Aeroporti in Germania, servizi postali nel Regno Unito e ospedali in Francia: gli attacchi informatici non conoscono confini. Qualsiasi organizzazione può trovarsi nel mirino dei cybercriminali. Ma ciò non implica necessariamente diventare una vittima. Il 2023 potrebbe essere l’anno in cui i prodotti di sicurezza informatica “irrobustiti” acquisiscono una posizione di rilievo
Alla fine del 2014, la società americana Sony Pictures Entertainment fu vittima di un grande attacco informatico, attribuito dall’FBI al governo nordcoreano e considerato una rappresaglia per il film “The Interview”. Qualche mese dopo, il gruppo cybercriminale “Cybercaliphate” fece notizia per essersi introdotto negli account Twitter del Comando dell’Esercito degli Stati Uniti per Medio Oriente e Asia centrale e della rivista settimanale statunitense Newsweek. Nell’aprile del 2015 l’infrastruttura di trasmissione della rete televisiva francese TV5 Monde fu bloccata e gli account social del canale hackerati e inondati di messaggi di sostegno allo Stato Islamico. Questi episodi sono stati una dimostrazione pubblica della capacità di uno stato belligerante di colpire un’azienda civile, indipendentemente dalle sue dimensioni e dai metodi impiegati per garantirne la sicurezza informatica.
Un graduale irrobustimento dei prodotti di sicurezza informatica
A dieci anni di distanza questi attacchi sofisticati mietono ancora vittime. Ma nel frattempo si sono evoluti e ora prendono di mira gli stessi prodotti di cybersecurity, con l’obiettivo di aprire una falla disabilitando o compromettendo la soluzione di sicurezza per ottenere privilegi elevati sulla macchina infetta. “Oggi gli attacchi più sofisticati sono rivolti principalmente ai prodotti di sicurezza informatica piuttosto che all’infrastruttura stessa”, afferma Andrea Scattina, Channel Manager Italy presso Stormshield. Il livello di sicurezza garantito da questi prodotti deve essere quindi monitorato e irrobustito nel tempo per garantire una protezione ottimale contro nuovi attacchi. E, come illustra il catalogo delle vulnerabilità note dell’agenzia americana CISA, nessun fornitore è immune a questi attacchi. Per questo motivo, il problema dell’irrobustimento (hardening in inglese) e del consolidamento dei prodotti di sicurezza informatica sta diventando una sfida importante. Questo approccio, originariamente sviluppato nel mondo militare per proteggere asset IT altamente sensibili, consiste nel ridurre la superficie di attacco di un sistema, software o prodotto al fine di renderlo più sicuro. In pratica, a livello di sistema o di infrastruttura, l’hardening comporta una combinazione di elementi: la configurazione ottimale dei sistemi operativi, la revisione regolare degli account privilegiati e delle regole del firewall, le restrizioni sui permessi attribuiti a specifici indirizzi IP e regole più rigorose associate all’uso delle password. In termini di soluzioni di sicurezza informatica, l’irrobustimento può (ad esempio) assumere la forma di un’architettura di microservizi o consistere nell’applicazione del principio del minor numero di privilegi possibili per l’accesso ai servizi. Per i fornitori, rappresenta una dichiarazione di qualità e professionalità: “L’intenzione è semplicemente evitare che il prodotto di sicurezza informatica venga utilizzato per scopi malevoli, come cavallo di Troia o tramite l’inserimento di backdoor” spiega Scattina, che aggiunge: “sempre più appalti pubblici, statali o di strutture pubbliche come ospedali, contemplano requisiti relativi alla sicurezza e alla necessità di avvalersi di soluzioni blindate”.
Un ponte digitale dal mondo militare alla società civile
Anche se i sistemi informativi militari differiscono da quelli civili, mantengono caratteristiche simili e condividono alcune tecnologie, hardware e software. A causa dell’alta sensibilità dell’infrastruttura e dei dati che proteggono, i prodotti di sicurezza informatica di grado militare devono soddisfare requisiti speciali; ad esempio, attraverso determinate configurazioni. Tutto ciò che resta è condividere le metodologie. L’hardening offre un’opportunità di condivisione e l’affidabilità delle soluzioni rappresenta un ulteriore criterio altrettanto importante.
Alcuni dei Paesi europei dotati di agenzie di sicurezza nazionale (come l’ANSSI in Francia, il BSI in Germania, il CCN in Spagna, l’ACN in Italia e il NCSC nel Regno Unito) hanno sviluppato programmi di qualificazione per i prodotti di sicurezza informatica. Per consentirne il riconoscimento a livello interstatale è stato firmato un accordo reciproco a livello europeo con l’intento di identificare soluzioni robuste e affidabili per la protezione dei servizi governativi sensibili. L’ANSSI francese definisce un prodotto qualificato come un prodotto robusto e ascrive la qualificazione a prodotti che soddisfano i requisiti dell’agenzia e che vengono certificati secondo criteri rigorosi, basati su un’analisi del codice sorgente per la parte software. Inoltre i prodotti devono garantire l’assenza di backdoor. Questa definizione mostra chiaramente che queste soluzioni non sono destinate solo alle attività militari. Infatti già numerose aziende civili si avvalgono di prodotti di sicurezza qualificati. La direttiva NIS2 europea include anche subappaltatori e fornitori di servizi con accesso a infrastrutture critiche tra le organizzazioni essenziali o importanti: sono tutte aziende civili che farebbero bene ad interessarsi al concetto di qualificazione.
Se una soluzione di sicurezza robusta e affidabile può proteggere servizi governativi sensibili, ha senso utilizzarla anche per la protezione dei dati sensibili dell’azienda. “La missione di Stormshield è da sempre fornire prodotti chiavi in mano robusti frutto di un intenso lavoro di integrazione e sviluppo”, spiega Scattina. I prodotti di sicurezza qualificati e blindati sono adatti sia per applicazioni militari che civili; occorre solo trovare un partner di fiducia.