La costruzione dell’Agenzia per la cybersecurity nazionale è un passo importante verso un paese più moderno e, soprattutto, più robusto e resiliente: per non perdere questa occasione è fondamentale che le scelte dell’Agenzia tengano conto di una differenza importante tra due tipi di cyber security che, per estrema semplicità, indicherò come reattiva e predittiva.
Distinguere le due è, a mio avviso, fondamentale perché delimitano uno spazio di comportamenti e strategie: scegliere in quale punto dello spazio l’Agenzia si andrà a collocare ha ripercussioni importanti non solo per l’Agenzia stessa ma per il sistema Paese.
Ecco l’Agenzia per la cybersicurezza nazionale: come cambia la sicurezza cibernetica dell’Italia
Indice degli argomenti
Cos’è la cyber security reattiva
Partiamo dalla cyber security più popolare, quella reattiva. Fondamentalmente, questo approccio alla cyber security accetta la fragilità dei sistemi informatici e assume come inevitabile il successo degli attaccanti.
Di conseguenza, il focus in questo caso è sulla reazione all’attacco e sulla gestione a posteriori del rischio e degli impatti. Questo approccio aumenta la sicurezza, ma solo dopo un attacco.
La cyber security reattiva spiega il successo degli attaccanti con la loro estrema sofisticazione nello scoprire e sfruttare vulnerabilità o con l’aiuto offerto loro da utenti poco accorti.
Una strategia di difesa molto usata dalla cyber security reattiva è la disciplina di tutti gli utilizzatori. Non appena gli utenti avranno imparato come comportarsi, i problemi di sicurezza diminuiranno fino a sparire e nessun attaccante avrà più successo.
In altre parole, le fragilità del sistema informatico messe a nudo dai comportamenti degli utenti non sono dovute al progetto o alla cattiva gestione o alle politiche di sicurezza ma agli utenti stessi. Per alzare il livello di sicurezza del sistema basta aumentare il livello di disciplina degli utenti.
Le principali caratteristiche della cyber security reattiva
Una delle caratteristiche più interessanti della cyber security reattiva è che non ci sono responsabili. Nessuno è responsabile se un utente ha una password debole o clicca su un link. Certo dovevamo educarlo meglio ma si sa, gli utenti sono indisciplinati e ci vuole tempo perché imparino.
In alternativa, l’assenza di responsabili è dovuta ai sofisticati attaccanti che si devono fronteggiare. Non si è mai visto un attaccante che non sia molto sofisticato: lo sono tutti, per definizione, anche quelli che indovinano una password che è 1234.
Il fatto che sia in atto uno scontro a basso attrito tra nazioni contribuisce perché permette di ipotizzare di essere stati attaccati da un gruppo di criminali che opera per conto di uno stato o che l’attacco subito sia parte di uno più complesso comunque sponsorizzato da uno stato.
Questo vale anche quando un ransomware cripta i file di una PMI che opera nel settore della moda. È noto che alcune mogli di dittatori amano la moda italiana e quindi non ci si deve stupire dell’attacco.
L’assenza di responsabilità facilitata dalla cyber security reattiva è molto amata dagli uffici legali perché nessuno può essere condannato a rimborsare danni dovuti ad un attacco portato da una potenza straniera. A chi pensa che stia esagerando, ricordo il rifiuto delle assicurazioni di pagare i danni provocati da NotPetya in quanto classificato come atto di guerra.
Un approccio reattivo alla cyber security utilizza prodotti che sorveglino e regolino il comportamento degli utenti: sistemi per rilevare intrusioni che scoprano comportamenti sbagliati degli utenti, firewall per impedire che gli utenti scarichino file pericolosi, web firewall per impedire che visitino siti pericolosi e così via.
Per ogni nuovo comportamento, qualcuno svilupperà e metterà sul mercato un nuovo prodotto. I problemi correlati all’acquisto di prodotti ci permettono di scoprire un altro grande colpevole: il budget. L’approccio reattivo dà per scontato che per ottenere cyber security sia necessario aumentare il budget, se il budget non viene aumentato e c’è un attacco, allora la responsabilità è del budget.
Non è dato sapere cosa succeda del budget dopo un attacco e dei costi che si devono affrontare per scoprirlo e ripristinare uno stato consistente (con gli stessi difetti di prima). Probabilmente, questi costi sono coperti in un budget diverso.
Il fatto che spesso i prodotti acquistati non siano efficaci nel sistema da proteggere o che non vi siano le competenze per utilizzarli non è poi così importante. La saggezza popolare ci ricorda che “nessuno è mai stato licenziato per avere comprato un firewall”. Anche se non si capisce chi si dovrebbe licenziare, visto che non ci sono responsabili.
La cyber security reattiva ama in particolare ogni prodotto che deve essere solo installato e fa tutto da solo. Il fatto che la conoscenza del sistema da difendere sia fondamentale e permetta significative ottimizzazioni e fine tuning è del tutto trascurabile, nessuno ha tempo da perdere e si potrebbe violare il budget. Non ci fossero falsi positivi e falsi negativi, l’obiettivo sarebbe stato raggiunto da almeno 30 anni, ma loro continuano a persistere e a causare problemi.
La cyber security reattiva è anche semplice da insegnare, in fondo si tratta di dare un po’ di regole di comportamento e di insegnare a configurare dei prodotti di sicurezza. Non sta all’esperto di cyber security decidere se si comprano o no dei prodotti e se i prodotti acquisiti possono essere coordinati. Questo è un problema legato al budget.
Cos’è la cyber security predittiva
Vediamo ora la cyber security predittiva. Caratteristica fondamentale della cyber security predittiva è, innanzitutto, di ragionare a priori su tutto il sistema, cercando difetti o vulnerabilità che possano permettere gli attacchi prima che essi avvengano.
L’approccio predittivo richiede che il sistema da proteggere e i suoi componenti siano noti, che le loro vulnerabilità siano stati scoperte, catalogate ed opportunamente astratte. Per questo vengono sviluppati opportuni strumenti di scanning e scoperta.
Operando sui componenti del sistema, la cyber security predittiva può scoprire che molti dei problemi attribuiti agli utenti sono spesso dovuti ai troppi diritti assegnati loro.
A questo punto, invece di comprare un prodotto, la cyber security predittiva può suggerire di ridurre questi diritti, aka least privilege, e ad assegnarli in base ai ruoli degli utenti invece di nominare amministratore ogni utente. Tra l’altro, questo potrebbe aiutare anche a soddisfare il need to know del GDPR.
Analizzando i componenti del sistema, la cyber security predittiva può valutare i fornitori per capire quali hanno prodotto componenti con molte vulnerabilità e, addirittura, introdurre controlli compensativi per le vulnerabilità scoperte se si vuole comunque utilizzare il componente.
Una caratteristica fondamentale, un fingerprint potremmo dire, della cyber security predittiva è il security assessment. Da non confondere con il vulnerability assessment o con il penetration test, questo assessment valuta la robustezza di un sistema, la sua capacità di resistere agli attaccanti e le vulnerabilità da rimuovere per ridurre sia le opportunità per gli attaccanti che i loro potenziali impatti.
L’analisi globale delle vulnerabilità condotta durante un security assessment, se accoppiata a servizi di threat intelligence e tecniche di adversary simulation, riduce drasticamente il numero di vulnerabilità su cui intervenire riducendo così anche la finestra di vulnerabilità del sistema.
Tutto quanto detto può essere riassunto dicendo che nell’approccio predittivo hanno un ruolo fondamentale tutti gli strumenti per la scoperta di componenti, delle loro vulnerabilità e dei percorsi di attacco che queste vulnerabilità abilitano ovvero delle sequenze di attacchi che permettono agli attaccanti di raggiungere i loro obiettivi.
Tipica sequenza di attacco è quella che permette a un ransomware di cifrare tutti i database di un sistema. L’automazione dell’assessment permette di condurre analisi più complesse migliorando l’accuratezza dei risultati e riducendo il numero di falsi positivi e negativi nei percorsi di attacco segnalati.
L’adozione di eventuali prodotti di sicurezza per la difesa del sistema avviene solo successivamente all’assessment e alla rimozione di vulnerabilità, in modo sia da limitare il numero dei prodotti da acquisire che di sceglierli a partire dalle vulnerabilità che non si è potuto eliminare.
Ciò può ridurre il numero di prodotti da acquisire, il costo complessivo e anche il numero di vulnerabilità da gestire. Tra l’altro, la cyber security predittiva sa benissimo che introdurre prodotti per la cyber security vuol dire aumentare il numero di componenti e quindi il volume del software complessivo del sistema.
Ciò aumenta necessariamente il numero delle vulnerabilità e dei percorsi di attacco utilizzabili. A chi obietta che componenti di sicurezza non dovrebbero avere vulnerabilità, ricordo, sommessamente, SolarWinds e Sunburst.
Un’ulteriore caratteristica della cyber security predittiva è operare su tutta la vita di un sistema a partire dal progetto, aka security by design, per prevenire la costruzione di sistemi con vulnerabilità facili da sfruttare.
L’adozione della security by design limita ulteriormente i costi perché le modifiche a un progetto hanno costo minore di quelle a un sistema già esistente dopo che è stato attaccato. Quando si parla di progetto non dobbiamo pensare solo a quello iniziale ma anche alle centinaia di modifiche ed estensioni apportate ad un sistema durante tutta la sua vita.
I principali difetti della cyber security predittiva
Dopo aver ricordato altre strategie tipiche della cyber security predittiva come le zero trust architectures e la segmentazione, micro e delle reti, possiamo passare ai difetti.
Un primo difetto è che la cyber security predittiva richiede competenze non banali che è difficile insegnare. Bisogna ragionare su sistemi, su comportamenti emergenti, sulla correlazione tra attacchi, molto peggio che imparare le regole di filtraggio di un firewall o ad installare un prodotto che fa tutto da solo.
L’unica soluzione per risolvere questa complessità è quello degli strumenti per automatizzare un assessment. Inoltre, la cyber security predittiva è anche più complessa da comunicare, richiede competenze informatiche specifiche e non solo abilità dialettiche.
Ma il difetto imperdonabile della cattiva cyber security è che fornisce informazioni sui difetti di un sistema e dei suoi componenti. Fondamentalmente, il fatto che la cyber security predittiva indichi ai progettisti, ai gestori e agli amministratori di un’infrastruttura le azioni per rimediare alle carenze evidenziate.
Conoscere ma non eseguire queste azioni può generare problemi perché, se e quando un attacco ha successo, sarà difficile fornire una spiegazione basata unicamente sulla sofisticazione degli attaccanti e sul budget e trascurare le carenze non ancora rimediate.
Un recente e illuminante esempio di cyber security predittiva è l’ordine rilasciato il 10 agosto dall’Office of Management and Budget USA che obbliga tutte le agenzie federali a identificare entro 60 giorni e a mettere in sicurezza entro un anno tutti i sistemi software critici perché, ad esempio, operano su informazioni critiche o interagiscono con dispositivi critici.
Secondo l’OBM, questo è necessario per fronteggiare meglio gli attacchi che mettono a rischio il settore pubblico, quello privato e, in ultima analisi, la sicurezza e la privacy del popolo americano.
Perimetro di sicurezza nazionale cibernetica, in Gazzetta ufficiale tutti i beni e servizi inclusi
Ruolo dell’Agenzia cyber per la resilienza del Paese
Ritengo la creazione dell’Agenzia per la cyber security un’occasione irrinunciabile e irripetibile per far crescere e diffondere nel Paese tutta la cyber security predittiva di cui abbiamo bisogno per costruire infrastrutture informatiche robuste e resilienti e contribuire così alla resilienza del sistema Paese.
Inoltre, è anche un’occasione unica per aggiornare i programmi dei corsi che nei vari percorsi formativi ai diversi livelli, dalle scuole secondarie, agli IFTS (Istruzione e Formazione Tecnica Superiore) e alle università che trattano la cyber security.
