Affrontare la problematica della sicurezza nella sua globalità impone una visione strategica sul tema, da parte dell’azienda, con il coinvolgimento, quindi, del top management che deve dialogare e confrontarsi con le figure aziendali più strettamente tecniche. Anche se con difficoltà si tratta di un percorso intrapreso da molte aziende poiché sempre più spesso soluzioni di security abilitano lo sviluppo di nuovi percorsi di business. Tuttavia, in questa evoluzione restano ancora molti interrogativi ai quali rispondere. Ad esempio, spesso non è sufficientemente chiaro come la vulnerabilità delle applicazioni può mettere seriamente a repentaglio il business aziendale stesso. La pressione costante dettata dalle esigenze del business e la necessità dell’IT di rispondere velocemente alle richieste si traducono talvolta in un controllo superficiale della qualità e delle potenziali vulnerabilità delle applicazioni. Alexandre Gonzalez, Responsabile Commerciale South Europe HP Application Security Center, ci aiuta a capire, da una prospettiva internazionale, qual è il livello di percezione di questa pericolosità e quali le tendenze in atto per affrontarla.
ZeroUno: La sicurezza è stata per molto tempo affrontata come una problematica strettamente connessa alla rete aziendale. Rete sicura era considerato sinonimo di azienda sicura. Oggi questo non è più sufficiente. Cosa è cambiato?
Gonzalez: Questo è un punto fondamentale. Tradizionalmente la sicurezza è vista soprattutto sotto il profilo della rete: il responsabile IT cerca di evitare l’accesso alle persone che non sono parte del nucleo aziendale e per questo utilizza firewall e gateway, proteggendo l’azienda da attacchi esterni. Il passo successivo, quando l’azienda si focalizza più attentamente sulla sicurezza, è quello di utilizzare strumenti per la difesa da intrusioni come Intrusion Detection System (Ids) e Intrusion Prevention System (Ips).
Un sistema di sicurezza basato su soluzioni di questo tipo non garantisce una reale protezione totale, soprattutto non la garantisce per le applicazioni basate sul Web, il cui ruolo è profondamente cambiato essendo passate da strumenti per veicolare informazioni di carattere generale ad applicazioni mission critical che gestiscono dati sensibili. Oggi l’utilizzo più esteso del Web porta ad una maggiore esposizione dell’azienda con forti impatti su tre ambiti fortemente connessi tra loro: in primo luogo la gestione stessa del business che, passando da applicazioni Web, “esce” in qualche modo dal perimetro aziendale ed è esposta a maggiori rischi di quanto non lo sia quando è circoscritta all’interno della rete aziendale; la protezione di dati sensibili che, utilizzati in applicazioni Web, corrono più fortemente il rischio di essere manomessi o trafugati, con tutte le implicazioni che ne conseguono sia per il business aziendale sia, per esempio, in termini di rispetto delle normative per la protezione dei dati; infine, ma non certo per importanza, la reputazione dell’azienda, la cui immagine passa sempre più dalle attività svolte via Web. Il problema, quindi, non è più oggi, o comunque non solo, quello della sicurezza della rete bensì quello di applicazioni intrinsecamente sicure: secondo gli analisti, oggi gli attacchi sono portati per il 75% a livello applicativo, non a livello di rete. Questo cambiamento di campo di attacco è dovuto: alla riduzione dei tempi di rilascio delle correzioni (patch) che riduce la finestra temporale disponibile per gli hacker e alla maggiore vulnerabilità delle applicazioni che sono scritte da esperti applicativi, ma generalmente da inesperti di sicurezza.
ZeroUno: Il crescendo di criticità è comprensibile, ma può dare qualche maggiore indicazione al riguardo?
Gonzalez: Certamente, l’impatto di una Web application vulnerabile può essere molto elevato. Gartner dice che prima del 2009 l’80% delle organizzazioni subiranno un incidente di sicurezza applicativo; un’altra analisi statistica condotta da “L’indagine del CSI Computer Crime and Security Survey del 2007” indica che un attacco andato a buon fine costa mediamente, secondo i partecipanti all’indagine, 350.424 dollari, cifra che è oltre il doppio di quella rilevata l’anno precedente. Si può aggiungere che secondo il “Ponemon Institute’s 2006 Annual Study, Cost of a Data Breach” , il costo medio per ‘record dati’ di clienti perso è di 182 dollari. Sono valori rilevanti e sono riferiti all’insieme degli attacchi alle applicazioni aziendali, di cui quelle basate sul Web sono quelle che ne subiscono il maggior numero.
La sicurezza, oltre alla protezione delle informazioni, alla funzionalità delle applicazioni, alle prestazioni del sistema, comprende anche responsabilità giuridiche. Queste sono particolarmente rilevanti per le aziende pubbliche poiché trattando i dati sensibili dei cittadini devono provvedere a proteggerli in modo sicuro. Naturalmente si tratta di una questione che non può essere demandata alle figure aziendali che si occupano di sicurezza; ogni decisione al riguardo è di rilevanza strategica e di business e deve coinvolgere il management aziendale.
ZeroUno: Ci pare emergano a proposito due orientamenti: il primo di tipo eminentemente tecnico che riguarda più direttamente lo staff It, il secondo di carattere strategico che dovrebbe coinvolgere il management ma che riserva ancora poca attenzione al fenomeno…
Gonzalez: L’obiettivo della persona dedicata alla sicurezza a livello tecnico è quello, appunto, di garantire l’azienda dal punto di vista tecnico, e ha l’expertise necessaria per farlo; il top management deve garantire la protezione dell’azienda in toto, deve avere una visione strategica della sicurezza. Ma le due figure non possono lavorare separatamente, devono comunicare e il tema è così attuale da essere implicitamente trattato nella normativa europea ISO 27001 e nelle altre analoghe quali la Sarbanes Oxley o la Payment Card Industry applicate in altri paesi. ISO 27001, emesso nell’ottobre del 2005, è oggi lo standard di riferimento internazionale e contiene le norme per la gestione della sicurezza informatica relativamente alla protezione dalle minacce alla riservatezza, all’integrità e alla disponibilità delle informazioni e dei dati delle aziende e delle organizzazioni in genere.
Oltre al rispetto delle normative però le aziende devono anche fronteggiare la sensibilità sociale verso la sicurezza e in questo ambito oggi esistono due mondi: quello di origine anglosassone e quello più tipicamente europeo. In Usa, dove vige il modello anglosassone, quando un’azienda che detiene dati del cliente subisce un incidente di sicurezza lo deve comunicare, in Europa non è ancora così. Ci sono esempi di sofferenze rilevanti subite dalle aziende in Europa che vengono conosciuti solo perché non si possono nascondere; è il caso della pagina Web dell’ambasciata francese che è stato alterato per motivi politici da hacker indiani in occasione della visita di Gheddafi a dicembre in Francia, oppure il caso del Belgio dove, a due catene di supermercati, la Hannaford e la Sweetbay, entrambe appartenenti alla società belga Delhaize Group, sono stati rubati oltre quattro milioni di numeri di carte di credito. Certamente esistono casi analoghi in altri paesi europei, tra cui anche l’Italia. Questi casi dimostrano che le normali protezioni con firewall, antivirus, antispam, Ids e Ips, ecc. non sono sufficienti a proteggere le applicazioni basate sul Web.
Due possibili forme di attacco alle applicazioni basate sul Web, entrambe che approfittano dello stato degli insufficienti controlli sui dati eseguiti dalle applicazioni, sono: la prima, la Sql Injection condotta da chi tenta di leggere o cambiare i dati in modo fraudolento direttamente sul data base tramite l’applicazione a cui ottiene accesso; la seconda, la Cross Site Scripting condotta da chi tenta di inserire del codice per modificare il codice sorgente originale della pagina Web e ottenere dati sensibili.
ZeroUno: Vediamo quindi una sempre maggiore centralità della sicurezza intrinseca delle applicazioni.. Qual è la strategia di Hp in questo campo?
Gonzalez: Per prima cosa vogliamo fare in modo che le applicazioni siano più sicure; non è possibile raggiungere il 100%, ma possiamo fare in modo di ridurre sensibilmente la percentuale di vulnerabilità che oggi, nelle applicazioni Web, supera l’80%.
Per Hp è fondamentale aiutare la direzione delle aziende a comprendere l’impatto che un incidente di sicurezza applicativo può avere sull’attività dell’azienda stessa; capire come quantificare l’impatto; successivamente proporre una strategia e una soluzione commisurata al rischio, per abbassarlo e portarlo al livello più basso possibile.
Quello che stiamo facendo è cercare di trasferire l’attenzione sulla problematica della sicurezza dal modo classico di affrontarla, ovvero quando è nell’ambiente di produzione, ad un nuovo modo, ovvero a partire dall’ambiente dello sviluppo e del test applicativo. E questo poiché si è rilevato che circa il 50% delle vulnerabilità può essere rimosso al momento dello sviluppo e del test. Per fare questo, il portafoglio di soluzioni Business Technology Optimization (Bto) di HP Software si è esteso all’Application Security che possiamo identificare come il terzo pilastro dell’Application quality managemnt (insieme al Functional e al Performance Testing), con tre prodotti.
Il primo, DevInspect, per aiutare chi sviluppa applicazioni, che non è esperto di sicurezza, a farlo secondo determinati criteri di sicurezza; il prodotto analizza il codice sorgente, ne scopre le vulnerabilità e automaticamente propone e apporta le correzioni.
Il secondo, QAInspect, per coloro che devono eseguire i test di funzionalità e di valutazione delle performance dell’applicazione, esegue in modo automatico i test di sicurezza applicando tecniche innovative per l’identificazione dei difetti e delle vulnerabilità delle applicazioni e fornisce anche informazioni sui possibili tipi di attacchi cui è soggetta l’applicazione così come scritta.
Il terzo, WebInspect, per simulare il comportamento degli hacker che giungono sulle pagine Web e cercano di carpire e/o modificare le informazioni utilizzando, fra le altre, tecniche di Sql Injection o di Cross Site Scripting; in pratica WebInspect fa un hacking etico utilizzando tutte le tecniche di hacking disponibili oggi, analizza le applicazioni e verifica l’esistenza delle possibili vulnerabilità facendo riferimento a una sua propria base dati delle vulnerabilità conosciute.
Infine, con Assessment Management Platform (Amp) si evidenziano, con opportuni report, le conclusioni delle prove svolte; Amp consente inoltre di automatizzare periodicamente la valutazione globale della sicurezza delle applicazioni del sistema informatico nel loro ciclo di vita. La sicurezza è un concetto dinamico, non statico; ciò che è sicuro oggi non lo è più domani, perciò è necessario fare prove di scansione con una periodicità valutata caso per caso; “the security work is never done”.
ZeroUno: Anche se si pone la massima attenzione nello sviluppo di applicazioni, esiste sempre una percentuale di errori che non è evitabile; la fase di test prima della messa in produzione è quindi essenziale…
Gonzalez: Si è vero. Proprio riferendoci alle statistiche vediamo che se l’azienda riesce a correggere il 50% delle vulnerabilità a livello di sviluppo e test, riduce del 75% i costi per la risoluzione dei problemi se scoperti a livello di produzione. È molto più economico occuparsi di un problema e di una vulnerabilità nella fase di sviluppo, poiché non c’è ancora alcun impatto sul business, sulla reputazione dell’azienda e neppure a livello giuridico. L’impatto è solo tecnico, mentre se si affronta il tema in fase di produzione il costo delle correzioni si moltiplica per un rapporto variabile da due a cinque volte.
