Cos’è la Cybersecurity?

Sicurezza Informatica

Cos’è la Cybersecurity?

by Mario
Maggio 2021

La Cybersecurity è la prassi di proteggere i sistemi dagli attacchi digitali.

La Cybersecurity è la prassi di proteggere i sistemi, le reti e i programmi dagli attacchi digitali. Questi attacchi informatici sono solitamente finalizzati all’accesso, alla trasformazione o alla distruzione di informazioni sensibili, nonché all’estorsione di denaro agli utenti o all’interruzione dei normali processi aziendali.
[Fonte: Cisco]

Esiste, intorno a noi, il cosiddetto Cyberspazio (surface, deep e dark web), un “mondo” complesso (IT + OT + IoT) frequentato dalla cosiddetta “Cybercriminalità”, un universo di reti digitali nel quale governi, multinazionali e pirati informatici si scontrano per ottenere e manipolare dati e informazioni, considerato ormai sia come nuovo fronte economico/culturale sia come quinto dominio del warfare (terra, mare, cielo, spazio, cyberspazio).

Vediamone insieme la struttura:

  • L’Internet di superficie (surface), è la parte della rete a cui accediamo tutti i giorni che viene mappata dai motori di ricerca tradizionali, come Google o Bing (il surface web rappresenta solo una piccola parte della «rete»: circa il 4-5%).
  • Deep web e dark web sono due territori differenti digitali del cyberspazio, dove si possono acquistare ad esempio informazioni e molto altro… spesso illecitamente.
  • Vi sono poi i sistemi IT e OT di fabbrica, dove è avvenuta una standardizzazione nell’uso dei protocolli di rete emancipata da Industria 4.0, con tutto il mondo dell’Internet-of-Things (IoT).

cos'è la cybersecurity

Il Cyberspazio si “complica” poi ulteriormente con l’espansione, ad esempio, degli Intelligent Transportation System per la Vehicle Mobility, ma ci sono molti altri casi:

  • Le abitazioni, ad esempio, sono già controllabili da remoto, quali domotica, impianti di allarme e videosorveglianza, smart TV, frigoriferi e altri elettrodomestici;
  • I veicoli sono già controllabili da remoto: sistemi di antifurto, sistemi di infotainment, sistemi di controllo di trazione e frenata;
  • Le persone sono già controllabili da remoto: wereable device per il personal fitness, pacemaker, iniettori di insulina, ecc.

È importante distinguere bene le varie implicazioni dei termini, perché con il termine generico «sicurezza» si confondono spesso due concetti molto diversi, che in inglese hanno termini e significati distinti:

  • la Security, che si occupa di protezione dagli attacchi;
  • la Safety, che si occupa invece di protezione dagli incidenti e dai guasti.

Dove la Cybersecurity (o Sicurezza informatica) si focalizza principalmente sulla protezione dei sistemi informatici (computer, reti di telecomunicazione, smartphone, ecc.) e dell’informazione in formato digitale da attacchi interni ed esterni, la Sicurezza Informativa definisce l’insieme delle risorse, dei processi e delle tecnologie tesi alla protezione dei sistemi informativi e delle informazioni in termini di disponibilità, confidenzialità e integrità dei beni o asset informativi, dove sono coinvolti elementi tecnici, organizzativi, giuridici e umani.

Ad esempio nell’IT gli impatti di un Cyber Attack sono prettamente finanziari e la confidenzialità è predominante.
Nell’(I)oT e nella mobilità gli impatti sono, invece, fisici e si parla di Cyber Kinetic Attack (un attacco “Cyber-cinetico” è una minaccia alla sicurezza informatica che ha il potenziale di distruggere beni fisici e vite umane: diversi attacchi in questa categoria nel recente passato hanno preso di mira centrali nucleari, raffinerie di petrolio e strutture mediche).

La sicurezza delle informazioni comprende, invece, anche la protezione delle informazioni in formato non digitale, come ad esempio quello cartaceo.

Qual è lo scopo della Cybersecurity?

Lo scopo principale della Cybersecurity è quello di:

  • Minimizzare i rischi di attacco da parte di malintenzionati;
  • Evitare infezioni da malware dei propri sistemi.

La superficie di attacco (Attack Surface) è l’insieme delle vulnerabilità che un malintenzionato può sfruttare per causare un incidente di Information/Cybersecurity: tale superficie è in continua espansione e le tipologie di minaccia e di attacco sono sempre più creative e sofisticate, dove la “via” principale per minimizzare questi rischi è quella di esporre la minor superficie di attacco possibile, lasciando poche vulnerabilità alla mercé dei malevoli.

Le vulnerabilità non sono solo tecniche ma sono insite anche nel comportamento delle persone e possono essere organizzative e di processo.

Una vulnerabilità, per diventare una minaccia, ha bisogno di tre componenti:

  1. Una falla nel sistema
  2. L’accesso di un attaccante
  3. E la capacità di sfruttarla.

Tenendo conto che i Cybercriminali sono attrezzati per accedere alle reti ed hanno le capacità tecniche di sfruttarle, il primo passo è quello di togliere quante più vulnerabilità possibili, il secondo passo è quello di istituire una guardiania digitale che permetta di avere delle sentinelle che si accorgano quando il perimetro viene violato, un po’ come fanno i militari.

Quali sono le attività fondamentali per la sicurezza informatica?

  1. Uno dei primi passi da fare è quello di ridurre all’osso la superficie di attacco;
  2. Un altro passo fondamentale è quello di disporre delle difese perimetrali che possano anche mascherare eventuali vulnerabilità residue o non eliminabili.

Il paradigma più accreditato è quello della difesa a cipolla, il “defense-in-depth“, dove i meccanismi di difesa sono rappresentati da diversi strati, posti uno sull’altro, che rafforzano lo scudo di difesa e che permettono di frapporre diverse barriere che un hacker deve riuscire a bucare per portare a buon fine un attacco.

cos'è la cybersecurity

Per arrivare ai dati bisogna “bucare”:

  • Perimetro;
  • Network;
  • Host;
  • Applicazione.

Queste “barriere” richiedono più  tempo e risorse ai malintenzionati: rallentano l’attacco e permettono inoltre, come fanno porte blindate, inferriate e sistemi di allarme, di avere il tempo di scoprire l’effrazione e chiamare la… cavalleria.
Già… tuttavia serve anche un servizio di sorveglianza con sentinelle disposte lungo tutto il perimetro.

Si può, quindi, organizzare: un servizio di sorveglianza digitale che si accorga di eventi che si verificano (indicatori), intercettati dai vari sensori posizionati all’interno di ogni strato della “defense-in-depth“ e un servizio di “intelligence” che rilevi eventuali segnali (precursori) al di fuori del perimetro informatico aziendale (beyond the firewall).

Il SOC (Security Operations Center) correla, ad esempio,  gli eventi indicatori e investiga sui possibili attacchi (24x7x365); mentre la CTI (Cyber Threat Intelligence) controlla quali informazioni ci sono sulla rete (surface, deep, dark web, black markets e underground channels), quali vulnerabilità sono state pubblicate e quali sistemi e account utente risultano compromessi o con credenziali in vendita a pochi dollari o frazioni equivalenti di bitcoin.

I malintenzionati sono diversamente motivati (insider, concorrenti, attivisti, terroristi, criminalità organizzata, eserciti, nerd smanettoni) e la tipologia dei nemici differisce a seconda del settore dell’azienda: attaccanti e difensori seguono però tutti uno schema classico (Cyber Kill Chain) per preparare ed eseguire, o difendersi, da un attacco.

Vi sono diverse proposte in letteratura ma tutte si possono ricondurre e semplificare a due soli macro-fasi distinte:

  1. La prima è detta di Information Gathering, che utilizza anche tecniche di Intelligence e di Social Engineering;
  2. La seconda è quella di esecuzione materiale dell’attacco.

L’abilità che devono avere i difensori è quella di intercettare i “segnali” (precursori e indicatori), correlarli e analizzarne i risultati per bloccare l’attacco prima che si materializzi, oppure per scoprire subito che un attacco è in corso, cercando di contenerne il più possibile gli impatti.

Cyber security: affrontare correttamente la sicurezza in azienda

Abbiamo detto che nella sicurezza informativa sono coinvolti elementi tecnici, organizzativi, giuridici e umani.
Ma allora cosa deve fare un’azienda?
Se seguiamo il paradigma della “defense-in-depth“, troviamo difesa perimetrale e network.

  1. La prima cosa da fare è progettare bene la rete, suddividendola in spezzoni diversi e disaccoppiando i sistemi esposti su internet dal resto;
  2. la seconda cosa da fare è posizionare Firewall, Proxy e IDS/IPS alla “frontiera” con Internet.

A questo punto abbiamo costruito i primi due e più importanti strati della cipolla.
Poi bisogna mantenere una buona postura di sicurezza, cioè cercare di avere (e mantenere) la minima superficie di attacco possibile.
Su ogni rete aziendale sono posizionati diversi “host” che possono essere PC, server, apparati attivi di rete o altro: ognuno di essi è un sistema hardware con un sistema operativo a bordo, con qualche middleware che sta in mezzo e che si interfaccia con le applicazioni di business e i servizi applicativi.

Utilizzare sistemi software anti-malware su ogni host per bloccare le infezioni è “sicuramente” fondamentale.

Ma per mantenere la superficie di attacco al minimo e non farla derivare nel tempo, la scaletta è la seguente:

  • Hardening: prima di piazzare un host sulla rete “chiudiamo” tutto il possibile (servizi, porte, ecc.) e togliamo tutte le informazioni (banner) che i middleware forniscono (per farsi “belli” in rete…);
  • Patching: montiamo regolarmente le patch di sicurezza che chiudono le falle scoperte dai produttori di sistemi operativi, middleware e applicazioni;
  • Upgrading: cerchiamo di non lasciare indietro sistemi obsoleti e non più supportati che hanno vulnerabilità ben note; oppure proteggiamoli in altro modo;
  • VA/PT: effettuiamo regolarmente delle attività di Vulnerability Assessment (scanning) e di penetration testing per capire quanto siamo stati bravi ed efficaci nel seguire i punti precedenti.

Ognuno dei quattro processi ciclici precedenti porta a operazioni di bonifica e di rimedio da gestire con dei Remediation Plan. 
Fatto questo abbiamo costruito altri due strati: host application.
Ci rimane il layer dati, dove sono fondamentali due misure: il backup e la crittografia.

Il backup concorre a coprire gli aspetti di integrità e disponibilità; mentre la crittografia concorre per il premio oscar della confidenzialità.

Il backup è forse la misura più importante in assoluto e bisogna costruire e gestire una buona policy di backup che permetta alle aziende di essere resilienti anche in caso di attacchi ramsonware, dove i malintenzionati prima criptano i dati con gli stessi strumenti di crittografia utilizzati dalle aziende e poi chiedono un riscatto per rivelare la chiave di crittografia per sbloccare i dati stessi.
Per aziende dove gli aspetti di Cybersecurity sono più importanti e dove vi è più capacità di risorse da impiegare, sono consigliabili servizi SOC e CTI, meglio se combinati.
Un aspetto quasi sempre sottovalutato è quello del comportamento degli utenti, che causa gli incidenti di sicurezza più evitabili.
Un buon consiglio è investire anche in formazione e awareness sulla Cybersecurity (potrebbero essere i soldi meglio spesi).
Alla base di tutto poi dovrebbe esserci un approccio risk-based, dove l’analisi e la gestione dei rischi sono fondamentali.

Come diventare un professionista in Cybersecurity

L’aspetto più importante per chi vuole diventare un professionista in ambito Cybersecurity è la voglia continua di studiare, imparare e mantenersi costantemente aggiornati.
Le professioni oggi sul mercato sono diverse e articolate (come del resto lo è la materia).

Ne citiamo solo alcune che si trovano negli annunci:

  • Security Specialist: tecnico responsabile dell’implementazione delle pratiche legate alla sicurezza all’interno dei sistemi aziendali;
  • Malware Analyst: professionista che si occupa di rispondere agli incidenti in caso di intrusione o di comportamenti sospetti all’interno dei sistemi informatici aziendali;
  • Security Consultant: L’area della Cybersecurity richiede personale altamente specializzato, che comprenda la sicurezza informatica nella sua interezza fin dalle basi della programmazione;
  • Security Engineer: tecnico informatico di medio livello, responsabile della creazione e della manutenzione dei sistemi di sicurezza ICT di un’azienda;
  • Security Architectprofessionista informatico senior responsabile della creazione e della manutenzione dell’infrastruttura di sicurezza dell’intera rete aziendale;
  • Chief Information Security Officer (CISO): funzionario o dirigente, il cui compito è supervisionare tutte le operazioni dei vari dipartimenti incaricati della sicurezza informatica di un’azienda.

All’interno di un Security Operations Center, sono presenti figure professionali specializzate e catalogate in base a skills ed esperienza crescente, con la seguente tassonomia:

  • Tier-1 Security Specialist / Triage Specialist: è la figura più junior che è impiegata nelle prime operazioni di Triage delle offense;
  • Tier-2 Security Analyst / Incident Responder: figura più esperta che è in grado di effettuare investigazioni più approfondite, e che sa come rispondere agli attacchi;
  • Tier-3 Expert Security Analyst / Threat Hunter: investigatore digitale di alto profilo a cui vengono assegnati i casi più importanti;
  • Tier-4 SOC Manager: è il gestore del sistema SOC, inteso come People + Process + Technology.

A queste figure si aggiungono i componenti del Cyber Threat Intelligence Team, che spesso operano anche come T2 o T3.

Dove studiare Sicurezza Informatica in Italia?

Sicurezza informativa, privacy e informatica forense non sono mondi disgiunti e necessitano di diverse competenze.
Oggi vi sono corsi di diverso livello, compresi corsi di laurea e master universitari: un filone parte dall’acquisizione di competenze tecnico/informatiche; un altro parte, invece, dalle competenze giuridiche.
Se però si mette piede in un SOC, generalmente, non si trovano molti laureati.
Un SOC è “aperto 24 ore, 7 giorni su 7, 365 giorni all’anno”, compresi Pasqua, Natale e Capodanno e chi ci lavora deve essere disposto a fare turni serali e notturni.
La cosa migliore è indirizzarsi verso un corso “robusto” in termini di ore e che, nella sua didattica, abbia sia la componente teorica, sia la componente pratica.
Una o più certificazioni aiutano e, di solito, sono proposte come traguardo per chi segue un corso articolato e di grande investimento.
Meglio se i docenti non hanno solo competenze… “didattiche”: l’esperienza e il lavoro in trincea ti insegnano molto, molto di più.

Ma questo è solo un primo passo ed è meglio saper fare che avere solo un pezzo di carta!

Chi vuole farne una professione deve smanettare, studiare, aggiornarsi costantemente, qualsiasi sia la figura professionale che intende diventare.

  • Deve conoscere i protocolli di rete, i sistemi operativi, diversi middleware, come si sviluppano applicazioni software e tanto altro;
  • Deve imparare come si attacca per capire come ci si deve difendere, deve conoscere bene tipologie di apparati e software e prodotti di sicurezza che sono proliferati a centinaia;
  • In più deve avere anche un’infarinatura legale per capire al meglio le implicazioni e gli impatti di un incidente di sicurezza informativa.
Vuoi approfondire gli argomenti?
Scegli un corso SinerVis e formati con i professionisti del settore 👇
Mario
Esperto in sicurezza informatica e docente SinerVis.