2016 · 2 EROUNO TOP SELECTION 2016 sommario La diffusione della digitalizzazione e, soprattutto,...

Mobile security

2016T O P S E L E C T I O N

S E C U R I T YW H I T E P A P E R

2 ZeroUno top selection 2016

sommario

La diffusione della digitalizzazione e, soprattutto, l’esplosione dell’utilizzo di device utilizzati in mobilità impone una gestione della security, da parte delle aziende, che includa la mobile security tra i suoi pilastri imprescindibili. In questo White Paper, che raccoglie alcuni degli articoli più interessanti sul tema pubblicati da ZeroUno nel 2015, ci si focalizza quindi sulle criticità della mobile security e su tecnologie e modelli organizzativi per impostare una strategia di security che metta l’azienda al riparo dai sempre più serrati attacchi del cybercrime. Sono molteplici gli elementi che contribuiscono a rendere la sfida della mobile security difficile. La prima criticità è il Byod (Bring your own device): la diffusione di device personali si affianca al fatto, come indicato negli articoli, che i lavoratori pretendono di scegliere i dispositivi che vogliono per svolgere la propria attività professionale, anche a dispetto delle direttive corporate. Da questo deriva la seconda criticità, ossia un aumento delle tipologie di device – Android e iOS soprattutto, ma anche Windows e BlackBerry - ciascuna con differenti interfacce Api, profili di sicurezza, caratteristiche tecnologiche con cui i Sistemi Informativi devono inevitabilmente confrontarsi. La terza, infine, riguarda il piano applicativo, dove aumenta l’intersezione tra mondo privato e professionale con soluzioni che favoriscono uno switch semplice tra applicazioni del primo e del secondo tipo; il problema è nuovamente quello di dover accettare un aumento della diversificazione a cui è necessario far fronte: oltre a quella relativa ai device sopra citata, si aggiunge quella delle app mobili, ancor più significativa se si considera che queste sono aggiornate più frequentemente di quelle tradizionali, facendo crescere ulteriormente il numero delle versioni in circolazione. Fondamentale quindi il tema delle Api – Application programming interface che potrebbero facilmente trasformarsi in vettori di malware.

WH

IT

E

PA

PE

R

Mobile security: rispondere alla complessità

pag 3

pag 6

pag 11

pag 13

Le 15 tecnologie per la mobile security

Impedire alle Api di trasformarsi in vettori di malware

Il grande ritorno dell’endpoint security


torna a sommario‹S E C U R I T YW H I T E P A P E R

I dipendenti scelgono i device che ritengono più produttivi per il proprio lavoro, siano essi autoriz-zati o meno dall’azienda, e utilizzano le applicazioni business che reputano migliori, anche se ciò significa acquistarle privatamente: è un tendenza ormai in atto da anni e sta all’It trovare tecnologie in grado di ga-rantire la protezione dei dati sensibili aziendali, tenendo conto del fatto che imporre una suddivisione tra strumenti personali e professionali è una strada sempre meno percorribile. È una delle riflessioni che emer-gono da un recente report di Forrester sul tema della sicurezza in Mobilità (The State Of Enterprise Mobile Security, Q2 2015: Strategies Continue To Focus On Mobile Apps, basato su dati derivanti da varie survey re-alizzate presso dipendenti, Security e Tlc manager, Business & Technology decision maker in Nord America ed Europa nel 2014 e 2015 dalla società di ricerca), che prima descrive lo scenario sempre più complesso che l’It si trova a fronteggiare, quindi suggerisce le soluzioni da adottare sul fronte tecnologico per far fron-te alle criticità più evidenti.

Un PAnOrAmA cOmPLeSSO: ByOD, DevIce DIverSIFIcAtI,

APPLIcAZIOnI nOn AUtOrIZZAte

Sono molteplici gli elementi che contribuiscono a rendere la sfida della mobile security difficile. La prima criticità è il Byod: il 61% dei dipendenti europei e nord americani utilizza il proprio

smartphone per lavoro, e il 56% fa lo stesso con il tablet. I lavoratori pretendono di scegliere i dispositivi che vogliono per svolgere la propria attività professionale, anche a dispetto delle direttive corporate, ma il 53% di loro vorrebbe che la security, ovvero la protezione dei dati aziendali sensibili che transitano su que-sti stessi device, fosse gestita direttamente dai propri datori di lavoro; solo un 35% preferisce scegliere qua-li soluzioni utilizzare, comunque sotto la guida dell’It (figura 1).

Si assiste di conseguenza a un aumento delle tipologie di device – Android e iOS soprattutto, ma an-che Windows e BlackBerry - con cui i Sistemi Informativi devono inevitabilmente confrontarsi, ciascuna con differenti interfacce Api, profili di sicurezza, caratteristiche tecnologiche.

Sul piano applicativo, si ritrova la stessa volontà di poter scegliere liberamente: il 40% delle persone in Europa e Nord America che utilizzano tablet o smartphone per lavoro ha acquistato almeno un’applica-zione business al di fuori del portfolio aziendale. Soluzioni come Google’s Android for Work, oltretutto, fa-voriscono ulteriormente l’intersezione tra mondo privato e professionale offrendo uno switch semplice tra applicazioni del primo e del secondo tipo. Il problema è dunque nuovamente quello di dover accettare un aumento della diversificazione a cui è necessario far fronte: oltre a quella relativa ai device sopra citata, si aggiunge quella delle app mobili, ancor più significativa se si considera che queste sono aggiornate più fre-quentemente di quelle tradizionali facendo crescere ulteriormente il numero delle versioni in circolazione (figura 2).

L’urgenza di trovare soluzioni adeguate è forte: i dipendenti utilizzano infatti i propri smartphone e ta-blet per accedere a dati sensibili aziendali quali informazioni relative ai clienti, dati finanziari riservati e co-perti dalla proprietà intellettuale (figura1) e il 22% degli incidenti rilevati dai Security manager si lega pro-

Mobile security: rispondere alla complessità

A FrOnte DI UnA

InArreStABILe creScItA

DeL ByOD, ALL’It nOn reStA

che StUDIAre StrAtegIe

DI SIcUreZZA cAPAcI DI

rISPOnDere ADegUAtAmente

A Un PAnOrAmA SemPre PIù

cOmPLeSSO: AUmentAnO

InFAttI Le tIPOLOgIe DI DevIce

SUL mercAtO, Le verSIOnI

DeI SIStemI OPerAtIvI

In cIrcOLAZIOne e L’UtILIZZO

DI APPLIcAZIOnI BUSIneSS nOn

AUtOrIZZAte. FOrreSter

InDAgA IL temA

DeLLA “mOBILe SecUrIty”

e SUggerISce Le BeSt

PrActIce DA SegUIre Per

ASSecOnDAre UnA

trASFOrmAZIOne verSO

LA mOBILItà neceSSArIA

AL BUSIneSS, mA che ImPOne

eStremA AttenZIOne

SUL PIAnO DeL cOntrOLLO

DeI rISchI

d i V a l e n t i n a B u c c i[ ZeroUno 399 / dicembre 2015 / pag. 44 ]




prio a device persi o rubati; parallelamente, la mobility è in crescita: il 71% dei Responsabili delle telecomunicazioni aziendali dichiara che, Byod a parte, la spesa in tablet aumenterà di almeno il 5% (la pri-ma percentuale è del 59% se si parla di smartphone) e il 45% dei Business & Technology decision makers considera altamente prioritario nell’arco di un anno incrementare il budget dedicato all’aumento del nume-ro delle applicazioni mobili.

PrOteggere I DAtI SenZA POSSeDere I DISPOSItIvI

Per quanto vi sia consapevolezza rispetto alla criticità del tema mobile security, non è semplice offrire risposte strategiche e tecnologiche adeguate. Forrester individua delle best practice che possono rappresen-tare un utile riferimento:

Controllare il flusso dei dati - Non potendo l’It più sperare di limitare le tipologie di device dei propri dipendenti o di evitare la diffusione più o meno autorizzata del Byod, le aziende devono trovare il modo di proteggere i propri dati sensibili senza possedere e controllare direttamente smartphone e tablet utilizzati per accedervi (l’ha già capito molto bene il 34% dei Responsabili delle telecomunicazioni azienda-li che considera lo studio e l’attuazione di un programma Byod altamente prioritario, accettando la sfida sul piano della sicurezza che ne deriva); il suggerimento è quindi, prima di tutto, puntare su tecnologie capaci

fonte: Forrester Research, 2015

Scenario delle dinamiche che caratterizzano il mondo del Mobile Security aziendale

figura 1



di controllare il flusso dei dati in ogni sua “tratta”: tra un device mobile e l’altro e tra questi e le risorse azien-dali di back end o il mondo esterno.

Andare oltre le funzionalità “di base” - Più di un terzo delle imprese utilizza o prevede di utiliz-zare tecnologie di sicurezza mobile. Ma quelle ad oggi sfruttate per il raggiungimento di tali obiettivi sono soprattutto “di base”, legate soprattutto al controllo degli accessi e alla mitigazione dei danni derivati dalla perdita dei device; andrebbero invece incrementate funzioni più avanzate, ancora poco diffuse ma comun-que in crescita, come sistemi per la crittografia del dispositivo, Applicazioni Wrapping (soluzioni che aggiun-gono ulteriori livelli software per la gestione della sicurezza applicativa senza apportare alcuna modifica al-le applicazioni), sistemi per il filtraggio delle Url.

Sistemi Mdm con sicurezza integrata - Le aziende non si accontentano più dei tradizionali sistemi di Mdm-Mobile device management (software che consentono di gestire dispositivi mobili di diverse tipolo-gie controllando in modo centralizzato applicazioni, dati e configurazioni, quest’ultime anche legate alla si-curezza): dal 2013, la percentuale di It decision makers che considerano l’Mdm una “top priority” è scesa dal 71% al 41%. Da un lato questo calo è sicuramente determinato dal fatto che si tratta di soluzioni già am-piamente implementate nelle aziende, dall’altro la responsabilità può anche essere attribuita all’incapacità di questi sistemi di fornire, sul piano della security, un efficace governo della forte variabilità di device, sistemi operativi e aggiornamenti descritta. Riguardo a questo secondo aspetto, Forrester segnala però che esistono alcuni Mdm con particolari funzionalità di sicurezza integrate che andrebbero riconsiderati poiché, se imple-mentati correttamente, potrebbero invece essere capaci di rendere il problema se non risolvibile, più gesti-bile.

Approccio multilivello – È consigliabile avere un approccio multilivello: riuscire a implementare una tecnologia pensata per il controllo del livello applicativo, una per quello del sistema operativo e una per la rete, può offrire forti garanzie. È anche utile scegliere sempre tecnologie integrabili con le tradizionali solu-zioni end-point o fare in modo che tramite lo stesso motore di policy (software che consente di creare, mo-nitorare e far rispettare le regole su come è possibile accedere alle risorse di rete e dati aziendali) siano ge-stibili sia le soluzioni desktop/laptop sia quelle Mdm.

Autenticazione biometrica – Si può cercare infine di spingere su misure di autenticazione bio-metriche facendo leva sulla popolarità che hanno ottenuto grazie alla diffusione nel mondo consumer: se le persone hanno già esperienze positive nel loro utilizzo possono superare le perplessità legate al-la privacy. Forrester suggerisce di sfruttare il trend e “capitalizzarlo” inserendo questo tipo di tecnologie anche nell’ambito lavorativo.

fonte: Forrester Research, 2015

figura 2La moltiplicazione

di dati, applicazioni

e aggiornamenti che aumenta

l’esposizione alla perdita dei dati



Non ne saranno entusiasti i responsabili della security: se da un lato esiste oggi un ampio spettro di tecnologie di mobile security che ne vanno a coprire i diversi livelli (sistema operativo del de-vice, reti e applicazioni), dall’altro il vero problema è che queste tecnologie evolvono con la stessa velo-cità con cui si va diffondendo la mobility, raggiungendo livelli di maturità, e di obsolescenza, in tempi più rapidi di qualsiasi altra tecnologia di security. E, per aggiungere ulteriore preoccupazione, molte del-le tecnologie più interessanti si trovano in una fase ancora emergente.

Parola di Forrester che, nel TechRadar: Enterprise Mobile Security rilasciato lo scorso novembre, identifica le 15 tecnologie che oggi, pur trovandosi a differenti livelli di maturità (figura 1), rappresentano il quadro di riferimento della mobile security. Tra queste, quella che secondo gli analisti emerge come la più innovativa è il data wrapping (vedi riquadro nelle pagine successive). Secondo Forrester ci troviamo in un momento in cui gli stessi vendor di security stanno ridefinendo la propria strategia di offerta per quanto riguarda la mobility per cui finché i big vendor non rilasceranno soluzioni in grado di coprire l’in-tero stack della mobile security, l’analista consiglia di implementare per ogni singolo livello una specifica soluzione adeguata a proteggerlo.

Le 15 tecnologie per la mobile security

DAtI e APPLIcAZIOnI, retI e

SIStemA OPerAtIvO DeL

DevIce: SOnO I tre LIveLLI SUI

qUALI SI Deve ArtIcOLAre

UnA StrAtegIA DI mOBILe

SecUrIty, mA nOn eSIStOnO

SOLUZIOnI mAtUre che LI

cOPrAnO tUttI e tre. cOme

OrIentArSI, qUInDI?

FOrreSter, IDentIFIcAnDO

Le 15 tecnOLOgIe che OggI

InDIrIZZAnO I DIverSI ASPettI

DeLLA mOBILe SecUrIty,

FOrnISce Un qUADrO DI

rIFerImentO neLL’AmBItO DeL

qUALe OgnI AZIenDA Deve

DeFInIre LA PrOPrIA

StrAtegIA

d i P a t r i z i a F a b b r i[ ZeroUno 391 / marZo 2015 / pag. 24 ]

fonte: Forrester, novembre 2014

Il TechRadar di Forrester per l’Enterprise Mobility Security

figura 1




mOBILe SecUrIty StAck: LA SOLUZIOne gIUStA Per OgnI LIveLLO

Forrester ha categorizzato le 15 tecnologie in tre grandi gruppi per la protezione di ciascun livello: 1) dati e applicazioni; 2) sistema operativo del device; 3) rete. Come si evidenzia dalla figura 2 che riassume questi cluster, il data wrapping è trasversale ai tre livelli garantendo una protezione intrinseca del dato lungo tutto il suo percorso.

Quindi la strategia vincente è quella di proteggere ogni livello combinando l’utilizzo di più soluzioni in modo da ampliare la loro efficacia complessiva. Per esempio, implementando un gateway per la secu-rity della rete, insieme a una soluzione Mdm (mobile device management), combinate con una soluzione di application wrapping (che sovrappone alla singola applicazione un ulteriore livello di sicurezza). Na-turalmente non esiste un unico approccio; i fattori che influenzano queste scelte sono diversi: il livello di

“Il cyber world è il Wild Wild West e, in una certa misura, ci viene chiesto di essere lo sceriffo di questo ‘selvaggio West’. quando accadono fatti come quello che ha coinvolto Sony lo scorso novembre [il cyber attacco che ha derubato migliaia di file all’azienda giapponese e dietro il quale l’Fbi sospetta la regia della corea del nord, ndr] la gente vuole sapere cosa sta facendo il governo per combattere queste minacce”, ha detto Barack Obama nel suo intervento al Summit sulla cybersecurity e la protezione degli utenti organizzato dalla casa Bianca lo scorso 13 febbraio presso la Stanford University. Il Presidente ha poi ricordato la pervasività delle minacce e i rischi che tutti corriamo, aggiungendo: “Ognuno di noi è online, ognuno di noi è vulnerabile”.Il summit è stato l’occasione per presentare l’Ordine esecutivo emanato il giorno prima da Obama per promuovere una più stretta collaborazione tra le aziende private e tra queste e la pubblica amministrazione per la protezione del paese e dei cittadini dagli attacchi che, pur partendo dal mondo virtuale, hanno un impatto diretto e potenzialmente devastante nel mondo reale. nel documento si auspica la costituzione di Information Sharing and Analysis centers dove questa collaborazione possa concretizzarsi. L’Ordine esecutivo si inserisce nella strada intrapresa con decisione dalla presidenza Obama di mettere in atto tutte le azioni possibili per combattere il cybercrime, come la costituzione, sempre nel mese di febbraio, del cyber threat Intelligence Integration center, nuova agenzia del governo federale (con un mandato similare il national counterterrorism center istituito dopo l’11 settembre) il cui scopo è quello di integrare le informazioni riguardanti le minacce cibernetiche provenienti dai vari dipartimenti dell’amministrazione Usa. Il centro, come ha spiegato Lisa monaco, procuratore federale “prestato” al presidente Obama come homeland Security Advisor, risponde al Director of national Intelligence ed inizialmente sarà composto da una cinquantina di funzionari e avrà a

disposizione un budget di circa 35 milioni di dollari.ma se il cyber threat Intelligence Integration center si muove sostanzialmente all’interno dell’amministrazione coordinando le attività governative sulla cybersecurity, la collaborazione tra pubblico e privato prevista dall’Ordine esecutivo non è scevra da criticità. Lo stesso Obama ha ammesso che la necessità di accrescere le difese online deve coniugarsi con il rispetto delle libertà civile e la garanzia di privacy, ma tra le criticità vi è proprio la crescente diffidenza del mondo globale e interconnesso sui temi della riservatezza nei confronti delle aziende statunitensi dopo lo scandalo Datagate, causato dalle rivelazioni dell’ex tecnico della national Security Agency e della cia edward Snowden relative alle intercettazioni di Usa e regno Unito, dove la nsa aveva goduto del supporto di alcune grandi corporation Usa. La collaborazione delle aziende private con il governo federale su temi così delicati potrebbe essere vista con sospetto al di fuori degli Usa e, quindi, avere un impatto negativo sul business di queste stesse aziende nel resto del mondo. D’altra parte senza una collaborazione è difficile poter sviluppare una strategia di security efficace. Il dibattito è aperto. (P.F.)

Obama: “Everybody’s online and everybody’s vulnerable”

L’intervento del presidente degli Usa BArAck OBAmA al Summit sul cybercrime presso la Stanford University



sicurezza che si vuole applicare ai dati e alle applicazioni che è possibile fruire in mobility, la segmenta-zione di coloro che li utilizzano, la tipologia di applicazioni implementate in azienda, se il loro utilizzo è on premise o in cloud ecc..

DeFInIre UnA StrAtegIA DI mOBILe SecUrIty

Forrester, ha evidenziato alcuni fattori di base che devono essere presi in considerazione quando si definisce una strategia di mobile security.

Stretta correlazione cloud-mobility – Le strategie di cloud security e di mobile security sono stret-tamente correlate fra loro: una non può avere successo senza l’implementazione dell’altra. Quindi, quan-do si definisce la strategia per garantire la sicurezza in mobility bisogna considerare attentamente gli im-patti che questa ha sui servizi cloud.

Gli utenti non sempre hanno una buona connessione Internet – Non sempre chi opera in mo-bilità può usufruire di connessioni ad alta velocità; la mobile security deve quindi supportare situazioni nelle quali la connessione può non essere ai massimi livelli, oppure in cui essa è addirittura assente (du-rante un volo per esempio).

Bilanciare la security con la user experience – Se da un lato non è ormai più ammissibile che l’implementazione di soluzioni di security rallentino o rendano più complicata la vita degli utenti, è anche vero che non tutti gli utenti possono o devono avere accesso all’intero patrimonio informativo e applica-tivo aziendale. Bisogna quindi definire pratiche di segmentazione degli utenti e implementare una mobi-le security strategy che ne tenga conto.

Le 15 tecnOLOgIe DeL techrADAr

Nel riquadro di queste pagine vengono brevemente riassunte le caratteristiche delle 15 tecnologie identificate da Forrester; di seguito vediamo quali sono gli aspetti sui quali esse si focalizzano.

Sicurezza del dato – L’asset principale che una qualsiasi strategia di security deve proteggere è il da-to, in particolare quei dati cui Forrester si riferisce come 3P+IP: che consentono l’identificazione della per-sona (PII-personally identifiable information); che si riferiscono alla sua salute (PHI-personal health informa-tion); relativi alla sua carta di credito (PCI-personal cardholder information); IP è la proprietà intellettuale. Le tecnologie che indirizzano specificatamente il livello di protezione di dati si basano su un approccio agnostico rispetto al device che verrà utilizzato e sono indipendenti dalle applicazioni e dalla rete.

Sicurezza del sistema operativo e dei device – I responsabili della sicurezza hanno sul sistema operativo del device un controllo sicuramente inferiore di quanto sarebbe nei loro desideri essendo qua-

fonte: Forrester, novembre 2014

figura 2I cluster delle soluzioni

di security in base ai tre livelli (dati e

applicazioni, sistema operativo e rete)

che devono essere protetti



si totalmente dipendenti dal rilascio di patch da parte del vendor per proteggere il sistema da vulnerabi-lità (e non staremo qui a ricordare il livello esponenziale di crescita degli attacchi che rendono quella delle patch una corsa sempre più concitata). Molte delle tecnologie evidenziate da Forrester riguardano quindi soluzioni più o meno sofisticate di Mdm e soluzioni basiche di security (antimalware) direttamen-te sul device.

Sicurezza delle applicazioni – Sono tutte quelle soluzioni che fronteggiano gli attacchi diretti alle applicazioni minandone le funzionalità si va dal mobile antivirus a quelle di application wrapping.

Autenticazione e autorizzazione – Risolvere o impedire un attacco non è il solo criterio a deter-minare una scelta di mobile security: l’azienda deve sapere chi si sta collegando ai propri sistemi, da do-ve, quando, per quali applicazioni. E autorizzarne di conseguenza l’accesso combinando l’identificazione con le policy per l’accesso in mobility che deriva da quella segmentazione degli utenti cui abbiamo fatto riferimento prima.

Data wrapping – È una tecnologia che “sovrappone” ai dati corporate più sensibili un ulteriore li-vello di sicurezza, proteggendo il dato stesso in tutto il suo percorso dal data center al device mobile, in-dipendentemente dall’applicazione per la quale viene utilizzato. Per questo motivo Forrester è una tecno-logia che è al di sopra dei tre livelli (sistema operativo del device, reti, dati e applicazioni, vedi articolo principale). L’analista sottolinea il data wrapping come la più innovativa delle tecnologie di mobile secu-rity, ma prevede siano necessari dai 3 ai 5 anni perché passi dalla fase iniziale della curva (figura 1 nella pagina precedente) allo stadio successivo.

DAtI e APPLIcAZIOnI

Application hardening – Basate fondamentalmente sull’encryption, queste tecnologie vengono uti-lizzate per mettere in sicurezza applicazioni che si trovano ancora in fase di sviluppo e impedirne l’ac-cesso a utenti non autorizzati.

Application wrapping – Soluzioni che utilizzano un wrapper (letteralmente “involucro”): all’appli-cazione viene “agganciato” un livello di gestione degli aspetti di security senza dover effettuare modifiche sull’applicazione stessa.

Mobile antimalware – Soluzioni implementate sul device mobile che intercettano i codici dannosi come trojan, virus, worms e spyware del tutto simili a quelle rilasciate per i desktop.

Mobile application reputation services – Servizi, tipicamente in cloud, che consentono di effet-tuare l’analisi sulle applicazioni sviluppate internamente o sulle app store pubbliche per individuare la presenza o meno di comportamenti rischiosi per il sistema aziendale, l’accesso alle informazioni persona-li sul dispositivo o caratteristiche di progettazione e pratiche di programmazione insicure. Attualmente si trovano nella fase iniziale della curva, ma Forrester ritiene che il passaggio alla fase successiva sarà mol-to rapido.

Mobile DLP – Soluzioni di Data Loss Prevention ossia per identificare, monitorare e tracciare dati sensibili ovunque essi siano archiviati; le mobile DLP sono estensioni delle tradizionali tecnologie DLP per postazioni fisse, ma devono tener sotto particolare attenzione la fase di trasmissione dei dati al devi-ce mobile.

Mobile static code analysis – Soluzioni che consentono l’analisi del codice prima che l’applicazio-ne venga rilasciata in modo da identificare eventuali vulnerabilità nella fase di sviluppo. Si tratta di un’e-

Le tecnologie nel dettaglio

>>



stensione delle tradizionali soluzioni di code analysis che devono tenere conto della specificità dell’utiliz-zo dell’applicazione in mobilità

Secure mobile content sharing – Soluzioni che consentono l’accesso e la distribuzione sicura di documenti condivisi tramite device mobili. Si differenziano dalle soluzioni DLP perché la sicurezza è fo-calizzata solo sui documenti che vengono posti in condivisione e non su tutti i documenti contenuti nel device.

SIStemA OPerAtIvO

Containerization - È un insieme di tecniche per vincolare l’accesso a una parte dei dati e applica-zioni che risiedono su un device. Può riguardare solo singoli file, o un intero “spazio di lavoro”, con client e-mail, browser e varie applicazioni corporate e può essere realizzata a diversi livelli. La containerization a livello applicativo, per esempio, permette di controllare quali applicazioni e dati sono presenti su un dispositivo, e intervenire con blocchi e cancellazioni che non toccano la parte personale.

Mobile endpoint security – Insieme di tecnologie che indirizzano la protezione del dato presente sul device e del device stesso; in genere includono antimalware, endpoint encryption, intrusion detection, web gateway sicuri, software di messa in sicurezza delle e-mail e tecnologie DLP in un unico pacchetto.

Mobile device management – Soluzioni di gestione multipiattaforma e multidevice che consentono di gestire a livello corporate l’implementazione e l’aggiornamento del sistema operativo e delle applica-zioni sui device degli utenti, la fruizione ai dati aziendali sulla base di policy e, in genere, includono tec-nologie antifurto e antiperdita del device.

Mobile device reputation services – Tecnologie che permettono di analizzare la configurazione del device per verificarne le potenziali vulnerabilità; possono essere integrate con i sistemi di autenticazione o gli MDM. Si tratta di tecnologie nuove, che si trovano nella fase iniziale di evoluzione e Forrester evi-denzia che non è chiaro come i vendor di queste soluzioni riescano a determinare realmente il rischio del singolo device (dato il numero di variabili in gioco) pertanto ritiene che il successo sarà determinato dalla capacità dei vendor di sviluppare algoritmi che garantiscano l’accuratezza dell’analisi.

Mobile virtualization – Consente di creare ambienti virtuali all’interno del device mobile (allo stes-so modo della virtualizzazione di server e desktop) implementando diversi livelli di sicurezza per i diffe-renti ambienti (per esempio area personale e area aziendale).

retI

Mobile authentication solutions – Soluzioni di autenticazione, specificatamente sviluppate per l’autenticazione in mobilità.

Secure mobile network gateway – Tecnologie che permettono il passaggio dei dati attraverso un unico punto di controllo, nel caso di VPN vi saranno delle configurazioni specifiche per l’utilizzo tramite device mobili. (P.F.)


torna a sommario‹

L’utilizzo delle Api (Application programming interface) per semplificare l’accesso alle appli-cazioni aziendali in ambienti mobile e cloud facilita l’espansione degli ecosistemi digitali, aprendo l’azien-da al mondo esterno. L’utilizzo di questi “connettori” consente infatti di esporre dati e funzionalità delle applicazioni a utenti esterni attraverso app mobili, cloud o oggetti (IoT); si tratta in pratica di finestre aperte sulle applicazioni che se da un lato abilitano nuovi modelli di business, dall’altro espongono le aziende a non pochi rischi se questa attività non viene adeguatamente gestita.

Se ben progettata, un’Api deve essere trasparente sulla struttura interna di un’applicazione, rendere molto chiaro a cosa servono i singoli comandi e quindi consente un accesso molto granulare all’applica-zione stessa; questo la espone a una serie di vulnerabilità che aumenta la possibilità di attacchi, mettendo a rischio i sistemi aziendali (il problema non è “semplicemente” che un’app mobile non funzioni corret-tamente, il rischio è che l’Api si trasformi in un cavallo di Troia, “agganciandosi” all’applicazione, che con-sente al malware di entrare in azienda, compromettendo le applicazioni legacy – figura 1). Una corretta gestione delle Api è dunque uno dei pilastri della definizione di una qualsiasi strategia di mobile securi-ty. Forrester ha dedicato alcuni studi (The Forrester Wave: Api Management Solutions, The Api Manage-ment Buyer’s Guide e Applying The Forrester Wave: Api Management Solutions) a questa tematica, analiz-zando gli 11 principali fornitori di soluzioni per la gestione delle Api (figura 2). Ma quali sono le tipologie di attacco che sfruttano le vulnerabilità cui abbiamo accennato? Sostanzialmente gli attacchi pos-sono essere raggruppati in tre macro categorie:

1) Quelli che sfruttano i dati inviati alle Api, come url, parametri di query, contenuti pubblica-ti. Essendo autodescrittive, le Api sono particolarmente vulnerabili da questo punto di vista perché forni-

Impedire alle Api di trasformarsi in vettori di malware

Le APPLIcAtIOn

PrOgrAmmIng InterFAce,

InDISPenSABILI Per ABILItAre

LO SvILUPPO DI ecOSIStemI

DIgItALI eD eSPOrre DAtI e

APPLIcAZIOnI verSO IL mOnDO

DeLLe APP mOBILI, POSSOnO

DIventAre PerIcOLOSI

"cAvALLI DI trOIA" Per

LA SIcUreZZA AZIenDALe.

veDIAmO qUALI SOnO

Le tIPOLOgIe DI AttAccO

PIù FreqUentI e cOme

mItIgAre I rISchI

d i P a t r i z i a F a b b r i[ ZeroUno 391 / marZo 2015 / pag. 30 ]

fonte: Ca Technologies

figura 1La diversa modalità di accesso alle applicazioni aziendali tramite client web (sopra) e tramite app (sotto)




scono indicazioni preziose su come viene utilizzato un determinato parametro dall’applicazione stessa.

2) Quelli incentrati sulle identità che sfruttano le vulnerabilità dei sistemi di autenticazione, autorizza-zione e registrazione delle sessioni. Molte Api richiedo-no al client l’utilizzo di una “chiave” Api per accedere alle loro funzionalità, ma questa “chiave” identifica l’ap-plicazione (la chiave è comune per ogni copia dell’app) e non una specifica istanza o un determinato utente. An-che la gestione delle sessioni è un altro ambito lacunoso e foriero di rischi: nel web “normale” (ossia quello dove le applicazioni vengono fruite tramite browser) la ses-sione di lavoro viene mantenuta aperta tramite cookie, nelle Api la gestione delle sessioni è molto più comples-sa e, anche in questo caso, un approccio non corretto

lascia aperture rischiose; una via d’uscita è rappresentata da OAuth (protocollo di autorizzazione open standard che consente l’accesso da parte di terzi ai dati degli utenti senza doverne conoscere la password), ma è un approccio complesso da adottare.

3) Quelli che intercettano le transazioni legittime e sfruttano dati non crittografati. Se l’A-pi non utilizza correttamente il protocollo Ssl/Tls , tutte le richieste e le risposte tra un client e il server delle Api possono venire potenzialmente compromesse.

cOme mItIgAre I rISchI

Esistono delle strategie che possono supportare l’azienda nel mitigare i rischi derivanti dalla pubbli-cazione delle Api? Una interessante guida realizzata da Ca Technologies, Proteggere le Api da attacchi e hijacking. Rendere sicure le applicazioni per il mobile, il cloud e l’open web, ne identifica cinque.

Convalida dei parametri - La singola misura di protezione più efficace contro gli attacchi che sfrut-tano i dati inviati alle Api è la convalida di tutti i dati in entrata rispetto a una whitelist di valori previsti. L’approccio più pratico consiste nell’applicare la convalida dello schema a tutti i dati in ingresso, rispetto a un modello di dati altamente restrittivo. Gli schemi devono essere definiti con la massima rigidità.

Applicazione del rilevamento delle minacce – In genere si tratta di definire blacklist dei conte-nuti a rischio, come istruzioni Sql o tag script; la sfida sta nell’applicare efficacemente i criteri di blackli-sting perché il rischio di “falsi positivi” è elevato.

Attivazione generalizzata dell’Ssl/Tls – Per le Api il protocollo Ssl/Tls dovrebbe diventare la re-gola in quanto fornisce riservatezza e integrità su tutti i dati scambiati tra un client e un server. Non solo deve essere attivato in ogni Api, ma deve essere configurato correttamente: non è infatti raro che molti sviluppatori non convalidino correttamente i certificati e le relazioni di trust rendendolo così inefficace.

Separazione delle identità - L’identità dell’utente e dell’app sono elementi separati. Gli sviluppato-ri lato server devono quindi separare nettamente le identità degli utenti e le identità delle Api e prendere in considerazione anche l’autorizzazione basata su un contesto di identità ampio (utente, applicazione, device, posizione, orario ecc.).

Utilizzo di soluzioni collaudate – Non ha senso creare un proprio framework di sicurezza per le Api, esistono ottime soluzioni commerciali per garantire la sicurezza delle Api, la vera sfida è applicarle.

fonte: Forrester Research

figura 2La Forrester Wave delle soluzioni di gestione delle Api


torna a sommario‹

Pc, notebook, smartphone e tablet di ogni tipo basati su diversi sistemi operativi. Le infrastrutture It dell’era della digital transformation, della mobility e del cloud, sono caratterizzate da un’esplosione de-gli endpoint che si connettono alle reti aziendali. E che, se non messi in adeguata sicurezza, possono rappresentare altrettanti vettori a disposizione degli hacker, che oggi non sono più singoli individui che confezionano il virus capace di ottenere un forte impatto dimostrativo, ma soprattutto organizzazioni cri-minali spesso tecnologicamente più avanzate dei dipartimenti It delle singole aziende.

Il report The State Of Endpoint Security Adoption 2014 to 2015 di Forrester sottolinea come, tra il 2013 e il 2014, gli investimenti in Client threat management delle aziende enterprise (oltre 1.000 dipen-denti) e delle piccole e medie imprese (20-999 addetti) abbiamo subìto un’impennata. Se negli anni que-sta voce dell’It security cresceva a tassi del 9-10%, nel 2014 si è registrato un +12% nell’enterprise e +15% nello small and medium business (figura 1).

Ferma restando l’importanza di avere a bordo degli endpoint delle soluzioni antimalware tradizionali signature-based (in grado di bloccare le minacce identificate dai vendor di sicurezza e rispetto alle qua-li questi fornitori aggiornano in modo più sollecito possibile i motori di scansione degli antivirus) oggi l’obiettivo dell’endpoint protection è di adottare misure di sicurezza avanzate e proattive. Questo trend ha un impatto sulle scelte di investimento sia rispetto ai sistemi di security integrati nei client, sia rispetto a quelli più tradizionalmente implementati lungo la periferia dei network d’impresa, e in particolare i fi-rewall. Anche questi ultimi necessitano di upgrade per renderli in grado sia di affrontare uno scenario di

Il grande ritorno dell’endpoint security

LA SOcIetà DI AnALISI

FOrreSter rILevA UnA

creScItA DegLI InveStImentI

In cLIent PrOtectIOn LegAtA

ALLA PrOLIFerAZIOne DI FOrm

FActOr DIverSI e

ALL’AUmentO DeL LAvOrO In

mOBILItà. L’AttenZIOne SI

SPOStA DAI trADIZIOnALI

AntImALWAre SIgnAtUre-

BASeD AI cOntrOLLI AvAnZAtI

e PrOAttIvI. creSce

L’ADOZIOne DI SecUrIty SAAS

d i R i c c a r d o C e r v e l l i[ ZeroUno 397 / ottobre 2015 / pag. 48 ]

fonte: Forrester, ottobre 2014

figura 1Progressione degli investimenti in soluzioni di endpoint protection dal 2010 al 2014




nuove minacce che sfruttano la crescente digitalizzazio-ne dei processi di business e collaborazione, sia per svolgere un ruolo sinergico con le soluzioni a bordo de-gli endpoint e con quelle di Mobile Device Manage-ment. Già, perché una parte rilevante dei cambiamenti in atto nel mondo della sicurezza è legata proprio alla proliferazione dei dispositivi mobili, spesso utilizzati contemporaneamente per motivi di lavoro e personali, con una molteplicità di form factor, sistemi operativi e applicazioni installate.

nUOve tecnIche e StrAtegIe DI enDPOInt PrOtectIOn

Quali possono essere alcuni esempi di misure avanzate e proattive su cui puntare l’attenzione? Con-siderato che sempre più spesso i device usati in mobilità o in ambienti domestici (siano essi pc, laptop, smartphone o tablet) contengono dati business-critical, una buona soluzione è la full disk encryption. Questa consente di prevenire i rischi legati alla perdita o al furto dei dispositivi e garantisce l’ottemperan-za a regole di compliance.

L’adozione di soluzioni Host intrusion prevention system (Hips) implementa anche a livello di device i controlli che normalmente vengono svolti dai sistemi di sicurezza network-based; si tratta di una misura peraltro indispensabile nel momento in cui i client si connettono a hot spot wi-fi pubblici. Nel caso, in-vece, in cui uno stesso dispositivo venga utilizzato da persone diverse, è da prendere in considerazione la file-level encryption.

Queste soluzioni sono efficaci nel rendere inaccessibili i dati o nel bloccare l’intrusione di hacker nei dispositivi che si collegano a Internet attraverso connessioni non sufficientemente protette. Ma cosa fare se, a causa del non ancora avvenuto aggiornamento degli antimalware signature-based, i cybercriminali sono riusciti a far scaricare un file infetto? La soluzione si chiama sandboxing e consiste nel creare all’in-terno del client un’area isolata nella quale far girare un’applicazione sconosciuta per analizzarne il com-portamento. Il sandboxing è una tecnica particolarmente adatta a contrastare gli zero-day exploit, in atte-sa che gli antimalware tradizionali vengano aggiornati. Un altro tipo di controllo proattivo è il whitelisting. Mentre il blacklisting – approccio caratteristico degli antimalware e dei firewall signature-based – è reat-tivo, il whitelisting permette ai dispositivi di connettersi a risorse web che hanno una buona reputazione di sicurezza.

Un’altra misura proattiva è il patch management, ovvero un processo di aggiornamento del software installato sul pc gestito in modo strategico e pianificato, e non lasciato alla discrezione dell’utente e non controllato.

Forrester conclude il proprio report consigliando ai Security and Risk professional di rivedere le stra-tegie e di ottimizzare e massimizzare gli investimenti in endpoint protection. Per il primo aspetto viene suggerito di puntare su controlli avanzati e proattivi, prendendo in considerazione anche le soluzioni na-tive per ciascun sistema operativo e il più possibile integrabili con i sistemi di identity e access manage-ment già presenti nelle aziende. Le soluzioni, inoltre, dovrebbero essere il più possibile semplici da usare e trasparenti agli utenti. Per il secondo aspetto, la società di analisi consiglia la possibilità, sempre più ap-prezzata sia da Pmi sia da grandi organizzazioni (figura 2), di ricorrere a offerte di Security software-as-a-service, almeno per quanto riguarda le funzionalità di sicurezza più comuni, come gli antimalware si-gnature-based. (R.C.)

fonte: Forrester, ottobre 2014

figura 2Evoluzione dell’adozione di soluzioni di Security software-as-a-service

direttore responsabileStefano Uberti Foppa

[email protected]

progetto grafico e impaginazioneBlu GraphicDesign

[email protected]

redazionevia Copernico, 38

20125 Milanotel. 02.92852773

marketing e pubblicitàNext Editore srl

tel. 02.92852738 [email protected]

editoreNext Editore Srl

società del Gruppo

Digital360 Srl opera nell’offerta B2B di contenuti editoriali,

servizi di comunicazione e marketing, lead generation, eventi e webinar,

advisory, advocacy e coaching, nell’ambito della Trasformazione Digitale

e dell’Innovazione Imprenditoriale

2016 · 2 EROUNO TOP SELECTION 2016 sommario La diffusione della digitalizzazione e, soprattutto,...

Documents

Transcript of 2016 · 2 EROUNO TOP SELECTION 2016 sommario La diffusione della digitalizzazione e, soprattutto,...