MILANO – Qualsiasi studio sulla cyber security evidenzia che gli attacchi informatici sono in continuo aumento, cambiano forma e tipologia continuamente, toccano tutti i segmenti produttivi e dei servizi, impattano sulla sicurezza stessa dei Paesi e sull’esercizio dei diritti democratici (un esempio per tutti, gli attacchi geopolitici basati sui malware WannaCry e NotPetya). Dopo questa doverosa premessa, Luca Mambella, Associate Partner di IBM Services, intervenuto a IBM Think (vedi l’articolo IBM Think: il CIO da solo non ce la può fare) si chiede: “Quanto siamo preparati a gestire questa tipologia di attacchi? Pensare che un’azienda debba prevedere un presidio permanente perché può essere oggetto di attacco addirittura da parte di uno Stato è uno scenario abbastanza nuovo per un’azienda”.
Di questo servizio fanno parte anche i seguenti articoli
- IBM Think: il CIO da solo non ce la può fare
- Il data center esteso per abilitare la service composition
- Facility management: componente strategica per abilitare Industria 4.0
Per rispondere alla domanda, Mambella introduce il tema della cyber resiliency, dove si fondono le due discipline della sicurezza e della business continuity: “La Cyber Resiliency è la capacità di una organizzazione di continuare ad operare entro livelli predeterminati in caso di attacchi informatici”. Questa la definizione da manuale riportata dal consulente che però precisa subito come la chiave del ragionamento sia capire cosa si intende per “livello predeterminato”: “In un classico piano di disaster recovery questo livello è molto chiaro: si definisce uno scenario [un allagamento che impedisce al data center di operare, per esempio ndr], si definisce un perimetro [il data center, appunto ndr] e si identificano quei servizi che devono ripartire per primi, con quale livello di sicurezza, ecc.; viene così predeterminato il livello di continuità del servizio che ci aspettiamo”.
Le sfide per la Cyber Resiliency nel mondo digitale
Cercando di applicare questo ragionamento agli attacchi informatici, Mambella rileva quanto questa attività sia complessa con tali e tante variabili in gioco da rendere impossibile non solo definire quel “livello predeterminato” di servizio, ma soprattutto garantirlo, attraverso i classici strumenti di cyber security: “La Cyber resiliency è un approccio multidisciplinare che comprende information security, business continuity e network resilience di una azienda per assicurare all’organizzazione la capacità di operare in caso di attacchi informatici”.
Mombella riassume così le sfide per la cyber resiliency nel mondo digitale:
- Rischi – Abbiamo scenari di rischio nuovi: cyber-spionaggio e ransomware sono in forte crescita; si tratta di minacce avanzate, persistenti e mirate.
- Perimetro – Il perimetro di attacco è in costante espansione e comprende reti, infrastrutture, cloud, mobile, virtualizzazione, IoT.
- Velocità – I malware sono in grado di attaccare operatività, dati e backup con effetti disastrosi, quindi la velocità di risposta è la chiave per il contenimento dei danni
- Norme – Il contesto normativo si evolve, introducendo nuovi requisiti; l’adeguamento è complesso e costoso.
“Se ho un problema su un pezzo di hardware – sottolinea Mambella, riferendosi alla sfida della velocità – pretendo sia la tecnologia ad accorgersene e attivare le contromisure. Il caso di disastro è diametralmente opposto: poiché andare in disastro per un’azienda significa erogare meno servizi, con meno garanzie, non è tollerabile che sia la tecnologia a decidere se ci sono le condizioni per dover intervenire o meno con un piano di disaster recovery. Classicamente, è il comitato di crisi che decide se continuare l’attività normalmente o passare a operare in condizioni di disastro”. Ma a fronte di un attacco informatico non è possibile procedere con la stessa modalità, la velocità è tale che se fosse attuato un piano simile l’impatto potrebbe essere letale: “In caso di attacco informatico di ‘nuova’ tipologia siamo di fronte a scenari molto complessi, impossibili da predeterminare con le classiche modalità e quindi è necessario un mix di azioni automatiche (abilitate da tecnologie di intelligenza artificiale) e decisioni e valutazioni effettuate dall’organizzazione aziendale”.
Il framework della cyber resiliency e gli strumenti per metterlo in atto
“Ma se questo è il panorama con il quale le aziende si stanno confrontando. Ogni area ha cercato di far fronte alle problematiche di security con strumenti e tecnologie specifici per le proprie attività. La figura 1 schematizza questa situazione, evidenziando ancora una volta il concetto già espresso: la cyber resiliency è costituita dalla integrazione di più discipline IT”, dice Mambella.
Gli elementi che compongono un framework di cyber resiliency sono:
- Identity: definizione del Cyber Resiliency Plan.
- Protect: indirizzamento delle vulnerabilità.
- Detect: rilevazione degli attacchi e incidenti.
- Respond: attivazione delle contromisure di contenimento.
- Recover: ripristino dell’operatività.
La figura 2 mostra quali sono le attività necessarie per affrontare con successo i diversi step del framework: “L’integrazione tra policies, discipline e piattaforme di security, business continuity e networking rappresenta il punto di partenza cruciale: dovremmo disporre di un cruscotto dove vengono raggruppati i livelli di protezione dei vari strati tecnologici e delle aree aziendali”, spiega Mambella che ricorda come sia indispensabile avere un punto unificato dove vengono rilevati i comportamenti di tutte le componenti perché è solo così che poi gli strumenti di intelligenza artificiale possono immediatamente identificare le tipologie di attacco, valutare i servizi potenzialmente impattati e scegliere le strategie di reazione e contenimento. “È la fase in cui la velocità diventa determinante ed è impossibile per l’essere umano correlare tutte queste informazioni per capire quale attacco sta per compiersi e reagire immediatamente”.
Infine l’orchestrazione: “Bisogna essere in grado di orchestrare tutte le piattaforme di controllo e gestione degli attacchi e degli incidenti, per assicurare un comportamento complessivo di tecnologie eterogenee coerente con le policies aziendali e le aspettative di continuità. C’è bisogno di una regia che coordini le varie attività dei singoli livelli: non basta l’automazione, abbiamo bisogno di un’integrazione tra le automazioni”
Le figure 3 e 4 esemplificano un caso concreto di integrazione, intelligenza artificiale e orchestrazione portato dal consulente IBM.
Mambella ha quindi concluso il suo intervento portando alcuni esempi di rilasci futuri, disponibili a partire dal secondo semestre 2018, in ambito orchestration:
- Cyber Incident Recovery for Platform Configuration – La soluzione fornisce protezione contro attacchi informatici che corrompono le configurazioni o alterano il comportamento di risorse IT quali apparati di rete, storage, server fisici e virtuali: duplica i dati di configurazione di questi apparati su IBM immutable storage ubicati su IBM public cloud o IBM Resiliency Data Center; allerta gli utenti quando viene rilevato un cambiamento sospetto sui dati di configurazione e ripristina velocemente la configurazione originale sugli apparati corrotti, coerentemente con quanto previsto da policies.
- Cyber Incident Recovery for Applications and Data – La soluzione fornisce protezione contro attacchi informatici che corrompono dati applicativi e applicazioni: replica i dati da server e storage mediante prodotti di gestione dati usando meccanismi di air-gap (tecnica informatica solitamente utilizzata per mettere in sicurezza sistemi o reti che richiedono maggior attenzione rispetto ad altri evitando che possano collegarsi a Internet o qualsiasi altro computer, server o sistema informatico collegato alla rete) ubicati sul DR Data Center del cliente e conserva molteplici copie “point-in-time” in formato read-only; in caso di attacco, mette a disposizione degli utenti opzioni per selezionare le copie più opportune e le ripristina velocemente sui server e sullo storage della infrastruttura DR.
