Durante la conferenza Black Hat Europe 2015 sono emersi diversi spunti interessanti per chi si occupa di sicurezza.
Due esempi per tutti? In occasione di una presentazione sulla crittografia completa del disco rigido, Ian Haken ha dimostrato come Microsoft Bitlocker (la funzionalità di protezione dei dati integrata di Microsoft per Windows) possa potenzialmente essere bypassato. Nella stessa occasione l’esperto di sicurezza Haroon Meer ha spiegato come il settore della sicurezza informatica non riesca a proteggere adeguatamente le imprese. Entrambi gli esperti hanno evidenziato il perché sia necessario per le aziende adattare i programmi di sicurezza rapidamente al fine di rispondere alle nuove minacce emergenti.
L’evoluzione dei programmi di sicurezza aziendali
Gli osservatori hanno fatto il punto della situazione ricordando come la sicurezza IT in origine vertesse esclusivamente su password, firewall e software antivirus. In seguito la necessità di fare affidamento su password più forti, firewall di nuova generazione, strumenti antimalware e molto altro ancora ha fatto sì che nell’ambito della sicurezza siano stati apportati miglioramenti significativi anche se molti programmi di sicurezza aziendale non si sono evoluti adeguatamente rispetto alle minacce di un cibercryme sempre più sofisticato.
Ad esempio, la crittografia completa del disco (FDE – Full-Disk Encryption) è diventato un controllo di sicurezza di base in molte imprese, ma la ricerca di Haken dimostra come sia ora di aggiornare la tecnologia. Molte imprese hanno deciso di implementare una FDE trasparente per minimizzare l’impatto sugli utenti finali e fare in modo che questi debbano cambiare le proprie abitudini il meno possibile. Se questa è una prassi più sicura rispetto al non implementare alcuna FDE, l’opzione è comunque debole rispetto ad altre oggi disponibili (dato che il processo è invisibile agli utenti e non richiede password o autenticazione aggiuntive).
Secondo l’esperto, mediante un by-pass di autenticazione per gli account di dominio, un utente malintenzionato può eludere persino Bitlocker (attacco che richiede la registrazione in un account da amministratore e l’accesso fisico al dispositivo client). Per mitigare il problema si possono utilizzare le password BIO, l’autenticazione pre-avvio o l’installazione della patch di Microsoft. Haken con questo intervento ha inteso sottolineare che quando i modelli di minaccia cambiano, è necessario rivalutare le precedenti scelte di sicurezza. In un’ottica di evoluzione e sulla base delle nuove informazioni disponibili in merito a minacce e vulnerabilità, le imprese che hanno implementato una full-disk encryption trasparente dovrebbero valutare quindi come autenticazione e bypass FDE potrebbero impattare sul business per determinare se questa opzione sia un rischio accettabile o sia invece opportuno implementare altri controlli di sicurezza. Alcune imprese che utilizzano una full-disk encryption trasparente potrebbero decidere di richiedere l’autenticazione pre-boot nell’implementazione del controllo FDE.
È ora delle security analytics
Per tenere il passo con le minacce e le vulnerabilità emergenti è impensabile che le imprese presenzino a tutte le conferenze in merito alla sicurezza IT e leggano nel dettaglio tutte le nuove ricerche condotte in proposito, ma possono incorporare tali dati nel loro information security program con un adeguato servizio di intelligence o simili strumenti. IN questo senso si stanno affacciando sul mercato in maniera preponderante le Security Analytics. Le aziende possono utilizzare servizi di information sharing specifici per i vari settori su malware, vulnerabilità e tecniche di attacco per identificare gli elementi da affrontare con alta priorità e adattare i loro programmi di sicurezza (utilizzando tali dati per valutare i rischi, determinare il livello di pericolosità delle minacce e le opportune misure di mitigazione). Tutte queste diverse fasi possono essere incluse in un risk management program aziendale e utilizzate per aggiornare il programma di sicurezza.
Secondo gli esperti, i rischi significativi individuati dovrebbero poi essere valutati più approfonditamente per determinare una risposta appropriata, in modo da evitare l’attuazione di modifiche avventate che, in ultima analisi, potrebbero avere effetti più negativi che positivi. La gestione di tali cambiamenti non riguarda solo i responsabili della sicurezza: occorre coinvolgere nel processo l’intero personale IT e molti utenti finali dell’azienda. In diversa misura, secondo gli esperti, tutti possono dare il proprio contributo nel determinare quali siano le strategie più appropriate da attuare per proteggere l’azienda.
