La Cybersecurity vista dalla prospettiva di un telco operator

A cura di:Marcello Fausti Ore

Quando si affrontano temi complessi, di solito si cerca di semplificare il contesto dotandosi di modelli e metriche che ci aiutino a misurare, tracciare, valutare nel tempo ed interpretare l’oggetto osservato allo scopo di prendere decisioni riguardo alle politiche da attuare, alle strategie o perfino alle tattiche.

Purtroppo, per la cybersecurity non disponiamo ancora di modelli così raffinati come, ad esempio, quelli propri della biologia umana (da cui peraltro la cybersecurity mutua più di un termine) e nemmeno disponiamo di carte geografiche che ci aiutino a capire meglio la geopolitica del mondo cyber.

Ci confrontiamo, quindi, con scenari di rischio che conosciamo solo in modo parziale mentre, per garantire un contributo positivo alla sicurezza dell’intero ecosistema digitale, avremmo bisogno di conoscere in modo approfondito e attendibile le minacce, le vulnerabilità e come queste componenti si incontrano per generare un danno potenziale.

Sappiamo che le minacce sono, e sempre di più lo saranno, globali e che a minacce di questo tipo devono corrispondere strategie di contrasto uguali che devono trovare fondamento su di una governance che, a livello europeo e nazionale, inizia a consolidarsi lasciando intravedere buone iniziative, come il nuovo ruolo e i nuovi compiti proposti per l’ENISA e la nuova architettura della governance italiana per la cybersecurity. La sfida ora è assegnare a queste strutture dotazioni di organico e risorse finanziare adeguate ai compiti che devono realizzare. Scendendo, ora, di un livello e osservando il fenomeno cyber dall’interno di un operatore telco, è possibile delineare in modo chiaro le seguenti dinamiche.

Aumento della superficie esposta. Negli ultimi anni abbiamo assistito ad uno sviluppo frenetico delle tecnologie digitali trainato dall’evoluzione della consumer electronics che è riuscita a proporre strumenti sempre più piccoli, sempre più performanti e sempre più adatti a fruire dei contenuti multimediali offrendo un’esperienza d’uso piacevole e accattivante. Gli altri driver sono stati la drastica diminuzione dei costi della connettività e la vastissima disponibilità di contenuti a costo zero (o al costo della condivisione dei nostri dati personali, profili, passioni e dunque della nostra vita). Tant’è, il problema però è che tutto questo lavorio digitale che va dai terminali ai contenuti dei social, dalle grandi fabbriche di contenuto digitale alle cloud, agli oggetti connessi in rete (IoT), genera un ampliamento a dismisura della superficie digitale che in quanto tale offre ai potenziali sfruttatori molte vulnerabilità. E’ una derivata del mondo digitale: più aumenta la superficie esposta, più aumenta il rischio di essere oggetto di attacchi con un impatto potenzialmente molto significativo.

Aumento vertiginoso della velocità del cambiamento. Questo è un vero e proprio paradosso tecnologico. La superficie digitale esposta aumenta con la velocità vertiginosa: solo per fare un esempio, mentre la telefonia tradizionale ha impiegato 75 anni per raggiungere i primi 50 milioni di utenti, lo stesso traguardo è stato raggiunto in 5 anni da Facebook, in 9 mesi da Twitter, in 35 giorni da Angry Birds e in soli 7 giorni da PokemonGo. Tutto si consuma in grande fretta. Le tecnologie innovative entrano in produzione in tempi ristrettissimi, senza che sia possibile effettuare seri test di affidabilità e, quindi, offrono grandi potenzialità di business ma anche grandi falle dal punto di vista della sicurezza. Le tecnologie obsolete, invece, si trovano in una fase del ciclo di vita in cui un investimento in sicurezza non è più economicamente giustificato o addirittura impossibile; si tratta di prodotti ormai fuori supporto (legacy). La velocità del cambiamento, quindi, pone un tema strutturale anche a chi si occupa di sicurezza.

Crollo dei costi per organizzare attacchi. A parte il caso non trascurabile della cyberwarfare che però toglierei per un attimo dal tavolo di discussione, la crescita del mondo digitale rende disponibili a tutti in modo pressoché gratuito i programmi e le informazioni per realizzare attacchi anche molto complessi. In rete vengono condivisi programmi, toolkit, informazioni, manuali per realizzare attacchi così come istruzioni per realizzare bombe. Non c’è una vera differenza tra costruire una bomba nel mondo fisico e sferrare un attacco nel mondo virtuale (si pensi solo alla storia recente degli attacchi DDoS – Distributed Denial Of Service): i due piani si confondono. Quello che rimane invariato è l’effetto, sempre reale, su chi l’attacco fisico o virtuale che sia, lo subisce.

Aumento del traffico cifrato. Più cresce la bolla digitale, più aumenta lo sfruttamento dei nostri dati, più cresce la consapevolezza delle persone che iniziano a reclamare più privacy e più controllo sui propri dati personali. La tipica reazione di chi fornisce servizi è ricorrere alla cifratura delle comunicazioni che è un bene perché rende invisibili i dati dei propri clienti, ma è anche un male in quanto nei flussi cifrati (e dunque invisibili) si può annidare del pericoloso malware. È un tema centrale, bisogna trovare un bilanciamento tra privacy e sicurezza.

Insomma, lo scenario è abbastanza chiaro: chi attacca si può concentrare anche solo su di un piccolo sottoinsieme del perimetro esposto cercando una strada, una piccola falla per entrare; chi difende, invece, deve presidiare tutto il perimetro con uno sbilanciamento di complessità e di costi da sostenere del tutto evidente.

L’effetto della velocità del mondo digitale, inoltre, non si manifesta solo nell’accorciamento del ciclo di vita delle tecnologie con tutti gli effetti appena descritti, ma anche nell’introduzione di elementi di innovazione realmente dirompenti con impatti molto rilevanti sulla gestione della sicurezza. Basti pensare a che cosa vuol dire per le Telco in termini di opportunità di razionalizzazione dell’infrastruttura, l’avvento delle cosiddette SDN (Software Defined Network) e che implicazioni ha tale innovazione dal punto di vista dell’approccio alla sicurezza e alla resilienza delle reti che deve essere completamente ripensato.

Nel mondo dello sviluppo del software, poi, l’abbandono del tradizionale approccio waterfall a favore delle metodologie Agile e DevOps, genera dei cicli sviluppo develop/deploy/refine così stretti da essere ben difficili da governare senza un approccio alla sicurezza totalmente nuovo. Senza dimenticare poi il fatto che sempre di più lo sviluppo software corrisponde all’assemblaggio di componenti open source (spesso librerie eseguibili) rispetto alle quali la possibilità di controllo è abbastanza limitata.

L’adozione del cloud, infine, è un trend ineludibile sia per le imprese che per le amministrazioni pubbliche. In fin dei conti l’idea è semplice: centralizzo le risorse computazionali in più nodi dislocati su tutto il pianeta, le faccio gestire h24 da personale molto specializzato, offro schemi di utilizzo flessibili (IaaS, PaaS, SaaS) che si adattino alle esigenze di tutti i profili di clientela. Per i clienti, quindi, specialmente per quelli medio-piccoli, il cloud introduce livelli di efficienza che non possono essere ignorati. Bisogna, però essere coscienti del fatto che il cloud è un potentissimo abilitatore di efficienza anche per i fornitori di tecnologia hw e sw che – grazie ad internet e alla digitalizzazione – sono in grado di accentrare la propria capacità distributiva in pochi punti worldwide, tanto da considerare il cloud un modello di business praticamente esclusivo (i.e. il modello on premise non viene più praticato). I clienti, quindi, (anche quelli più grandi) sono spinti a migrare i propri dati e applicazioni verso il cloud senza grande possibilità di scelta. La promessa del cloud è quindi: maggiore efficienza, maggiore resilienza e maggiore sicurezza. Ma è proprio così? Vediamo. Efficienza? Si senza dubbio. Resilienza? Sì, se abilitano politiche di ridondanza multi-site, altrimenti il rischio di avere un single point of failure è decisamente elevato. Sicurezza? Teoricamente sì, perché concentrare nel cloud (un solo cloud) corrisponde a ridurre la superficie esposta. C’è però un punto da considerare.

Normalmente, quando si assembla un’infrastruttura di sicurezza (che è un tema complesso), si cerca di acquisire i prodotti migliori nei rispettivi ambiti o, per lo meno, quelli che meglio si adattano alla propria azienda. Insomma, la pluralità dei prodotti aumenta la complessità di gestione ma è un valore in termini di efficacia. Con il cloud, invece, ciò non è possibile. Nella maggior parte dei casi il cliente è obbligato ad acquistare tutto il pacchetto proposto dal cloud provider: infrastruttura, applicazioni sicurezza. E se vuoi utilizzare prodotti di sicurezza di fornitori diversi dal tuo cloud provider, non hai altra alternativa che far passare il tuo traffico dati prima nel cloud del fornitore di sicurezza e poi nel sito del tuo cloud provider. Insomma, se ti va bene, prima che il tuo traffico arrivi a te, se lo è già visto mezza Europa. Ovviamente, così non va bene.

Non è da tralasciare, inoltre, il rapporto (formale) con il cloud provider: la sicurezza dei dati aziendali è soggetta ad accordi di “shared resposibility” ovvero chi fornisce il servizio deve avere un livello di fiducia crescente in base alla criticità dei dati trattati. Questo vale ancora di più in un regime di GDPR (General Data Protection Regulation) in cui debbono essere garantite misure sostanziali per la prevenzione e la gestione di eventuali data breach. In questo contesto, una contromisura possibile è la cifratura massiva dei dati memorizzati nel cloud con chiavi gestite in casa dei clienti che, però, non è un esercizio semplice, specialmente se ci si trova in un ambiente ibrido con cloud interni e più cloud provider esterni.

Il cloud è certamente un trend ineludibile e non c’è motivo per non considerarlo sicuro; il problema è che puoi portare a casa i benefici dell’efficienza solo se lo abbracci totalmente, con tutti i pro e tutti i contro. Non è sufficiente dire che il cloud è sicuro (o più sicuro delle soluzioni on-premise) è indispensabile che il cloud sia TRUSTED. La sicurezza si può attestare con un sistema di certificazione … per il TRUST come si può fare?

Un operatore telco, per proteggere le proprie infrastrutture e i propri clienti, oltre ai temi appena citati, deve considerare due elementi peculiari del proprio ruolo che non si ritrovano nelle altre enterprise:

  • La rete IP pubblica è, per sua natura, aperta; in relazione ad essa non è possibile definire un perimetro da proteggere come usualmente si fa per una rete corporate. Questo comporta la necessità di misure di resilienza estremamente robuste e scalabili (si pensi al DDOS) che possono essere utilizzate anche a protezione degli asset dei clienti ove questi lo richiedano esplicitamente (clean pipe);
  • La rete deve garantire la neutralità del trasporto e la privacy. Non è possibile, quindi, adottare a priori delle contromisure che possano limitare o manipolare il traffico dei clienti anche quando ciò implichi il trasporto di malware verso il destinatario di un attacco (si consideri in questo scenario il rischio legato all’adozione delle IOT).

Considerate tutte le premesse, di seguito vengono riportati gli argomenti di ICT Security più rilevanti per un telco operator, che saranno oggetto di approfondimenti successivi:

  • Resilienza della rete pubblica di telecomunicazioni;
  • Visibility: perché è importante per la security;
  • Cyber Hygiene: controlli automatici sull’attuazione e il mantenimento delle contromisure;
  • BYOD: accesso dei device mobili alla rete Enterprise;
  • MAM: Mobile Data Protection;
  • NAC: Network Access Control;
  • IAM: accesso alle infrastrutture cloud;
  • Open Source / Agile / DevOps: impatti sulla security.

A cura di: Marcello Fausti

Profilo Autore
Marcello Fausti

Il Dott. Marcello Fausti è attualmente responsabile della CyberSecurity del Gruppo Italiaonline.
Nei 10 anni precedenti, è stato responsabile della IT Security di TIM con responsabilità della protezione delle infrastrutture critiche; dello sviluppo e gestione dei sistemi a supporto dell’Autorità Giudiziaria; della gestione del Security Operation Center, della gestione del processo di ICT Risk Management e dello sviluppo delle contromisure di sicurezza per la gestione operativa dei piani di sicurezza. È stato, inoltre, responsabile del Security Lab di TIM. In precedenza ha lavorato nel gruppo Olivetti come direttore marketing e business development di una società di system integration attiva sul mercato dei large account e come marketing manager della divisione PA della capogruppo.
È certificato CISM, PMP, COBIT, ITIL, ISO20000.

Altri Articoli
Condividi sui Social Network:

Articoli simili

I consigli di un hacker su come proteggere le reti VPN collegandosi da remoto

I consigli di un hacker su come proteggere le reti VPN collegandosi da remoto

A cura di:Redazione Ore Pubblicato il

In questo momento di emergenza sanitaria, rispettare le normative è fondamentale ed un gran numero di aziende si è dovuto adattare sperimentando per i propri dipendenti la modalità di lavoro da casa. Mentre i responsabili delle risorse umane e quelli finanziari stanno avendo numerose difficoltà a capire come gestire la situazione dei vari dipendenti, tra…

Breve storia di un’analisi malware

Breve storia di un’analisi malware

A cura di:Giuseppe Turano Ore Pubblicato il

Un software che causa danni al computer o alla rete è considerato software maligno, detto anche malware. L’analisi di un malware consiste nello studiare il suo comportamento, con l’obiettivo di: Identificare Difendere Eliminare Durante questo tipo di analisi è bene tenere a mente che si sta analizzando un software dannoso e che, quindi, è necessario…

SHAttered Collision Attack: uno sguardo alla collisione SHA1 ed al mondo degli hash

SHAttered Collision Attack: uno sguardo alla collisione SHA1 ed al mondo degli hash

A cura di:Nanni Bassetti Ore Pubblicato il

Iniziamo a parlare della funzione di HASH: “In informatica una funzione crittografica di hash è un algoritmo matematico che trasforma dei dati di lunghezza arbitraria (messaggio) in una stringa binaria di dimensione fissa chiamata valore di hash, impronta del messaggio o somma di controllo, ma spesso anche con il termine inglese message digest.” – https://it.wikipedia.org/wiki/Funzione_crittografica_di_hash Quindi significa che se…

Verso un sistema armonizzato della certificazione della sicurezza cyber di prodotti, processi e servizi ITC. Analisi del Regolamento UE 2019/881

Verso un sistema armonizzato della certificazione della sicurezza cyber di prodotti, processi e servizi ITC. Analisi del Regolamento UE 2019/881

A cura di:Giovanna Raffaella Stumpo Ore Pubblicato il

Premessa Dal giugno scorso è in vigore a livello sovranazionale il Regolamento del Parlamento Europeo (PE) e del Consiglio 17.4.2019 (UE) 2019/881 (relativo all’ENISA[1] – Agenzia UE per la sicurezza informatica e alla certificazione di sicurezza applicabile alle tecnologie dell’informazione e della comunicazione[2] – anche solo “il Regolamento”) abrogativo del precedente Regolamento del PE e…

Andrea Boggio – Intervista al Forum ICT Security 2018

Andrea Boggio – Intervista al Forum ICT Security 2018

A cura di:Redazione Ore Pubblicato il

[video_embed video=”299599342″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] Andrea Boggio Business Development Manager presso Fastweb Spa Il panorama delle minacce cyber è in costante evoluzione; attualmente stiamo assistendo ad una convergenza tra mondo ICT e mondo reale delle cose, con conseguenze che possono essere dirompenti nel mondo fisico. L’IoT vede miliardi di oggetti interconnessi tra…

Individuare gli utenti malintenzionati con l’User Behavior Analytics

Individuare gli utenti malintenzionati con l’User Behavior Analytics

A cura di:Gianluigi Spagnuolo Ore Pubblicato il

Come usare l’User Behavior Analytics per individuare possibili attacchi L’User Behavior Analytics (UBA) permette di individuare gli utenti malintenzionati che presentano delle anomalie comportamentali. I controlli di sicurezza convenzionali non sono efficaci contro alcuni tipi di minacce e poco possono nei confronti del comportamento di alcuni utenti. Le anomalie nel comportamento degli utenti possono essere…