problema. Non è mai questione di bianco o nero: poiché la gestione del rischio implica la comprensione di ciò che hai, quali sono le reali minacce e come utilizzare al meglio le risorse a disposizione. Avere visibilità ed una
conoscenza accurata su ciò che si possiede permette di pianificare in modo più efficace sia la gestione degli asset IT che la loro sicurezza.
Marco Rottigni è Chief Technical Security Officer EMEA di Qualys