Da Qualys un nuovo approccio per la gestione delle vulnerabilità
Viaggio al Centro della Terra è un romanzo di fantascienza di Jules Verne, pubblicato per la prima volta nel 1864. Il libro descrive come un gruppo di esploratori scopre che il centro della terra è la patria dei dinosauri e degli esseri umani preistorici, luogo di minacce e di rischi.
Dopo un viaggio terrificante, gli esploratori si ritrovano su un’isola vulcanica in Italia.
In che modo questo si può collegare alle prove e alle difficoltà che i team di sicurezza informatica gestiscono quotidianamente? Il problema maggiore che gli specialisti si trovano ad affrontare è che spesso non hanno ciò di cui avrebbero bisogno per avere successo nei loro “viaggi”. La carenza di dati consumabili rende più difficile prepararsi efficacemente in materia di sicurezza e rende più complicato stabilire le priorità.
Problema n. 1 – La traduzione dei documenti può portare a nuove opportunità
Il romanzo di Viaggio al centro della Terra inizia con la scoperta di un messaggio cifrato che, una volta risolto, fornisce un indizio per un percorso segreto nel nucleo del pianeta.
Per scoprire cosa c’è dentro, il protagonista Professor Lidenbrock vi si reca immediatamente e da qui si sviluppa l’avventura.
I team di sicurezza oggi, per avere successo devono poter comprendere il business e sapersi mettere nei panni degli altri team IT. Tuttavia, la crescita di nuovi metodi come DevOps e l’uso di nuovi metodi di rilascio delle applicazioni come i container ha modificato alcune delle migliori procedure esistenti in materia di sicurezza.
Portando i responsabili della sicurezza a dover decodificare il modo in cui i team DevOps operano, come pensano alla sicurezza e capire come integrarla nei loro processi fin dall’inizio.
È importante riflettere su questo aspetto, perché coinvolge la sicurezza nell’intero processo, dallo sviluppo iniziale del codice fino al test, al controllo qualità e alla produzione. Anche se il termine DevSecOps è diventato popolare, spinge le persone a pensare alla sicurezza come una fase da attraversare piuttosto che come parte dell’approccio generale al software. Questo presupposto può essere difficile da superare, soprattutto se i team coinvolti non sono abituati a collaborare tra loro.
Vale la pena concentrarsi sulla necessità di fornire agli sviluppatori le giuste informazioni sulla sicurezza e sulle vulnerabilità negli strumenti che utilizzano – e in un linguaggio che possano comprendere facilmente.
Problema n. 2 – Sapere dove si sta andando
Nel libro, il professor Lidenbrock non sa cosa ci sia in serbo per lui o per la sua squadra.
Con poche informazioni e una scarsa preparazione, affrontano un viaggio nell’ignoto che li porta vicini alla morte per mancanza d’acqua.
Per i responsabili della sicurezza, avere una visione d’insieme accurata dell’IT significa avere una mappa per poter pianificare al meglio gli aspetti legati alla sicurezza.
Aspetto ancora più importante, può aiutare a individuare eventuali modifiche e accessi non autorizzati che dovrebbero essere oggetto di indagine. Si può trattare di semplici dispositivi connessi a Internet che vengono collegati alla rete da utenti che non sono consapevoli dei potenziali rischi, oppure di dispositivi che vengono installati senza rispettare le regole di sicurezza. In ogni caso, rilevare questi device nel momento in cui si collegano alla rete è essenziale.
Oltre a questa capacità di ottenere informazioni su ciò che è presente nella rete, i team di sicurezza devono definire le priorità da assegnare a queste problematiche in base alla loro criticità. Non esiste un modello unico che possa essere applicato in questo caso: ogni azienda deve comprendere le proprie condizioni specifiche, i livelli di rischio che è disposta ad accettare e conoscere i problemi più gravi che potrebbero capitarle.
Ad esempio, una banca o una società di servizi finanziari avranno idee molto diverse su ciò che costituisce un rischio e su quanto velocemente dovrebbe essere risolto rispetto a una piccola impresa o a una società di eCommerce. Ogni team di sicurezza dovrà quindi tracciare il proprio percorso verso l’ignoto, basandosi sull’ottenimento di dati accurati sulle risorse IT e sulle potenziali vulnerabilità.
Problema n. 3 – Il viaggio può portarvi in luoghi che non vi aspettate e che sono lontani
Durante la storia, il gruppo si addentra nel cratere spento di un vulcano in Islanda per riemergere in Italia. Il viaggio nelle viscere della Terra li porta a Stromboli, un altro vulcano. Un viaggio lungo circa 5.200 chilometri.
Oltre a non sapere cosa succederà durante il viaggio, i team di sicurezza si trovano oggi ad affrontare la prospettiva di gestire risorse informatiche distribuite geograficamente accanto a quelle che hanno sulle loro reti interne. I team di DevOps sono normalmente propensi a utilizzare servizi in cloud e i container per eseguire le proprie applicazioni, poiché questo velocizza il processo; le implementazioni in cloud possono tuttavia mancare di processi di sicurezza come l’autenticazione o la crittografia come impostazioni predefinite. Parallelamente, tutti questi servizi possono avere modelli di sicurezza molto diversi da comprendere e applicare.
Per le implementazioni in cloud, ottenere una panoramica accurata di tutte le immagini delle macchine e delle applicazioni dovrebbe essere importante quanto qualsiasi elenco di risorse IT interne. Per le nuove applicazioni basate su container questo può essere particolarmente complicato, poiché le immagini dei container possono essere create e distrutte automaticamente in risposta ai livelli di domanda delle applicazioni. Strumenti di orchestrazione dei container come Kubernetes indicano che queste modifiche possono essere automatizzate, ma anche i team di sicurezza devono essere collegati.
Con un approccio tradizionale di scansione delle vulnerabilità che si basa sull’acquisizione di “fotografie” di ciò che viene distribuito, si potrebbero non rilevare cambiamenti importanti che si verificano nella propria infrastruttura nel corso del tempo. Invece, ricevere avvisi in tempo reale su qualsiasi problema all’interno dei container o delle implementazioni in cloud dovrebbe garantire la possibilità di mantenere il controllo su ciò che viene eseguito, indipendentemente da dove si trova.
Il romanzo di Jules Verne è letto da oltre 150 anni e ha ispirato innumerevoli altre storie di audaci avventure. Ci insegna anche come prepararci, come comprenderci l’un l’altro e come guardare oltre i semplici confini interni. Per i team di sicurezza che ogni giorno si trovano ad affrontare nuove sfide, la storia del professor Lidenbrock e di Axel può ancora ispirare nuovi modi di pensare. Affrontare il viaggio nel cuore dell’IT significa capire cosa sta succedendo intorno a noi, ottenere dati accurati sulle risorse IT e prepararsi in modo più efficace per qualsiasi eventualità la vita ci debba riservare. Un inventario aggiornato delle risorse IT sarà sempre una base solida ed essenziale per la sicurezza.
Per informazioni aggiuntive consultare www.qualys.com
Di Marco Rottigni, Chief Technical Security Officer EMEA, Qualys