Che un’azienda sia militare o civile, non ha importanza. Il trend del 2023 è adoperarsi di prodotti di cybersecurity robusti e affidabili.
Alla fine del 2014, la società americana Sony Pictures Entertainment fu vittima di un grande attacco informatico, attribuito dall’FBI al governo nordcoreano e considerato una rappresaglia per il film “The Interview”. Qualche mese dopo, il gruppo cybercriminale “Cybercaliphate” fece notizia per essersi introdotto negli account Twitter del Comando dell’Esercito degli Stati Uniti per Medio Oriente e Asia centrale e della rivista settimanale statunitense Newsweek. Nell’aprile del 2015 l’infrastruttura di trasmissione della rete televisiva francese TV5 Monde fu bloccata e gli account social del canale hackerati e inondati di messaggi di sostegno allo Stato Islamico. Questi episodi sono stati una dimostrazione pubblica della capacità di uno stato belligerante di colpire un’azienda civile, indipendentemente dalle sue dimensioni e dai metodi impiegati per garantirne la sicurezza informatica.
Un graduale irrobustimento dei prodotti di cybersecurity
A dieci anni di distanza questi attacchi sofisticati mietono ancora vittime. Ma nel frattempo si sono evoluti e ora prendono di mira gli stessi prodotti di cybersecurity, con l’obiettivo di aprire una falla disabilitando o compromettendo la soluzione di sicurezza per ottenere privilegi elevati sulla macchina infetta.
“Oggi gli attacchi più sofisticati sono rivolti principalmente ai prodotti di cybersecurity piuttosto che all’infrastruttura stessa“, afferma Andrea Scattina, Channel Manager Italy presso Stormshield.
Il livello di sicurezza garantito da questi prodotti deve essere quindi monitorato e irrobustito nel tempo per garantire una protezione ottimale contro nuovi attacchi. E, come illustra il catalogo delle vulnerabilità note dell’agenzia americana CISA, nessun fornitore è immune a questi attacchi. Per questo motivo, il problema dell’irrobustimento (hardening in inglese) e del consolidamento dei prodotti di cybersecurity sta diventando una sfida importante. Questo approccio, originariamente sviluppato nel mondo militare per proteggere asset IT altamente sensibili, consiste nel ridurre la superficie di attacco di un sistema, software o prodotto al fine di renderlo più sicuro.
In pratica, a livello di sistema o di infrastruttura, l’hardening comporta una combinazione di elementi: la configurazione ottimale dei sistemi operativi, la revisione regolare degli account privilegiati e delle regole del firewall, le restrizioni sui permessi attribuiti a specifici indirizzi IP e regole più rigorose associate all’uso delle password. In termini di soluzioni di sicurezza informatica, l’irrobustimento può (ad esempio) assumere la forma di un’architettura di microservizi o consistere nell’applicazione del principio del minor numero di privilegi possibili per l’accesso ai servizi. Per i fornitori, rappresenta una dichiarazione di qualità e professionalità.
“L’intenzione è semplicemente evitare che i prodotti di cybersecurity vengano utilizzati per scopi malevoli, come cavallo di Troia o tramite l’inserimento di backdoor” spiega Andrea Scattina. “Sempre più appalti pubblici, statali o di strutture pubbliche come ospedali, contemplano requisiti relativi alla sicurezza e alla necessità di avvalersi di soluzioni blindate”.
Un ponte digitale dal mondo militare alla società civile
Anche se i sistemi informativi militari differiscono da quelli civili, mantengono caratteristiche simili e condividono alcune tecnologie, hardware e software. A causa dell’alta sensibilità dell’infrastruttura e dei dati che proteggono, i prodotti di cybersecurity di grado militare devono soddisfare requisiti speciali; ad esempio, attraverso determinate configurazioni. Tutto ciò che resta è condividere le metodologie. L’hardening offre un’opportunità di condivisione e l’affidabilità delle soluzioni rappresenta un ulteriore criterio altrettanto importante.
Alcuni dei Paesi europei dotati di agenzie di sicurezza nazionale (come l’ANSSI in Francia, il BSI in Germania, il CCN in Spagna, l’ACN in Italia e il NCSC nel Regno Unito) hanno sviluppato programmi di qualificazione per i prodotti di cybersecurity. Per consentirne il riconoscimento a livello interstatale è stato firmato un accordo reciproco a livello europeo con l’intento di identificare soluzioni robuste e affidabili per la protezione dei servizi governativi sensibili. L’ANSSI francese definisce un prodotto qualificato come un prodotto robusto e ascrive la qualificazione a prodotti che soddisfano i requisiti dell’agenzia e che vengono certificati secondo criteri rigorosi, basati su un’analisi del codice sorgente per la parte software. Inoltre i prodotti devono garantire l’assenza di backdoor. Questa definizione mostra chiaramente che queste soluzioni non sono destinate solo alle attività militari. Infatti già numerose aziende civili si avvalgono di prodotti di sicurezza qualificati. La direttiva NIS2 europea include anche subappaltatori e fornitori di servizi con accesso a infrastrutture critiche tra le organizzazioni essenziali o importanti: sono tutte aziende civili che farebbero bene ad interessarsi al concetto di qualificazione.
Se una soluzione di sicurezza robusta e affidabile può proteggere servizi governativi sensibili, ha senso utilizzarla anche per la protezione dei dati sensibili dell’azienda.
I prodotti di cybersecurity qualificati e blindati sono adatti sia per applicazioni militari che civili; occorre solo trovare un partner di fiducia.