Michael Xie, Fondatore, presidente e CTO di Fortinet
Nel mio ruolo, incontro molti CISO (chief information security officer) di tutto il mondo. Ci si immagina che, provenendo da ambienti diversi, le loro preoccupazioni siano diverse. In realtà, tuttavia, si riconducono alle 5 problematiche delineate qui di seguito:
1. Sicurezza delle applicazioni cloud
Il cloud computing è un trend inarrestabile. Sono sempre più numerosi i dipendenti che utilizzano applicazioni public cloud per affrontare argomenti di business. Queste applicazioni spaziano dai servizi email come Google allo storage pubblico come Dropbox, fino al software di chat Whatsapp sui dispositivi mobili.
E’ sempre più difficile per le aziende bloccare del tutto queste applicazioni, quindi la loro gestione e la riduzione dei rischi a loro associati è uno dei compiti più pressanti dei CISO.
2. Advanced Persistent Threat (APT)
Tra le varie minacce alla sicurezza, forse nessuna genera nelle aziende tanta paura quanto gli Advanced Persistent Threat. Appaiono sotto forme diverse, ma generalmente sono caratterizzati da sofisticatezza, invisibilità e intento di colpire una determinata azienda.
Spesso capaci di piegare le difese convenzionali, gli APT di solito mirano ai dati sensibili personali e di business come i dettagli delle carte di credito. Questo significa che chiunque, dagli individui alle grandi organizzazioni, sono potenziali obiettivi.
3. Event management
Data logging, reporting e gestione degli eventi sono stati parte integrante delle attività di un amministratore di sistema da sempre. Queste pratiche non svaniscono, ma acquisteranno importanza quale parte fondamentale della difesa da minacce complesse quali gli APT, e a causa dell’enorme quantità di dati che sommergeranno le imprese a seguito di trend quali smart city, IoT e big data.
Indicatore della sua importanza è la crescita del mercato SIEM (security information and event management) che arriverà ai $4,54 miliardi entro il 2019 dai $2,4 miliardi del 2014 (Marketsandmarkets).
Per i CISO disporre di troppe informazioni su un attacco è quasi peggio che averne troppo poche. Come dare un senso alla valanga di event log raccolti da tutti i dispositivi di rete, server e sicurezza, e poi correlarli per identificare le minacce reali, quali gli apparentemente scollegati tentativi di probing che appartengono a un attacco ATP?
4. Conformità
Standard normativi e di mercato come PCI DSS (Payment Card Industry Data Security Standard). HIPAA (Health Insurance Portability and Accountability Act), SOX (Sarbanes-Oxley) e quelli locali rappresentano il modus operandi per il commercio odierno.
La conformità rappresenta una verifica per le aziende e instilla fiducia nel mercato. Ma ottenerla, e mantenerla, può essere difficile e costoso. Lo standard PCI per esempio, prevede la soddisfazione di una lista di 12 requisiti che includono firewall, cifratura, antivirus, autenticazione, logging e monitoraggio, testing e altro. Inoltre, le aziende devono affrontare nuove complessità con ogni nuova iterazione di uno standard.
Spesso sento i CISO che si lamentano dell’impegno necessario per essere conformi. Il tempo, lo sforzo e i costi legati al rispetto di queste normative può spesso essere dedicato a usi più strategici che premiano gli obiettivi aziendali. Come uscire da questa empasse
Risolvere il tutto
Ognuno dei quattro punti precisa l’esigenza di disporre di un security fabric che riunisca hardware, software e protocolli di comunicazione della sicurezza, con una segmentazione interna avanzata in un’unica architettura per fornire una protezione completa dalle minacce sull’intera superficie di attacco che deriva da cloud e IoT.
Il cloud in particolare deve essere gestito come estensione della rete aziendale e le imprese devono adottare una strategia di sicurezza in grado di visualizzare e gestire le enormi quantità di dati che attraversano una rete senza confini, composta da access point cablati e wireless, su reti pubbliche e private, su infrastrutture cloud e tradizionali.
Per contrastare in modo efficace gli APT, le aziende devono guardare al di là dei tradizionali firewall perimetrali, e anche oltre le misure di difesa multi-layer convenzionali.
Un framework efficace richiede l’adozione di un’architettura ISFW (internal segmentation firewalling) che riduce il flusso di malware tra i diversi segmenti dell’organizzazione. Utilizzato in combinazione con un’intelligence in tempo reale e soluzioni di identificazione APT, quali il sandboxing e le soluzioni di sicurezza endpoint, gli APT possono essere prontamente individuati e messi in quarantena.
L’altro aspetto legato all’identificazione di un APT è un buon meccanismo di logging in grado di catturare tutto il traffico di rete – interno ed esterno – e dare un significato ai log. Anche qui un security fabric che offre consapevolezza totale su device, utenti, contenuti e dati che viaggiano in rete, così come schemi di traffico, sarà utile.
Inoltre, tale fabric può avvalersi di un’unica policy cooperativa, ottimizzando il processo ed effettuando il logging di ogni sessione una volta sola invece che molteplici. In questo modo, è molto più semplice per un log analyzer comprendere lo schema del traffico e identificare le minacce reali.
In termini di conformità, la maggior parte dei CISO segue una determinata metodologia (PCI, ISO 27001/2, NIST Cybersecurity Framework) per mitigare i rischi. Un security fabric, insieme a un’implementazione ISFW, permette a tutti i firewall di offrire un quadro più preciso dello stato della conformità e un assessment sulla maturità della sicurezza. Questi dati aiutano i CISO a meglio comprendere quali parti della rete sono più a rischio e prendere azioni correttive.
Per il CISO, sapere ciò che è connesso in rete in qualunque momento è fondamentale per comprendere la posizione di sicurezza dell’azienda e l’efficacia delle sue policy e processi. Un security fabric identificherà tutti gli asset in rete, consentirà all’amministratore di determinare gli obiettivi di sicurezza e fare un audit sulle policy di tutti i nodi del fabric per vedere se ogni asset dispone della protezione adeguata.
Un security fabric indirizza in un qualche modo anche la quinta preoccupazione dei CISO – proteggere l’investimento in information security.
Un’architettura come il fabric proposto, sviluppato appositamente per operare con gli elementi fondamentali della rete, è a prova di obsolescenza. I componenti di rete individuali possono cambiare nel tempo, così come la natura degli attacchi, ma la base solida rappresentata dal fabric rimarrà importante e proteggerà l’azienda per molti anni a venire.
