Un effetto collaterale del lockdown e del conseguente ricorso allo smartworking è stato un forte aumento degli attacchi di hacker verso le aziende. Queste ultime infatti si sono trovate da un giorno all’altro a gestire un enorme numero di client remoti, attivati senza la possibilità di studiare con calma le procedure per garantirne la sicurezza. Una situazione perfetta per gli hacker, che infatti hanno intensificato le loro attività.
In questo contesto, chi ha pianificato con accortezza il proprio sistema di cyber difesa ha corso meno rischi e, in generale, è incorso in un minor numero di problemi. Ma cosa vuol dire pianificare un sistema di cybersecurity? Ovviamente non si tratta di installare un antivirus su ogni Pc e sperare per il meglio. Le armi utilizzabili per difendersi sono molte, ma qualsiasi esperto nel ramo sicurezza al quale facciate questa domanda vi risponderà che il miglior approccio è di prevedere la sicurezza fin dall’inizio della progettazione del sistema informativo. E probabilmente vi dirà anche che la sicurezza non è un prodotto da acquistare un tanto al chilo, ma piuttosto un processo continuo che quindi si deve evolvere nel tempo, proprio come si evolvono le minacce alle quali il sistema informativo è sottoposto.
Un esempio di cambiamento delle minacce è proprio quello cui stiamo assistendo in questi ultimi mesi. Fino a qualche anno fa, fare cybersecurity voleva dire difendere il Ced. Avevamo insomma un perimetro cui fare la guardia, con pochi ingressi facilmente controllabili e fortificabili. Oggi abbiamo il cloud ibrido, sistemi informativi con server e storage sparsi fra service provider e on premise, client collegati dagli uffici, da casa, e presto (speriamo) di nuovo da aeroporti, treni in corsa e da mille altri posti. Insomma, non c’è più un vero e proprio perimetro, a meno di considerare tale quello descritto dalle connessioni dei client. Come si difende un sistema di questo tipo? Ne abbiamo parlato con Nima Baiati, Global Director del Cybersecurity Solutions Group di Lenovo.
La meno cinese delle multinazionali cinesi vanta nel segmento della cybersecurity un’articolata offerta, che commercializza con il marchio ThinkShield e che comprende un’ampia gamma di strumenti, prodotti e servizi. Ma soprattutto, le macchine stesse di Lenovo sono progettate tenendo presenti le possibili minacce cui saranno sottoposte, e adottano quindi fin dal progetto una serie di contromisure.
La sicurezza è anche fisica
La scelta dell’hardware giusto è quindi un primo passo verso un sistema informativo sicuro? «Per quanto riguarda la progettazione dell’hardware, noi adottiamo un approccio che chiamiamo “security by design” – risponde Baiati – e questo per noi significa sorvegliare continuamente il panorama delle minacce esistenti, così come quello delle minacce future. Noi teniamo sotto controllo le tattiche, le tecniche e le procedure che gli hacker stanno utilizzando per attaccare i sistemi e le organizzazioni. La sicurezza è un processo e noi lo abbiamo integrato nel processo di progettazione dell’hardware. Così, per esempio, quando creiamo una nuova piattaforma hardware applichiamo questo principio della security by design a tutte le parti hardware da progettare. Quindi lavoriamo a stretto contatto con i produttori di chip, come Intel o Amd, e con i partner della componentistica, per scambiare informazioni sulla sicurezza. Inoltre, come security team di Lenovo noi forniamo ai team di progettisti specifiche e richieste da inserire nei controlli di sicurezza di quel dispositivo o piattaforma, come per esempio un Bios capace di accorgersi se è stato attaccato e in caso avvenga sia in grado di ripararsi automaticamente».
La tecnologia cui si riferisce Baiati è il Self-Healing Bios, che è montato su vari dispositivi della linea ThinkPad. Originalmente disponibile su due macchine (l’X1 Yoga Gen 4 e l’X1 Carbon Gen 7), è da poco stato reso disponibile su una nuova gamma di notebook, composta di 10 modelli: due sono l’evoluzione generazionale di quelli già equipaggiati con il sistema, mentre gli altri 8 sono altri due modelli serie X, tre della serie T e due della serie P. Il funzionamento è semplice: al momento del boot, la macchina verifica che il Bios che sta girando sia identico a una “golden image”, una sorta di copia master di riferimento, conservata in una memoria non accessibile dall’esterno. Se i due Bios non coincidono, il Bios alterato viene fermato e al suo posto viene caricata e fatta girare la versione Golden, sicura. È da notare che tramite i Lenovo Services è possibile caricare le impostazioni richieste per il Bios direttamente in fabbrica, comprese anche le password impostate secondo le richieste del cliente. In questo modo si elimina il rischio che le impostazioni vengano alterate durante la spedizione, e si impedisce anche all’utente finale di modificare il Bios senza autorizzazione.
«Un’altra precauzione è che seguiamo la cybersecurity dell’hardware non solo dal punto di vista del software, ma anche dal punto di vista di mitigare gli attacchi fisici al computer. Pensiamo a quello che è successo nel mondo negli ultimi 4 mesi circa, con il Covid-19, oggi ci troviamo con gran parte delle persone che lavorano fuori da un vero e proprio ufficio aziendale. Ma noi avevamo visto questo trend che iniziava a svilupparsi già anni fa, con molte organizzazioni che iniziavano a spostare in remoto vari profili lavorativi, perché naturalmente il lavoro in remoto produce benefici sia per l’azienda, sia per il lavoratore. E ci sono ruoli che sono remoti per loro natura, pensiamo a un venditore, pensiamo a un consulente, sono persone che passano gran parte del loro tempo fuori ufficio. Oggi però vediamo crescere esponenzialmente il numero di persone che lavorano da fuori, e quindi anche i loro dispositivi passano gran parte del tempo al di fuori degli edifici aziendali. Ecco che è necessario cercare il modo per mitigare gli attacchi fisici, e l’approccio security by design serve a questo. Abbiamo inserito cose come un interruttore fisico anti-manomissione per esempio. Pensate di stare lavorando in una camera d’albergo, e di lasciare il notebook incustodito per un periodo di tempo. Se qualcuno riesce a entrare nella camera, può avere accesso al notebook e tentare di scavalcare i dispositivi di protezione software di cui è dotato. Ma il notebook ha un interruttore fisico dietro al pannello posteriore, e se l’attaccante tenta di aprire quel pannello per raggiungere l’interruttore, il notebook si blocca, diventa un mattone inutilizzabile. E questo perché non c’è un motivo per cui l’utente legittimo debba mai raggiungere quell’interruttore o manipolare il pannello posteriore. Alla fine, tutto si riduce ad applicare al dispositivo una visione più olistica della cybersecurity: quel dispositivo, quell’endpoint, è parte della rete aziendale, e quindi ad esso dobbiamo applicare gli stessi concetti e lo stesso approccio alla sicurezza che tradizionalmente abbiamo dedicato alla rete corporate».
Un nuovo concetto di protezione
Se prima quindi avevamo un perimetro ben definito da proteggere, ora abbiamo da una parte un centro dati che non è più centro di nulla, visto che è distribuito fra on premise e cloud, client di ogni tipo (dal notebook al tablet allo smartphone) che sono sparsi ovunque e magari anche fabbriche 4.0 dotate di dispositivi IoT che trasmettono enormi quantità di dati verso il sistema informativo, spesso senza grandi protezioni lato Ot. Le iniziative da prendere per proteggere un’infrastruttura di questo tipo sono molteplici, ma da dove si parte?
«Sì, tradizionalmente le aziende avevano un’organizzazione e una visione molto network-centrica dal punto di vista della sicurezza. Certo, si proteggevano i server, si proteggevano i data center, si proteggevano l’ambiente corporate e la rete corporate. E tutto questo è ancora di vitale importanza. Ma nel frattempo ci sono stati due cambiamenti importanti, che hanno reso lo scenario ancora più complicato. Uno è che c’è stato uno spostamento di una serie di carichi di lavoro verso il cloud. Così molte organizzazioni hanno adottato un ambiente di tipo cloud ibrido, e alcune si stanno muovendo verso un approccio full cloud. Questo richiede ai professionisti della sicurezza di fare una serie di considerazioni. In particolare, anche se stiamo usando un cloud provider come Aws o Azure, chiunque sia quindi il “custode” dei dati del cliente, o delle applicazioni che risiedono su queste infrastrutture, dobbiamo sempre ricordarci che noi siamo comunque sempre responsabili per la sicurezza». Una cosa che si tende a dimenticare, soprattutto quando si utilizzano fornitori di cloud pubblici, i quali garantiscono generalmente alcune funzionalità di sicurezza, ma solo per quanto riguarda la salvaguardia dei dati in loro possesso o comunque residenti sui loro server, e di default non garantiscono tutta una serie di altre cose. E addirittura ci sono casi di nomi anche famosi nel mondo cloud che, su tipologie di contratto molto usate, non includono nemmeno il servizio di backup.
La regolamentazione finisce per aumentare la complessità
«Un secondo aspetto che ha aumentato la complessità degli ambienti informatici è l’aumento del livello di regolamentazione, in particolare riguardo concetti come la privacy e la residenzialità dei dati (ovvero la loro collocazione su server nazionali o esteri). La Gdpr è un esempio di regolamentazione di cui bisogna tenere conto, è vero che si tratta di un regolamento europeo riguardante la privacy, ma di fatto è applicabile a livello globale. Se io sono un’azienda Usa e ho un cliente europeo, dovrò comunque essere conforme alla Gdpr». E lo stesso succede quindi quando i dispositivi che usano i miei dipendenti si trovano magari in Europa, o in altri posti dove sono in vigore altri regolamenti. Il livello di complessità insomma, con i nuovi carichi di lavoro distribuiti in cloud e con i regolamenti da rispettare per far viaggiare i dati, è cresciuto parecchio. Cosa fare quindi?
«Quando si hanno tutti questi dispositivi fuori dal tradizionale perimetro aziendale, bisogna applicare a questi ultimi la stessa mentalità adottata per creare un approccio di difesa stratificato alla rete corporate. A iniziare dal determinare quali sono gli aspetti di sicurezza fisica che possiamo inserire nel dispositivo. Cose come l’interruttore anti-manomissione, o anche la possibilità di accorgersi e avvisarvi se qualcuno tenta di leggere i contenuti dello schermo di nascosto, guardando da sopra la vostra spalla mentre lavorate a documenti riservati in un luogo pubblico. O ancora i sistemi per mitigare attacchi contro il sistema operativo o anche sotto quel livello, come per esempio il Self-Healing Bios di cui abbiamo parlato prima. E poi si tratta di guardare al dispositivo dal punto di vista del sistema operativo, e quindi inserire controlli per la prevenzione, l’individuazione e la risposta ad attacchi malware noti o ancora non censiti. E qui la cosa si fa ancora più complicata, questa volta per la penuria, a livello globale, di esperti di cybersecurity, oltre che per il problema dei bassi budget di spesa. Quindi, come possono le aziende occuparsi di questi rischi addizionali e di queste nuove sfide, dovendosi occupare contemporaneamente del problema della moltiplicazione dei dispositivi client, visto che ormai la maggior parte dei dipendenti ha più dispositivi, hanno uno smartphone, un tablet, magari uno o due notebook, quindi un gran numero di dispositivi da gestire con un numero limitato di risorse preparate? Secondo noi di Lenovo, questa era la situazione giusta per chiedersi come migliorare le posizioni difensive dei nostri clienti tramite l’uso dell’intelligenza artificiale. Ed è così che abbiamo costruito la piattaforma ThinkShield, la nostra piattaforma di sicurezza. L’abbiamo inserita nei nostri dispositivi e abbiamo aggiunto strati di capacità basate su Ia, sfruttandola proprio per prevenire e individuare minacce note e sconosciute. E abbiamo usato l’Ia anche per togliere, o almeno ridurre, parte del superlavoro che un operatore umano doveva fare per la cybersecurity».
L’Ia riduce la complessità
Un altro aspetto di cui tenere conto, particolarmente quando si parla di svariati device, di ambienti IoT, di situazioni di connessione always-on, è quello della gestione degli accessi. In questo caso, è importante poter contare su un device in grado di fornire un metodo di autenticazione sicuro, che diventa un controllo supplementare in grado di fornire un ulteriore livello di sicurezza, sicuramente utile quando il dispositivo stesso viene usato al di fuori dell’ufficio corporate. Un esempio di funzionalità di questo tipo è il sistema di autenticazione biometrico, che fornisce un’identificazione molto più sicura di quella basata sulla combinazione nome/password o sui sistemi a doppio fattore (come conoscenza di una password e possesso di un secondo dispositivo dove visualizzare un codice). Se fino a pochi anni fa una password era una barriera sufficiente a fermare la maggior parte dei malintenzionati, oggi una cosa del genere non è nemmeno pensabile. Sul dark web sono in vendita a prezzi ridicoli milioni di credenziali d’accesso, rubate alle più diverse organizzazioni: catene di alberghi, ospedali, social network, banche, telco. L’hacker sempre più spesso è ben lontano dalla figura “romantica” del genio incompreso che si vendica della società attaccando i computer aziendali dal buio della sua cameretta. Oggi operano veri e propri gruppi di cyber criminali, che contano su ingenti mezzi finanziari e poderosi mezzi tecnici. Tanto che sempre più spesso attaccano in modo automatizzato, con reti di computer (bot network) che provano a penetrare in migliaia di server, scremano i bersagli e passano quelli più interessanti a un secondo livello, dove viene pianificato un attacco personalizzato in base a cosa si può ricavare dal breaching: denaro, informazioni su brevetti, database, eccetera. Contro una forza d’attacco di questo tipo, che ricordiamo deve essere moltiplicata per il numero di gruppi di hacker in attività – stimato in svariate decine, contando solo i gruppi ben organizzati e pericolosi – non ci si può certo opporre con strumenti manuali e con i pochi esperti di cyber security che una qualsiasi azienda può schierare. «Non tutte le aziende possono permettersi un vero e proprio security team – concorda Baiati – dipende molto dalle dimensioni, e quindi succede spesso di trovare team molto ristretti».
Ma ci sono degli strumenti specifici che Lenovo ha elaborato per semplificare questo tipo di task? «Assolutamente, nel nostro portfolio abbiamo per esempio uno strumento chiamato Endpoint Protection, che utilizza algoritmi di Ia. È il risultato di una partnership con SentinelOne, che ci permette di fornire questo strumento ai nostri clienti, che lo possono avere come parte dei loro device Think sulla piattaforma ThinkShield. Questo strumento permette di creare una storia contestualizzata della sicurezza tramite Ia. Per fare un esempio, può osservare che su un determinato dispositivo un certo “pattern” operativo è normale, parliamo dell’utilizzo di una certa percentuale di memoria, l’apertura di determinate applicazioni, il funzionamento di specifici processi. E magari a un certo punto succede qualcosa di anomalo, si aprono alcune applicazioni in orari strani, o i processi attivi passano da 10 a 12 senza motivo, ecco che quell’anomalia diventa un “data point” nella storia di sicurezza della macchina. Poi magari il consumo di memoria passa da X a Y, e questo è strano per cui diventa un altro data point. Quindi l’Ia sta costruendo automaticamente dietro le quinte una storia contestualizzata per determinare se c’è qualcosa di malevolo che sta succedendo. Questa cosa per un umano è estremamente dispendiosa dal punto di vista del tempo richiesto, senza contare che sarebbe estremamente difficile da fare senza speciali strumenti, perché all’occhio umano queste peculiarità non appaiono significative, mentre usando il machine learning è possibile creare uno storico che può essere positivo o negativo. Dal nostro punto di vista, si tratta sempre di mettere il nostro cliente nelle condizioni di massimizzare sui nostri dispositivi la protezione dal punto di vista della cybersecurity, sfruttando le tecnologie più avanzate. Per questo abbiamo potenziato il nostro portfolio ThinkShield, con prodotti come quello di SentinelOne in questo caso».
Gli obiettivi di Lenovo su data center, edge computing e big data. Ne parliamo con Alessandro De Bartolo, country manager del data center group per l’Italia di Lenovo
Vendere cybersecurity come servizio
Un possibile scenario alternativo è di vendere la sicurezza come un servizio, Security as a Service, fornendo al cliente non lo strumento in sé, ma dando il servizio di vigilanza sull’hardware. «Sì, i servizi sono una componente importante di un piano di sicurezza, perché consentono a un’organizzazione di guadagnare scalabilità ed elasticità rispettando i propri requisiti di sicurezza, procurandosi all’esterno quegli skill che magari in azienda non ci sono. Noi all’interno del nostro portfolio abbiamo una partnership nei servizi, per quanto riguarda la gestione dell’individuazione e della risposta alle minacce, sono quelle attività dove troviamo i security analyst che vigilano sulle minacce in arrivo, le identificano, le classificano. In questo caso la partnership è con lo stesso partner che abbiamo citato prima, SentinelOne, e ci consente di fornire ai clienti servizi di gestione del rilevamento delle minacce e servizi di risposta».
