Sicurezza proattiva, intervistiamo Marco Rottigni di Qualys

Sicurezza proattiva, intervistiamo Marco Rottigni di Qualys

Marco Rottigni, Chief Technical Security Officer EMEA di Qualys, traccia per noi gli scenari della cyber security moderna, offrendo soluzioni ai problemi delle PMI.

- La complessità dei sistemi e delle procedure rappresenta sovente un problema negli ambienti di business medio/piccoli, complice la carenza di personale specializzato e di un dipartimento IT ben strutturato. Come aiutate le PMI a migliorare questa situazione?
Penso sia necessario combinare una esternalizzazione dei servizi con una soluzione che abbia un impatto minimo sulle risorse, dal momento che nelle PMI sono scarse per definizione. È importante sottolineare come le PMI siano comunque soggette a problematiche che, seppure in scala diversa, presentino affinità con quelle di organizzazioni più grandi: la presenza di un ambiente digitale ampio e difficilmente controllabile, la propagazione di software e utilizzo applicativo in perimetri molto estesi, la necessità di aderire a framework di compliance più o meno complessi e più o meno obbligatori.
Questa situazione è aggravata proprio dall’assenza di un dipartimento IT strutturato, che porta molte PMI a valersi di soluzioni in cloud e SaaS, diminuendo ulteriormente capacità cruciali quali visibilità ed accuratezza nel controllo della superficie vulnerabile. Che troppo spesso si tramuta in superficie di attacco o di compromissione, perché diventa molto difficile proteggere ciò che non si vede o conosce.

Per quanto possa sembrare paradossale, la soluzione tecnologica è proprio in un approccio SaaS: sensori specializzati e distribuiti in tutto l’ambiente digitale raccolgono dati, che vengono processati in un ambiente cloud sicuro e manutenuto da un vendor come Qualys che ne ha fatto il proprio core business.
A fronte di un bassissimo impatto ambientale la garanzia è di potenziare non solo la visibilità grazie a occhi specializzati, ma fornire un set di applicazioni fruibili da più profili di utenza (IT, Security, Compliance) in modo da avere una base dati consistente e univoca ma consumabile nel formato migliore in base all’esigenza. Questo approccio permette di scaricare i team locali da un’onerosa implementazione dell’infrastruttura, consentendo di beneficiare di un modello “as-a-Service” con costi di tipo OPEX e proporzionali alla reale necessità.

- I “dark data” rappresentano un serio problema; spesso le aziende non ne sono consapevoli, ma i dati non gestiti tramite policy costituiscono un vero problema in termini di sicurezza e compliance. Come rimediare? Quali consigli vi sentireste di dare ai responsabili d’impressa?
Il suggerimento è di unificare la base dati utilizzata per gestire processi IT (ed. asset management, procurement) e Sicurezza (es. vulnerability management, gestione certificati digitale, assessment configurazioni di infrastruttura) con quella da utilizzare per processi di verifica conformità e controlli tecnici.

Serve una soluzione scalabile a coprire sia ambienti tradizionali (server, workstation, apparati di rete), sia ambienti cloud oppure application container. Ciò garantisce sia consistenza in termini delle verifiche effettuate e rispondenza dei controlli codificati secondo i framework di compliance più diffusi, in modo da evitare l’onere all’utente di dover definire i controlli manualmente.
La soluzione deve includere la possibilità di generare dashboard che aggreghino i dati processati, permettendo così una percezione dinamica e costante della situazione.

- Lo scollamento tra dipendenti e pericoli del mondo reale è davvero forte in alcuni contesti; il livello medio di maturità della sicurezza informatica è molto scarso. Come è opportuno agire per aumentare la consapevolezza degli utenti?
Un approccio che sembra funzionare molto bene è quello che combina awareness dei rischi e delle minacce con la cosiddetta gamification dei processi di verifica. Training mirati a diffondere la cultura della sicurezza e la coscienza dell’importanza del proprio ruolo nel costruire la filiera di difesa si combinano con momenti di gioco e competizione nella messa in pratica dei processi.

- Secondo le vostre analisi, quali sono le metodologie che i cybercriminali utilizzano maggiormente per raggiungere l’obiettivo?
I tempi in cui venivano studiati attacchi di tipo “zero day” ad hoc in base al target sono lontani e, sebbene questa tipologia di attacchi esista ancora, sono sempre più rari e utilizzati con obiettivi di altissimo livello.
La recente crescita imponente del cybercrime porta a sfruttare vulnerabilità ben note, armandole con exploit di uso comune e persino noleggiabili per l’occasione. La propagazione avviene poi usando vettori quali mail e web; gli utenti vengono compromessi con tecniche quali phishing o drive-by download mirate a furto di credenziali o alla installazione di backdoor per avere persistenza nelle stazioni compromesse; tecniche che potrebbero essere neutralizzate da una buona igiene nella riduzione della superficie vulnerabile unita a un aumento della percezione del rischio nell’utente.

- Quali sono i settori più a rischio? Perché? Quali gli ambienti già compromessi in maggior misura?
Difficile fornire una risposta completa ed esaustiva a questa domanda. Trovo che ci siano ottimi dettagli esaminati da diverse prospettive nel recente report di Verizon su Data Breach ed Incident Response, che rappresenta uno dei migliori studi di riferimento nel settore della risposta all’incidente. In particolare, nel Data Breach Investigations Report (DBIR) che ho analizzato sul blog di Qualys e i cui commenti completi sono disponibili all’indirizzo si evidenzia che i risultati di quest'anno si basano sui dati forniti da oltre 70 fonti (tra cui Qualys) riguardanti più di 41.000 incidenti di sicurezza, tra cui circa 2.000 violazioni dei dati, con ripercussioni in oltre 80 paesi e in tutti i settori industriali.

Inoltre, le PMI risultano essere un obiettivo attraente come parte della catena del valore, agevolando gli hacker ad arrivare alle reti informatiche delle aziende più grandi. Analizzando i settori verticali si evidenzia come Government, Healthcare e Finance siano stati quelli colpiti più duramente. Ciò conferma l’interesse di hacker nell’entrare in possesso di dati sensibili gestiti da queste organizzazioni, per procedere con la vendita o lo sviluppo di attacchi di scala superiore

- Stante un grado di pericolosità in costante aumento, sia per i dirigenti, sia per i dipendenti: quali sono i rischi per le imprese, le PA e, come ultimo anello della catena, per tutti i cittadini?
Sono fermamente convinto che si debba partire dalla presa di coscienza del rischio. Un programma serio di sensibilizzazione che copra l’intera organizzazione aziendale e illustri senza troppo gergo tecnico i rischi a cui l’utente è esposto in base alla propria posizione.

Troppe volte non c’è percezione del pericolo che si annida in una mail di spear phishing o in un sito che promette offerte speciali riservate solo ai visitatori.
Troppe volte i furti di credenziali valide avvengono per errori di configurazione che nulla o poco hanno a che fare con malware o attacchi zero day.
Troppe volte attacchi anche di larga scala (si vedano le cronache sulla minaccia Wannacry o la più recente BlueDeep) diventano possibili perché non si interviene con aggiornamenti di software obsoleto o addirittura con igiene di base nell’identificare e rimediare vulnerabilità presenti nei sistemi server e workstation. Queste procedure vanno rafforzate e sensibilizzate sia nelle organizzazioni che nei singoli per ridurre la superficie vulnerabile, evitando che si trasformi in superficie di attacco.

- Volendo tracciare uno scenario aggiornato, tra ransomware, cripto-malware, phishing e tutte le minacce in circolazione: quali sono le tendenze attuali? Quanto impattano le vulnerabilità dei sistemi e dei software moderni in termini di sicurezza generale delle imprese e di capacità di fronteggiare simili minacce?
Rimando ancora al Verizon DBIR report per una panoramica completa, ma parlando specificamente delle minacce in circolazione vediamo che sul totale delle brecce analizzate oltre la metà (52%) hanno visto la presenza di tecniche di Hacking, oltre un terzo hanno utilizzato attacchi tramite Social e poco meno di un terzo (28%) sono state caratterizzate dall’utilizzo di malware.

Tra tutte le brecce nel 32% dei casi sono state utilizzate tecniche di phishing e nel 71% dei casi la motivazione era finanziaria.
Questa situazione dipinge un quadro poco rassicurante di incremento e crescita della minaccia, la cui mitigazione passa proprio dalla riduzione della superficie vulnerabile; composta certamente da vulnerabilità software, ma anche da errori di configurazione o situazioni in cui progetti innovativi quali adozione del cloud, containerizzazione delle applicazioni e simili non prevedono un’adeguata considerazione delle misure minime di sicurezza necessarie.
È necessario lavorare sui processi di identificazione degli asset, dal momento che è difficile proteggere ciò che non si conosce o non si sa di avere.
È fondamentale che tale visibilità abbracci, con la dovuta accuratezza, l’intero panorama digitale delle aziende: fatto di datacenter ma anche di cloud, di utenti mobili e di IoT…

Successivamente concentrarsi sulle procedure di analisi della superficie vulnerabile, le cui informazioni vanno contestualizzate e arricchite in modo da prioritizzarne il rimedio.
Infine, va messo in opera un processo di rimedio efficace che controlli il patching non solo dei sistemi operativi ma che consideri software aggiuntivi di comune utilizzo quali Office, i browser, Java, lettori PDF ed altri. Sono spesso proprio questi software a rappresentare la superficie vulnerabile più accessibile, che con facili accortezze da parte dell’attaccante può trasformarsi in vettore di attacco e in compromissione.