maggio 23, 2016

Darwinismo e sicurezza informatica: adattarsi o morire

“Non è la specie più forte a sopravvivere ma quella che si adatta meglio al cambiamento.” (Charles Darwin)

È passato un po’ di tempo dall’ultima volta in cui, su queste pagine virtuali, mi sono espresso riguardo il mio argomento preferito: il futuro della sicurezza informatica, per cui rimediamo. Preparatevi per un fiume di parole, spero nessuna troppo fuori luogo, sulle ultime tecnologie, mercato e tendenze della sicurezza informatica, con un assortimento di fatti e riflessioni per contorno. Pronti con i popcorn: via!

Qui scriverò della sicurezza informatica ideale e di come l’industria si stia evolvendo in questa direzione (e cosa stia accadendo lungo il percorso evolutivo verso di essa). Vi parlerò di come tutto questo possa essere spiegato con l’aiuto della teoria evoluzionistica di Darwin, di come la selezione naturale porti certe specie a dominare mentre altre periscono, lasciate ai paleontologi degli anni a venire. E inoltre, cosa sia la simbiosi e cosa siano i parassiti.

ai_oil_1Comincerò con alcune definizioni:

Quasi-perfezione in un mondo imperfetto

Una protezione perfetta, sicura al 100%, non esiste. Nel processo di creazione del miglior sistema protetto possibile, l’industria della sicurezza informatica può e dovrebbe, ovviamente, ambire alla perfezione, ma più ci si avvicina al 100%, più i costi aumentano in maniera esponenziale, quindi il costo della protezione finisce per essere di gran lunga superiore a quello del potenziale danno provocato dal peggior scenario di un attacco riuscito.

Di conseguenza, è logico dare (dal punto di vista delle potenziali vittime) la seguente definizione di protezione ideale realistica (ottenibile): la protezione ideale si verifica laddove il costo necessario per attaccare il nostro sistema è maggiore del costo del potenziale danno che potrebbe essere causato. O, guardando dall’altro lato delle barricate: la protezione ideale si verifica laddove il costo di un attacco andato a buon fine è superiore al guadagno che (i cybercriminali, ecc.) otterrebbero.

La protezione ideale è laddove il costo di un attacco riuscito è superiore al guadagno

Ovviamente, ci saranno volte in cui agli aggressori non importerà il costo dell’attacco, per esempio ai guerrafondai cibernetici sostenuti dai governi. Ma questo non significa che ci arrendiamo.

Quindi, come sviluppiamo un sistema di sicurezza che fornisca protezione realistica (ottenibile) ideale (al massimo)?

Nel “regno informatico” chi si adatta meglio sopravvive: la teoria

Uno dei principi chiave del darwinismo è la diversità genetica. A causa della ricombinazione dei geni, di mutazioni e altre ragioni sconosciute, gli organismi viventi acquisiscono nuove caratteristiche. E con il passare del tempo, i fortunati in termini di nuove caratteristiche (i più adatti) proliferano, mentre i meno fortunati vengono emarginati e alla fine scompaiono. Ecco perché gli orsi sono bianchi nell’Artico e marroni nella Kamchatka.

Rispetto all’evoluzione biologica, i cambiamenti nella sicurezza informatica sono più rapidi di una Ferrari

Una cosa simile avviene nel campo della sicurezza IT: i furfanti cibernetici trovano di continuo nuove vulnerabilità nei sistemi informatici e inventano nuovi metodi d’attacco per sottrarre dati o denaro da persone o aziende che possiedono/usano quei sistemi.

Chiunque sia più intelligente e veloce dei furfanti cibernetici, il più adatto, ottiene un seguito e prospera in cima al regno informatico clandestino, venendo pagato più degli altri per il suo know-how criminale “brevettato”. Quel gruppo si evolve in qualcosa di più grande e più forte, mentre gli altri vanno scemando. L’unica differenza con l’evoluzione biologica di Darwin è la velocità del cambiamento: in questo caso non millenni, ma alcuni mesi sono sufficienti perché molte generazioni di minacce si evolvano.

Per creare un sistema di sicurezza superiore che fornisca la protezione (massima) ideale, gli sviluppatori devono immaginare il più diabolico di tutti i più diabolici scenari possibili, scenari così infernali che è molto improbabile possano davvero avvenire (almeno si spera). Sviluppare delle protezione con in mente dei scenari di attacco così apocalittici garantisce due punti chiave: arresta il pericoloso ottimismo e la speranza per il meglio. Inoltre, tenere a mente fin dall’inizio il peggiore dei casi, aiuta non solo a riconoscere il problema, ma anche a comprenderne la portata e a sviluppare la strategia ottimale per affrontarlo. Se conoscete la vostra debolezza, non siete più la preda: siete il cacciatore.

Ok, in teoria tutto molto bello e razionale, ma può essere messo tutto in pratica? Come potete essere un passo avanti ai furfanti e anticipare la loro prossima mossa?

Adattati o muori

La mossa saggia da compiere in un ambiente di entropia prevalente è inventarsi un modello di condotta adattivo. Cominciamo procedendo dall’analisi della situazione/ambiente prevalente sulla base di una quantità limitata di dati convalidati (spesso in loro assenza) e una moltitudine di ipotesi. Ogni iterazione del ciclo “analisi – azione – risultato” riduce l’ambiguità e aumenta la razionalità di comportamento, prestazione e altri parametri significativi per il business.

Abbiamo cominciato impiegando nella sicurezza informatica un modello adattativo del genere nel 2013. L’anno dopo abbiamo scoperto che questo approccio coincideva con l’idea di Gartner sulla “architettura della sicurezza adattativa”. Questa architettura è basata sull’applicazione ciclica di strumenti dai quattro settori fondamentali legati all’attacco cibernetico: preventivo, investigativo, retrospettivo e predittivo. L’adozione di un tale modello permette di creare una protezione ottimale che corrisponde al ciclo vitale dei cyberattacchi, un modello in grado di adeguarsi rapidamente alle mutevoli condizioni interne ed esterne.

1Fonte: Designing an Adaptive Security Architecture for Protection from Advanced Attacks, Gartner (Febbraio 2014)

Sin dal 2003, l’architettura di sicurezza adattativa è stata la pietra angolare della nostra strategia di prodotto. Sebbene nei primi tempi abbiamo sofferto alcune difficoltà iniziali, abbiamo perseverato: sapevamo che era l’approccio corretto per proteggere meglio le reti di clienti aziendali e risolvere i loro problemi relativi alla sicurezza. Benché non sia trascorso molto tempo, abbiamo già compiuto grandi passi in avanti migliorando i nostri progetti.

Houston, abbiamo un problema

Dunque, come appaiono adesso le cose con l’impiego effettivo dell’architettura della sicurezza adattativa nel mondo imprenditoriale?

Per essere perfettamente onesti, non molto bene.

Da un lato, ci sono pochissimi produttori in grado di trovare tutti gli elementi che permettono la creazione di un ciclo ininterrotto di sicurezza adattativa. Differenti tessere del puzzle non risultano tutte compatibili l’una con l’altra ed è ulteriormente difficoltoso combinarli in un unico sistema centrale di controllo.

D’altra parte, i clienti sono focalizzati su particolari settori del ciclo (soprattutto sulla prevenzione), e tendono a non apprezzare l’importanza degli altri e del complesso nella sua interezza. Un atteggiamento sbagliato di questo tipo da parte dei clienti è aggravato dal comportamento di alcuni produttori nell’ambito della sicurezza che annunciano la creazione di panacee magiche contro tutti i mali cibernetici.

Le imperfezioni presenti nel sistema di sicurezza IT sono aggravate dal comportamento di certi produttori che annunciano la creazione di panacee magiche contro tutti i mali cibernetici

Alla fine si tratta di sicurezza illusoria, disorientamento dopo l’ultimo incidente e un circolo vizioso di emergenza-incidente-smistamento e costanti-minacce-al-business che portano a un’accresciuta spesa nella sicurezza IT (che non corrisponde a un’altrettanta efficacia) e a un deterioramento dei valori dei sistemi IT.

Nel darwinismo, il cambiamento è una delle forze propulsive per lo sviluppo biologico, e lo stesso vale nella sicurezza informatica: spingendola in avanti per arrivare prima dei delinquenti, e se è necessario un cambio di paradigma, così sia. Questo cambio è in corso: sia l’industria della sicurezza IT sia i clienti stanno riconoscendo il problema (il “primo passo” necessario) e sono sulla strada giusta. In Kaspersky Lab, il nostro particolare approccio a questo necessario e cruciale cambiamento è il seguente.

Tempo per iniezione di carburante E compressione turbo

Innanzitutto abbiamo lanciato una vasta gamma di programmi per rinforzare le nostre posizioni su tutti i settori del modello. Adesso il nostro portfolio contiene: formazione del personale ad ogni livello, intelligence sulle minacce, test di penetrazione, analisi degli incidenti e consigli per fare pulizia, a un sacco di altre cose per darci il ciclo completo di “prevenzione, rilevamento, reazione e previsione”.

Dal punto di vista del prodotto, completiamo la nostra tradizionalmente forte posizione nel settore della “prevenzione” con una soluzione nel settore del “rilevamento” per la protezione contro attacchi mirati (Kaspersky Anti Targeted Attack Platform) e la sua integrazione con i sistemi SIEM. E nel futuro prossimo ci sarà il lancio della soluzione totalmente funzionale EDR (Endpoint Detection and Response), che riunirà insieme diversi eventi del “quadro generale” attraverso tutte le macchine di un network.

2

Perciò, molto presto immetteremo sul mercato un intero spettro di prodotti e servizi per la creazione e il supporto continuo di architettura di sicurezza adattativa. La sua funzione principale sono gli ultrasensibili sistemi di analisi delle minacce: con sensori per tutto il network e su tutti i nodi saremo in grado di presentare ai clienti moltissimi dati in più per prendere decisioni consapevoli. Inoltre, la nostra competenza sia umana sia artificiale e l’efficacia della lotta contro attacchi mirati complessi sarà sensibilmente maggiore.

Punto principale: per i clienti non sarà necessario (o almeno, non dovrebbero) gettarsi a capofitto quando prendono in considerazione l’introduzione di un sistema simile. Tale sistema dovrebbe essere approcciato per gradi, con costanza, per evoluzione, secondo la teoria di Darwin, in base alle peculiarità del business specifico, delle infrastrutture IT. L’esperienza dimostra che i clienti preferiscono cominciare con i programmi (formazione e rapporti operativi), e aggiungere gradualmente nuovi pezzi del puzzle globale della sicurezza adattativa mentre procedono.

To Be Continued…

Non farò mistero del fatto che non siamo gli unici a sviluppare costantemente sicurezza informatica adattativa di nuova generazione. Ad ogni modo, mi fa molto piacere essere al primo posto, il che è molto incoraggiante e motivante.

Ai clienti non interessa come si chiami un prodotto, quanto appaia carino su YouTube o quanto sia accattivante la sua pubblicità e il suo marketing. L’unica cosa che importa loro è che, a parità di condizioni, abbiano la maggiore probabilità di evitare incidenti e le perdite che ne conseguono. E ciò significa che continueremo a fare esperimenti sulla sicurezza adattativa, per dare al mercato più di quello che si aspetta.

Per oggi è tutto amici! A breve nel prossimo articolo, scriverò di più sulla selezione naturale e la lotta per la sopravvivenza, più le inevitabili… mutazioni.

@e_kaspersky parla del modello della sicurezza adattativa e del futuro della sicurezza ITTweet
LEGGI I COMMENTI 0
Scrivi un commento
Facebook

giugno 27, 2023

I vertici di Infosec: di nuovo al SAS, questa volta di persona!

Trombe, rullo di tamburi, applausi, acclamazioni, fischi! Ecco due fantastiche notizie per voi: una ottima, l’altra ancora meglio… La prima: quest’anno si terrà la nostra quindicesima conferenza annuale sulla sicurezza informatica, il Security Analyst Summit (SAS). Quindicesima? Incredibile… come passa il tempo!! La seconda: siamo finalmente tornati a un formato offline, ovvero presenziale, faccia a […]

gennaio 19, 2023

Bilancio del 2022: anche i brevetti stanno arrivando!

Inventare nuove tecnologie all’avanguardia è solo una parte del nostro lavoro. Aspettate, no: non va bene essere così categorici… Una nuova tecnologia all’avanguardia e rivoluzionaria comporta un processo di creazione probabilmente molto più complesso e lungo di quanto molti possano immaginare. Certo, senza invenzioni non c’è progresso, ma senza il lungo processo di creazione che […]

novembre 11, 2022

11.11: vent’anni a oggi!

Saluti ragazzi e ragazze! All’ improvviso, è arrivato il momento di festeggiare un altro anniversario. Evviva!… Il nostro sistema operativo cyber-immune, KasperskyOS, compie oggi… aspettate. No, non è esatto… Esattamente 20 anni fa, l’11 novembre 2002, abbiamo iniziato un lungo e importante viaggio, che in realtà stiamo ancora percorrendo. Si tratta di un progetto vasto […]

luglio 21, 2022

Cyber-notizie dal Lato Oscuro (e non): audace hacking di criptovalute, K diventa neuromorfo e come entrare in un data-center attraverso un… bagno!

Salve gente! Per coloro che stanno ancora sudando in ufficio e che non sono ancora potuti partire per una seria vacanza di disintossicazione digitale, ecco a voi, per non farvi sentire in colpa, alcune succose iNews, ovvero racconti dark (e light) dal mondo cibernetico, e altre storie straordinarie e difficili da credere direttamento dal mondo […]

luglio 5, 2022

Un Kuarto di secolo? Come passa il tempo!…

Salve gente! Venticinque anni e nove giorni fa, precisamente il 26 giugno 1997, è stata registrata l’azienda che porta il mio stesso nome. Non possiamo non definirle “umili origini” (nel vero senso della parola): all’epoca era un’azienda con una dodicina di persone e con un fatturato pari a zero, ma con una speciale competenza tecnologica […]

Continua

Video