RSA Conference 2016: per la cybersecurity il problema non è la tecnologia

Security

Dal 29 febbraio al 4 marzo si è svolta a San Francisco l’annuale convention internazionale sulla sicurezza informatica, giunta alla sua 25ema edizione. Oltre 40.000 partecipanti, 500 stand di fornitori raccolti nel settore expo e oltre 700 eventi e incontri tra sessioni, seminari e keynote. Due le tematiche emerse: necessità di condivisione dei dati di intelligence (anche in relazione alla nota vicenda Fbi-Apple) e scarsità di talenti nel settore dei difensori necessari a coprire il crescente numero di posti di lavoro nel settore della cybersecurity.

Nel keynote di apertura il Presidente di RSA Amit Yoran ha esordito dicendo: “Ricordate: siete come vi comportate. Le aziende del settore sicurezza devono svegliarsi, quindi cosa farete di diverso quest’anno?” L’esplicita esortazione rivolta alla comunità degli operatori della sicurezza informatica al fine di coltivare i cosidetti nuovi Hunters (cacciatori). Yoran ha sottolineato infatti come i metodi tradizionali di cybersecurity non siano più efficaci poiché le sfide attuali in mondo così complesso sono ad ampio spettro e devono essere analizzate e gestite in maniera innovativa.

Non esiste magia che ci salverà“, ha continuato Yoran “il nostro problema non è un problema di tecnologia. Gli avversari non ci stanno battendo con una migliore tecnologia. Ci stanno battendo perché sanno essere più creativi, più pazienti, più resilienti.” Quindi a quanto pare la sola tecnologia non basta, occorre prevedere l’intervento umano che declini la soluzione sul caso specifico e che modelli nel tempo anche la diversa modalità di interazione con il livello del rischio legato alla singola operazione o informazione scambiata. Insomma c’è necessità di un cambio di mentalità: non basta semplicemente installare un software per garantire a posteriori la sicurezza di un server, di un servizio o di una intera organizzazione, bensì occorre iniziare a pensare in modo creativo a come fare per assicurare alla propria infrastruttura adeguati livelli di protezione anche in presenza di un’emergenza. Un approccio che tenga in considerazione l’aspetto umano e non semplicemente l’automazione del processo.

Del resto RSA ha da poco completato una indagine rivolta a 160 organizzazioni in tutto il mondo e ha scoperto che il 90% degli intervistati non sono soddisfatti circa la velocità, la prontezza e la capacità che le aziende hanno nel rilevare gli incidenti. Inoltre oltre i 2/3 di queste organizzazioni si affidano ancora a metodi tradizionali di SIEM per il rilevamento. Al contempo, Gartner stima che il 60% del budget per la sicurezza IT viene speso per rispondere agli incidenti. “Si continua a puntare e focalizzare tutta la comunicazione del settore, la collaborazione, e il commercio online, facendo finta che le tecnologie preventive, come antivirus, imalware sandboxing, firewall e firewall di nuova generazione, riusciranno a tenerci al sicuro quando invece non lo faranno” ci racconta Grant Geyer Senior Vice President per i prodotti “la situazione peggiorerà e si aggraverà anche in relazione allo sviluppo dell’Internet of Things (IoT) che già attualmente pone nuove problematiche relative ai servizi ad esempio di cloud e autenticazione e gestione dell’identità digitale che inizia ad avvalersi e sviluppare altri parametri non più solo legati alle password”. La nuova strategia di sicurezza non può quindi essere legata solo alla prevenzione o a servizi di prevenzione ma è necessario comprendere come cambiano e sono cambiate le metodologie di attacco. Ancora troppe aziende si concentrano sulla prevenzione e non investono nell’analisi del processo considerando anche il fattore umano e non più solo l’aspetto tecnico. “Le aziende – prosegue Geyer – hanno bisogno di concentrare i loro investimenti su tecnologie che migliorino piuttosto che sostituire la creatività umana e il problem solving. Abbiamo bisogno di sapere il motivo per cui qualcosa è stato segnalato. Abbiamo bisogno di strumenti che ci diano la visibilità completa sull’intero campo di gioco per verificare come e quando le regole e il perimetro vengono violati”.

Pur essendo la Conferenza molto orientata alla visibilità dei prodotti di sicurezza ci sono stati momenti interessanti di dibattito ed analisi,come ad esempio il panel relativo alla crittografia, da cui è scaturito un confronto molto interessante, esteso e proseguito anche via Twitter, relativo al noto e spinoso caso FBI-Apple. Nel panel sul giornalismo d’inchiesta nel settore cyber l’accordo tra cinesi e americani, secondo il noto giornalista Joseph Menn è stata una delle cose più di rilievo fatte per estendere la collaborazione internazionale contro i cybercriminali. Del resto lo stesso governo americano si sta muovendo nell’ottica di un framework di collaborazione tra governi contro la minaccia cyber che proviene da una difficoltà intrinseca di difendere una attuale superficie di attacco fin troppo estesa. Tale necessità è stata confermata anche da una esortazione ad una maggiore collaborazione tra i governi e le aziende per fronteggiare le minacce al terrorismo sia da parte dei rappresentanti del governo americano che hanno preso parte alla conferenza sia da parte dello stesso Presidente Yoran, ovviamente sempre nel rispetto dei ruoli e sopratutto della privacy e fiducia degli utenti. Infine si segnala l’interessante keynote di Bruce Schneier esperto di tecnologia e “guru” internazionale sulla sicurezza informatica che ha elaborato una analisi molto interessate relativa alla complessità del momento storico in relazione al settore della sicurezza informatica. Come sostiene Schneider l’attuale complessità del momento storico rispetto agli anni precedenti determina il fatto che la difesa sia strutturalmente più difficoltosa rispetto all’attacco, in primis perché non si sa dove, come e quando avverrà il prossimo attacco e a danno di chi o cosa; quindi la minaccia diventa di tipo asimmetrico e non facilmente prevedibile o riconducibile ad una singola azione isolata. Infine il ruolo giocato dalla paura fa da volano a tutto il resto, in un momento in cui la tecnologia sta cambiando il modo di vivere di milioni di persone, in cui si definiscono e disegnano nuovi poteri, e si determina un nuovo scenario di guerra che si concretizza nel tutto contro tutti ovvero: governi contro corporation, corporation contro utenti, utenti conto utenti, hacker contro corporation.

Occorre addestrare degli ottimi e validi cacciatori per poter provare a combattere o meglio controbattere agli attacchi. In definitiva il messaggio agli esperti di sicurezza sembra essere quello di invitare a pensare e ad agire come attaccanti piuttosto che come difensori.
Ed in effetti Daniel Cohen Capo della FraudAction di RSA afferma che lo scopo della sua unità è proprio quello di proteggere principalmente gli utenti il cui motto è “We Hunt We fight We Defend” (Cacciamo, Combattiamo Difendiamo). In termini di consapevolezza Cohen ritiene sia possibile responsabilizzare ed educare l’utente fino ad un certo punto, raggiunto il quale deve essere l’azienda che eroga il servizio o vende il prodotto a farsi carico della sicurezza finale dell’utente stesso. Questo perché l’aspetto umano di socializzazione e semplificazione è difficile da limitare o eliminare e il mercato della vendita dei servizi lo ha interpretato molto bene laddove con un semplice account di identificazione (il più delle volte social) permette l’accesso ad una infinita varietà di servizi e prodotti semplificando al massimo l’esperienza dell’utente. In questa ottica anche molte aziende del settore sicurezza si stanno muovendo in maniera molto aggressiva nello sviluppo di soluzioni attraverso identificazione biometrica o ad esempio sull’utilizzo di selfie. Ma come bilanciare l’aspetto di facilità di utilizzo legato ad esempio allo sviluppo dell’IOT con la necessità di introduzione di nuovi modelli e metodologie di sicurezza? Questo è uno dei punti su cui sviluppare il dibattito. Un tema sicuramente da approfondire e su cui il settore ha necessità di iniziare a confrontarsi seriamente anche per evitare quella asimmetria tra privacy e security che sembra invece molto in voga. Del resto privacy e security non dovrebbero essere posti in antitesi poiché sono due aspetti necessari e fondamentali per la nostra vita digitale.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here