Permettere o Proibire Tutto?

In appena una dozzina di anni o giù di lì il settore delle minacce informatiche si è trasformato profondamente. In effetti si è passati da semplici organizzazioni di holigans adolescenziali che si manifestavano attraverso giochi divertenti, (per lo meno divertenti lo erano per loro, meno per le vittime) a bande cibernetiche organizzate che sferrano attacchi sofisticati a strutture critiche.

Si tratta di una vera e propria metamorfosi.

Tornando indietro all’era degli hooligans, per varie ragioni i miserabili cyber hanno provato ad infettare il maggior numero di computers possibile ed è proprio per difendere i sistemi operativi da questi tippi di attacchi che sono stati creati i softwares antivirus (e devo dire che è stato fatto proprio un bel lavoro).

Oggi, le nuove minacce informatiche sono proprio l’opposto. Quei meschini dei cybers conoscono le tecnologie antimalware e sanno muoversi all’interno di esse. Infatti cercano di muoversi con discrezione all’interno dei sistemi per poter sferrare attacchi mirati ai sistemi operativi. E ciò è anche logico se si considera il loro obiettivo (economico).
Quindi si può affermare che l’organizzazione è cambiata, ma il paradigma rimane lo stesso:  la maggior parte delle aziende continua ad utilizzare tecnologie disegnate per infezioni di massa, che al giorno d’oggi sono antiquate e pertanto inadatte a contrastare gli attacchi moderni.

Di conseguenza, le aziende, nella lotta contro le compagnie di malware, mantengono una posizione difensiva  e ciò fa sì che rimangano sempre un passo indietro rispetto ai loro nemici.

Ultimamente stiamo incrementando gli sforzi contro le minacce informatiche sconosciute per le quali non sono ancora state sviluppate protezioni adeguate, spesso i software antivirus non riescono a riconoscere queste minacce informatiche. Allo stesso tempo, i moderni cybers,  approfittando del loro nascondiglio all’interno dei sistemi informatici controllano meticolosamente l’efficacia dei loro programmi maliziosi. E la cosa non è per nulla gradevole.
Tutto ciò diventa ancora più paradossale quando si scopre che il settore della sicurezza informatica dispone delle armi di protezione  necessarie  incorporate all’interno dei propri prodotti – in grado di affrontare le nuove sconosciute minacce informatiche a testa alta.

Vi svelerò un interessante aneddoto a riguardo…

Oggi, nel settore dell’ingengneria informatica esistono due possibili prese di posizione che una compagnia può utilizzare in merito alla sicurezza informatica: “Default Allow” – in cui qualsiasi cosa (ogni bit del software) non esplicitamente proibita  può essere installata in un computer; e “Default Deny” – in cui qualsiasi cosa non esplicitamente permessa viene proibita (ulteriori informazioni sui rimedi alle minacce informatiche).

Come probabilmente immaginerete, queste due prese di posizione di sicurezza rappresentano due posizioni opposte nella convivenza tra usabilità e sicurezza.

Con l’opzione “Default Allow”, tutte le applicazioni lanciate hanno carta bianca per fare tutto ciò che desiderano all’interno di un computer o di un network e gli antivirus assumono il ruolo dei proverbiali Ragazzi Olandesi – che osservano dall’esterno del fiume e se dovesse verificarsi un danno, intervengono per tappare la crepa.
Con l’opzione “Default Deny” è tutto l’opposto, per difetto l’installazione delle applicazioni viene bloccata eccetto se si tratta di applicazioni incluse nella lista dei “trusted software”.  Nessuna crepa all’interno della diga, ma di conseguenza non si avrà nemmeno un sufficiente volume d’acqua.

Oltre all’affiorare di malwares sconosciuti, le aziende (i loro dipartimenti di IT in particolare) hanno molti altri grattacapi provenienti dall’opzione  “Default Allow”.

  • Installazione di softwares improduttivi e servizi ( giochi, annunci, clienti P2P… – il cui numero dipende dalla politica dell’organizzazione).
  • Installazione di non verificati e di conseguenza pericolosi softwares attraverso i quali gli hackers possono farsi strada all’interno dei networks aziendali.
  • Installazione di softwares di amministrazione remoti che permettono l’accesso a un computer senza il permesso degli utenti.

I primi due grattacapi dovrebbero essere abbastanzi chiari. Riguardo al terzo, permettetemi di offrirvi una spiegazione tecnica personale.

Non molto tempo addietro abbiamo condotto un sondaggio tra le aziende all’interno del quale abbiamo inserito la seguente domanda: “In che modo violano gli impiegati le regole di sicurezza IT adottate dall’impresa attraverso l’installazione di applicazioni non autorizzate?”

I risultati di questo sondaggio li ho inseriti nel seguente grafico. Come potete ben vedere, la metà delle violazioni provengono dalla gestione remota. Ciò significa che gli impiegati  o gli amministratori dei sistemi installano programmi di controllo remoti per l’accesso remoto alle risorse interne o per l’accesso ai computers per diagnostici e/o “riparazioni”.

Il grafico non lascia adito a dubbi: ci ritroviamo di fronte a un grosso problema. È interessante notare che il sondaggio non è stato in grado di stabilire con chiarezza quando, perché e da chi i programmi di amministrazione remota sono stati installati (i dipendenti hanno spesso risposto che erano stati gli ex colleghi ad installarli).

La cosa preoccupante risiede nel fatto che questi programmi non sono stati bloccati sin dall’inizio. Inoltre, poiché tali programmi sono già installati su molti PC, è probabile che nessun computer richieda un controllo preventivo di installazione. Ed anche se ne hanno preso atto – non viene fatto nulla riguardo ad essi dal momento che si presume che siano stati installati dal personale informatico. Una situazione del genere è tipica per i networks – independentemente dalle loro dimensioni.

Così si scopre che un dipendente può installare per un collega tale programma e non viene individuato. In alternativa il dipendente può accedere al suo computer o a quello di qualcun altro attraverso una rete esterna. Ma ciò che è perfino più pericoloso è che di questa quasi legittima scappatoia possono approfittarsene facilmente i cyber-furfanti e gli ex dipendenti mal intenzionati.

Tramite l’opzione “Default Allow” il network aziendale diventa una giungla, un miscuglio di tutti i tipi di softwares strani e “meravigliosi”, in cui nessuno si ricorda quando, perché e da chi sono stati installati.
Qual’è l’unico modo per prevenire tali attacchi? Utilizzare una politica “Default Deny”.

A prima vista l’idea di Default Deny sembra piuttosto semplice. Ma ciò lo è solo sulla carta. In pratica si tratta di un compito che è ben lungi dall’essere semplice. Esso è composto da 3 componenti principali:

  • Un grande e ben categorizzato database di programmi legittimi
  • Un set di tecnologie che forniscono la massima automatizzazione del processo di implementazione.
  • Strumenti facili da usare per la gestione post-implementazione delle modalità “Default Deny”.

E adesso ci prendiamo un break. In altre parole, vi dirò come queste tre componenti si muovono all’interno dei nostri prodotti aziendali

Il primo passo è un inventario automatico – il sistema raccoglie informazioni da tutte le applicazioni installate nei computers personali e nelle risorse network. Quindi le applicazioni localizzate vengono categorizzate (ciò avviene automaticamente). Ciò avviene grazie all’aiuto del nostro database online di softwares verificati (whitelisting), che contiene informazioni di oltre 530 milioni di file di sicurezza suddivisi in 96 categorie, e questo è ciò che aiuta alle tecnologie informatiche a decidere quali di questi sono innocui e quali sono pericolosi. Già in questa fase ci si è fatta un’idea di ciò che sta realmente accadendo all’interno dei networks – e chi sta facendo il cattivo.

Passo successivo – classificazione: etiquettare il software “Permesso” o “Proibito” come da copione nella politica di sicurezza, tenendo conto dei particolari diritti di cui godono certi impiegati ed i loro gruppi. Per esempio, la categoria “multimedia” potrebbe essere accessibile solo al dipartimento di marketing e relazioni pubbliche e vietato al resto dei dipartimenti.

E’ anche possibile configurare una strategia per ogni applicazione e dipendente in cui viene stabilito quando, da chi e per quale scopo il software può essere utilizzato. Ad esempio, una volta compiuto l’orario di lavoro previsto – chiunque può utilizzarlo …. Se davvero dovesse essercene il  bisogno.

Inoltre, prima che la modalità “Default Deny” diventi pienamente operativa abbiamo bisogno di verificare la sua implementazione.

Basandoci nel test possiamo ottenere un report in cui viene definito quale utente ha spento il computer grazie all’introduzione dei suoi dati di accesso. Ovviamente sarete d’accordo con me che questa potrebbe non essere la migliore forma di civiltà J. E certamente, questa verifica viene fatta automaticamente.

E per ultimo dopo l’implementazione dell’opzione “Default Deny” il monitoraggio e il mantenimento si trasformano in routine.

Grazie all’aiuto di Tecnologie di Aggiornamento Attendibili, applicazioni affidabili vengono aggiornate ogni qual volta appare una richiesta di aggiornamento.

IT riceve informazioni in merito a cosa e quando si è verificato il tentativo di accesso attraverso la lista proibita.

Inoltre, gli utenti possono inviare una richiesta per ottenere il permesso di installare l’applicazione direttamente all’interno del cliente che utilizza il software Kaspersky Endpoint Security.

Dopo aver letto tutto ciò sarebbe facile domandarsi “Perchè preoccuparsi con lo sviluppo di antivirus se si dispone di politiche di restrizioni del genere?”

Bene, prima di tutto, da un punto di vista tecnologico – e questa potrebbe essere una sorpresa – come concetto l’antivirus non esiste già da diversi anni, anche se tutt’oggi esiste la categoria degli antivirus
Questa (non esistenza) è dovuta al fatto che perfino i nostri “semplici” prodotti casalinghi (e mi riferisco ai nostri Antivirus Kaspersky ) sono sofisticate e complesse parti di un kit, mentre all’interno dei nostri softwares aziendali il ruolo del classico antivirus costituisce, all’incirca – solo il 10-15% della sicurezza globale. Il resto è costituito da sistemi per prevenire gli attacchi di rete, sistemi di ricerca di punti deboli, protezione proattiva, gestione centralizzata, traffico web e controllo del dispositivo esterno, e molto altro ancora, e non dimentichiamo il controllo delle applicazioni coinvolte nella super-ordinata implementazione della modalitá  “Default Deny”.

Nonostante tutto, l’antivirus come tecnologia di analisi ancora esiste ed è ancora importante. Si tratta tuttora di uno strumento efficace per combattere infezioni attive e recuperare files e rimane un indispensabile componente di protezione multilivello.

Ritornando all’opzione “Default deny”… Sembrerebbe in un primo momento che si tratti semplicemente di prenderlo, usarlo, e godere di esso. Ma in realtà la situazione non è così semplice. Non importa quanto tempo io impieghi a parlare con i nostri ragazzi di vendita e i nostri clienti, il pubblico è in generale prevenuto nei confronti di questa tecnologia – così come avviene per tutte le novità. Sento spesso, “la nostra è una società creativa, e non vogliamo limitare i dipendenti nella scelta dei softwares. Adottiamo una cultura che si basa sulla libertà e … beh, non avete sentito parlare  riguardo a BYOD(portare il proprio computer)? Fermi un attimo. Di cosa stiamo parlando?!  Semplicemente di permettere tutto ciò che consideriamo necessario e sicuro! Tutto ciò che serve viene inserito nelle nuove applicazioni del database o viene segnalato al dipartimento appropriato all’interno del quadro di comando diKaspersky Security Center: un momento! La maggior parte delle persone agiscono in base a pregiudizi, e falliscono in parecchie occasioni. Ma la modalità “Default Deny” semplicemente protégge gli individui dal rischio di commettere errori.

Quindi si, come potrete facilmente immaginare, consiglio fortemente l’utilizzo della modalità “Default Deny”. E’ stata testata e certificata dal West Coast Labs, e Gartner puntualmente definisce questo’approccio come il futuro della sicurezza informatica.

Sono fiducioso in merito all’utilizzo di questa tecnologia  da parte di tutti e che in questo modo saremo in grado di rafforzare la lotta contro il cybercrime. Invece di reagire alle nuove minacce che si possano presentare, le aziende saranno in grado di stabilire le proprie regole del gioco e di essere un passo avanti rispetto al cybercrime.

Tutto ciò di cui vi è bisogno è solo un pò di riflessione per evitare azioni poco sagge.

LEGGI I COMMENTI 0
Scrivi un commento