Negli anni l’attività di Security Investigation ha visto mutamenti sostanziali sia in termini di contenuti che in termini di metodologie adottate. Un elemento però è rimasto invariato: il rischio derivante da inadeguate progettazioni infrastrutturali o da modifiche a sistemi informatici che ne hanno compromesso la stabilità o la sicurezza.

LA VALUE PROPOSITION DI SARCE

Le infrastrutture informatiche sono costituite da componenti eterogenei, ognuno dei quali ha proprie caratteristiche funzionali, progettuali e implicazioni di sicurezza.

Il servizio di Security Assessment proposto dalla Sarce Spa è una combinazione di servizi e metodologie che nel tempo si sono rivelate efficaci al fine di identificare anomalie funzionali e che danno l’opportunità al cliente di avere maggior consapevolezza sul grado di Sicurezza Informatica di cui l’azienda si è dotata negli anni.

Troppo spesso, le interpretazioni sulla parola Sicurezza, danno luogo a fraintendimenti o, peggio, errate analisi su cui si basano strategie tecniche; prima di proseguire con la presentazione, è bene comprendere che cosa intendiamo per Sicurezza Informatica.

In termini generali la Sicurezza Informatica un processo che assicura che le applicazioni (o i sistemi in generale) facciano nel tempo ciò per cui sono state progettate e implementate.
Potrebbe sembrare una spiegazione banale ed inutile, ma se ci soffermiamo un attimo a riflettere sull’origine di molti dei problemi e disservizi che abbiamo in azienda, scopriamo che spesso lavoriamo in ambienti che nel tempo si sono evoluti in modo disorganico e poco omogeneo. Qualche volta siamo di fronte a problemi dovuti a una errata progettazione dell’infrastruttura. Per le Aziende è complicato ed oneroso progettare l’evoluzione di un sistema informatico ad un livello globale, spesso si aggiungono componenti diversi, installati correttamente per quanto riguarda il solo spettro d’appartenenza, ma nella globalità aziendale potrebbero generare disservizi dovuti all’interazione con altri componenti di diversa natura.

L’ultimo importante elemento che ultimamente sfugge al controllo organizzativo è l’utilizzo di dispositivi privati all’interno dell’infrastruttura tecnologica aziendale (BYOD – Bring Your Own Device).
Sui dispositivi personali (Computer, Tablet, Palmari, ecc.) l’azienda difficilmente riesce ad avere un controllo efficace: proviamo a considerare questo semplice processo:

• L’azienda ha una rete wireless;
• Alcuni dipendenti, o personale esterno, utilizzano questa rete Wireless per la navigazione Internet.

Se non correttamente gestito, questo semplice processo potrebbe bypassare tutte le difese implementate nel corso del tempo a difesa della propria rete interna e dei propri dati, sia quelle perimetrali, Firewall, IDS/IPS (perché ci colleghiamo direttamente dall’interno della rete) sia quelle più applicative, antivirus (perché non vengono installati sui dispositivi personali o perché non sono aggiornati in modo da poter controllare i dispositivi portatili di ultima generazione).

Crediamo che questa situazione si possa trovare in molte aziende, anche se potrebbe generare problemi di sicurezza. Le minacce rivolte ai dispositivi mobili, oggi, sono numerose e in forte aumento. La soluzione certo non è dismettere le Reti Wireless, ma la corretta implementazione di questo tipo di tecnologia deve necessariamente tenere in considerazione anche fattori quali la fruizione da parte di dispositivi che non hanno un livello di sicurezza adeguato o quantomeno conosciuto.

Il Security Assessment di Sarce Spa pone l’occhio globale sull’intera infrastruttura analizzando in dettaglio la tipologia dei servizi disponibili, il livello di sicurezza specifico e la loro interazione.

A caratteri generali il servizio di Security Assessment è finalizzato a rilevare e valutare il grado di robustezza e di efficienza dell’infrastruttura tecnologica e delle misure di sicurezza implementate; si divide in due erogazioni distinte:
• Outside Vulnerability Assessment
• Inside Best Practice & Compliance

OUTSIDE VULNERABILITY ASSESSMENT

Il servizio di Outside Vulnerability Assessment è composto da due attività che hanno il fine di rendere visibile quali informazioni vengono esposte e pubblicate su Intenet. La parte classica del Vulnerability Assessment consente alle aziende si avere visibilità dei servizi tecnologici esposti (Server Web, Vpn, Server Posta ecc.) e del loro grado di vulnerabilità. Simulando gli agenti di minaccia si identificano le vulnerabilità e le eventuali contromisure necessarie. L’importanza di questa attività risiede nel concetto che lo stato si salute e di sicurezza di un Sistema Informatico ha valore soltanto nell’istante in cui viene misurata (una frazione di tempo dopo potrebbero trovare vulnerabilità fino a quell’istante non conosciute). Non solo, esistono altri due fattori per i quali l’attività di Vulnerability Assessment è importante: in relazione all’aggiornamento dei Sistemi e alle variazioni nel tempo delle configurazioni.

Sicurity

L’aggiornamento dei Sistemi (il patching) viene solitamente sottostimata e considerata attività di poca utilità pratica perché onerosa da gestire, anche quando viene considerata esiste il problema di pianificarla correttamente per evitare la distribuzione di patch che vadano in conflitto con altre applicazioni. L’attività di Vulnerability Assessment è importante e consente di delegare la rilevazione dei soli aggiornamenti necessari al fine di minimizzare gli sforzi e gli investimenti per le attività di aggiornamento.
In molte strutture informatiche esiste un processo di cambiamento che è lacunoso dal punto di vista organizzativo, spesso i cambiamenti vengono effettuati per necessità dimenticandosi degli effetti collaterali che gli stessi generano. In momenti d’emergenza, in cui la concentrazione del personale tecnico è focalizzata sui disservizi e su come poterli risolvere, generano problemi collaterali relativi la sicurezza dovute a manovre non proprio consapevoli.
La Vulnerability Assessment è in grado istante per istante di rendere visibile sia delle patch necessarie alle applicazioni esposte ad Internet, sia i rischi di sicurezza derivanti da errate configurazioni.
La seconda parte del Vulnerability Assessment consiste nel ricercare e rendere visibili le informazioni disponibili su Internet attraverso tecniche di Ingegneria Sociale. L’obiettivo di questa seconda parte è dare una risposta alle seguenti domande:

• Ci sono informazioni che pubblichiamo inconsapevolmente?
• Se sì, quali sono?
• Sono in linea con l’immagine e le politiche Aziendali?

Sicurezza

INSIDE BEST PRACTICE & COMPLIANCE

Se l’obiettivo del Vulnerability Assessment è “guardare” l’azienda dall’esterno, quello del Inside Best Practice & Compliance, è “guardare” l’azienda dall’interno e valutare:

• il grado di stabilità e sicurezza generale in relazione alla tipologia dell’infrastruttura;
• il grado di aggiornamento e vulnerabilità dei Sistemi e delle Applicazioni;
• aderimento dei Servizi interni alle Best Practice di prodotto;

Sicurezza

Verificare un’infrastruttura Tecnologica dal punto di vista di ciò che si affaccia ad Internet è relativamente semplice, verificare che l’interno della nostra azienda sia conforme a standard di sicurezza adeguati, è molto più complesso e difficilmente viene tenuto in considerazione. Il motivo principale è che tutte le infrastrutture sono in evoluzione ed è difficile ed oneroso considerare parte del processo di evoluzione l’aderimento a standard di sicurezza di implementazioni fatte in passato. Il secondo motivo importante è che le configurazioni dei sistemi subiscono cambiamenti in relazione alle necessità del momento. Durante le fasi di diagnostica e di risoluzione dei problemi difficilmente si tiene traccia delle modifiche (processo di Change Management). Eppure, oggi, i maggiori pericoli informatici per le Aziende nascono da ciò che abbiamo dentro le reti e non fuori.
Il risultato di quest’attività è importante dal punto di vista organizzativo, consente di ottenere un report dettagliato che valuta l’intero stato di “salute” dei sistemi e del loro grado efficienza generale. Questa attività è utile anche per definire uno stato di fatto (il famoso “come siamo messi”) da utilizzare per progettare l’evoluzione graduale e consapevole di un piano di adeguamento e di ottimizzazione.

I processi di scansione vengono effettuati per mezzo di software open-source e commerciali.
L’Outside Vulnerability Assessment viene eseguito in autonomia dalla struttura Internet Cloud di Sarce senza nessuna interazione con la rete interna del Cliente, in due modalità differenti:

1. Il cliente fornisce a Sarce, tramite compilazione del documento che viene fornito, tutti i dati oggetto di analisi (domini, numero sedi e linee Internet);

2. Sarce in autonomia, simula un’attività tipica di un attacco informatico, ricercando tutte le informazioni disponibili in Internet, utilizzando per esempio i database whois ed i server DNS, in modo da rilevare tutti i possibili accessi, sui quali eseguire l’analisi.

Premesso che si può utilizzare una terza formula mista, nella quale Sarce raccoglie i dati dal Cliente e poi né verifica la completezza, la prima soluzione è consigliata per le Aziende che hanno poche sedi e che sono in possesso di tutte le informazioni, la seconda soluzione è consigliata ad aziende che hanno più sedi e che vengono gestite da più persone (non è raro trovare Aziende che hanno attivi contratti di connettività ADSL “nascosti” all’ufficio competente – questo capita nelle Aziende in cui i centri di competenza racchiudono anche le infrastrutture tecnologiche).

Sicurezza

OUTSIDE VULNERABILITY ASSESSMENT

In virtù delle considerazioni iniziali si consiglia di schedulare l’attività di Outside Vulnerability Assessment ogni 4 mesi o in presenza di riconfigurazioni o implementazioni che considerano i Firewall perimetrali.
L’attività di Best Practice & Compliance viene normalmente schedulata 2 volte l’anno. Questa pianificazione potrebbe variare in relazione alla dimensione del Cliente, alla complessità dell’infrastruttura tecnologica ed in base alla sua evoluzione.
Si ritiene che le schedulazioni dei servizi di Outside Vulnerability Assessment e di Best Practice & Compliance debbano essere subordinate alle responsabilità per le quali i committenti sono direttamente coinvolti.
Il servizio viene reso disponibile sia modalità “una tantum” che in modalità continuativa. I colloqui col cliente sono necessari al fine di stabilire la corretta e più efficace fruizione del servizio.