Le infrastrutture di Data center stanno evolvendo verso modelli Software-Defined, di Hybrid cloud, Multi cloud, Converged infrastructure. Nel contempo le minacce cyber diventano sempre più avanzate, difficili da rilevare, come nel caso degli attacchi APT, del Fileless malware, del ransomware che si diffonde sfruttando vulnerabilità nei sistemi operativi e nelle reti. Gli ambienti IT distribuiti, a più livelli, eterogenei di oggi presentano quindi numerose complessità e sfide per quanto riguarda la sicurezza, la capacità di monitoraggio e detection, di difesa preventiva e di risposta immediata in caso di compromissione in corso. Data la rilevanza del tema, ne parliamo in questa intervista con David Cecchi, Responsabile Settore Sicurezza Informatica presso Consorzio Operativo Gruppo Montepaschi.
TIG. Le aziende di tutti i settori pongono elevata attenzione al tema della sicurezza dei propri data center. L’evoluzione delle infrastrutture è però molto rapida. Dal suo punto di vista, quali sono oggi le nuove sfide alla sicurezza poste dal passaggio verso ambienti virtuali (VDI deployments)? Quali risposte per risolvere questi problemi?
David Cecchi. È difficile rispondere in modo univoco alla domanda. Di sicuro occorre considerare in modo distinto l’Host (fisico) e il supporto Virtuale ed adottare modelli di protezione simili ma non uguali.
Considerare quelle che sono le Risorse Condivise e proteggerle con modelli adeguati. Dividere opportunamente chi si deve occupare dell’infrastruttura fisica da chi si deve occupare dell’infrastruttura virtuale.
Sicuramente generare consapevolezza del fatto che un’adeguata cultura alla Sicurezza non deve essere vista come un ulteriore aggravio di compiti, ma come un vero e proprio “valore aggiunto” in grado di generare quell’innalzamento del livello di Affidabilità/Robustezza di tutta l’infrastruttura che è indispensabile.
Gli amministratori di Sistema dovrebbero essere sottoposti a rigidi protocolli di autenticazione/autorizzazione. Adottare delle politiche di revisione delle autorizzazioni periodiche è sicuramente auspicabile. Aggiornare con frequenza sia il software di base, sia il cosiddetto “middleware” (patching) è anch’essa, a mio modo di vedere, una “buona politica”. E, in ultima analisi, avere dei buoni Processi Aziendali per la gestione degli Incidenti è fondamentale: ci si può dotare dei migliori apparati/software di Sicurezza, ma se non si hanno Processi robusti a supporto, difficilmente si potranno gestire efficacemente le eventuali emergenze. Questo è un fattore che troppo spesso, secondo me, viene sottovalutato, specialmente in grandi organizzazioni.
Infine, un piano di formazione adeguato a tutti i dipendenti aiuta sicuramente a diffondere quella consapevolezza che la Sicurezza Informatica non è un “optional”, ma ormai è parte integrante di qualsiasi azienda di qualsiasi dimensione. In definitiva, a mio avviso, occorre una forte integrazione fra le varie componenti aziendali che dovrebbero lavorare non più per obiettivi distinti ma per l’obiettivo comune di salvaguardare in ogni aspetto il normale funzionamento e la crescita del Sistema Informativo Aziendale.
TIG. Gli attacchi cyber sofferti dalle aziende, anche sulla base dei risultati di nostre survey, sono svariati e soprattutto caratterizzati da diversi livelli di efficacia. I livelli più alti sono di solito raggiunto da hacker più esperti/organizzati meglio. Quali sono secondo lei gli attacchi rivolti al data center su cui è diventato necessario prestare maggiore attenzione per il danno che possono procurare?
David Cecchi. Sicuramente gli eventuali attacchi strutturati portati avanti da gruppi di Hacker bene organizzati, sono quelli che hanno la maggiore probabilità di riuscita. Mi risulta, infatti che, mediamente, un attacco di questo tipo duri, dai 90 ai 120 giorni e questo deve far riflettere tutti quanti. Personalmente credo che il maggior pericolo sia rappresentato dall’esfiltrazione di informazioni le quali, specialmente in ambito Bancario, assumono una rilevanza particolare e possono essere rivendute nel cosiddetto “dark web” senza troppe complicazioni. In questi scenari il danno è difficile da quantificare immediatamente, ma sicuramente si può rivelare molto elevato se poi parte o tutte le informazioni trafugate diventano di dominio pubblico, minando in modo serio la credibilità dell’Istituto colpito.
Poi, anche in questo caso occorre distinguere le eventuali “azioni dimostrative” da quelle, invece, portate avanti da veri esperti del settore con l’ obiettivo di ricavare informazioni utili per successivi utilizzi. Personalmente temo di più ciò che non riesco a vedere rispetto a ciò che posso verificare e conseguentemente bloccare/arginare. Per questo motivo occorre, tramite strumenti adeguati (per esempio un SIEM), monitorare continuamente sia il perimetro esterno che quello interno, riducendo al minimo il cosiddetto “rumore di fondo”, per far esaltare immediatamente un’eventuale anomalia che deve essere indagata nel più breve tempo possibile, visto che il fattore “tempo” è fondamentale in questi scenari.
TIG. Considerando l’evoluzione del data center verso modelli software-defined, verso hybrid e multi cloud, come aggiornare la sicurezza? Quali aspetti diventano prioritari? Come tenere sotto controllo la complessità crescente di gestione della sicurezza?
David Cecchi. Un’ aspetto prioritario è la formazione. Sia quella rivolta a tutti i dipendenti indistintamente, sia quella estremamente specialistica erogata a chi si deve occupare di Sicurezza come obiettivo primario.
Per tenere sotto controllo la complessità crescente degli strumenti di Sicurezza occorre, a mio modo di vedere, organizzare un buon modello iniziale e programmare fin da subito un suo sviluppo in un arco temporale non inferiore ai 3 anni.
Sviluppo che deve tener conto sia delle esigenze di crescita del Sistema Informativo Aziendale, sia delle crescenti esigenze legate in modo molto stretto alla Securizzazione del S.I. che, quasi sicuramente, comprenderà anche delle componenti “in Cloud”. Per fare questo, occorrerà un continuo dialogo fra la componente di Sicurezza e la componente di Architetture ed Erogazione per far evolvere il tutto in armonia.
TIG. Molti ritengono che già soltanto andare verso il cloud sia un modo per garantire maggiore sicurezza: è d’accordo? Con quali distinguo?
David Cecchi. Personalmente ritengo che “spostarsi” verso il Cloud significhi, né più né meno, spostare anche le problematiche relative alla Sicurezza dei Sistemi … magari non più “in casa”, ma sicuramente sempre presenti. Un elemento importante diventa il controllo degli accessi. Adottare politiche di SSO tramite “Federation” potrebbe ridurre il pericolo di “ospiti indesiderati”.
In ogni caso occorre informarsi preventivamente sui livelli e gli standard di Sicurezza adottati dalla piattaforma Cloud scelta, per verificare in profondità se questi sono rispondenti o meno ai propri requisiti, anche e soprattutto in relazione alle informazioni che saranno detenute all’interno dell’infrastruttura esterna. Storicamente le Banche sono state sempre restie a concedere porzioni di proprie informazioni a terzi: va considerate sia la mole dei dati gestiti dagli istituti, sia anche il fatto che molte di queste informazioni sono del tipo “caratterizzante”. In definitiva, la risposta alla sua domanda, secondo me è: dipende …
Intervista a:
DAVID CECCHI,
Responsabile Settore Sicurezza Informatica, Banca Monte dei Paschi di Siena
A cura di: Elena Vaciago, @evaciago
David Cecchi sarà tra gli Speaker del TECHNOLOGY INFRASTRUCTURE SUMMIT 2018, “Architetture tecnologiche e Piattaforme per la Trasformazione digitale” che si terrà a Milano il prossimo 20 settembre.
Interverrà nella Roundtable SECURING INFRASTRUCTURE dedicata a comprendere come rendere sicure le infrastrutture digitali delle moderne organizzazioni: dal data center agli endpoint, dagli ambienti virtuali alle applicazioni mission critical e al cloud ibrido.
ISCRIVITI AL TECHNOLOGY INFRASTRUCTURE SUMMIT 2018!