C'è un modo per le aziende di rimanere indenni dalle vulnerabilità di sicurezza? Potrebbero per esempio individuare tutti i punti deboli dei loro prodotti informatici e sistemarli con delle patch. Oppure potrebbero "spegnere" tutti i sistemi prevenendo così che le falle nella sicurezza vengano sfruttate, ma questa non è una via utile né per il business e nemmeno per il budget.
Questo è il punto di vista che ha espresso Peyton Engel, technical architect responsabile del team di security assessment di CDW, in occasione del Fusion 2009 Ceo-Cio Simposium.
Timing e gravità della vulnerabilità
Le imprese, ha precisato Engel, dovrebbero spendere meno tempo a reagire alle vulnerabilità di sicurezza e più tempo a verificare se i loro sistemi potrebbero essere vittime di eventuali minacce.
L'esperto raccomanda alle aziende di individuare un giusto equilibrio economico nella gestione delle patch valutando la probabilità e la gravità delle vulnerabilità di sicurezza, piuttosto che non la gravità in sé.
"Oggi c'è il mito di dover sempre applicare le patch a ogni vulnerabilità che viene individuata. Non voglio dire che bisogna smettere di installare le patch delle vulnerabilità critiche, tutt'altro. Ma si è diffusa nel settore l'idea che, quando si scopre di avere una vulnerabilità, la prima cosa che si fa è applicare la relativa patch", ha affermato Engel, che al Fusion 2009 ha tenuto un intervento su come ottenere un reale ritorno degli investimenti effettuati in sicurezza.
Le vulnerabilità di sicurezza fanno parte dei nostri sistemi ha detto Engel. Una nuova vulnerabilità di solito significa che è appena stata scoperta una debolezza. Non sono le vulnerabilità il problema, ma gli incidenti (utenti che causano guai, o peggio, cyber-criminali che hanno l'intenzione di commettere un reato). Ma anche queste minacce non causano danni fino a quando non individuano una vulnerabilità, sia essa una patch mancante, una password debole o un amministratore di sistema un po' superficiale.
A questo punto, la domanda da porsi è se la vulnerabilità è davvero un problema per voi. Se sì, la patch è la soluzione giusta? Oppure, anziché agire in modo difensivo, non potrebbe essere più saggio partire all'offensiva?
L'approccio delle patch di sicurezza di molti professionisti non è dissimile da quello degli ingegneri che nella seconda guerra mondiale studiavano la distribuzione dei fori di proiettili sugli aerei che tornavano dalle missioni per determinare dove era meglio applicare un eventuale rivestimento corazzato.
Il calcolo del rischio
Il calcolo del rischio è di per sé già un rischio. Per esempio, si può valutare il rischio in termini di perdita annua attesa. Per determinarla, si moltiplicano la singola perdita prevista, o il costo di un singolo incidente, per il tasso annuale di incidenza, o il numero di incidenti per anno, e in questo modo si ottiene una stima economica estesa su dodici mesi.
""Non possiedo la sfera di cristallo che dica quanti incidenti potreste avere o quanto vi costeranno. Sono quindi scettico sulle analisi quantitative di questo tipo - ha ammesso Engel -. Tuttavia, credo che siamo tutti d'accordo sul fatto che gli incidenti ci sono, che hanno dei costi e che accadono con una certa frequenza. E che possiamo ridurre il numero di questi incidenti, il che è un aspetto positivo".
Qui di seguito trovate tre linee strategiche, che Engel ha illustrato ad alcuni clienti CDW, per ottenere un reale ritorno del denaro speso in sicurezza:
1. Non perdere di vista il tasso annuale di incidenza ma focalizzarsi sulla massima riduzione delle perdite attese
Una scuola nel distretto dell'Indiana disponeva di 314 computer, i quali condividevano un account utente, l'amministratore di sistema generico. È bastato un incidente su uno dei computer perché tale incidente si propagasse su tutte le macchine, ha detto Engel. Secondo un'analisi svolta da CDW, è stato sufficiente disabilitare l'account amministratore, o non condividere le password da un sistema all'altro, per ridurre il rischio da 314 sistemi a solo una ventina di PC.
Molti prodotti per la sicurezza sono oggi pensati con in mente soprattutto il tasso annuale di incidenza. Una società preoccupata per un certo tipo di incidente potrebbe correre ai ripari acquistando una contromisura specifica e pensando (erroneamente) che tale incidente non potrebbe più accadere e che tutto è al sicuro.
"Quasi nessuno pensa di acquistare la sicurezza per ridurre al minimo la perdita attesa - ha detto Engel -, ma questa è la misura critica".
Riprendendo l'esempio di prima, “non stiamo cercando di prevenire gli incidenti su tutte le workstation. Sappiamo che qualche giorno potrà subire un attacco. Quello che vogliamo fare è essere sicuri che un attacco su una singola macchina non si traduca nella perdita di tutti i dati degli studenti e del personale ", ha affermato Engel.
2. Ridurre le spese superflue, soprattutto adesso
Un'azienda sanitaria nel Michigan aveva avviato tre iniziative IT:
- Un sistema di scheduling per i suoi medici, con l'obiettivo di mantenere i dottori occupati (e fatturabili) il più possibile e, ovviamente, avere la protezione dei dati sensibili dei pazienti;
- Un'applicazione che consentiva ai medici di altre strutture di programmare i test nei suoi laboratori (un modo per aumentare i ricavi);
- Un sistema automatico per gestire le disdette dei pazienti, in grado di limitare i “buchi” a causa di cancellazioni dell'ultimo minuto (un altro modo per aumentare le entrate).
Con questo esempio, Engel ha voluto mostrare come un'azienda medicale sia stata capace di costruire tre applicazioni separate, cosa che probabilmente molte altre società vorrebbero fare. Tuttavia, se tale azienda avesse definito un livello di astrazione sopra il database che implementi in modo efficace le norme di sicurezza (autenticazione, autorizzazione, accounting), avrebbe dovuto affrontare un unico investimento in sicurezza ma avrebbe avuto a disposizione un sistema riutilizzabile tutte le volte necessarie.
3. Pensare alla spesa per la sicurezza sin dall'inizio di qualsiasi progetto
Uno studio di IBM inerente il ROI dello sviluppo del software di sicurezza ha riscontrato che il costo del fixing delle vulnerabilità di sicurezza è aumentato drammaticamente nel corso degli anni. Se poi è necessario realizzare una correzione una volta che il software è in produzione, i costi potrebbero essere astronomici.
"Se vogliamo cominciare a pensare in termini di piani generali di sicurezza all'interno dei progetti e se vogliamo portare gli investimenti in sicurezza a essere parte dei progetti sin dall'inizio, dovremmo spendere meno ed essere più efficienti", ha concluso Engel.
