Showing posts with label SOC. Show all posts
Showing posts with label SOC. Show all posts

Sunday, October 23, 2011

DuQu e Stuxnet: le aziende sono pronte a gestire queste minacce ?




DuQu è una nuova minaccia che ha molte analogie con Stuxnet

Nei giorni appena trascorsi Symantec ha reso pubblica la scoperta dell’esistenza di un nuovo trojan denominato DuQu. La notizia ha generato allarme a giudicare dalla diffusione sulla stampa mondiale; solo in Italia ho contato almeno una quarantina di testate giornalistiche web, tra cui Corriere.it, Metro, il Foglio, City, AdnKronos, ilGiorno.it e LaNazione.it.
Personalmente ritengo che in questo caso l’allarme sia del tutto giustificato.
Le varianti attualmente analizzate di DuQu indicano che l’obiettivo era la sottrazione di informazioni sui dati e gli asset presenti all’interno di imprese manufatturiere di sistemi di controllo industriali, al fine di condurre successivamente un attacco mirato verso le aziende che avrebbero adottato tali sistemi. In pratica, grazie alle varianti identificate e già analizzate, siamo in grado di dire che gli utilizzatori di DuQu stavano mirando ad ottenere documentazione di progetto che avrebbe potuto essere di supporto per un futuro attacco verso ambienti industriali. L’affinità con le finalità perseguite dal celeberrimo STUXNET è del tutto evidente; infatti, come noto, STUXNET fu utilizzato per condurre un attacco contro gli impianti di produzione nucleare in Iran. In aggiunta, con ogni probabilità, gli sviluppatori di entrambi i trojan sembrano essere gli stessi, perchè certamente parte del codice sorgente è identico, e tale codice non risulta pubblicamente disponibile a qualsivoglia sviluppatore.

C’è bisogno di ripensare il modello di security governance

Ciò premesso, il motivo principale per cui ritengo molto importante l’eco della scoperta effettuata da Symantec, è che spero contribuisca ad aumentare la consapevolezza da parte degli executive sia in ambito enterprise che nelle istituzioni, dell’importanza di essere direttamenti coinvolti nella governance della sicurezza ICT.
Questa scoperta contribuisce infatti a rendere ancora più evidente come oggigiorno dietro alle minacce informatiche si muovano interessi politici e/o economici di enti governativi ostili ed imprese concorrenti. Cyberwar, cybercrime e cyberspionage. Non ho controllato se tali parole inglesi siano già state introdotte come neologismi nel dizionario italiano, ma in caso contrario sarebbe necessario inserirle al più presto dato la necessità crescente di far riferimento a questi termini per spiegare eventi che sono trattati con grande enfasi in tutto il mondo.
Il livello di sofisticazione con il quale le minacce sono attualmente predisposte, nonchè la trasformazione dell’Information Technology attualmente in corso per mezzo dell’adozione di tecnologie di virtualizzazione e modelli di cloud computing e all’evoluzione del mobile, dovrebbe portare i suddetti “decision maker” a condurre attente riflessioni. Occorre riflettere sul modello di governance della sicurezza adottato nelle aziende, nonché le risorse economiche destinate ad assicurane la necessaria evoluzione in relazione ai suddetti cambiamenti di scenario. Troppo spesso infatti il reale livello di empowerment delle persone a cui è attribuita la responsabilità della sicurezza informatica nelle aziende è nella realtà purtroppo troppo limitato, e l’esercizio del loro ruolo così distante dai processi di business da non riuscire a comunicare efficacemente ai “business owner” ed agli executive, il potenziale impatto dei rischi che potrebbero interessare gli asset e/o i dati aventi rilevanza strategica per l’azienda. Per questo motivo mi auguro che il clamore suscitato da questo evento fornisca uno stimolo ad avviare le opportune e necessarie riflessioni ai giusti livelli aziendali.

Empowerment al responsabile sicurezza e committment personale degli executive

Vorrei quindi suggerire quelli che potrebbero essere gli elementi chiave da considerare per una possibile evoluzione degli attuali modelli organizzativi.
In primo luogo, come già anticipato, credo che sia essenziale un effettivo empowerment del responsabile della sicurezza informatica. Troppo spesso il suo ruolo è marginale rispetto ai ruoli chiave dell’organizzazione e inoltre non risulta adeguatamente supportato dal top manager sotto 2 punti di vista: budget e committment nei confronti delle funzioni aziendali più propriamente collegate al business. Non è uno slogan ma una necessità per l’azienda, quella di definire e rendere efficace dei processi che prevedano l’analisi degli aspetti di sicurezza fin dalle fasi di definizione di un nuovo modello di business o di un nuovo servizio e/o processo. Gli executive devono inoltre partecipare in prima persona alla governance della sicurezza ICT della loro impresa o ente pubblico, avendo piena consapevolezza che un fallimento della strategie in questo ambito potrebbe comportare enormi danni al business dell’azienda per gli impatti diretti e soprattutto indiretti (danni di immagine).
Per un lungo periodo di tempo nel ruolo di Chief Information Security Officer in Telecom Italia mi sono trovato ad agire in simili favorevoli condizioni e posso affermare senza timore di essere smentito, che i benefici per l’azienda sono stati assai rilevanti.

Un nuovo modello a 2 livelli per il Security Operation Center interno all’azienda

In secondo luogo, data la elevata e crescente sofisticazione delle modalità con le quali le minacce sono predisposte, occorre prendere atto della oggettiva difficoltà ad individuare tempestivamente la presenza di eventi anomali che sono indice di un potenziale attacco. Molte aziende hanno implementato un modello organizzativo per la governance della sicurezza che prevede il monitoraggio degli eventi di sicurezza da parte di un Security Operation Center (SOC) interno all’azienda stessa.
Questo è un paradigma che deve necessariamente evolvere perchè non rappresenta più lo stato dell’arte, ed infatti la mia opinione è che oggi occorre che le aziende implementino un modello a 2 livelli. Il primo livello relativo alle attività per la gestione degli incidenti, deve essere implementato all’interno dell’azienda. Infatti una conoscenza diretta delle infrastrutture, dei processi aziendali e dei colleghi il cui supporto è essenziale per attuare azioni di contenimento e recovery, consente una gestione molto efficace delle situazioni di crisi. Il secondo livello, rappresentato dalle attività di monitoraggio e correlazione degli eventi con le fonti di intelligence riguardanti le vulnerabilità, gli attacchi e le minacce, dovrebbe invece essere realizzato integrando le capabilities offerte sul mercato da chi davvero è in grado oggi di effettuare quel tipo di mestiere con la necessaria efficacia.

La Global Intelligence Network di Symantec

DuQu è stato identificato grazie al monitoraggio di Internet da parte di Symantec. Questa attività di monitoraggio è effettuata ininterrottamente da un nutrito gruppo di specialisti tramite una Global Intelligence Network costituita da circa 240.000 sensori localizzati in più di 200 paesi al mondo, da 180 milioni di client/server aventi installato il software antivirus, da sistemi di antispamming che processano circa 8 miliardi di mail al giorno e dai sistemi nel cloud Symantec che elaborano circa 6 miliardi di connessioni web e email al giorno per erogare servizi di email e web security alla clientela. Per non citare gli 11 miliardi di log raccolti ogni giorno da oltre 1000 clienti che hanno delegato a Symantec il monitoraggio della sicurezza sul loro perimetro. 

Oggi sono queste le basi necessarie per realizzare in modo efficace un’attività di monitoraggio di eventi di significativa complessità.