Le aziende hanno oggi un bisogno urgente di ripensare il proprio approccio alla gestione del rischio cyber. La trasformazione digitale in corso coinvolge tutta l’impresa, l’organizzazione, i processi, le infrastrutture e le singole persone: gli obiettivi sono ambiziosi, ma spesso ci si dimentica che la digitalizzazione comporta una maggiore vulnerabilità agli attacchi informatici.
Il Governo USA ha identificato la sicurezza informatica come una delle principali sfide all’economia e alla sicurezza delle Nazioni nei prossimi anni. Ci sono aziende che segnalano migliaia di attacchi al mese. Aziende che investono fino a 500 milioni di dollari all’anno per la cybersecurity, e che contano migliaia di persone che rispondono al CISO (Chief Information Security Officer). Ma tutto questo non basta a fermare gli attaccanti, anzi, l’industria del cyber crime è in continua evoluzione: si stima che gli hacker siano in grado di scrivere 120 milioni di varianti di nuovo malware all’anno.
Secondo una recente indagine di McKinsey[1], i Risk Manager delle aziende posizionano oggi il rischio cyber al primo posto tra le minacce che riguardano la propria impresa. Secondo il 75% degli esperti, la cybersecurity dovrebbe essere quindi tra le priorità strategiche (cosa che non sempre avviene). La realtà è che solo poche aziende sono in grado di tenere sotto controllo questa minaccia: solo il 16% dei rispondenti dell’indagine afferma infatti che la propria azienda è preparata e in grado di affrontare questi rischi.
Se questa è la situazione, è evidente che si impone un rapido ripensamento e una revisione interna per arrivare a una diversa strategia per la cybersecurity, con decisioni volte ad offrire una sicurezza più omnicomprensiva, più persistente e più allineata ai reali bisogni della singola organizzazione.
La trasformazione del Datacenter e la migrazione al Cloud comportano nuove sfide di sicurezza
Va anche considerato l’attuale trend evolutivo delle infrastrutture, delle applicazioni e dei datacenter: oggi è fondamentale che le aziende siano in grado di mitigare i rischi cyber a tutti i livelli.
Come emerge dalla Computer Weekly/TechTarget IT Priorities survey 2018, che analizza gli orientamenti di spesa dei dipartimenti IT, molte realtà sono nel pieno di un percorso di ammodernamento del datacenter, impegnate in un mix di attività di upgrade e consolidamento, alla ricerca di nuovi livelli di efficienza, performance e incrementi di cloud-readiness. Secondo la survey, circa un terzo delle aziende contattate (in totale 1.875 IT decision-makers della regione Emea) ha progetti di ammodernamento del datacenter, con un incremento del 44% rispetto all’anno precedente.
Il trend più significativo per l’evoluzione del datacenter è il cloud computing, il nuovo modello di delivery di servizi IT che permette un accesso efficiente e on-demand a risorse elaborative e servizi applicativi. Grazie a concetti come flessibilità, scalabilità, continua innovazione, riduzione dei costi, il cloud computing è in fase di crescente adozione per una molteplicità di ambiti, a discapito di architetture più tradizionali.
Software-defined datacenter, virtualizzazione, cloud computing, Hyperconverged infrastructure (HCI) offrono nuovi livelli di perfomance ed efficienza, ma richiedono un ripensamento della sicurezza. Per quanto riguarda l’adozione del cloud, il diverso paradigma di accesso alle risorse ICT comporta problemi di trust, di autorizzazione e controllo accessi, di controllo degli utenti e degli endpoint, e molto altro.
Invece, per quanto riguarda la virtualizzazione – elemento abilitante il cloud computing – questa è resa possibile dalla presenza di un Hypervisor che gestisce la piattaforma fisica intermediandone l’accesso a tutte le risorse per conto delle Virtual Machine (VM)[2]. La sicurezza è però un problema importante anche per gli ambienti virtuali ed è fortemente dipendente dall’Hypervisor. Basta che sia compromesso questo ambiente di gestione, perché tutte le VM possano essere facilmente modificate, copiate, trasferite.
Le minacce cambiano natura: come rispondere alle nuove sfide?
Terzo aspetto fondamentale da tener presente nel ridisegno della strategia di cybersecurity, il fatto che è in forte crescita il numero di minacce cyber di nuova natura, molto più sofisticate rispetto al passato (come ad esempio gli APT disegnati appositamente per avere successo con un singolo target). Questo terzo elemento contribuisce a sottolineare l’inefficacia di un approccio tradizionale alla sicurezza informatica basato sul riconoscimento di pattern di attacco noti.
Un aiuto ai Security Manager impegnati nel mantenere elevata la risposta alle nuove minacce deve essere portato da soluzioni innovative di sicurezza, come ci spiega Denis Valter Cassinerio, Regional Sales Director SEUR di Bitdefender. “Molte delle attuali soluzioni di sicurezza fanno riferimento a specifici exploit o ad attività associate a specifiche vulnerabilità. Gli attaccanti, soprattutto quelli più bravi, sono consapevoli di queste strategie di difesa ed evitano quindi di usare tecniche ben note o facili da rilevare. È riconosciuto che le organizzazioni criminali del cyber space puntano soprattutto a vulnerabilità sconosciute (zero-day) ed utilizzano per lo più exploit costruiti ad hoc e molto mirati (zero-day exploits). Inoltre, utilizzano tecniche avanzate per ritardare la sequenza delle azioni malevole e per mascherare le proprie attività, addirittura sfruttano soluzioni di sicurezza nei propri processi di Quality Assurance”.
Una soluzione innovativa di sicurezza deve quindi offrire un layer di controllo aggiuntivo rispetto a quanto già presente, offrendo una nuova modalità proattiva di identificazione e prevenzione nei confronti di minacce non note o advanced threats. “La tecnologia Bitdefender Hypervisor Introspection è stata disegnata appositamente per offrire una soluzione unica a questi problemi di più difficile soluzione – aggiunge Cassinerio -. Una soluzione tradizionale punta di solito ad identificare file malevoli, comportamenti anomali, tipologie di malware. Si concentra molto sul “cosa” avviene e poco sulla comprensione del “come” si propaga una minaccia. Il punto di forza di un sistema di Hypervisor Introspection concentra la sua analisi su come viene portato avanti l’attacco”.
I nuovi rischi di sicurezza da considerare per il Software-defined datacenter
La virtualizzazione sta facilitando un cambiamento rapidissimo nel disegno e nella gestione dei datacenter: la trasformazione verso i nuovi paradigmi software-defined è in corso, e spinge sia l’IT interna sia i service provider a rivedere i propri modelli di IT service delivery.
Quali sono però i problemi di sicurezza da considerare per gli ambienti virtuali? “Oggi manca consapevolezza sul tema della protezione degli ambienti virtuali – commenta Stefano Zanero, Professore Associato del Politecnico di Milano – In genere, l’amministratore di questi ambienti vede le singole virtual machine come macchine separate, e non pensa che il fatto che risiedano in realtà sulla stessa macchina fisica possa comportare dei rischi. La possibile vulnerabilità dell’hypervisor poi è un tema complesso: avendo un meccanismo di funzionamento da black box, si dà per scontato che sia sicuro. La virtualizzazione modifica la superficie d’attacco da analizzare, ma chi gestisce questi ambienti spesso non ne è al corrente, ritiene che tutto funzioni bene così”.
Invece, i rischi di sicurezza ci sono. “Sono molteplici – aggiunge Zanero – di tipo architetturale, o legati alle vulnerabilità dell’hardware, come gli exploit che sfruttano la speculative execution dei processori, Meltdown, Spectre e le nuove problematiche che via via si continuano a trovare. Si tratta di minacce che riguardano tutte le macchine, ma hanno un’incidenza è molto più alta nel mondo della virtualizzazione. Consentono infatti attacchi mirati verso ambienti cloud e virtuali: con processi diversi sullo stesso processore o set di processori, se un attacco di questo tipo legge o scrive in porzioni di memoria che sono in uso a più processi, di fatto oltrepassa il confine tra le varie macchine virtuali. È questo l’angolo cieco dell’amministratore, che pensa erroneamente che le virtual machine siano tra loro del tutto isolate”.
Come mettere in sicurezza il Next Generation Datacenter
Come rispondere quindi a queste minacce? “Abbiamo vari ordini di risposta – aggiunge Stefano Zanero – Innanzi tutto, dove le aziende utilizzano il cloud, la parte di sicurezza dell’hypervisor e di questi ambienti è responsabilità del provider, quindi, nel bene o nel male, fuori dal controllo di chi l’utilizza. Per i grandi cloud provider poi molto del software e dell’hardware è custom, quindi è quasi impossibile sapere se ci sono bug o come sono stati risolti. Per ambienti virtuali on premises dell’azienda, è invece importante installare le patch e progettare in modo corretto l’architettura, tenendo a mente che può essere violata così come quella tradizionale. È una possibilità, anche se rara, che può essere portata a termine da un aggressore motivato”.
L’aumento della complessità del datacenter e del numero di endpoint da proteggere rende le aziende più vulnerabili. Come rispondere al problema di una corretta mitigazione del cyber risk a più livelli, in modo il più possibile automatizzato ed efficiente?
“Il datacenter Software defined, grazie a livelli più elevati di funzionalità, efficienza ed automazione, è uno dei primi “alleati” nelle iniziative di digital transformation delle aziende – commenta Denis Valter Cassinerio -. Tuttavia, è inevitabile un incremento della superfice d’attacco, che rende più complessa la gestione della security e in definitiva facilita l’accesso agli attaccanti, che tramite attacchi avanzati di nuova concezione, possono acquisire una mole sempre più ampia di informazioni. La risposta di Bitdefender all’incremento di complessità nella gestione della sicurezza dell’infrastruttura aziendale è di basarla su un’unificazione della protezione rivolta a qualsiasi ambiente, hybrid cloud, private cloud o cloud instances, per ogni tipologia di hypervisor (hypervisor agnostic) e piattaforma (Windows, Linux, Mac)”.
Come mettere in sicurezza anche gli ambienti virtuali? “La risposta viene dall’uso dell’hypervisor – aggiunge Cassinerio – che già sa come isolare le virtual machine una dall’altra in modo efficiente, anche per monitorare le attività di utilizzo della memoria nelle singole VM. Citrix XenServer include ora una API che facilita la memory introspection da parte di una security virtual appliance. Bitdefender, lavorando con Citrix, ha costruito la tecnologia Hypervisor Introspection (HVI) realizzando così un metodo per rivelare attività malevole nel sistema operativo ospite a livello del sottostante hypervisor. HVI risulta quindi essere una soluzione di nuova generazione per la messa in sicurezza dei processi sostenuti dalle applicazioni e dal workload del Datacenter. Abbiamo inoltre esteso l’efficienza del “Tunable Machine Learning” in ambito agent-less VMware NSX supportando i benefici della micro-segmentazione; un’altro aspetto rilevante è l’integrazione delle piattaforme di gestione PRISM e CALM nel cloud di NUTANIX di fatto abilitando la trasformazione digitale con la messa in sicurezza delle nuove e più efficienti infrastrutture virtualizzate del Datacenter”.
A cura di: Elena Vaciago, @evaciago
Per sostenere le prestazioni del nuovo Datacenter, sempre più Software-defined e basato su infrastrutture convergenti, Hybrid e Multi Cloud, serve oggi dotarsi di una sicurezza avanzata, automatica, ma anche centralizzata, semplice da utilizzare e comprensiva di tutti i livelli di protezione (dagli endpoint, alle macchine fisiche e virtuali, ai desktop e server, ai device mobile, infrastrutture on premises e istanze cloud). Ne parleremo con Denis Valter Cassinerio, Regional Sales Director SEUR di Bitdefender, e Stefano Zanero, Professore Associato del Politecnico di Milano, nel corso del Webinar del prossimo 11 Ottobre 2018
SICUREZZA PER IL NEXT GENERATION DATACENTER
Ridurre la complessità e incrementare la sicurezza in infrastrutture convergenti e software-defined