La sicurezza, come tutti gli aspetti dell’Information Technology, è in continua evoluzione. Anzi, possiamo dire che questa è una delle branche dell’IT dove l’evoluzione è più veloce e impetuosa. Non passa giorno senza che si presenti qualche nuova minaccia e occorra rapidamente correre ai ripari, predisponendo risposte e tool adeguati a proteggere reti e computer di aziende e utenti. Ne sa qualcosa Trend Micro (www.trendmicro.it), che, come altri protagonisti del mercato della security, monitora costantemente nei propri laboratori la situazione. Ne abbiamo parlato con Gastone Nencini, senior technical manager di Trend Micro Italy.
L’evoluzione delle minacce
«Gli attacchi sono diventati più sofisticati – esordisce Nencini – e il loro numero rimane elevato, quantificabile in circa 6mila nuove minacce ogni ora». Ma in che modo sono cambiate le minacce? «Innanzi tutto, è cambiato l’agente: se una volta gli attacchi informatici venivano portati da studenti che volevano dimostrare la loro bravura, oggi agisce la criminalità organizzata o addirittura gli Stati. Lo scopo è quello di sottrarre dati importanti. Qualsiasi tipo di informazione può essere comunque venduta: l’acquirente si trova sempre e facilmente». Il tipo di attacco oggi più comune appartiene alla categoria definita come Apt, Advanced persistent threat, cioè minaccia avanzata persistente. Di che si tratta? «Di un attacco che segue uno schema ben definito, con un processo ben delineato che parte da una fase di studio del bersaglio da parte dell’attaccante. Inoltre, spesso il target primario dell’attacco non coincide con il target principale, nel senso che si colpiscono istituzioni, compagnie, società che collaborano con il target principale. In altri termini, l’attacco non è mai sferrato in maniera diretta, ma lavorando sui “vicini” del bersaglio». In questo modo, infatti, si sfruttano debolezze, spesso umane, attraverso cui riuscire a penetrare nell’area difesa. «Se attacco direttamente il fortino, troverò probabilmente persone preparate all’attacco e quindi pronte a difendersi. Ma se colpisco, facendo un esempio medioevale, il contadino che porta merci all’interno del fortino, avrò vita più facile perché determinati tipi di controlli magari non vengono effettuati e posso utilizzare lui per penetrare nelle difese delle fortificazioni». La prima fase di un attacco Apt, spiega Nencini, consiste nel profilare i bersagli, cosa che si può fare mediante i social network, attingendo alle informazioni personali che spesso si condividono su servizi quali Facebook. «Se ricevo un messaggio relativo a un mio hobby che ho condiviso su Facebook è più facile che io lo apra piuttosto che se l’oggetto è relativo a farmaci miracolosi di vario genere». A questo genere di attacchi si associano quelli inconsapevoli, causati per esempio dall’impiegato che si porta in ufficio la memory card della sua macchina fotografica digitale per stampare le foto. «Se il mio computer di casa non è adeguatamente protetto, nel momento in cui porto la card in ufficio, corro il rischio concreto di trasferire malware nella rete aziendale».
L’importanza degli aggiornamenti
«Se i dati da proteggere sono strategici e quindi hanno un valore elevato, conviene pensare a un’infrastruttura e a una serie di processi che possano consentire di limitare il danno». In effetti, oggi c’è anche il problema posto dal proliferare di dispositivi mobili, quali gli smartphone e i tablet. A tutto questo occorre comunque aggiungere una considerazione importante: «Se si utilizza un prodotto di sicurezza che si aggiorna ogni ora, ricordando il dato di cui abbiamo parlato prima, cioè i 6mila nuovi malware ogni ora, questo significa che ho una finestra di rischio di 6mila malware da cui non sono protetto». Per ovviare a questo problema, Trend Micro ha deciso di affidarsi a uno dei paradigmi dell’IT attuale, il Cloud computing. «Nel 2008 abbiamo rilasciato la Smart Protection Network, un sistema di sicurezza basato sulle capacità del Cloud computing. Noi non rilasciamo più aggiornamenti frequenti sul singolo device, ma condividiamo delle informazioni su database presenti nel Cloud, che vanno a bloccare la catena di distribuzione dei malware». Attraverso questa strategia e l’apporto di tecnologie come Deep Discovery, che consente di analizzare il traffico non solo Outside-In cioè dall’esterno verso l’interno dell’azienda, ma anche Inside-Out, cioè viceversa, Trend Micro è in grado di individuare minacce che sfuggono ai normali Ips/Ids (Intrusion prevention/detection systems). «Secondo IDC, siamo il primo vendor per la protezione del Cloud, come dimostrato dal fatto che Facebook ci ha scelto per la protezione dei link postati dagli utenti». Quale consiglio darebbe a chi vuole mitigare i problemi di sicurezza oggi? «Sicuramente di educare il personale: è una sorta di assicurazione contro eventuali danni da attacchi informatici».