Come applicare le lezioni della pandemia COVID-19 al mondo della sicurezza IT?

sicurezza-informatica

Il mondo reale è fragile ed è inquietante vedere come un virus possa impattare in maniera così profonda e significativa. Anche il mondo digitale lo è, come ci hanno dimostrato i recenti cyber attacchi. Non è un caso che alcuni dei termini che usiamo per descrivere le minacce alla sicurezza informatica siano tratti dal settore biologico, come ad esempio “virus” e “infezioni”. Le somiglianze sono notevoli.
Come applicare quindi le lezioni della pandemia COVID-19 al mondo della sicurezza Informatica?

Il virus come metafora

Il Coronavirus, come molti virus informatici, è stato un attacco zero day. Non c’è stato alcun preavviso, nessuna epidemia di minore entità che potesse essere contenuta prima di proliferare. Poi si è diffuso rapidamente, senza alcuna mitigazione, causando danni enormi.

Si è propagato di nascosto, infettando molti individui prima di mostrare i sintomi. Il Coronavirus viene trasmesso dai singoli quando interagiscono di persona, imitando la diffusione di virus informatici all’interno di una rete. Tutti attributi che rispecchiano alcune tipologie di malware.

Come osserva il mio collega Ryan Olson: “I virus informatici scrivono nuovo codice in un altro file eseguibile e modificano il punto di ingresso per avviarne l’esecuzione e opera in modo quasi identico a un virus biologico che non può vivere da solo e deve attaccarsi a una cellula ospite per sopravvivere e riprodursi”.

Un’altra importante somiglianza è la necessità di un vaccino. Le classiche soluzioni antivirus funzionano in modo simile a quello in cui il nostro sistema immunitario respinge i virus. Contengono una piccola parte del virus e creano file per identificare quelli infetti da virus. Il sistema immunitario fa lo stesso, salvando una piccola parte del virus e usandolo per identificare le cellule infette e distruggerle.

Anche se probabilmente è più facile e veloce creare una mitigazione nel mondo cibernetico rispetto a quello biologico, un virus informatico può diffondersi molto più velocemente grazie alla connettività.

Prevenzione e risposta

Nel mondo reale, tutti noi avremmo potuto essere meglio preparati, con attrezzature critiche adeguate come mascherine e ventilatori. Ma pochi paesi erano disposti ad accettare un modello di rischio per qualcosa che sembrava così lontano e astratto.

Una lezione che possiamo trarre però è che dobbiamo essere preparati per l’inimmaginabile in materia di sicurezza informatica nello stesso modo in cui avremmo dovuto essere preparati per questa pandemia.

Un’altra lezione è quella della mitigazione. L’adozione di un modello di sicurezza Zero Trust è la chiave per la prevenzione. Con un approccio di questo tipo si definisce ciò che è più critico da proteggere, come si farebbe con un virus.

Nella cybersecurity è possibile utilizzare la segmentazione per stabilire dei controlli intorno alle risorse chiave e utilizzare politiche per limitare la capacità del malware o degli attacchi zero-day di entrare in quell’ambiente. La segmentazione mantiene i dati sensibili e gli asset separati di modo che un’infezione non si diffonda. L’approccio è simile a quello che del distanziamento sociale e all’uso di mascherine per limitarne la diffusione. E proprio come nel mondo biologico, anche nel cyberspazio si può fare prevenzione bidirezionale, impedendo alle infezioni di entrare e uscire.

La metafora si estende ancora di più. Con le metodologie Zero Trust fate i tamponi, isolate e mettete in quarantena le persone in tempo reale, prima che l’infezione entri nel sistema e infetti altri.

A cura Di John Kindervag, Field Chief Technology Officer di Palo Alto Networks.