Non esiste più un perimetro di sicurezza entro il quale gli utenti singoli e le aziende possono dirsi protetti. Il cloud, fenomeno complesso e multiforme che è certo difficile stigmatizzare, ha modificato le tecniche e il concetto stesso di rischio It: da un lato, ha moltiplicato le occasioni e i luoghi di “interesse” per i cybercriminali, e soprattutto ha reso meno controllata la circolazione dei contenuti; ma dall’altro ha anche creato forme di monitoraggio (come i motori di threat emulation) e di condivisione delle informazioni utili per prevenire o neutralizzare i pericoli.
Se a tutto questo si somma il boom dei dati, che interessa trasversalmente tutti i canali – Web, dispositivi di storage, mobile, eccetera – si comprende una delle previsioni tracciate da Websense per l’anno in corso: i criminali informatici concentreranno i propri attacchi più sui dati archiviati nel cloud che non su quelli che restano all’interno delle reti aziendali. Questo accadrà, e sta già accadendo, sia perché il volume di dati che vengono affidati alla nuvola è in forte crescita, sia perché talvolta per gli hacker è più facile intrufolarsi dentro a sistemi cloud piuttosto che superare le barriere di una rete on-premise.
Una dimostrazione pratica l’ha data un trojan, l’ennesima variante di Zeus scoperta nel mese di febbraio. Un malware che si concentra sulle applicazioni SaaS per ottenere l’accesso a dati o codici proprietari. Fra le vittime note c’è un cliente di Salesforce.com: infiltrandosi sul computer personale di un dipendente, grazie alle funzionalità Web crawling il malware è riuscito a rubare i dati sensibili dal Crm del cliente. In meno di dieci minuti sono stati sottratti oltre 2 GB di dati.
“Si tratta di uno dei primi episodi significativi di attacchi a servizi puramente cloud”, commenta Ferdinando Mancini, senior sales engineering manager di Websense. “È significativo perché è un riscontro reale di una fra le previsioni da noi tracciate mesi fa: gli attacchi mireranno sempre di più ai dati gestiti nei servizi cloud piuttosto che a quelli conservati nelle reti tradizionali”. Nel caso in questione, inoltre, accanto alla localizzazione dell’obiettivo da colpire è stato determinante un altro fenomeno, quello della crescente “promiscuità” di dispositivi aziendali e personali, utilizzati per accedere ad applicazioni di lavoro in ufficio o in mobilità. “Il maware ha inizialmente attaccato un Pc personale di un utente, ricavando da esso i dati necessari per accedere al servizio cloud. È chiaro che episodi come questo portano a riflettere su come i device personali, smartphone inclusi, possano essere o meno utilizzati per scopi lavorativi”.
Da dove cominciare, dunque, per potenziare le difese aziendali nell’era del cloud e della mobilità? “Il punto di partenza è comprendere che non esiste più un perimetro di difesa, entro il quale ci si possa sentire al sicuro e si possano circoscrivere i dati”, spiega Mancini. “Nella ricerca di maggiore produttività ed efficienza, oggi si accede ai dati di lavoro nelle maniere più disparate. Bisogna, dunque, innanzitutto concepire scenari di sicurezza e rischio diversi da quelli tradizionali, e poi comprendere che spesso una catena di attacco parte dell’anello più debole. Per esempio, un utente che nel fine settimana lavora da casa con il laptop, accedendo a dati sensibili via cloud. Una buona strategia di protezione deve andare oltre il concetto di perimetro e focalizzarsi sul dato”.
A detta di Websense, il problema del data loss (legato a disattenzioni, frodi o atti volontari) sarà sempre più centrale all’interno del più ampio tema del rischio It. Come gestirlo? “I metodi variano, perché ci si può concentrare sulla protezione dei network o degli endpoint, fino a contemplare gli scenari in cui gli utenti mobile lavorano al di fuori del perimetro aziendale”, spiega Mancini. “Un altro metodo che sta emergendo è l’utilizzo del cloud stesso come strumento di sicurezza, che può fare da complemento alle difese tradizionali. Il cloud, per esempio, consente di proteggere un utente che si trova fuori dal perimetro aziendale con lo stesso grado di sicurezza applicato quando egli si trova in azienda”.
Ferdinando Mancini, senior sales engineering manager di Websense
“Sta prendendo sempre più piede la costruzione di architetture ibride”, prosegue il manager di Websense,
“che mettono insieme la tradizionale appliance e l’approccio cloud, che permette di estendere servizi di protezione anche agli utenti mobile. Allo stesso tempo cresce l’interesse per soluzioni di Mobile device management che siano in grado di gestire i dati all’interno dei dispositivi, o che permettano di selezionare quali tipi di dati possano essere condivisi”.
Accanto alle tecnologie capaci di contemplare i nuovi scenari, quali il cloud e i Bring your own device, Websense mette l’accento sull’importanza di una
cultura aziendale consapevole, che trovi il giusto equilibrio fra policy di sicurezza e libertà di lavorare in modi flessibili, produttivi, veloci.
“Educare i dipendenti sul tema della sicurezza è un fondamentale”, sottolinea Mancini.
“Basti pensare a quanti processi di business errati si possono generare, per esempio, salvando dei contenuti di lavoro all’interno di un account email personale o dentro a servizi di cloud pubblico. A volte, pur spinti da buone intenzioni, i dipendenti sottovalutano alcuni rischi diventando involontariamente degli ‘insider’ che aiutano i cybercriminali. Per questo la tecnologia, da sola, non basta per contrastare le minacce informatiche”.
Dove sta il punto di equilibrio fra policy e libertà individuali? “
L’idea di fondo è quella di servirsi di tecnologie di rete e di endpoint che ragionino sui dati, e che per così dire portino la ‘consapevolezza del dato’ all’interno delle policy”, conclude Mancini. “
Queste ultime devono essere sufficientemente aperte da concedere produttività e flessibilità all’utente, ma allo stesso tempo devono proteggere i dati e per farlo devono analizzarne gli usi e i tragitti. Insomma, serve un approccio trasversale che garantisca sicurezza dentro il perimetro aziendale così come nel cloud e in scenari mobile. Opporsi a questi cambiamenti, d’altra parte, è impensabile, ed è obbligatorio che le aziende capiscano come affrontare i rischi a essi collegati. Non è questione di ‘se’, ma di ‘quando’ affrontare un mutamento ormai irreversibile”.