L’abbraccio sempre più convinto delle aziende alle architetture e alle tecnologie legate al cloud computing, quando si parla di sicurezza, sembra aver spostato l’attenzione degli addetti ai lavori sul data center. E il tema della protezione degli endpoint è visto quasi come un argomento da studenti “fuori corso” ma non è proprio così.

Non è così perché servizi e applicazioni vengono fruiti attraverso dispositivi fisici e la gestione documentale prevede ancora l’utilizzo di stampanti e appliance legacy.
Quando dalla teoria si passa alla pratica – bisogna quindi risolvere i problemi reali delle aziende – non è possibile rifugiarsi nell’antico approccio della difesa del fortino. Se si offre la possibilità di lavorare in mobilità bisogna lasciare che le persone accedano ai dati ovunque, proteggendo le informazioni e i loro fluire in rete.
La trasformazione in atto nelle aziende sollecita quindi l’attenzione su come trattare l’informazione senza perderne il controllo.

E’ questo anche il parere di Filippo Todaro, responsabile della sicurezza del gruppo Mediaset, e di Daniele Murolo, responsabile dei sistemi periferici di Bper Banca, ospitati da Tino Canegrati, amministratore delegato di HP Italia a discutere sul tema.

La sicurezza degli endpoint in cifre

Partiamo dai numeri, guidati da Boris Balacheff, CT for security research & innovation HP Security Labs. Il valore dei rischi economici generati dall’evoluzione del cybercrime già nel 2021 varrà circa 6mila miliardi di dollari, con un danno economico medio per una singola violazione della sicurezza di circa 3,6 milioni di dollari, mentre il gap di competenze e risorse umane sempre entro il 2021 è previsto in circa 3,5 milioni di unità (fonte: Ponemon Institute e Ibm Security).

Allo stesso modo, il Cts di HP evidenzia come gli attacchi veramente distruttivi dal 2010 ad oggi si siano intensificati; Stuxnet è del 2010, Dark Seoul del 2013, ma già nel 2017 si sono registrati i danni di Brickbot, WannaCry, Petya/NotPetya, Bad Rabbit a fine anno e nel 2018 con Reaper, VpnFilter e KillDisk l’elenco potrebbe proseguire ancora. 

Boris Balacheff
Boris Balacheff, CT for security research & innovation di HP Labs Security

Soprattutto il cybercrime ha assunto e fatte proprie le logiche del business: oltre ai supermarket delle minacce sul dark web bisogna mettere in conto che gli hacker per ogni attacco valutano e condividono le valutazioni sul ritorno degli investimenti, ottimizzando e condividendo le risorse ove possibile.

Spiega Balacheff: “Il problema per le aziende, di fronte alle fabbriche di malware prodotto da parte di persone esperte, non è tanto se gli attacchi avranno successo ma quando“. Oggi, è vero, datacenter e servizi cloud sono nel mirino, ma questi attacchi hanno spesso la loro origine dagli endpoint (stampanti, pc, smartphone, videocamere. etc.), da cui poi è facile entrare nelle aziende per raggiungere l’obiettivo finale. 

Protezione degli endpoint, un problema di cultura

La protezione degli endpoint, al di là delle variabili legate al fattore umano, si lega a problematiche software e hardware: nel primo caso si fa riferimento alla bontà nella scrittura delle applicazioni, ma anche alla protezione del firmware del Bios, e cioè alla protezione software prima che la macchina avvii il sistema operativo stesso, così come a policy di patching tempestive (e ancora rare).

Allo stesso modo è doveroso pensare alla sicurezza a partire proprio dalla fisicità dell’endpoint, per esempio ripensando il posizionamento delle risorse di stampa, oppure proteggendo i documenti che vengono emessi dalla stampante solo in presenza di chi ne ha bisogno e che viene autenticato, ma anche facendo riferimento a soluzioni per proteggere i dati sui pc a partire da quello che possono visualizzare i vicini di viaggio quando si lavora con il laptop. 

Le criticità degli endpoint

Chi attacca un endpoint lo fa sfruttando tre possibilità: human exploit, exploit basati su problemi di rete, e exploit da accessi fisici. Non basta proteggere la rete e il software se ci si dimentica dell’hardware, tanto più considerando come le minacce future riguarderanno intere verticali industriali a partire dal manifatturiero, dai macchinari di produzione quindi. Si sa, la digitalizzazione e IoT estendono, non restringono di certo le superfici di attacco. 

Boris Balacheff, Ct for security research & innovation per i HP Security Labs
Boris Balacheff, CT for security research & innovation per i HP Security Labs

Vediamo le criticità specifiche per quanto riguarda il mondo del printing, criticità che sono comunque estendibili con qualche adattamento a tutti gli endpoint, esse sono individuate da Balacheff su sei punti:

  • Gestione inadeguata delle patch;
  • Mancato monitoraggio dei file di log e delle attività del dispositivo
  • Configurazione errata in rete
  • Gestione del ciclo di vita lacunosa
  • Disallineamenti tra governance e operatività
  • Scorretta gestione di dati e identità di accesso

A fungere invece da guida per i Cso vengono in soccorso gli standard. Cardini sono di sicuro quelli Iso (per esempio 11889 che riguarda i device Tpm)fino ad arrivare ai più recenti Nist 800-147 e ISO 19678 riguardanti la sicurezza del Bios, fino all’ultimo Nist del 2018 per la resilienza delle piattaforme firmware. 

L’esperienza Bper e Mediaset

Dalla teoria alla pratica. Racconta la propria esperienza sul campo Daniele Murolo, responsabile dei sistemi periferici di Bper Banca: “La sicurezza in un sistema bancario è indubbiamente un problema complesso, e richiede un approccio progettuale e lungimirante”. In Bper la prima presa di coscienza sui rischi sicurezza in proposito è scattata nel 2015 con il famoso scandalo Panama Papers (trafugamento dei dati dei clienti e dei loro conti bancari off-shore).

Prosegue Murolo: “E’ stata colta l’occasione per razionalizzare a livello di filiali e di sedi centrali il parco stampanti, chiudere i firmware, abilitare l’utilizzo dei dispositivi solo tramite badge e permetterne l’utilizzo con un’unica interfaccia grafica sia in filiale sia in centrale”. Sono state create poi vere e proprie printer room e si è cercato di fare comprendere il valore della singola stampata come produzione di un documento privato, con eliminazione a livello centralizzato delle stampe non recuperate entro la fine della giornata.

A livello client Bper ha rivoluzionato le procedure impedendo il salvataggio dei dati sui pc e l’installazione di applicazioni, sfruttando la crittografia dei dati e passando a un sistema progettuale di asset management e mobile device management.

Da sinistra: Daniele Murolo, Bper; Filippo Todaro, Mediaset; Tino Canegrati, HP Italia

Che il problema della sicurezza degli endpoint sia prima di tutto un problema procedurale è l’approccio cardine nella strategia di protezione anche di Filippo Todaro, responsabile della sicurezza del gruppo Mediaset: “L’azienda opera su diversi business (pubblicità e produzione televisiva), quindi la difesa riguarda uno scenario complesso. Per quanto concerne gli endpoint, il primo rilievo è che tutto può essere attaccato: le persone (phishing ma anche il semplice sguardo indiscreto sui dati del laptop), e le cose”. Tanto più quando sono collegate in rete, con il modello del ‘fortino’ che non ha più significato.

Todaro sposta il baricentro dell’attenzione sui fattori critici: “Soprattutto bisognerebbe iniziare a comprendere che l’esposizione dei servizi, attraverso partner fornitori, richiede un risk assessment accurato con analisi delle procedure. Non solo di quelle seguite internamente ma anche attraverso lo screening di chi si sceglie come partner, tanto più con il Gdpr in vigore”.

Il tema è complesso perché i dati entrano ed escono dall’azienda e quindi si deve lavorare affinché le policy corrette possano essere propagate anche al di fuori della stessa.
Mediaset, per esempio, è partita con il censimento completo dei propri asset, con tanto di registrazione di scadenza delle release, e delle patch e per ogni asset ha associata una valutazione del rischio. Ugualmente nella scelta di fornitori e partner: Todaro è chiamato ad una valutazione dei rischi accurata e alla relativa profilazione degli stessi con l’espressione di un parere responsabile.

Chiude Todaro: “Oggi il Cso non può porsi il problema di quale sia il firewall migliore da adottare, perché di tecnologia ce ne è in abbondanza, oggi si pone invece un problema di esercizio, di monitoraggio”. I sistemi di detection sono importanti, ma si è in grado di accorgersi e porre rimedio a quanto la tecnologia segnala? Il tema è chiaro: si tratta di gestire la complessità, di abbracciare un modello di security by design che è prima di tutto un modo di pensare.

© RIPRODUZIONE RISERVATA