Realizzazione di un'architettura di rete per l'accesso remoto tramite SSL-VPN e utilizzo di...

UNIVERSIT DEGLI STUDI DI MILANO Facolt di Scienze Matematiche, Fisiche e Naturali

Corso di Laurea in Sicurezza dei Sistemi e delle Reti Informatiche

Realizzazione di un'architettura di rete

per l'accesso remoto tramite SSL-VPN

e utilizzo di tecnologie

per strong authentication

RELATORE Prof. Marco Cremonini CORRELATORE TESI DI LAUREA DI Giordano Zambelli Giacomo de Giorgis Matr. 678481

Anno Accademico 2006/2007

INTRODUZIONE

Lo stage di laurea si svolto presso Besafe srl, unazienda formata da giovani imprenditori professionisti con esperienze diversificate nel settore informatico. Lazienda che mi ha ospitato costituisce una societ di servizi finalizzati alla progettazione, realizzazione e gestione di infrastrutture informatiche destinate a piccole, medie e grandi imprese operanti in tutti i settori del mercato mondiale. Il suo business si focalizza in ambito Networking, Sistemi, Security e Servizi di Assistenza personalizzati fino a proporre soluzioni di outsourcing del sistema informativo.

Nel presente lavoro di tesi si affrontata la progettazione di uninfrastruttura di rete per laccesso a terminal server tramite lapparato SSL-VPN con lutilizzo di tecnologie di strong authentication (OTP per laccesso al portale SSL e certificato digitale per il logon) fornite da un unico token. Questo lavoro di tesi rappresenta un lavoro reale eseguito presso un cliente della societ che mi ha ospitato durante lo stage. Il cliente in questione una societ di franchising che conta una rete di ben 60 agenzie sparse per il territorio nazionale, in costante aumento; la natura di tale societ prevede la gestione centralizzata delle applicazioni necessarie al proprio lavoro.

Prima di descrivere il lavoro svolto ho scelto di trattare teoricamente gli argomenti che si vedranno poi applicati in pratica. Il discorso di tesi comincia con una breve introduzione sullo stato della sicurezza informatica in Italia ad oggi; il discorso molto interessante poich ho potuto riscontrare realmente come nelle aziende la sicurezza sia vista come un costo da ridurre al minimo pi che come un investimento sul quale costruire uninfrastruttura sicura e duratura. Proseguendo il discorso va a trattare le motivazioni della sicurezza informatica analizzando le nuove minacce con lo sviluppo delle infrastrutture. Poi si passa al punto di vista dei sistemisti trattando come approcciare alla sicurezza per valutare e agire al meglio nelle realt nelle quali ci si viene a trovare. Gestire la sicurezza aziendale non significa solo accendere lultimo appliance che il mercato offre ma vuol dire entrare a pieno nella conoscenza dei problemi, rischi e pericoli con i quali lazienda si trova o si potrebbe trovare a che fare e implementare di volta in volta le policy corrette.

Bisogna tener conto che investire poco o non investire affatto in sicurezza potrebbe ricadere esclusivamente sulleconomia dellazienda poich se dovesse venire a verificarsi uno dei fattori di rischio, le perdite per lazienda potrebbero essere enormemente superiori al mancato investimento. Il discorso di tesi passa ora a introdurre le soluzioni che sono state adottate partendo da un discorso generale su crittografia, autenticazione, firewalling e VPN che sono gli argomenti che si trovano nel progetto. La Crittografia la si trova quando si parla di infrastruttura PKI e Certification Authority che sono la teoria che sta a base dellutilizzo dei token di sicurezza; la si trova anche quando si ha a che fare con protocolli di autenticazione come ad esempio RADIUS e SSL. Per quanto riguarda firewalling e VPN ho scelto di fare un breve excursus sulle tipologie, le funzionalit di base e quelle avanzate. Tutti argomenti con i quali mi sono dovuto scontrare durante la realizzazione del progetto. Il realizzazione del progetto descritta nellultimo capitolo. Le fasi di questa realizzazione possono essere cos riassunte.

La prima fase ha comportato la raccolta delle esigenze manifestate dal cliente e ha fatto emergere le seguenti caratteristiche della soluzione da proporre: stabilit, espandibilit, interoperabilit con le nuove tecnologie (quali VoIP, ecc) e messa in sicurezza della struttura informatica. Dopo unattenta analisi delle esigenze sopracitate e delle problematiche presenti in quel momento nella rete, s deciso di proporre una soluzione scalabile in grado di poter procedere per passaggi, fino al conseguimento dellinfrastruttura ottimale senza impattare troppo sul modo di lavorare degli affiliati. Tra le fasi di implementazione del progetto finora svolte da notare lattivazione delle VPN SSL tra agenzie e sede centrale e lattivazione della Strong Authentication per le quali si trover una minuziosa descrizione.

Questo stage mi ha permesso, oltre alla realizzazione del progetto che citer in questo lavoro di tesi, di occuparmi e acquisire conoscenze negli altri campi dellinformatica, applicando e ampliando le conoscenze acquisite durante gli anni di corsi universitari; facendomi rendere conto della fortuna avuta a frequentare questo corso universitario.

I

Sommario

CAPITOLO 1 - LA SICUREZZA INFORMATICA ..................................................................................... 1

LE RAGIONI DELLA SICUREZZA IT .......................................................................................................... 6

Verso unazienda aperta .................................................................................................................. 7

Levoluzione delle infrastrutture ...................................................................................................... 8

Dallanalisi di esigenze e risorse ai requisiti di protezione ................................................................ 9

Le minacce nellera del Web 2.0 ..................................................................................................... 12

Il calo dei virus e laumento dello spam .......................................................................................... 13

Ladware nuova fonte di reddito ...................................................................................................... 13

Web 2.0 e Bot net ............................................................................................................................ 14

LA COMPLIANCE ALLE NORMATIVE ................................................................................................... 14

CAPITOLO 2 - LE SOLUZIONI PER LA SICUREZZA.............................................................................. 18

Cosa sintende per IT security ........................................................................................................ 18

Levoluzione delle soluzioni di protezione ...................................................................................... 20

UN APPROCCIO INTEGRATO ALLA SICUREZZA ................................................................................... 22

Un approccio sistemico .................................................................................................................... 24

La necessit di un responsabile ........................................................................................................ 25

Leccesso di informazioni ................................................................................................................ 26

Anticipare gli attacchi ...................................................................................................................... 27

Protezione multilivello ..................................................................................................................... 28

IL TREND DEGLI INVESTIMENTI IN SECURITY ..................................................................................... 29

CAPITOLO 3 - LA GESTIONE DELLA SICUREZZA ............................................................................... 32

Non solo tecnologia ......................................................................................................................... 32

Lanalisi del rischio ........................................................................................................................... 34

Identificazione delle risorse ............................................................................................................ 35

Identificazione delle minacce .......................................................................................................... 36

Vulnerability assessment ................................................................................................................. 37

La valutazione del rischio ................................................................................................................ 39

LE POLICY DI SICUREZZA ...................................................................................................................... 40

II

Analisi e progettazione delle policy ................................................................................................ 41

Implementare le policy ................................................................................................................... 41

Le aree interessate .......................................................................................................................... 42

Un piano di emergenza sempre pronto .......................................................................................... 43

IL COSTO DEL MANCATO INVESTIMENTO IN SICUREZZA ................................................................... 44

CAPITOLO 4 - LA CRITTOGRAFIA .................................................................................................... 47

PKI: LINFRASTRUTTURA DI SICUREZZA A CHIAVE PUBBLICA ........................................................... 48

La Certification Authority (CA) ....................................................................................................... 48

I token di sicurezza .......................................................................................................................... 50

Lintegrazione tra crittografia e analisi dinamica dei comportamenti ............................................ 51

La Certification Authority (CA) ....................................................................................................... 48

CAPITOLO 5 - AUTENTICAZIONE E IDENTITY MANAGEMENT .......................................................... 53

Le 3 A .............................................................................................................................................. 53

Implementare un sistema di autenticazione .................................................................................. 53

I PRINCIPALI PROTOCOLLI DI AUTENTICAZIONE ................................................................................. 56

Il Secure Socket Layer (SSL) ............................................................................................................ 56

RADIUS ............................................................................................................................................ 58

CAPITOLO 6 - I LIVELLI DI PROTEZIONE DEL FIREWALL .................................................................... 61

LE FUNZIONI DI BASE DI UN FIREWALL .............................................................................................. 62

La Network Address Translation (NAT) .......................................................................................... 63

Il filtraggio del traffico ..................................................................................................................... 65

LE TIPOLOGIE DI FIREWALL .................................................................................................................. 66

Packet filtering firewall ................................................................................................................... 66

Proxy server firewall ........................................................................................................................ 66

Stateful packet inspection firewall .................................................................................................. 67

LE FUNZIONI AVANZATE DI UN FIREWALL .......................................................................................... 69

La costituzione di una DMZ per proteggere la LAN ......................................................................... 69

Una barriera prima del tunnel delle VPN ........................................................................................ 70

Content filtering .............................................................................................................................. 71

III

CAPITOLO 7 - LAFFERMAZIONE DELLE VPN ................................................................................... 73

Le reti prima dellIP ........................................................................................................................ 73

Architetture e apparati per reti convergenti e VPN ....................................................................... 75

CONVERGENZA E VPN ALLINSEGNA DI IP ......................................................................................... 77

La sicurezza dei dati con le VPN ...................................................................................................... 78

LA REALIZZAZIONE DI UNA VPN .......................................................................................................... 79

Laffermazione dello standard IPSec nella realizzazione di VPN ..................................................... 80

Larchitettura IPSec .......................................................................................................................... 81

Autenticazione ed encryption per una VPN sicura .......................................................................... 83

CAPITOLO 8 - PROGETTO DI UNINFRASTRUTTURA DI SICUREZZA .................................................. 85

Situazione iniziale ............................................................................................................................. 85

Proposta soluzione ........................................................................................................................... 87

IPOTESI DI LAVORO .............................................................................................................................. 90

LSSL-VPN.......................................................................................................................................... 92

Il token.............................................................................................................................................. 94

Il TMS ................................................................................................................................................ 94

SVILUPPI FUTURI .................................................................................................................................. 97

BIBLIOGRAFIA .............................................................................................................................. 99

Capitolo 1

LA SICUREZZA INFORMATICA

gi qualche anno che il mercato della sicurezza informatica vive momenti di grande fermento, come naturale per un mercato tutto sommato giovane. In effetti, si tratta di un settore che nasce insieme ai computer stessi, ma fino a met degli anni Novanta rimasto un segmento di nicchia, caratterizzato da tecnologie perlopi proprietarie. Con la diffusione dei pc si cominciato a parlare di virus e antivirus, ma solo con lesplosione della fase commerciale di Internet e con il proliferare delle reti che quello della sicurezza diventato un problema di massa. Levoluzione, cui si assistito nella prima decina di anni di questo rinnovato settore, stata segnata da cambiamenti notevoli sotto il profilo tecnologico e non solo.

A ben guardare, fattore comune tra i settori ad alta dinamicit proprio Internet e la sua influenza sulla societ umana, prima ancora che sulla tecnologia.

Oggi, quello della sicurezza un mercato sottoposto a forti pressioni, sul lato sia della domanda sia dellofferta. In questultimo, in particolare, si registra un processo di concentrazione, che sembra segnare linizio di una fase di maturazione del mercato. In effetti, sono molte le acquisizioni che fanno cronaca: alcune in buona parte tese ad aumentare la massa critica e molte altre necessarie per consentire ad alcuni player di successo ma storicamente confinati in aree di nicchia di arricchire il proprio portafoglio tecnologico.

Per quanto riguarda la domanda, invece, si osservato in Italia un marcato impulso degli investimenti sulla spinta delle normative, soprattutto di quella legge nota come Testo Unico sulla Privacy. Assolutamente condivisibili sotto laspetto degli obiettivi, tali normative hanno aperto alcune diatribe sul fronte dellapplicabilit. Da qui sono divampate polemiche, per esempio, da parte di chi ha visto un impoverimento del mercato, nonostante i grandi tassi di crescita registrati negli ultimi anni. Lassioma di partenza su questo fronte che limprenditore obbligato a investire per legge di fatto reagisce con fastidio puntando a spendere semplicemente il meno possibile, senza un reale obiettivo e senza in realt la garanzia di aver speso effettivamente il giusto per ridurre il rischio aziendale. Soprattutto viene contestato che lobbligo porta a vedere la sicurezza come un costo, esattamente come ancora per molti vale

La sicurezza informatica CAPITOLO 1

2

per tutta lICT e, quindi, perdendo di vista il valore innovativo della tecnologia e le opportunit di business che invece si possono aprire. Bisogna ammettere che a soffiare sul fuoco, peraltro, hanno contribuito e non poco tutti i principali player della sicurezza che, almeno nella prima fase di sviluppo del mercato hanno adottato una strategia del terrore, ponendo laccento sulla crescita delle minacce e del rischio. Entrambi fattori indubbiamente impressionanti, ma cui solo recentemente sono stati abbinati messaggi positivi sui vantaggi che derivano dalla sicurezza. Sono stati comunque i segni della crisi a spostare le strategie, in quanto nessunazienda pi disposta a spendere senza poter misurare il Roi degli investimenti. evidente che risulta difficile impostare un progetto di sicurezza basato solo sulla protezione da probabili minacce, il cui risultato, se tutto va bene, che non succede niente. Con un simile approccio, il ritorno sullinvestimento solo evitare esborsi economici anche importanti in caso di attacco informatico: , cio, la riduzione del rischio. Chi ha basato le proprie strategie di vendita sulla paura ha trovato terreno fertile solo laddove la cultura del rischio era gi diffusa, cio dove esistevano i presupposti per poter misurare tale rischio. Solo in tal modo, infatti, si pu usare tale misura per calcolare il Roi. Ma per sfruttare la sicurezza in modo da aumentare il valore del business e arrivare a misurare Roi decisamente pi tangibili, necessario compiere ulteriori passi avanti. Approcci sistemici, basati su metodologie rigorose e codificate in best practice internazionali, come lo standard BS7799 o ISO 27001, hanno permesso a molte imprese di scoprire il valore di un sistema completo di ICT Security. A parte di chi sia il merito, se di vendor illuminati che hanno spinto su tasti diversi o di aziende accorte che hanno saputo affrontare il problema sicurezza con il giusto criterio, di fatto lapplicazione di analisi ben disciplinate in fase iniziale ha consentito a molte imprese di approfittare degli assessment orientati alla sicurezza per comprendere a fondo le dinamiche dei propri processi di business, con indubbi vantaggi anche organizzativi. Come accennato, infatti, le imprese gi avvezze a gestire il rischio o, in altre

parole, quelle gi fortemente orientate a una corretta governance aziendale, sono state quelle che prima di altre hanno direzionato il sistema di sicurezza sul binario giusto. Le imprese che comunque sono partite collapproccio giusto, adottando pratiche gi consolidate a ragion veduta, hanno compiuto un percorso inverso, arrivando a capire limportanza e i vantaggi di una governance aziendale. Non un caso, perch, in buona sostanza, lobiettivo del legislatore soprattutto quello di obbligare le aziende a ridurre il loro rischio. Il punto, sostenuto dai pi, che tale obiettivo stato posto in secondo piano e che, pur essendo le best practice indicate come un riferimento dalla legge o relativi regolamenti annessi, di fatto laccento viene


3

posto ancora una volta sullaspetto di protezione dei dati e sulla responsabilit in caso di eventuali danni, anche nei confronti di terzi. Non essendoci precise indicazioni sui requisiti da soddisfare per raggiungere la compliance, il risultato lincertezza. La conformit, in realt, viene valutata da un controllore, che deve esaminare appunto il livello di rischio e confrontarlo con il livello di sicurezza raggiunto grazie alle misure protettive adottate. evidente che un approccio sistemico basato sulla valutazione del proprio rischio aziendale, porta direttamente nella direzione della conformit. A tal riguardo, probabilmente, la legge avrebbe potuto aiutare di pi le imprese a inquadrarne gli oneri. I vantaggi di una corretta governance vanno in direzione del business, nel momento in cui non ci si concentra solo sullaspetto dei costi, ma si impara a gestire il rischio collegandolo ai processi aziendali. In particolare, sul lancio di nuovi prodotti o servizi, le aziende hanno spesso difficolt a valutare i costi con precisione e quindi a fissare un prezzo adeguato a stabilire il giusto rapporto tra domanda e offerta. Questo soprattutto negli scenari di mercato attuali, che vedono nel Web uno strumento ancora giovane e in gran parte inesplorato per lo sviluppo del business. Proprio su questo fronte, ladozione di un sistema di sicurezza completo rappresenta un prerequisito fondamentale per il varo di attivit che possono portare grandi opportunit. Lesempio pi lampante quello del mondo bancario. Se fino a poco tempo fa lattenzione era concentrata sulle rapine oggi lo sul phishing e annesse frodi online, ma sulla sicurezza le banche sono tradizionalmente impegnate e, appunto, hanno uninnata capacit a valutare il rischio. Per questo rappresentano forse lavanguardia sul fronte dei servizi online resi possibili dalla sicurezza. Gli investimenti in sicurezza, gi obbligatori, hanno spinto molte banche a sfruttarli per avviare home banking, Internet banking e cos via. Certamente, unanalisi semplicistica, ma tesa solo a esemplificare i benefici che si possono dedurre dalla compliance. Il cosiddetto fenomeno del Web 2.0, che segna la consacrazione di Internet a nuovo media e proietta diversi scenari di mercati innovativi e ancora da creare, dovrebbe ulteriormente spingere verso una sensibilizzazione delle aziende nei confronti della sicurezza. Ladozione di best practice resta probabilmente lunica strada sensata per valutare correttamente le proprie esigenze e non perdere la bussola in un mare di offerte sempre pi caotico. Sul fronte tecnologico, levoluzione dellofferta negli ultimi dieci anni circa stata caratterizzata dalla rincorsa alla minaccia. Ogni nuovo tipo dattacco ha tipicamente determinato la nascita di una nuova categoria di strumenti per la protezione: dal virus gli antivirus, dallo spam gli anti spamming, dagli spyware gli anti spyware e via dicendo. La rapidit con cui queste minacce hanno cominciato a diffondersi e, soprattutto, ad


4

autoduplicarsi, ha ben presto posto il problema di come riuscire a controllare tutto il traffico dati per identificare queste diverse tipologie di minacce. Ancora una volta: si pone un problema e il mercato risponde con una soluzione, cio le appliance. Sono queste ultime, infatti, le protagoniste della sicurezza nei primi anni del 2000: soluzioni che portano in azienda consolidati software carrozzati con hardware ottimizzati per soddisfare le esigenze di protezione e al contempo di prestazioni, con una maggiore facilit di gestione. Su questa scia si assistito a uno sviluppo di sistemi one box che hanno man mano affiancato in ununica scatola pi soluzioni, arrivando a declinare in versione appliance vere e proprie suite di protezione.

Nella sostanza, si tratta di una sorta di massificazione dellapproccio best of breed originale: cio lintegrazione di tante soluzioni per quante minacce si vogliono fronteggiare. Se, inizialmente, solo le grandi imprese si potevano permettere gli investimenti in competenze necessarie per integrare sistemi sempre pi complessi, con le suite si apre il mercato anche alle

Pmi, che possono gestire un unico prodotto. La versione appliance dotata di supporto per il remote management e proposta da un service provider ha consentito lo sviluppo del mercato dei Managed Security Service (MSS). Finora, peraltro, confinato perlopi alla gestione dei firewall.

Lultima generazione di suite/appliance si affermata nel corso del 2006 con la denominazione di UTM (Unified Threat Management). Il primo indesiderato effetto del proliferare di soluzioni UTM lapparente appiattimento dellofferta: perch mancando una definizione univoca codificata, dietro lo stesso termine si ammassano sistemi molto diversi nella natura e nella sostanza. Il fattore comune che si tratta di sistemi che combinano diverse soluzioni e tecnologie di protezione. Poi, per, ci sono UTM che attuano una vera e propria integrazione di queste ultime e altre che semplicemente si limitano ad attuare i controlli in parallelo. Ci sono quelle che presentano una console di gestione unica avanzata e quelle che presentano possibilit di management ridotte. Anche la stessa quantit di tecnologie presenti varia. Infine, molto diverse possono essere le prestazioni, da valutare, inoltre, sotto il profilo del livello di sicurezza garantito e sotto quello del throughput, considerato che tipicamente si tratta di apparati che vanno in linea sulla rete.

In realt, i sistemi di Unified Threat Management, come suggerisce il nome, si occupano comunque solo di un aspetto del problema sicurezza: la gestione delle minacce. Tra laltro, senza risolvere appieno neanche questo. Infatti, la maggior parte delle soluzioni sul mercato forniscono un all in one che, pur presentando tutte le funzioni, non le gestisce in maniera


5

integrata, tranne i sistemi pi avanzati dotati di un motore di correlazione e di una console che effettivamente riesce a gestire in modo coordinato gli eventi registrati tramite le diverse tecnologie. Anche con il supporto di adeguati strumenti di amministrazione, peraltro, la complessit della tematica sicurezza pone grossi problemi di competenze. Le grandi imprese sono le uniche che possono permettersi team strutturati, dedicandovi persone e investendo nella loro formazione e certificazione professionale.

La carenza di specialisti, peraltro, non sembra spingere verso lalto gli stipendi dei professionisti, perch, ancora una volta, la maggior parte delle aziende tende a sottovalutare il problema della sicurezza e quello della compliance. In ogni caso, si tratta di costi difficilmente alla portata della piccola impresa, mentre la media si trova in mezzo al guado. In tale situazione, si stanno affacciando sul mercato servizi di nuova concezione. Si detto che gli MSS tradizionali sono finora limitati e questo dipende in massima parte dalla diffidenza delle imprese a dare in outsourcing un aspetto tanto delicato quanto la sicurezza delle informazioni aziendali. Senza contare il problema della responsabilit legale. Per superare queste problematiche sono stati pensati servizi che forniscono supporto per la gestione della tecnologia e che, quindi, risolvono tutti gli aspetti legati alla complessit del threat management.

Ancora una volta il focus, peraltro, sulla pur fondamentale protezione o, come si dice nel settore, sullapproccio Bad Guys Out. Come accennato fondamentale anche ricercare i benefici di unapertura sicura dei propri sistemi informativi, quindi non solo tenere fuori i cattivi e pensare a evitare le intrusioni, ma anche creare le condizioni per cui i buoni possano entrare e sviluppare cos il business. Non un caso che negli ultimi anni si sono sviluppate notevolmente le tecnologie sul fronte del Good Guys In. Evoluzione soprattutto in chiave Web, considerato che le 3A (Authentication Authorization Accounting) appartengono agli albori della sicurezza. Nel mondo virtuale, sempre pi popolato da avatar e vissuto da nickname le tecnologie di indentity e access management assumono un ruolo fondamentale. In questa direzione si stanno attivando player innovativi per fornire comunque servizi di outsourcing pi o meno parziali, combinati con servizi di consulenza. Prende sempre pi piede, soprattutto presso la Pmi, lipotesi di nominare un responsabile della sicurezza esterno, come di fatto accade per altre figure, quali il medico del lavoro o lRSPP (Responsabile del Servizio di Prevenzione e Protezione) previsto dalla legge 626. Naturalmente con tutti i condizionamenti del caso, in quanto la responsabilit dei dati, per la legge sulla Privacy, rimane il rappresentante legale dellazienda, ma le varie figure intermedie che hanno la responsabilit dei sistemi e della


6

tecnologia possono essere consulenti esterni. Forse lunico modo per superare il problema dello skill shortage.

LE RAGIONI DELLA SICUREZZA IT

Latteggiamento un tempo pi diffuso, quando in azienda si cominciava a parlare di sicurezza informatica, era quello che molte societ del settore ancora oggi identificano come quello dello struzzo. Una comprensibile ignoranza delle problematiche faceva ritenere che la probabilit di subire un attacco informatico fosse molto bassa e che, tipicamente,questi eventi accadessero a qualcun altro. Del resto, lo stesso atteggiamento, ancor oggi, si pu osservare se si esaminano

le procedure di sicurezza applicate in molte imprese, per esempio in materia di prevenzione degli incendio, in generale, degli incidenti sul lavoro. Eppure la sicurezza un concetto antico quanto quello stesso dazienda. La protezione del patrimonio intellettuale, i brevetti, le barriere allingresso di una banca, i controlli alluscita da una miniera di diamanti, le guardie giurate, sono tutti elementi volti a garantire la sicurezza aziendale. Si potrebbe andare ancora avanti a elencare altri provvedimenti per la sicurezza aziendale. La relativa giovinezza degli strumenti informatici e, soprattutto, la diffusione degli stessi, cresciuta nellultimo decennio con lavvento di Internet, hanno posto una questione culturale sul fronte della protezione logica dei dati e delle informazioni: da un lato, si avvertita e si avverte una scarsa percezione di quello che significa ICT security, dallaltro una mancanza di una reale percezione del rischio. Oggi si parla dellera dellinformazione, per mettere in risalto limportanza crescente del patrimonio della conoscenza come reale valore di unimpresa. Un concetto sul quale si pu facilmente essere tutti daccordo, anche perch non una novit. Lo spionaggio industriale non stato inventato con lavvento dei computer; eppure cos se non furto di informazioni e know-how? Sono cambiati per gli strumenti, mentre il paradigma delle-business, che vuole unimpresa affidare allIT tutte le attivit e tutti i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know-how che, in precedenza, si poteva raggiungere solo violando archivi e casseforti. Lestensione in rete dellazienda, il successo di Internet, intranet ed extranet hanno favoritolo sviluppo di soluzioni e strumenti informatici, sia hardware sia software, che rispondono a esigenze di protezione differenti dal passato. Un mondo quindi completamente nuovo che


7

coglie impreparate molte aziende: da un lato, c una scarsa percezione di quello che significa IT security, dallaltro manca una reale percezione del rischio.

Verso unazienda aperta Teoricamente, lunico sistema completamente sicuro quello totalmente isolato dal resto del mondo. Evidentemente, non pu essere un sistema aziendale, che altrimenti risulterebbe asfittico. Certamente, se si pensa comunque al mondo informatico di qualche anno fa, ci si potrebbe chiedere quali sono le ragioni che portano ad aprire lazienda verso lesterno e, quindi, che obbligano allintroduzione di un pi o meno accurato sistema di sicurezza. Di fatto, volendo identificare con Internet la causa primaria di tutte le minacce alla sicurezza del sistema informativo aziendale, andare online pu rappresentare un rischio elevato. Un rischio che non si pu per fare a meno di correre: per restare al passo con i tempi, per sfruttare i vantaggi competitivi delle nuove tecnologie, per poter godere di particolari condizioni che una societ pu riservare ai partner commerciali comunicanti in intranet, per conseguire dei risparmi con le VPN (Virtual Private Network) su Internet, per migliorare la comunicazione aziendale, per fornire dei servizi ai propri clienti, per implementare un servizio di commercio elettronico e cos via.

Non obiettivo di questa tesi dimostrare quanto sia opportuno introdurre in azienda tecnologie di comunicazione e infrastrutture innovative, al solo scopo di giustificare il ricorso a un sistema di sicurezza. Resta il fatto che tutte queste spinte verso lapertura dellazienda allesterno sono una tendenza incontrovertibile che presenta indubbi vantaggi per le imprese, anche a fronte di una maggiore esposizione al rischio di violazioni informatiche. Si consideri lesempio del commercio elettronico. Analisi di settore lasciano intravedere un crescente utilizzo di Internet come mezzo per compiere acquisti. Quanto bisogner aspettare prima che questo mercato diventi interessante difficile da stabilire, ma che siano migliaia di miliardi di euro o cifre molto inferiori che si sposteranno sul commercio elettronico gi nei prossimi anni, gli investimenti per la creazione di un sistema di e-commerce non cambiano molto. Gi oggi, peraltro, si pu pensare di impostare la propria infrastruttura perch sia pronta a garantire in tempi rapidi quelle caratteristiche di resilienza, upgrade prestazionale, ridondanza e sicurezza che sono alla base di un sistema di servizi online. Oltre a rappresentare una fetta di mercato interessante, gli utenti Web costituiscono unopportunit per lo sviluppo di nuovi servizi e applicazioni. Senza contare altre forme di


8

comunicazione emergenti, per le quali cresce lesigenza di sviluppare servizi a valore aggiunto. Il riferimento al mondo del wireless e della mobilit in generale, che pone altri e nuovi interrogativi nei riguardi della sicurezza,ma che rappresenta un percorso inevitabile per molte aziende moderne.

Levoluzione delle infrastrutture Realizzare uninfrastruttura che sia in grado di garantire servizi a valore aggiunto a clienti magari distribuiti sul globo o, meno ambiziosamente, mettere a disposizione della propria clientela un contact-center che soddisfi le esigenze di un dipartimento di customer care, non comunque cosa da poco. Daltronde, levoluzione stessa delle tecnologie sta portando verso limplementazione di architetture di rete convergenti e allemergere delle soluzioni di Virtual Private Network (VPN). Altre tendenze, quali la server e la storage consolidation, che portano al raggruppamento delle risorse in data center e alla riorganizzazione delle strutture aziendali, si sommano a quanto descritto, ponendo seri problemi intermini di management. Aspetti che non devono agire come un freno, ma portare a un ripensamento complessivo della propria infrastruttura e ad adottare strategie architetturali e di piattaforma che tengano conto di fenomeni che sono in buona parte prevedibili e che,quindi, opportuno far entrare nellequazione progettuale.

noto che le problematiche di gestione sono quelle che pi di altre innalzano il cosiddetto total cost of ownership, ma risultano costi inevitabili quelli di gestione dellinformazione, elemento sempre pi centrale e vero asset aziendale. Unottimizzazione in questo campo viene fornita anche dai sistemi di sicurezza. Un approccio globale al problema, infatti, prevede la realizzazione di policy molto precise e piuttosto rigide che consentono di aumentare il controllo su tutto il sistema e di aumentare lefficienza oltre che la sicurezza delle informazioni.

Se qualche azienda ancora crede di poter fare a meno della sicurezza perch ha evidentemente deciso di porsi fuori del mercato, chiudendo la propria impresa allinterazione e alla comunicazione diretta con partner e clienti. Ma anche se tale necessit non fosse sentita, una qualsiasi azienda con pi di una sede si trova a dover affrontare il problema della comunicazione intra-aziendale. Fino a qualche anno fa, lunica alternativa era quella di rivolgersi a un carrier (solo Telecom Italia fino al 1994) per affittare una linea dedicata.


9

Certamente una scelta sicura, ma anche costosa. Oggi, con Internet, esistono alternative molto pi vantaggiose, ma che pongono un problema di sicurezza: ecco un primo esempio di trade off tra investimento in sicurezza e risparmio, con la possibilit di conseguire un vantaggio competitivo.

Soprattutto con le VPN (Reti Private Virtuali), levoluzione delle reti ha sostanzialmente modificato il rapporto tra rete trasmissiva e sicurezza. Inoltre,essa ha contribuito a esaltare i concetti di qualit del servizio, che di per s gi un elemento di sicurezza, e a modificare larchitettura delle reti con laffermazione di dispositivi specializzati, o appliance, volti ad accelerare le prestazioni allinterno della rete, e di apparati di comunicazione, i gateway, tesi a racchiudere la rete in una sorta di capsula che ingloba allinterno tutte le complessit architetturali e tecnologiche e semplifica linterazione con lesterno.

Dallanalisi di esigenze e risorse ai requisiti di protezione Il rischio il punto di partenza di ogni considerazione sulla sicurezza o, almeno, dovrebbe esserlo, anche perch un concetto assolutamente radicato in unimpresa. I top manager, infatti, sono abituati a gestire il rischio, a misurarlo e a sfruttarlo a proprio favore. Sotto questo punto di vista, la sicurezza informatica si pu banalmente considerare uno strumento di gestione del rischio. Peraltro, la complessit delle tecnologie rende il manager spesso incapace di comprendere quali siano le reali minacce e, quindi,di valutare correttamente quali asset aziendali siano in pericolo, nonch quanto sia grande tale pericolo. Questo, per, non deve rimanere lunico approccio alla sicurezza, altrimenti potrebbe limitare le scelte e le considerazioni allambito del threat management, cio a proteggere lazienda dalle minacce, esterne o interne, ma non consentirebbe di sfruttare alcuni elementi abilitanti della sicurezza. Le soluzioni di CRM (Customer Relationship Management) o di SCM (Supply Chain Management), per esempio, sono un chiaro esempio di come si possano introdurre in azienda nuove tecnologie per estendere e ottimizzare i processi di business. Queste attivit, peraltro, richiedono necessariamente limpiego di tool di sicurezza al fine di garantire lautenticit e lintegrit delle transazioni con clienti e partner. Anche qui esiste, in effetti, un rischio: per esempio, che un cliente non riconosca un ordine. Esistono vincoli legali che vanno rispettati, ma il governo italiano da tempo ha emesso leggi che consentono luso di strumenti informatici per autenticare transazioni elettroniche.

Solo considerando tutti gli aspetti della sicurezza e,quindi,i rischi e le opportunit che unazienda deve fronteggiare, possibile valutare correttamente quali soluzioni sono


10

indispensabili, quali utili e quali probabilmente inutili. In ogni caso, buona norma di business misurare il pi accuratamente possibile il ROI (Return On Investment) della sicurezza, come di ogni altra spesa, assumendo, pertanto, che si tratti di investimenti e non di meri costi. Ogni azienda deve quindi valutare le proprie esigenze in termini di sicurezza, identificando le aree di interesse e gli ambiti nei quali sar opportuno adottare opportuni strumenti. necessario studiare le infrastrutture utilizzate, le applicazioni e i processi aziendali, al fine di comprendere quali investimenti conviene effettuare. Quello che emerge una sorta di trade off tra linvestimento richiesto e il livello di protezione che si vuole o pu ottenere.

In altre parole, il costo della sicurezza assoluta certamente insostenibile per unazienda: si pu considerare che sia virtualmente tendente a infinito. Ma esiste anche un altro problema: troppa sicurezza, per assurdo, risulta controproducente, in quanto vincolerebbe cos tanto lazienda da rallentarne lattivit e diminuirne la produttivit. Mentre, al contrario, un corretto livello di sicurezza garantisce lo svolgimento regolare e competitivo del business e, contemporaneamente, aumenta la produttivit e la redditivit dellimpresa.

Levoluzione di tecniche e rischi La gestione della sicurezza ha visto modifiche molto profonde negli ultimi anni. Il cambiamento delle modalit lavorative, e luso sempre maggiore di tecnologie di tipo online hanno aumentato in maniera radicale i rischi a cui si espone unazienda. In passato le problematiche della sicurezza venivano affrontate quando si era gi verificato un problema e si cercava di rimediarvi nel pi breve tempo possibile, mentre oggi si tende a


11

privilegiare un approccio aziendale in cui ci sono risorse destinate a tempo pieno alla gestione della sicurezza. Questa filosofia va estendendosi anche al cliente, dato che la crescente offerta di servizi online finisce per portare anche questa figura allinterno delle considerazioni generali della sicurezza aziendale. Il grande numero di attacchi legato in gran parte alla velocit e alla collaborazione. Nellultimo decennio la velocit aumentata su due fronti: quello delle comunicazioni e quindi della possibilit di diffusione e di replicazione di virus e worm, e quello legato allo sviluppo del software, con tante nuove release ognuna delle quali pu portarsi dietro delle vulnerabilit. Per quanto riguarda la collaborazione difficile immaginare oggi unazienda il cui lavoro non sia il frutto di cooperazione fra due o pi dipendenti, se non di due o pi reparti; il lato negativo, relativamente alla sicurezza che pi si mettono in condizione di collaborare due utenti e pi si d spazio ad un uso illecito di questi strumenti. Non bisogna dimenticare, infatti, che dagli Anni 90 ad oggi le conoscenze informatiche di chi effettua degli attacchi vanno decrescendo: mentre le prime incursioni richiedevano conoscenze avanzatissime dei sistemi e dei protocolli di comunicazione,oggi sono disponibili su internet tantissimi strumenti che spaziano da semplici script a evolutissime piattaforme in grado di decidere autonomamente quale attacco effettuare in base al sistema attaccato, che possono essere semplicemente scaricati e lanciare senza sapere quali vulnerabilit del software o dei protocolli sfruttino.

I cosiddetti script-kiddies, ovvero le persone con conoscenze tecniche molto limitate che utilizzano questi strumenti quasi per gioco, hanno popolato le cronache dei giornali nel febbraio del 2000 quando vennero effettuati i pi clamorosi attacchi di tipo Distributed Denial of Service ai server di Ebay, di Yahoo!, di Amazon e molti altri causando danni per milioni di dollari in mancati profitti. In particolare lattacco a Yahoo! ha raggiunto punte di Gigabyte di traffico al secondo, mettendo bene in chiaro che un attacco DDOS ben orchestrato pu mettere in ginocchio qualsiasi rete.

Si tratta di una tendenza in aumento, che render sempre pi probabile essere vittima di attacchi e che sta mutando rispetto agli obiettivi, indirizzandosi sempre pi verso una logica di profitto anzich di sfida. Tutto ci porta verso un approccio integrato e olistico alla sicurezza. Negli Stati Uniti gi dal Dicembre 2003 stata introdotta una Task Force per la Corporate Governance sotto il controllo della National Cyber Security Partnership, il cui scopo di sviluppare e promuovere un


12

framework di gestione coerente, e guidare limplementazione delle politiche di sicurezza per le aziende, le organizzazioni e gli istituti accademici.

Le minacce nellera del Web 2.0 Le pi recenti analisi concordano nellevidenziare che non sono pi i virus a preoccupare, ma minacce pi sofisticate quali phishing, adware, spyware e botnet. Denominatore comune di questi termini, oggi alla ribalta, il fatto che si tratta di azioni illegali orchestrate non pi dai cosiddetti script kid, giovani in cerca di notoriet che si pongono obiettivi ambiziosi per mettere alla prova le proprie capacit, ma organizzazioni criminali vere e proprie, che

utilizzano i ragazzi, spesso alloscuro del disegno complessivo, come braccio armato per le loro malefatte. Obiettivo ultimo di queste organizzazioni guadagnare soldi: attraverso il furto di identit, cio sottraendo e utilizzando in modo fraudolento dati degli utenti, numeri di carta di credito, password e altro, oppure con il ricatto, per esempio minacciando unorganizzazione di mettere ko i suoi sistemi Internet, o ancora sfruttando lingenuit di chi riceve mail mascherate da richieste di beneficenza, pubblicit di prodotti super economici e via dicendo. Ma c di pi. Chi scrive malware oggi condivide informazioni con i colleghi, mentre prima non accadeva. Ormai vengono seguite le stesse fasi di sviluppo del software normale, secondo il modello opensource, con il rilascio successivo di diverse versioni, il debug e via dicendo. Inoltre, esiste un vero e proprio mercato delle vulnerabilit: chi ne segnala una viene pagato, cos come avviene per le liste di indirizzi e-mail. E per trovare le vulnerabilit non c bisogno di essere particolarmente competenti: esistono tecniche, chiamate fuzzing, che permettono di effettuare lo scanning dei programmi in automatico. Questi speciali tool possono essere lanciati anche su un pc portatile, poich non serve una macchina particolarmente potente. Il mercato

delle vulnerabilit ormai alla luce del sole, tanto che qualcuno, qualche mese fa, ne mise una relativa a Excel allasta su eBay: il portale se ne accorse, e cancell lasta prima della fine. Come conseguenza di ci, continua ad aumentare il numero di attacchizero day, che sfruttano vulnerabilit ancora non note e per le quali non sono disponibili patch, malgrado le software house stiano riducendo i cicli di rilascio delle patch, che, in molti casi, hanno ormai cadenza costante. Ci fa s che sia pi breve il periodo di rischio cui sono esposti gli utenti.

I calo dei virus e laumento dello spam La riduzione del numero di virus in circolazione sotto gli occhi di qualunque utente di pc. Dati recenti parlano di una mail infetta ogni 337, pari allo 0,3% del totale, e, in ogni caso,


13

nessuno dei virus emersi nel 2006 ha causato unepidemia, come avveniva in passato. Se da un lato, come accennato, questo calo si deve allo spostamento delle energie degli hacker verso attivit pi redditizie, dallaltro non va dimenticato che ormai quasi tutti i pc sono protetti da antivirus costantemente aggiornati, che riducono significativamente le preoccupazioni e i danni. In effetti, sono oltre 200mila le varianti di virus attualmente in circolazione, ma i tool per lindividuazione e la rimozione sono diventati accurati e largamente disponibili. Un problema in costante crescita , invece, quello dello spam, che secondo alcune fonti raggiungerebbe oggi una percentuale pari all80 90% del totale delle mail in circolazione. Il costo associato notevolissimo, sia in termini di tempo perso per cancellare le mail sia perch lo spam rallenta i sistemi, intasando le reti trasmissive. Per non essere individuati, gli spammer ricorrono a trucchi come quello di utilizzare domini poco noti e che cambiano con una rapidit impressionante. Le tradizionali blacklist degli anti spam impiegano circa 20 minuti per bloccare un sito, ed questo il ritmo tenuto dagli spammer nel modificare lURL di provenienza. Dato che registrare un dominio costa pochi dollari, il vantaggio economico comunque notevole. Inoltre, utilizzano i nomi di dominio di piccole isole, come quella di Man o quella minuscola di Tokelau, nel Pacifico,un fenomeno noto comespam-Island hopping. Legato allo spam il phishing, ovvero linvio di mail che sembrano provenire da unazienda reale, come una banca o un sito di e-commerce, con lobiettivo di estorcere informazioni riservate. Nel 2006 ne sono stati censiti circa 17mila, secondo Secure Computing Research. In effetti, oggi i tool necessari per attivit di spamming e phishing sono pubblicamente disponibili su Internet, mentre possibile acquistare elenchi di indirizzi validi con milioni di nominativi per poche decine di euro.

Ladware nuova fonte di reddito Una delle principali fonti di profitto su Internet ladware, il software che si installa sul computer della macchina utente e lancia dei pop up pubblicitari mirati, in base a dati di marketing raccolti attraverso lo spyware. I due concetti, spyware e adware, sono, infatti, strettamente legati. Si tratta di una minaccia che non sar debellata tanto facilmente nel prossimo futuro, perch ha un buon ritorno economico, considerati gli elevatissimi volumi su cui agiscono. Il modello delladware nasce in modo legale, ma gli hacker si introducono nei computer senza permesso, prendendo a volte denaro dalle societ coinvolte, oppure dirottano i pagamenti verso di loro. Dati rilevati a maggio del 2006 parlano di 700 famiglie di adware con oltre 6000 varianti.


14

Le principali fonti di malware, cio i siti che dispensano il software allignaro visitatore, sono quelli pi gettonati, come quelli dei divi o di eventi sportivi molto seguiti: i mondiali di Germania, per esempio, hanno portato alla circolazione di un virus camuffato da foglio elettronico della classifica, e di uno spyware nascosto in un salvaschermo.

Web 2.0 e Bot net La diffusione delle nuove minacce su Internet oggi alimentata da due fenomeni. Il primo quello delle cosiddette social network, o del Web 2.0. Ci si riferisce a quellinsieme di siti (da You Tube a Wikipedia) in cui i veri protagonisti sono gli utenti, che possono pubblicare direttamente i propri contenuti. Al successo di questo fenomeno si accompagna, secondo gli addetti ai lavori, un aumento delle problematiche di sicurezza, prima fra tutte il furto di identit: gli utenti si sentono fiduciosi e lasciano in rete non solo le generalit, ma anche i propri interessi e le informazioni sulla propria vita privata,tutti dati utili per truffe mirate. Da ultimo, ma non per importanza, va citato lemergere dei Bot net (termine derivato da Robot), universalmente considerati la principale minaccia del momento. Si tratta di una rete di computer che vengono di fatto controllati da un hacker, che li pu utilizzare per inviare un attacco o uno spam su grande scala, senza che lutente del computer si accorga di niente. Il fenomeno in espansione e si prevede che in futuro le Bot net, e chi le governa, assumeranno il ruolo di centrali distribuite di comando e controllo. Inoltre,emerger lutilizzo di protocolli per il controllo diversi dai tradizionali IRC (Internet Relay Chat) o HTTP. Gli autori di Bot utilizzano sempre pi tecniche di sviluppo open source, con la collaborazione fra diversi sviluppatori, e questo rappresenta un cambio importante nellevoluzione del malware, poich lo rende sempre pi solido e affidabile. Si preannuncia,quindi,una crescita esplosiva del fenomeno.

LA COMPLIANCE ALLE NORMATIVE Le recenti normative in materia tecnologica e in particolare quelli relativi alla protezione dei dati e alla sicurezza, a partire dal DPR 318 del 1999 per arrivare a quello che oggi noto come Testo Unico sulla Privacy, hanno avuto il grande pregio di aver dato impulso al mercato. Daltro canto, tali investimenti sono stati concepiti dalle aziende piuttosto come spese per adempiere a un obbligo e, quindi, considerati come un costo improduttivo. Tutte le indagini di settore sono concordi nel ritenere questultimo come lapproccio seguito dalla maggior parte delle imprese italiane e non solo.


15

Il termine stessocompliance, del resto, secondo il dizionario della lingua inglese, significa obbedire alle regole fissate da qualcuno. evidente che in tutto il mondo una legge comunque vista come unimposizione. Poco importa, per esempio, se il Sarbanes Oaxley Act, noto come SOX, sia stato varato per evitare casi come quello della Enron, dipingendo un modello tutto sommato di buon senso e semplice trasparenza nella governance aziendale. Quanti indossano le cinture di sicurezza in macchina solo perch previsto dalla legge, senza considerare che statisticamente queste sono utili a evitare danni in caso dincidente e molto spesso determinanti fino a salvare la vita? bene sottolineare che la SOX, la legge sulla Privacy e quella sulle cinture di sicurezza non sono state varate per il bene del cittadino, ma, pi correttamente in una societ democratica, costituiscono regole per la convivenza e fanno da riferimento in caso di vertenze (per inciso: non si ha il diritto di schiantarsi contro il parabrezza perch non si ha voglia di mettere le cinture, in quanto si crea un danno per la societ e per gli altri, oltre e prima che per se stessi). Il buon senso rende evidente, che dovendo comunque soddisfare la compliance, la cosa pi intelligente trasformare tale obbligo in unopportunit di crescita. Trasformare, in altre parole, quello che appare come un costo odioso in un investimento vantaggioso. Sembrerebbe un classico consiglio buonista, bello in teoria ma poi di difficile se non utopistica applicazione, se non fosse che molte pi imprese di quanto non si pensi hanno affrontato la questione dal verso giusto, raggiungendo risultati. Diversi casi si trovano nel mondo bancario, dove, per esempio, si approfittato della compliance per aggiornare i sistemi di sicurezza, innalzando la stessa e aprendo i servizi online,generando pertanto nuovo business e aumentando la raccolta del denaro. Adottare lapproccio giusto pi facile di quanto possa sembrare. Infatti, semplicemente opportuno concentrarsi sulle proprie esigenze di business, senza guardare nel dettaglio i requisiti delle normative. Facendo riferimento alle generiche indicazioni della legge internazionale e italiana o agli standard e alle best practice da queste ultime citate e prese a modello, infatti, si ottiene tipicamente una lista di azioni e di controlli per la sicurezza, che praticamente impossibile mettere tutti in pratica in un sistema unico, relativamente omogeneo e umanamente gestibile. Se, poi, le imprese vogliono adottare il classico modello del best of breed (anche perch la legge richiede di fare il massimo sforzo), palese che la security ICT diventa ben presto una variabile impazzita ingovernabile. Se, invece, si adotta il tradizionale approccio basato sulla misurazione del rischio, partendo dai processi di business, dal loro valore e dallimpatto che un eventuale danno potrebbe portare


16

sugli stessi, si ottengono tutte le indicazioni necessarie per definire quali sono i rimedi per la riduzione del rischio. Si pu cos progettare un sistema di sicurezza, il cui obiettivo principale quello di garantire lintegrit del processo di business, ma che avr con ogni probabilit leffetto collateraledi soddisfare la compliance. Innanzitutto occorre considerare che qualsiasi legge contempla, di fatto, tre caratteristiche: lassunzione di responsabilit, la trasparenza e la misurabilit. Il primo evidentemente parte dal presupposto che se esistono delle regole queste possano essere trasgredite ed necessario che qualcuno sia responsabile del rispetto di tali regole in azienda. Parlando di risk management, peraltro, la legge tipicamente richiede che sia definito il responsabile o i responsabili che hanno il potere di controllare il rischio. Per trasparenza sintende la conoscenza e la visibilit dei controlli nella risk management e degli asset e processi di business che vanno protetti. Non si tratta, infatti, di mettere una scatola in cassaforte, ma necessario entrare a fondo, per esempio nei processi, per capirne il funzionamento e prevenire il modo in cui potrebbero essere attaccati. La misurabilit necessaria per avere consapevolezza dei risultati ottenuti. palese che si tratta di caratteristiche che dovrebbero essere comunque introdotte in azienda per la stessa gestione dimpresa. Ponendo laccento su queste tre caratteristiche si gi a met strada nel cammino verso la compliance. Un altro punto fondamentale, consiste nel capire che questultima non costituisce uno stato assoluto univoco. In altre parole, la compliance non raggiungibile in modo inequivocabile e il suo soddisfacimento deve essere dinamico. Di fatto, il controllore (auditor in dizione inglese) che stabilisce se un impresa in linea con legge. Se non si entra in una vera e propria fase di trattativa, poco ci manca (c da scommettere sul fatto che ci accade normalmente in molti paesi esteri). La documentazione pertanto fondamentale quanto il sistema di sicurezza stesso. Documentazione che dovr testimoniare fino in fondo che quanto stato implementato, la gestione dello stesso e tutte le azioni correlate alla sicurezza, costituivano la sceltagiusta.

Con il pensiero rivolto agli obiettivi di business, la scelta non potr che essere giusta, perch sar certamente tesa a proteggere le attivit pi preziose per lazienda: tipicamente quelle che generano pi soldi. Cio le prime che vengono comune mente analizzate dai controllori. Lapproccio olistico, che parte da una fase di risk assessment e costituisce un processo ciclico per la sicurezza,porta in s il rispetto della compliance, a patto che non venga implementato un sistema statico.


17

Lapproccio basato sul rischio (inteso come misura del danno eventuale e da non confondere con la presenza delle minacce, che ineluttabile) ha il vantaggio di essere pi vicino al business che al dipartimento IT, quindi anche pi facile da far comprendere al top management. Si ottiene la compliance, ma si investe per garantire la sicurezza del business e per rendere i processi IT allineati con questultimo.

Capitolo 2

LE SOLUZIONI PER LA SICUREZZA

Se,in pratica,ogni azienda ha bisogno di proteggere il proprio sistema informativo dagli attacchi esterni che si fanno via via pi frequenti e pericolosi, di fatto, questo non si esaurisce con lacquisto di software o hardware. Soluzioni arcinote, come antivirus e firewall, sono certamente necessarie ma non sufficienti a

garantire la sicurezza aziendale.

Cosa sintende per IT security Innanzi tutto occorre definire cosa si intende per sicurezza, perch, in effetti, se si parla del piccolo ufficio di professionisti che impiega semplicemente le mail per comunicare con i propri clienti ma senza neanche spedire documenti importanti, allora firewall e antivirus potrebbero bastare. Al crescere dellimportanza delle informazioni trattate e trasmesse dal sistema informativo aziendale, aumenta la sensibilit verso i potenziali danni causati alle stesse e, di conseguenza, sale il punto ideale di incontro tra costi e livello di sicurezza. Tutto questo perch sar sempre maggiore limportanza data alle componenti del concetto di sicurezza dei dati: confidenzialit o riservatezza, disponibilit, integrit, autenticit e non repudiation. La confidenzialit implica che nessuno al di fuori di chi sia autorizzato possa avere accesso a questi dati. Nessuna azienda vuole, per esempio, che un estraneo cacci la testa nei suoi libri contabili, oppure copi un progetto o, ancora, che legga le e mail dellamministratore delegato o dellultimo dei propri impiegati. La disponibilit, che spesso anche un problema connesso con laffidabilit delle infrastrutture, impone che gli utenti autorizzati possano accedere alle informazioni e ai servizi, in modo da poter svolgere il proprio lavoro. Un disservizio pu avere ripercussioni notevoli sulla redditivit di unimpresa o, nel caso di aziende che forniscono un servizio pubblico,sullimmagine della stessa. Lintegrit fondamentale perch non ovviamente possibile utilizzare un dato incompleto o che sia stato alterato. Questo concetto assume unimportanza crescente nelle infrastrutture multiservice di nuova generazione. Laddove il pacchetto dati trasporta un pezzo di una

Le soluzioni per la sicurezza CAPITOLO 2

19

comunicazione audio o video, per esempio, la mancanza di integrit anche di una parte dei dati pu determinare lincapacit dello stabilire la comunicazione. In altri termini, il tasso accettabile di perdita dei pacchetti dati trasmessi risulta molto ridotto in una rete convergente, che, tra laltro, dovr essere dotata di caratteristiche di Quality of Service, rispetto a una rete best effort, allinterno della quale stato concepito il frame loss. In questi casi, una corretta policy di sicurezza aiuta a impostare una rigidit della rete e, insieme alla QoS, permette di rendere pi efficiente la gestione della rete stessa. Una volta che nessun altro abbia letto linformazione, che questa sia disponibile allutente autorizzato e che sia giunta integra, essa risulta comunque inutile o peggio dannosa se stata falsificata. Lautenticit la garanzia che il dato ricevuto sia effettivamente quello trasmesso. Ma non solo: importante anche lassicurazione che a trasmettere il dato sia effettivamente stato il mittente indicato. Il destinatario di un messaggio deve essere sicuro che chi glielo ha inviato sia esattamente chi dice di essere, cos come deve essere certo che il messaggio originale non sia stato modificato,magari stravolgendone il contenuto.

Dualmente, la non repudiation autentica il destinatario nei confronti del mittente e garantisce il primo dal rischio che il secondo non rinneghi il contenuto del messaggio. Se si implementa un sistema di ordini online, necessario che chi emetta lordine non possa rifiutare il pagamento o la consegna della merce, negando lordine stesso. Per questo, per, deve essere possibile dimostrare sia lemissione dellordine sia che questo sia stato realmente effettuato dal cliente reticente.

Tutte le minacce alla sicurezza, di fatto, toccano uno di questi aspetti: unintrusione mina la riservatezza, un Denial of Service blocca la disponibilit, un virus distrugge lintegrit, un defacement o uno spoofing intaccano lautenticit. Per ciascuna di queste minacce esistono delle soluzioni che, pi o meno efficacemente, a seconda delle capacit implementative, possono scongiurare il rischio. Data la vastit delle problematiche, peraltro, evidente che lunico utile un approccio globale.


20

Levoluzione delle soluzioni di protezione Lauthentication e lencryption sono state le prime soluzioni di sicurezza IT a essere sviluppate nella seconda met degli Anni 70 al fine di proteggere le trasmissioni dati da accessi non autorizzati. Il problema, a onor del vero, sentito sin dallantichit (quando il mezzo di comunicazione consisteva in messaggeri) e molti sono stati i metodi impiegati a questo fine. Se si guarda alle attivit di protezione delle informazioni dal punto di vista della capacit elaborativa necessaria, le tecnologie di autenticazione e di crittografia richiedono una considerevole potenza di calcolo,con un impatto significativo sulle prestazioni di server e reti e problematiche di scalabilit e implementazione. Per ovviare a ci sono state sviluppate soluzioni hardware ottimizzate, note come Accelerator, delle appliance di rete che sono dedicate alla esecuzione dei calcoli necessari sgravando nei server dedicati alle applicazioni. Scopo della crittografia ovviamente quello di proteggere la riservatezza dei dati, facendo in modo che, anche quando venissero intercettati, questi risultino incomprensibili a chiunque tranne agli utenti autorizzati, dotati delle chiavi giuste per decifrarli. Lautenticazione necessariamente accoppiata allencryption, anche perch i primi dati a dover essere crittografati sono proprio quelli che servono per autenticare sorgente e destinazione di una comunicazione. evidente che una password che possa essere letta da chiunque, non sarebbe di alcuna utilit e non garantirebbe lautenticit. Per contro,proprio la crittografia basata su chiavi particolari consente di certificare lautenticit, oltre che della fonte, anche dei dati stessi. A questo scopo sono state sviluppate soluzioni come la PKI. Strettamente correlata con queste tecnologie la firma digitale, una certificazione virtuale dellautenticit del mittente, ma anche un potente strumento di non repudiation (e cio di non rifiutabilit del documento ricevuto), perch dimostrabile che solo uno specifico utente pu apporre una determinata firma digitale. chiaramente la base di partenza per la realizzazione di una transazione economica online, garantendole due parti e fornendo fiducia al sistema. Agli inizi degli Anni 80, con la diffusione dei primi personal computer, sono apparsi i virus informatici e, subito dopo, gli antivirus. I primi programmi erano relativamente semplici, non necessariamente invasivi e incapaci di diffondersi troppo rapidamente. Il mezzo di contagio erano i floppy disk, mentre oggi il sistema di propagazione preferito dai produttori di virus la posta elettronica. Questo ha spostato la velocit di diffusione dallordine degli anni (Michelangelo nei primi anni Novanta ce ne ha messi quattro per arrivare in quasi


21

tutto il mondo) a quello di pochi giorni se non ore (ventiquattro sono le ore impiegate da I Love You nel 2000 per raggiungere mail server in tutto il Globo). Anche le tecniche di programmazione dei virus sono evolute, tanto che adesso sono nati distinguo importanti, per indicare programmi con metodi di attacco diversi ed effetti molto differenti e, spesso, devastanti. Gli antivirus, fortunatamente, sono evoluti con loro e permettono di controllare le risorse, a partire appunto dalla connessione a Internet e dalla posta elettronica, cercando di bloccare gli attacchi sul nascere. In generale, purtroppo, i primi a essere colpiti sono indifesi, perch solo dopo la scoperta di un nuovo virus, worm, trojanhorse o altro codice, possibile mettere a punto la cura e il vaccino. Prima ancora di Internet, a dare una svolta alle problematiche della sicurezza ha provveduto la nascita delle architetture LAN e dellinformatica distribuita. A partire dalla seconda met/fine degli Anni 80, con la grande diffusione delle reti locali e dei modem, si sono diffuse le architetture di accesso remoto, ponendo nuove problematiche di autenticazione e trasmissione dei dati per utenti dial-in. Il passo immediatamente successivo stato quello dellinterconnessione delle reti LAN di grandi aziende sparse sul territorio. Sui dispositivi per linternetworking, i router,sono stati diffusi i primi sistemi di sicurezza per controllare gli accessi.

In seguito, questi gateway si sono evoluti fino alla nascita dei firewall con lesplosione di Internet nei primiAnni90. Diventati presto indispensabili, i firewall controllano, identificano e filtrano il traffico in entrata e uscita dalla LAN verso altre reti, tipicamente Internet. Tali soluzioni di protezione perimetrale sono generalmente installate su server, router o dispositivi dedicati. Tra le funzioni pi recentemente aggiunte a quelle elementari di tali dispositivi, grande successo ha riscontrato la realizzazione di DMZ (Demilitarized Zone), che consente di creare zone delimitate per fornire laccesso a determinate risorse, mantenendole per separate dal resto della rete locale. Le funzioni del firewall si vanno comunque estendendo, con la diffusione di soluzioni mirate alla protezione non pi limitata solo al perimetro esterno. In questa evoluzione rientrano i

personal firewall, cio soluzioni pensate per la protezione della singola macchina. Questi devono il loro successo alla crescita della diffusione dei notebook, dove, peraltro, il firewall torna alla funzione di protezione perimetrale. Pi a fondo, invece, arriva il concetto degli embedded firewall, che vengono integrati direttamente sulla scheda di rete. Uno dei vantaggi della soluzione embedded consiste


22

nellimpossibilit di manomettere il firewall agendo sul sistema operativo, che da sempre rappresenta uno dei punti deboli delle installazioni di questo tipo di applicazioni. La grande utilit dellaccesso remoto ha portato allo sviluppo di architetture di VPN (Virtual Private Network). Le VPN consentono di estendere la rete aziendale attraverso limpiego di linee trasmissive pubbliche. Particolare interesse suscita la possibilit di impiegare Internet come rete pubblica, per via dei bassi costi indotti da una tale soluzione. Le tecnologie di virtual private networking sono gi di per s un esempio di integrazione di applicazioni di sicurezza. Per realizzare una VPN, infatti, sono necessarie soluzioni di autenticazione (affinch alla VPN possano accedere solo utenti autorizzati), encryption (perch i dati che viaggiano su reti pubbliche suscettibili di essere intercettati mantengano la caratteristica di riservatezza), firewalling (per bloccare laccesso da e per la VPN) e tunneling (per il trasporto di pacchetti afferenti a un particolare protocollo su reti differenti). Alle VPN, inoltre, possono essere associate anche tecnologie di Quality of Service, a seconda dei servizi che devono essere garantiti su queste connessioni. Quando lutente remoto si collega in modalit wireless, inoltre, non stupisce che si vengano ad aggiungere ulteriori problematiche. Lestensione delle reti, linterconnessione delle stesse, laumento delle minacce e della loro pericolosit nonch la crescita delle stesse conoscenze degli hacker ha creato ulteriori problemi alla sicurezza. Le soluzioni per rimediare si fanno pi sofisticate, ma, per esempio, un firewall non pu essere mai sicuro al 100%. Per proteggere la rete allinterno del perimetro controllato dal firewall e per verificare luso e labuso delle risorse, sono nati e si stanno diffondendo sempre pi i sistemi di rilevamento delle intrusioni. I primi intrusion detection system si sono sviluppati come applicazioni di auditing, atte a controllare i file di sistema dei server, per verificare la presenza di manomissioni o le tracce di intrusioni. Su un altro fronte, quello della rete, si sono sviluppate, invece, soluzioni che partivano dai concetti di analisi delle caratteristiche della rete e del traffico. Dispositivi vicini agli analyzer o agli sniffer, in grado di controllare i pacchetti o i protocolli della rete alla ricerca di anomalie. Rappresentano una delle frontiere pi innovative nella lotta ai crimini informatici.

UN APPROCCIO INTEGRATO ALLA SICUREZZA Le diverse soluzioni per la sicurezza si sono evolute nel corso degli anni al fine di indirizzare problematiche specifiche, andandosi cos a posizionare in punti precisi dellinfrastruttura di elaborazione e comunicazione aziendale. Per esempio, lautenticazione sugli host centrali, in


23

un primo momento, e sui gateway di accesso, successivamente, oppure i firewall a protezione del perimetro applicativo e cos via. Questa visione rifletteva la natura delle minacce, che, per, hanno imboccato la strada di unevoluzione convergente. Gli attacchi, infatti, adottano tecnologie ibride che richiedono strumenti altrettanto integrati se si vuole avere una ragionevole certezza che possano essere

rilevati.

Quello che sta emergendo uno scenario che vede laffermarsi di unarchitettura distribuita dei sistemi di sicurezza, con linstallazione di soluzioni in modalit client server e con lintegrazione di applicazioni inizialmente separate. Un esempio peculiare, a tale proposito, sono i sistemi di intrusion detection. Nati per essere posti allinterno della rete, si stanno spostando in tutti gli elementi dellarchitettura, posizionandosi su host, segmenti di rete e client, sia allinterno della LAN sia allesterno del firewall, come pure nella DMZ. Ma, addirittura, tali sistemi sono anche in grado di colloquiare con analoghe soluzioni poste dagli Internet Service Provider a protezione delle connessioni di rete. Senza contare poi linterazione degli stessi sistemi di IDS con i dispositivi di firewall.

Un esempio immediato dei vantaggi che pu portare lintegrazione dei sistemi quello dellautenticazione. Nei sistemi informativi aziendali gi di media dimensione ci si confronta con lesistenza di directory multiple, che elencano gli utenti ciascuna secondo un proprio punto di vista. Sono directory organizzate da ogni dipartimento aziendale, che per ogni dipendente


24

elabora particolari informazioni. Cos come esistono directory impostate dalle particolari applicazioni che devono servire. Questa situazione porta a due ordini di problemi. Il primo vissuto dallutente, che deve autenticarsi ogni volta che accede a unapplicazione, a un database o a un server diverso. Con tutte le difficolt che questo comporta, quale il dover memorizzare pi user ID e password. Alle volte le impostazioni delle applicazioni stesse impediscono di poter adottare lo stesso tipo di identificativi: per esempio, un mail server potrebbe essere stato configurato dal responsabile in modo che ogni account abbia come user ID nome.cognome, che difficilmente impostabile come entry di un sistema legacy. Il secondo problema di carattere gestionale, con una mole di dati che si replicano e sono difficili da mantenere aggiornati e consistenti. Si pensi allimpiegato che lascia il posto di lavoro: il suo account deve essere cancellato da tutti i sistemi singolarmente. La situazione tipica che, in una buona percentuale dei sistemi, i privilegi di accesso del dipendente rimangono attivi anche a distanza di molti mesi dalle sue dimissioni o dal suo licenziamento. Per risolvere questi problemi, che possono essere alla base di criticit nella sicurezza aziendale, sono state sviluppate delle tecniche cosiddette di Single Sign On (SSO), tali per cui lutente ha la necessit di autenticarsi una sola volta con un server centrale. Sar poi questo a effettuare le autenticazioni successive mano a mano che lutente richiede laccesso a un nuovo server o applicazione, facendosi in un qualche modo garante della sua identit.

Un approccio sistemico Per poter realizzare lintegrazione delle soluzioni di sicurezza, tanto pi quanto maggiore si vuole che sia il livello dintegrazione, opportuno adottare un approccio sistemico, che abbracci linsieme delle problematiche della sicurezza partendo dalle esigenze aziendali e traducendo le stesse in policy di sicurezza. Queste andranno poi opportunamente adattate e implementate nei vari sistemi in maniera consistente. Si ottiene, cos, un sistema robusto in cui tutte le soluzioni collaborano alla protezione e alla prevenzione. Un tale sistema, peraltro,non consiste solo in un insieme integrato di applicazioni, pi o meno automatiche. Come gi evidenziato, la sicurezza anche una questione organizzativa. Poco o nulla servono le precauzioni se, poi, nessuno le adotta. Le policy oltre che definite devono essere implementate. Molte di queste, per, non sono automatiche o, comunque, possono essere disattese dagli utenti, anche senza intenzioni dolose, ma semplicemente per


25

accelerare il proprio lavoro (quanti hanno voglia o si ricordano di lanciare il backup periodicamente?). Le policy diventano procedure e una certa attenzione richiesta, come, per esempio, quella di non lasciare appuntate le password su foglietti (tipico il post-it giallo sotto la tastiera). A caratterizzare pi di ogni altra cosa un approccio sistemico,peraltro, la visione della sicurezza come processo continuo. Si detto che il punto di partenza deve essere il rischio: comprendere quali sono le informazioni e le risorse che hanno bisogno di protezione e, soprattutto, quali sono i danni che si conseguirebbero in caso di perdita delle stesse. Si ottiene, cos, una misura degli investimenti che sar opportuno realizzare. Una volta progettato di conseguenza il sistema di sicurezza, questo va implementato con tutte le implicazioni di carattere organizzativo cui si accennato, anche in termini di definizione di policy aziendali. Il passo successivo quello del controllo e della manutenzione del sistema. Questo, per, implica il continuo aggiornamento delle soluzioni, perch stiano al passo con levoluzione delle minacce, ma anche ladeguamento di tutta larchitettura del sistema alle variazioni dello scenario complessivo. la stessa azienda soggetta a cambiamenti: si pensi alle acquisizioni, allistituzione di una nuova business-unit e a tutte quelle dinamicit che testimoniano il buon stato di salute di unimpresa. Periodicamente, dunque, necessario rimettere tutto in discussione, a partire dal rischio stesso cui soggetta limpresa, mantenendo sotto controllo il sistema di sicurezza per verificarne la robustezza (per esempio, con tecniche di vulnerability assessment) e ladeguatezza.

La necessit di un responsabile Un sistema del genere deve essere quindi gestito sia nelloperativit di tutti i giorni sia nella sua pianificazione complessiva. Entrambe sono fasi delicate, che richiedono un impegno crescente allaumentare delle dimensioni aziendali, delle risorse messe sotto controllo e, ovviamente, delle soluzioni implementate. La complessit che ne emerge, unitamente allimportanza dei sistemi di sicurezza, suggerisce la definizione di responsabilit ben precise, con la nomina di un responsabile della sicurezza. In Italia, alcune normative impongono la presenza di un responsabile della sicurezza IT in azienda (da non confondere con quello imposto dalla legge 626, che riguarda la sicurezza del posto di lavoro). Il security manager, come viene spesso indicato con dizione inglese, preposto alla gestione del sistema di sicurezza e pu essere perseguito anche penalmente (come prevede il DPR 318) in caso di danni causati da inadempienze alla sicurezza da parte dellazienda.


26

A seconda delle realt, potr essere necessario affiancare al responsabile uno staff, variamente composto. Alcuni studi indicano come ideale un rapporto 1 a 25, tra personale dedicato alla sicurezza e numero di postazioni (client, server e nodi di rete inclusi). Nella realt, naturalmente, sono i budget IT a dettare le regole per il dimensionamento dello staff.

Si consideri, per, che in unazienda di medie dimensioni, dotata di un sistema gi minimamente sofisticato, sarebbe opportuno poter contare almeno su un responsabile, un database manager, un addetto alla manutenzione e almeno un amministratore.

Leccesso di informazioni Un problema derivante dallimplementazione di un sistema integrato non supportato da un adeguato strumento di amministrazione legato alleccesso di informazioni che il security manager si trova a dover gestire. Ogni soluzione del sistema, dallantivirus al firewall, dai sistemi di rilevamento delle intrusioni a quelli per il controllo degli accessi, alle soluzioni per lidentity management, alle sessioni dautenticazione e cos via, genera delle informazioni, registrando gli eventi che sono tenute a monitorare. Si stima che solo il firewall di una media organizzazione, come potrebbe essere una banca, registra circa ventimila eventi al giorno.

La corretta introduzione delle policy di sicurezza in ogni dipartimento aziendale pu comportare un ulteriore incremento della quantit di informazioni che vengono registrate,molte delle quali relative allo stesso evento che viene registrato su pi fronti. Sussiste, pertanto, un problema di integrazione, che, evidentemente, deve esser affrontato a monte, in fase di progettazione, prevedendo da subito uno strumento di integrazione delle diverse soluzioni, in modo da poter quantomeno raccogliere le informazioni su una base omogenea e su ununica console di amministrazione centralizzata.


27

Anche cos, peraltro, non pensabile gestire la mole di dati, se questa non viene preventivamente filtrata da un sistema di reportistica intelligente che consente di visualizzare le informazioni con formule di sintesi immediate, per esempio legate al rischio connesso con levento.

Nel caso prima esemplificato, peraltro, questo non sarebbe probabilmente sufficiente, se non in presenza di un motore di correlazione intelligente dei dati, che fornisce un primo elemento di supporto alle decisioni, di cui lamministratore del sistema ha evidente bisogno, altrimenti non avrebbe le capacit gestionali per reagire alle situazioni che potrebbero compromettere processi e attivit essenziali per lazienda stessa. Senza contare che anche il semplice svolgimento delle attivit quotidiane dellamministratore potrebbe risultare problematico.

Anticipare gli attacchi La variet di minacce alla sicurezza informatica non cessa di sorprendere. Una recente notizia che giunge dagli Stati Uniti riporta che un hacker, dopo essere riuscito ad accedere al sistema informativo di unazienda, ne ha cifrato alcuni contenuti, indirizzando successivamente allutente una richiesta di denaro di 200 US-$ da depositare su un conto in Internet in cambio della chiave per sbloccare i file. In realt la richiesta di riscattoin cambio di dati informatici non rappresenta una novit assoluta e gli analisti, pur prevedendo possibili repliche di attacchi di questo tipo,non ritengono che si sia di fronte a un nuovo trend a larga diffusione. Questo episodio rappresenta, tuttavia, un punto di partenza interessante per una riflessione sulla variet delle minacce che continuamente le aziende si trovano a fronteggiare per proteggere le loro informazioni e dimostra che la fantasia degli hacker riesce ancora a superare le previsioni dei professionisti della sicurezza. Ogni volta che si mette a punto una tecnica di difesa, compare un nuovo tipo di minaccia. cos che siamo passati dai virus, ai worm, ai trojan fino al pi recente fenomeno dello spyware, ancora pi difficile da controbattere poich si colloca al confine tra lecito (o addirittura utile) e illecito.

Quando la battaglia sembra vinta sul piano delle tecnologie, lo scontro si sposta sullinterruzione di servizio, sullestorsione di informazioni attraverso tecniche di social engineering o sul piano della truffa pi tradizionale, come il caso del phishing, con cui si riescono a carpire informazioni bancarie simulando false richieste via mail da parte degli istituti di credito. Non sono neppure mancati casi in cui gli hacker siano riusciti a sfruttare i


28

comportamenti messi in atto dalle societ che producono soluzioni per la sicurezza per testare e mettere a punto minacce particolarmente efficaci. Per queste ragioni, per esempio, le societ

che realizzano antivirus non diffondono mai informazioni su eventuali codici maligni individuati, prima di avere reso disponibile un sistema di protezione. Un altro aspetto che colpisce la facilit con cui possibile condurre un attacco, anche da parte di chi non dispone di alcuna conoscenza specifica. Nellesempio descritto prima, lutente stato contagiato dal virus accedendo a un sito Web, attraverso il quale lattaccante, sfruttando una vulnerabilit nota di Internet Explorer, riuscito a scaricare sulla sua macchina del codice ed eseguirlo. Per installare adware o spyware , infatti, sufficiente predisporre lexploit su un sito Web, caricare un eseguibile e indurre gli utenti ad accedervi. Su Web sono disponibili tutte le informazioni utili allo scopo, comprese quelle per copiare lo schema e adattarlo per frodi di svariato tipo.

Il caso citato mette in evidenza anche un altro tema interessante, per certi aspetti collegato alla facilit di lanciare un attacco. Si sta assistendo a un cambiamento negli obiettivi degli attacchi basati su codice malevolo che risultano non solo sempre pi mirati, ma anche sempre pi indirizzati a ottenere denaro. Sembrano, insomma, definitivamente terminati i tempi in cui gli hacker violavano i sistemi per il gusto di unaffermazione personale.

Protezione multilivello Gi da tempo la proliferazione delle minacce e la consapevolezza della protezione dei dati come elemento strategico hanno messo in evidenza che non possibile gestire la sicurezza allinterno dellazienda in modo manuale n, tanto meno, amatoriale. necessario personale specializzato e dedicato e lutilizzo di sistemi in grado di automatizzare le azioni protettive e la risposta agli attacchi.

Il passo successivo, che si evidenzia sempre pi, non solo nei messaggi di marketing, ma anche nei prodotti resi disponibili dai vendor che operano nel sett

Realizzazione di un'architettura di rete per l'accesso remoto tramite SSL-VPN e utilizzo di...

Documents

Transcript of Realizzazione di un'architettura di rete per l'accesso remoto tramite SSL-VPN e utilizzo di...