Il Grande Malinteso – Business Continuity e Cyber Resilience
7 marzo 2018
Attacchi Hacker e Nuovo Regolamento Europeo 2016/679 – La Difficile Vita della P.A. (non) Digitale
12 marzo 2018

La Cybersecurity vista dalla prospettiva di un telco operator

Quando si affrontano temi complessi, di solito si cerca di semplificare il contesto dotandosi di modelli e metriche che ci aiutino a misurare, tracciare, valutare nel tempo ed interpretare l’oggetto osservato allo scopo di prendere decisioni riguardo alle politiche da attuare, alle strategie o perfino alle tattiche.

Purtroppo, per la cybersecurity non disponiamo ancora di modelli così raffinati come, ad esempio, quelli propri della biologia umana (da cui peraltro la cybersecurity mutua più di un termine) e nemmeno disponiamo di carte geografiche che ci aiutino a capire meglio la geopolitica del mondo cyber.

Ci confrontiamo, quindi, con scenari di rischio che conosciamo solo in modo parziale mentre, per garantire un contributo positivo alla sicurezza dell’intero ecosistema digitale, avremmo bisogno di conoscere in modo approfondito e attendibile le minacce, le vulnerabilità e come queste componenti si incontrano per generare un danno potenziale.

Sappiamo che le minacce sono, e sempre di più lo saranno, globali e che a minacce di questo tipo devono corrispondere strategie di contrasto uguali che devono trovare fondamento su di una governance che, a livello europeo e nazionale, inizia a consolidarsi lasciando intravedere buone iniziative, come il nuovo ruolo e i nuovi compiti proposti per l’ENISA e la nuova architettura della governance italiana per la cybersecurity. La sfida ora è assegnare a queste strutture dotazioni di organico e risorse finanziare adeguate ai compiti che devono realizzare. Scendendo, ora, di un livello e osservando il fenomeno cyber dall’interno di un operatore telco, è possibile delineare in modo chiaro le seguenti dinamiche.

Aumento della superficie esposta. Negli ultimi anni abbiamo assistito ad uno sviluppo frenetico delle tecnologie digitali trainato dall’evoluzione della consumer electronics che è riuscita a proporre strumenti sempre più piccoli, sempre più performanti e sempre più adatti a fruire dei contenuti multimediali offrendo un’esperienza d’uso piacevole e accattivante. Gli altri driver sono stati la drastica diminuzione dei costi della connettività e la vastissima disponibilità di contenuti a costo zero (o al costo della condivisione dei nostri dati personali, profili, passioni e dunque della nostra vita). Tant’è, il problema però è che tutto questo lavorio digitale che va dai terminali ai contenuti dei social, dalle grandi fabbriche di contenuto digitale alle cloud, agli oggetti connessi in rete (IoT), genera un ampliamento a dismisura della superficie digitale che in quanto tale offre ai potenziali sfruttatori molte vulnerabilità. E’ una derivata del mondo digitale: più aumenta la superficie esposta, più aumenta il rischio di essere oggetto di attacchi con un impatto potenzialmente molto significativo.

Aumento vertiginoso della velocità del cambiamento. Questo è un vero e proprio paradosso tecnologico. La superficie digitale esposta aumenta con la velocità vertiginosa: solo per fare un esempio, mentre la telefonia tradizionale ha impiegato 75 anni per raggiungere i primi 50 milioni di utenti, lo stesso traguardo è stato raggiunto in 5 anni da Facebook, in 9 mesi da Twitter, in 35 giorni da Angry Birds e in soli 7 giorni da PokemonGo. Tutto si consuma in grande fretta. Le tecnologie innovative entrano in produzione in tempi ristrettissimi, senza che sia possibile effettuare seri test di affidabilità e, quindi, offrono grandi potenzialità di business ma anche grandi falle dal punto di vista della sicurezza. Le tecnologie obsolete, invece, si trovano in una fase del ciclo di vita in cui un investimento in sicurezza non è più economicamente giustificato o addirittura impossibile; si tratta di prodotti ormai fuori supporto (legacy). La velocità del cambiamento, quindi, pone un tema strutturale anche a chi si occupa di sicurezza.

Crollo dei costi per organizzare attacchi. A parte il caso non trascurabile della cyberwarfare che però toglierei per un attimo dal tavolo di discussione, la crescita del mondo digitale rende disponibili a tutti in modo pressoché gratuito i programmi e le informazioni per realizzare attacchi anche molto complessi. In rete vengono condivisi programmi, toolkit, informazioni, manuali per realizzare attacchi così come istruzioni per realizzare bombe. Non c’è una vera differenza tra costruire una bomba nel mondo fisico e sferrare un attacco nel mondo virtuale (si pensi solo alla storia recente degli attacchi DDoS – Distributed Denial Of Service): i due piani si confondono. Quello che rimane invariato è l’effetto, sempre reale, su chi l’attacco fisico o virtuale che sia, lo subisce.

Aumento del traffico cifrato. Più cresce la bolla digitale, più aumenta lo sfruttamento dei nostri dati, più cresce la consapevolezza delle persone che iniziano a reclamare più privacy e più controllo sui propri dati personali. La tipica reazione di chi fornisce servizi è ricorrere alla cifratura delle comunicazioni che è un bene perché rende invisibili i dati dei propri clienti, ma è anche un male in quanto nei flussi cifrati (e dunque invisibili) si può annidare del pericoloso malware. È un tema centrale, bisogna trovare un bilanciamento tra privacy e sicurezza.

Insomma, lo scenario è abbastanza chiaro: chi attacca si può concentrare anche solo su di un piccolo sottoinsieme del perimetro esposto cercando una strada, una piccola falla per entrare; chi difende, invece, deve presidiare tutto il perimetro con uno sbilanciamento di complessità e di costi da sostenere del tutto evidente.

L’effetto della velocità del mondo digitale, inoltre, non si manifesta solo nell’accorciamento del ciclo di vita delle tecnologie con tutti gli effetti appena descritti, ma anche nell’introduzione di elementi di innovazione realmente dirompenti con impatti molto rilevanti sulla gestione della sicurezza. Basti pensare a che cosa vuol dire per le Telco in termini di opportunità di razionalizzazione dell’infrastruttura, l’avvento delle cosiddette SDN (Software Defined Network) e che implicazioni ha tale innovazione dal punto di vista dell’approccio alla sicurezza e alla resilienza delle reti che deve essere completamente ripensato.

Nel mondo dello sviluppo del software, poi, l’abbandono del tradizionale approccio waterfall a favore delle metodologie Agile e DevOps, genera dei cicli sviluppo develop/deploy/refine così stretti da essere ben difficili da governare senza un approccio alla sicurezza totalmente nuovo. Senza dimenticare poi il fatto che sempre di più lo sviluppo software corrisponde all’assemblaggio di componenti open source (spesso librerie eseguibili) rispetto alle quali la possibilità di controllo è abbastanza limitata.

L’adozione del cloud, infine, è un trend ineludibile sia per le imprese che per le amministrazioni pubbliche. In fin dei conti l’idea è semplice: centralizzo le risorse computazionali in più nodi dislocati su tutto il pianeta, le faccio gestire h24 da personale molto specializzato, offro schemi di utilizzo flessibili (IaaS, PaaS, SaaS) che si adattino alle esigenze di tutti i profili di clientela. Per i clienti, quindi, specialmente per quelli medio-piccoli, il cloud introduce livelli di efficienza che non possono essere ignorati. Bisogna, però essere coscienti del fatto che il cloud è un potentissimo abilitatore di efficienza anche per i fornitori di tecnologia hw e sw che – grazie ad internet e alla digitalizzazione – sono in grado di accentrare la propria capacità distributiva in pochi punti worldwide, tanto da considerare il cloud un modello di business praticamente esclusivo (i.e. il modello on premise non viene più praticato). I clienti, quindi, (anche quelli più grandi) sono spinti a migrare i propri dati e applicazioni verso il cloud senza grande possibilità di scelta. La promessa del cloud è quindi: maggiore efficienza, maggiore resilienza e maggiore sicurezza. Ma è proprio così? Vediamo. Efficienza? Si senza dubbio. Resilienza? Sì, se abilitano politiche di ridondanza multi-site, altrimenti il rischio di avere un single point of failure è decisamente elevato. Sicurezza? Teoricamente sì, perché concentrare nel cloud (un solo cloud) corrisponde a ridurre la superficie esposta. C’è però un punto da considerare.

Normalmente, quando si assembla un’infrastruttura di sicurezza (che è un tema complesso), si cerca di acquisire i prodotti migliori nei rispettivi ambiti o, per lo meno, quelli che meglio si adattano alla propria azienda. Insomma, la pluralità dei prodotti aumenta la complessità di gestione ma è un valore in termini di efficacia. Con il cloud, invece, ciò non è possibile. Nella maggior parte dei casi il cliente è obbligato ad acquistare tutto il pacchetto proposto dal cloud provider: infrastruttura, applicazioni sicurezza. E se vuoi utilizzare prodotti di sicurezza di fornitori diversi dal tuo cloud provider, non hai altra alternativa che far passare il tuo traffico dati prima nel cloud del fornitore di sicurezza e poi nel sito del tuo cloud provider. Insomma, se ti va bene, prima che il tuo traffico arrivi a te, se lo è già visto mezza Europa. Ovviamente, così non va bene.

Non è da tralasciare, inoltre, il rapporto (formale) con il cloud provider: la sicurezza dei dati aziendali è soggetta ad accordi di “shared resposibility” ovvero chi fornisce il servizio deve avere un livello di fiducia crescente in base alla criticità dei dati trattati. Questo vale ancora di più in un regime di GDPR (General Data Protection Regulation) in cui debbono essere garantite misure sostanziali per la prevenzione e la gestione di eventuali data breach. In questo contesto, una contromisura possibile è la cifratura massiva dei dati memorizzati nel cloud con chiavi gestite in casa dei clienti che, però, non è un esercizio semplice, specialmente se ci si trova in un ambiente ibrido con cloud interni e più cloud provider esterni.

Il cloud è certamente un trend ineludibile e non c’è motivo per non considerarlo sicuro; il problema è che puoi portare a casa i benefici dell’efficienza solo se lo abbracci totalmente, con tutti i pro e tutti i contro. Non è sufficiente dire che il cloud è sicuro (o più sicuro delle soluzioni on-premise) è indispensabile che il cloud sia TRUSTED. La sicurezza si può attestare con un sistema di certificazione … per il TRUST come si può fare?

Un operatore telco, per proteggere le proprie infrastrutture e i propri clienti, oltre ai temi appena citati, deve considerare due elementi peculiari del proprio ruolo che non si ritrovano nelle altre enterprise:

  • La rete IP pubblica è, per sua natura, aperta; in relazione ad essa non è possibile definire un perimetro da proteggere come usualmente si fa per una rete corporate. Questo comporta la necessità di misure di resilienza estremamente robuste e scalabili (si pensi al DDOS) che possono essere utilizzate anche a protezione degli asset dei clienti ove questi lo richiedano esplicitamente (clean pipe);
  • La rete deve garantire la neutralità del trasporto e la privacy. Non è possibile, quindi, adottare a priori delle contromisure che possano limitare o manipolare il traffico dei clienti anche quando ciò implichi il trasporto di malware verso il destinatario di un attacco (si consideri in questo scenario il rischio legato all’adozione delle IOT).

Considerate tutte le premesse, di seguito vengono riportati gli argomenti di ICT Security più rilevanti per un telco operator, che saranno oggetto di approfondimenti successivi:

  • Resilienza della rete pubblica di telecomunicazioni;
  • Visibility: perché è importante per la security;
  • Cyber Hygiene: controlli automatici sull’attuazione e il mantenimento delle contromisure;
  • BYOD: accesso dei device mobili alla rete Enterprise;
  • MAM: Mobile Data Protection;
  • NAC: Network Access Control;
  • IAM: accesso alle infrastrutture cloud;
  • Open Source / Agile / DevOps: impatti sulla security.

A cura di: Marcello Fausti

Il Dott. Marcello Fausti è attualmente responsabile della funzione IT Security Engineering & Application Management di TIM; è membro della Vivendi Group CISO Community e dell’Advisory Board del Programma 2018 su Cybersecurity and Risk Management @The Innovation Group. Negli ultimi 9 anni, in Telecom Italia, è stato responsabile della Sicurezza ICT e dei sistemi a supporto dell’Autorità Giudiziaria. È certificato CISM, PMP, COBIT, ITIL, ISO20000.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy