Cisco Security: le misure difensive hanno fallito
In questa fase del mercato IT in cui tutte le grandi aziende stanno trasformando e ampliando il proprio campo di applicazione, Cisco sta puntando molto forte sulla sicurezza.
Anche se tradizionalmente non è questa la specialità per cui l’azienda di San Josè è conosciuta, negli ultimi anni Cisco ha acquisito aziende e tecnologie in questo campo, come Sourcefire, Open DNS, Lancope, Portcullis e ThreatGRID, e ha fatto crescere lo staff della divisione Security fino a diventare “la seconda azienda di security al mondo per numero di addetti”, nelle parole di Stefano Volpi, Area Sales Manager della neonata business unit globale focalizzata sulla sicurezza Global Security Sales Organization (GSSO).
L’organizzazione di Cisco Security conta circa 6.000 dipendenti, il 10 percento della forza lavoro globale. (Nel caso ve lo stiate chiedendo, la prima azienda di security per numero di addetti è un’altra outsider del settore: IBM).
Questo argomento è così importante per Cisco che l’ex CEO John Chambers ha mantenuto il ruolo di ambasciatore della sicurezza.
La strategia Cisco: controllare il sistema nervoso dell’infrastruttura
Nel corso di un incontro con la stampa, Volpi ha delineato quella che è la strategia di Cisco per affrontare le moderne minacce alla sicurezza IT. Per Volpi, la diffusione dei dispositivi mobili, Internet of Things, cloud e virtualizzazione hanno allargato il perimetro. Lo hanno reso quasi invisibile. Un tempo l’azienda era come una città fortificata medievale, con un solo accesso. Ora è una metropoli come Shanghai, con infinite porte. I clienti non hanno nemmeno più visibilità su quali siano le reti e i dispositivi che devono proteggere.
L’idea di base di Cisco è di costruire un sistema di difese e sensori che vada dal perimetro esterno (i firewall), fino alla difesa del singolo dispositivo (Cisco ha acquisito anche il progetto di antivirus open source ClamAV), passando per sistemi di intrusion detection e prevention (anche l’IDS Snort fa ormai parte del portfolio dell’azienda).
La security difensiva ha fallito: un quarto degli attacchi va a buon fine, e metà delle vittime non sa di essere stata violata
La soluzione però è un framework che supera il modello e le caratteristiche del singolo prodotto, e sfrutta il vero vantaggio che Cisco ha in moltissime aziende: quello di poter controllare il network.
Indipendentemente dal tipo di attacco, e indipendentemente dal fatto che si riesca o meno a evitare la compromissione di un sistema, praticamente tutti i malware e gli attacchi prima o poi finiscono per utilizzare la rete: vuoi perché è il veicolo di ingresso, vuoi perché si propaga da pc a server, vuoi perché una volta portato a termine l’attacco vuole comunicare con l’esterno, inviando dati sottratti all’azienda o aprendo porte di controllo.
In questa fase, secondo Cisco, i router giocano un ruolo importante nel mettere insieme le informazioni ricevute dai diversi sistemi di difesa per dare un’interpretazione organica che possa offrire sia un quadro di insieme, si una vista al dettaglio del singolo evento sospetto
Non solo prevenzione
Qualsiasi siano le misure di protezione adottate, si stima che un quarto degli attacchi informatici vadano a buon fine, e che il 50% delle vittime non si accorge nemmeno di essere stata violata.
Il motivo secondo Volpi è la complessità degli attacchi e la frammentazione degli strumenti di difesa. In alcune aziende, l’IT deve monitorare anche cinquanta diverse console di sicurezza, molte delle quali mostrano numerosi falsi positivi. Cercare di avere la percezione dello stato delle proprie difese in questo modo non è certo facile.
È qui che si inserisce la proposta di Cisco: usare la rete come sensore delle minacce e come strumento di difesa, implementando policy di segmentazione e autenticazione avanzata, che contemplino non solo l’identità dell’utente, ma anche altre variabili quali il dispositivo usato per collegarsi (PC aziendale, tablet, smartphone, pc di casa), il sistema operativo, la rete usata per accedere eccetera.
Insieme a tutti gli altri strumenti visti prima, l’idea è di fornire una linea di protezione che non si limiti a prevenire la violazione, ma ne contenga i danni una volta che viene rilevata e permetta di ricostruire a ritroso il percorso di infezione per identificare e risolvere la vulnerabilità.
Così come descritto, l’impianto è molto sensato e una dimostrazione a cui abbiamo potuto assistere è stata molto convincente nel mostrare le capacità di valutazione del rischio relativo a un evento, e a identificare a ritroso il veicolo di infezione (uno dei punti di forza della soluzione è che continua a monitorare posizione e utilizzo di ogni file, anche quelli che hanno passato il controllo di sicurezza, perché potrebbero rivelarsi malevoli solo in seguito).
Rimane da capire se Cisco sarà in grado di scalzare i concorrenti specializzati nei singoli campi (perimetro, malware, endpoint eccetera). Le premesse, intanto, sono molto interessanti.