Usa il mouse, frecce o sfoglia se touch
   numero di 09/07/2014
Idee e opinioni

Lo scenario della sicurezza informatica. Cosa ci dice il 2014.
Valcke (VASCO Data Security): Facciamo un'analisi approfondita della situazione attuale, con riflessioni e suggerimenti

Nel settore della sicurezza informatica si è fatto un gran parlare, negli ultimi anni, di Advanced Persistent Threat (APT). Non c’è alcun dubbio che gli attacchi mirati rimangono un problema serio. Ci sono prove che le aziende possono essere minacciate da hacker malintenzionati che vogliono penetrare nelle loro reti per sottrarre informazioni o - come abbiamo visto con il recente attacco di eBay - per usarle come trampolino di lancio per altri attacchi contro i loro partner o addirittura contro i loro clienti.

Se l’APT resta sicuramente una zona di notevole interesse anche nel 2014, alla quale occorre prestare parecchia attenzione, è importante non distogliere la concentrazione da altri problemi di sicurezza, ugualmente pressanti, e non mancare di implementare controlli che, seppur basilari, risultano essenziali.

 

Dietro i titoli

 

Nonostante gli allarmanti titoli dei media, è importante valutare con equilibrio eventi come l’attacco hacker a eBay - che sfruttava alcuni dipendenti della compagnia al fine di ottenere l'accesso ai dati dei clienti - e il virus Heartbleed, in quanto queste minacce, sebbene dirompenti, sono ancora in minoranza. Al contrario, i tipi di attacchi malevoli di gran lunga più comuni che un'organizzazione potrebbe affrontare sono le ordinarie minacce a fini finanziari, che non prendono di mira aziende o gruppi specifici.

Indipendentemente da quale sia l’obiettivo, il primo modo con il quale gli hacker ottengono accesso alle informazioni su reti informatiche, secondo il Data Breach Investigation Report 2014 di Verizon, è ancora l'abuso di username e password. Il report ha rilevato che due violazioni su tre sfruttano password deboli o rubate.

Allo stesso tempo, nel settore finanziario per esempio, il report ha rilevato che gli hacker si concentrano sull'accesso alle interfacce utente delle applicazioni di web-banking, perché le applicazioni consentono di accedere direttamente al denaro. Gli hacker spesso hanno come bersaglio le credenziali degli utenti e quindi usano le applicazioni web protette con password come il mezzo attraverso il quale raggiungere il proprio obiettivo. Ancora una volta, questi incidenti dimostrano la vulnerabilità delle password statiche e la necessità di ulteriori misure di sicurezza, come l’autenticazione a due fattori.

 

Persone e policy di sicurezza

 

La varietà di questi attacchi significa che le organizzazioni non dovrebbero essere troppo distratte dalla risonanza di una minaccia rispetto a un’altra, ma dovrebbe vedere in ogni attacco segnalato come un promemoria e un'opportunità per rafforzare le componenti essenziali di una difesa dinamica e stratificata. Questo, oggi, include la formazione del personale, l’impiego di soluzioni software anti-virus e il ricorso a prodotti firewall, di prevenzione delle intrusioni, di controllo degli accessi e di crittografia, fino all’autenticazione a due fattori. Anche ai nostri giorni, quindi, continua a valere il vecchio adagio secondo il quale la migliore politica di sicurezza è quella che combina persone e tecnologia.

Nonostante la necessità di coinvolgere il personale come parte essenziale della politica di sicurezza di un'azienda, la spesa per la formazione in security è ancora indietro rispetto agli investimenti in altre aree. Le implicazioni di questo sotto-investimento potrebbero avere gravi ripercussioni. Pertanto, la formazione non dovrebbe mai essere trascurata, anche perché la maggior parte delle attività dei criminali informatici non sfrutta tanto i punti deboli delle tecnologie di sicurezza, ma gli utenti... e questo comprende anche il personale. È indispensabile, quindi, che le aziende non si tirino indietro quando si tratta di aumentare la consapevolezza sulle minacce alla sicurezza e formino gli utenti su ciò a cui occorre stare attenti.

Ci sono diversi segnali incoraggianti, però, che le aziende stanno prendendo molto sul serio la sicurezza. Prendiamo, per esempio, il recente attacco Heartbleed. Le vulnerabilità sono state effettivamente trattate in tempi ragionevolmente rapidi e ci auguriamo che questo sia indicativo del tipo di risposta che, a livello di settore, possiamo attenderci in futuro. Detto questo, purtroppo, basta una breve ricerca per trovare siti web che sono ancora suscettibili al bug Heartbleed e potrebbero - potenzialmente – rendere disponibili informazioni sensibili agli aggressori. Heartbleed ha mostrato la debolezza intrinseca delle password statiche. La falla ha permesso agli hacker di acquisire le credenziali di accesso degli utenti, che potrebbero poi essere state utilizzate in modo illimitato in qualsiasi momento. Con una soluzione basata su One-Time Password (OTP), anche se gli hacker fossero riusciti a catturarne una, questa sarebbe scaduta e diventata inutile in mezzo minuto. Questo è molto più sicuro.

 

Crittografia - il collegamento chiave nella catena della sicurezza

 

Oltre a vagliare le soluzioni per la security offerte delle aziende, è importante anche valutare la sicurezza dei nuovi modelli di calcolo. Prendiamo, per esempio, il cloud computing. La fiducia di cui gode è venuta un po’ meno lo scorso anno quando emerse che, a quanto si dice, le agenzie di intelligence degli Stati Uniti avrebbero violato dati aziendali. Questo pone una domanda su quanto, in un programma di sicurezza, dovrebbe essere dedicato a tecnologie di crittografia largamente trascurate. In breve, se una società non codifica le proprie informazioni sensibili, tanto vale pubblicarle su dei manifesti nel bel mezzo di una città durante l'ora di punta. Mentre le aziende ripongono fiducia nelle promesse fatte da servizi di terze parti e da cloud provider per trattare la propria sicurezza come una priorità, è diventato un evento comune leggere sui media di imprese che hanno fatto un passo indietro sul fronte della security; in tal modo, esse hanno fallito con negligenza nell’impedire agli hacker di accedere ai dati di clienti innocenti.

Se non volete che ciò accada ai vostri dati, è indispensabile crittografarli con sicurezza. È lo stadio di protezione finale, semplicemente perché se gli hacker riescono a superare tutte le altre difese che avete posto, ma i dati sono un incomprensibile e confuso linguaggio, non potranno farsene nulla. Anche se non dovrebbe essere difficile convincere le imprese a comprendere la necessità della crittografia, la sfida è fare in modo che alla fine la mettano in pratica. Ma non fate l'errore di pensare che la crittografia è il meglio possibile per la sicurezza nel 2014: essa deve lavorare in combinazione con un arsenale difensivo multistrato e regolarmente aggiornato  - in aggiunta a una robusta ed applicata politica di sicurezza - per gestire efficacemente il livello di rischio all'interno di un'organizzazione.

 

Jan Valcke, President & COO di VASCO Data Security



Idee e opinioni

numero di 09/07/2014
SOMMARIO di questa settimana

Condividi su LinkedIn




Continua a sfogliare per il prossimo articolo -->

*/ ?>