venerdì 15 luglio 2011

MUMBLE - San Sebastiano e la cybersecurity

Luca Signorelli - 1498
Ma che c'entra San Sebastiano con la cybersecurity?

Purtroppo c'entra eccome. 

Come vedete in questo bellissimo olio su legno di fine Quattrocento, San Sebastiano fu martirizzato con le frecce. Nel dipinto è possibile vedere una moltitudine di individui armati di balestre lanciare dardi all'indirizzo di un inerme Sebastiano legato ad un palo.

E' da un po' di tempo che penso a questo quadro come a una ottima metafora per descrivere l'attuale situazione della sicurezza su Internet. Siamo infatti diventati tutti dei Sebastiano; alla mercé di aggressori, più o meno motivati e più o meno efficaci, che portano continuamente attacchi alle infrastrutture informatiche di tutte le organizzazioni del mondo.

Se si sommano le varie notizie di attacchi andati a buon fine, in una prima e sommaria analisi, negli ultimi 12 mesi otteniamo:
- attacchi di tipo statuale con finalità spionistiche e/o di immagine
- furti di dati con finalità economiche dirette e/o indirette
- furti di dati con finalità di protesta o di immagine
- attacchi di DDoS con finalità di protesta
- furti di dati con finalità spionistiche

Insomma, ciò che emerge è che la minaccia sta cambiando rapidamente (se volete approfondire ho fatto una presentazione su questo argomento, usare i tasti freccia per cambiare slide) e che l'asserzione che "avendo a disposizione tempo, risorse e skill in quantità adeguata si riesce a compromettere la sicurezza di qualunque sistema" non è mai stata così vera come in questa fase storica. Non si sta salvando nessuno. Perché nessuno è attualmente in grado di salvarsi, almeno con una buona dose di certezza.

Ciò che si riesce a fare (e non è cosa da poco) è limitare i danni. Il che non significa assolutamente che non bisogna fare il possibile per ridurre la superficie d'attacco e rendere il più possibile la vita difficile agli attaccanti. Semplicemente non ci si può aspettare che questo sia sufficiente a fermare tutti i possibili attacchi.

Volendo citare un grande della sicurezza informatica, Bruce Schneier, "You can't defend. You can't prevent. The only thing you can do is DETECT and RESPOND.". 

E' molto importante imparare questa lezione perché in questo modo è possibile cominciare a ragionare in maniera proattiva orientando i propri investimenti e le proprie priorità in modo da privilegiare le capacità davvero utili. Inoltre, proprio per riuscire a migliorare le proprie capacità di "rilevazione e risposta" bisogna imparare a conoscere bene la propria realtà: le proprie vulnerabilità, i propri nemici e propri punti di forza. 

E, purtroppo in Italia questi aspetti sono sempre stati abbastanza sottovalutati.

Insomma, dovremo abituarci a sentire sempre più spesso parlare di data breach. 

Senza che questo ci condizioni più di tanto. 

Perché sono convinto che la notizia di un data breach, di per sè, non dia un metro di giudizio sulla sicurezza di una realtà, ciò che davvero fa la differenza sono i tempi e le capacità di reazione e di gestione dell'incidente.

2 commenti:

glamisonsecurity.com ha detto...

Ciao Matteo,

sai a cosa stavo pensando? Che quando si affronta la questione di come reagire ad attacchi informatici (e sappiamo bene che è l'unica cosa da fare) in fondo si sta parlando di attivare un processo che va dalle procedure, all'educazione, alla prevenzione e al monitoraggio.

La cosa drammatica è che queste attività, che sono le uniche da fare nel campo dell'infosec, sono proprio quelle che sistematicamente mancano in Italia.

Pensiamo alla sicurezza in altri ambienti, sul lavoro ad esempio. Lì ovviamente ci sono normative precise, puntuali e stringenti (anche troppo naturalmente, siamo esperti in questo), però ci sono.
E alla fine cosa succede? Basta guardare qualche cantiere in giro per vederlo, si fa firmare un foglio all'operaio che manco parla italiano e tutti gli obblighi di legge sono assolti. Tanto nessuno controlla, nessuno previene, le procedure sono solo sulla carta.

E poi ovviamente la gente continua a morire.

Figuriamoci nel nostro campo dove, tranne eccezioni come firma digitale e co., dove la legge ancora non c'è, in che condizioni stiamo messi...

Matteo Cavallini ha detto...

Ciao Federico,

sono molto contento di ritrovare un tuo commento!

Effettivamente quello che dici è vero, siamo indietro, ma in questo specifico campo si nota meno. Al momento non credo che ci sia una sola realtà al mondo che possa pensare di essere totalmente al sicuro. E questa è una situazione che trovo veramente preoccupante. Noi in Italia stiamo forse peggio di altri ma "se Atene piange...".

Un caro saluto e... a presto!
Matteo

Posta un commento

http://www.wikio.it