Home > Primo Piano > Fiducia nella sicurezza – una delle preoccupazioni più pressanti dell’universo Internet

Fiducia nella sicurezza – una delle preoccupazioni più pressanti dell’universo Internet

articolo pubblicato da: SABMCS | segnala un abuso

Fiducia nella sicurezza – una delle preoccupazioni più pressanti dell’universo Internet

 Come possiamo generare fiducia nelle tecnologie che offriamo in qualità di produttore? Questa domanda è indubbiamente una delle preoccupazioni chiave che meritano attenzione e tuttavia se ne discute ben poco tra le aziende che sviluppano e producono soluzioni per la cybersecurity. E’ necesario analizzare in dettaglio l’argomento per comprenderne le sue implicazioni strategiche.

 
Comprendere il contesto generale
 
Gli eventi recenti hanno mostrato che non appena sorge il minimo dubbio sull’efficacia e l’affidabilità delle soluzioni di sicurezza queste vengono messe immediatamente in discussione. Ad esempio, il caso Snowden ha rivelato al mondo l’esistenza del catalogo ANT della NSA e quindi l’utilizzo di backdoor o altri strumenti inseriti nelle soluzioni per la sicurezza perimetrale al fine di proteggere e tutelare gli interessi degli Stati Uniti. Pur non sorprendendo nessuno, questa informazione è stata resa di pubblico dominio.
 
Ovviamente queste backdoor potrebbero essere state implementate goffamente per ragioni tecniche o in relazione a vulnerabilità 0-day. Molti dei produttori coinvolti hanno più volte ribadito che non hanno indebolito le proprie soluzioni deliberatamente. “Non mi permetto di giudicare questa affermazione, non è il mio lavoro”, commenta Matthieu BONENFANT, Chief Marketing Officer di Stormshield, “tuttavia, al di là del potenziale impatto sulla sovranità dei Paesi terzi che adottano queste soluzioni, le backdoor possono avere altre conseguenze drammatiche”. Basti pensare agli effetti disastrosi del leak svelato da Shadow Brokers, che segnalava numerose vulnerabilità di MS Windows utilizzate dalla NSA come backdoor. Wannacry, NotPetya, e - più recentemente - il ransomware Bad Rabbit si sono diffusi con estrema rapidità proprio grazie a questo tipo di falle.
 
“A mio avviso questa situazione mette in luce una delle maggiori sfide con cui i vendor di sicurezza devono confrontarsi”, chiosa Bonenfant. “Le nostre tecnologie manipolano e ispezionano file riservati, processano e archiviano dati personali, cifrano informazioni sensibili, accedono a risorse il cui uso è regolato, gestiscono identità digitali, analizzano il traffico ed il suo comportamento e molto altro”. Come garantire quindi ai clienti e all’ecosistema che queste attività sono affidabili? Come rispettare la sovranità sul dato alla luce di tutte le tensioni geopolitiche? Il fatto che la digital economy fiorisca esclusivamente in un clima di fiducia è risaputo, ma molte di queste domande ad oggi non trovano risposta.
 
Per i produttori di soluzioni per la sicurezza perimetrale, questa domanda è vitale considerando che la cifratura del traffico è una delle colonne portanti di un account digitale affidabile. Secondo Gartner, entro il 2019 l’80% del traffico generato dalle aziende sul web sarà cifrato, una buona notizia. Questo significa però che un numero crescente di attacchi e applicazioni malevole (ransomware incluso) si celeranno dietro al traffico HTTPS per nascondere l’infezione iniziale e prendere il controllo delle comunicazioni. Alla luce di ciò, Gartner raccomanda che le aziende e le organizzazioni formalizzino un piano pluriennale per l’implementazione di soluzioni e programmi per la decodifica e l’ispezione del flusso di dati HTTPS. La tecnica di ispezione di SSL si basa per lo più sul metodo “man-in-the-middle”, che inevitabilmente crea una falla nello scambio di comunicazioni cifrate. Una debolezza nel prodotto che conduce la decodifica e l’ispezione del traffico SSL può quindi far collassare l’intera catena di fiducia.
 
Potenziali soluzioni
 
Prima di tutto, possiamo fare affidamento sui test condotti da aziende esterne specializzate nella valutazione delle tecnologie di sicurezza, decisamente in grado di giudicare l’efficacia dei meccanismi di protezione. Tuttavia questi test, che tra l’altro non sono particolarmente a buon mercato, non si focalizzano in realtà sul design della soluzione di sicurezza in sè.
 
E’ altrettanto possibile fare affidamento sulle linee guida dettate dai Common Criteria, adottate da 26 Paesi. In questo caso però il produttore di soluzioni di sicurezza è colui che definisce lo spettro di valutazione, chiamato “obiettivo di sicurezza”, che può quindi essere limitato ad una piccola parte del software analizzato. Sfortunatamente solo in alcuni Paesi si misura l’importanza e si valuta la rilevanza dell’obiettivo prefissato. Per farla breve, i clienti fanno fatica a seguire il numero crescente di livelli certificazione (EAL) di Common Criteria.
 
Ci sono anche numerosi programmi che incentivano la ricerca di “bug”, software di analisi del codice statico o audit indipendenti volti a rilevare e correggere eventuali vulnerabilità. Queste iniziative migliorano effettivamente la sicurezza della tecnologia, a volte anche già in fase di design, tuttavia è difficile presentarle agli utenti come garanzia di affidabilità.
 
Infine, le certificazioni ufficiali svolgono un ruolo importante. Ad esempio in Francia, la ANSSI (l’agenzia nazionale per la sicurezza informatica) valuta il livello di affidabilità dei prodotti di sicurezza utilizzando un framework di qualificazione specifico, che è un’estensione dei principi Common Criteria. Questo framework definisce tre livelli di qualificazione basati su obiettivi di sicurezza predefiniti. Di conseguenza sono più facili da comprendere. A seconda del livello di qualificazione, si conduce una revisione indipendente del codice sulle componenti ritenute essenziali per la sicurezza, come la cifratura. Vengono analizzate anche le potenziali vulnerabilità, insieme all’ambiente fisico di sviluppo. Questo metodo fornisce la prova che i prodotti siano robusti e che non vi siano vulnerabilità sfruttabili come backdoor.
 
E’ necessario un framework ominivalente
 
Il fatto che questo framework di qualificazione sia riconosciuto esclusivamente in Francia rappresenta un problema. Ad esempio Germania e Regno Unito dispongono di un proprio framework, creato rispettivamente dal BSI (ufficio federale per la sicurezza informatica) e dal NCSC (centro nazionale per la cybersicurezza). La situazione attuale, sic stantibus, non è nè scalabile né economicamente accettabile per la maggior parte dei produttori, dato che dovrebbero far certificare i prodotti in ogni Paese. Per poter dar vita ad un unico mercato digitale in Europa, che alimenti la fiducia e assicuri la sovranità dei Paesi europei, è necessario implementare certificazioni riconosciute in tutti gli Stati membri. La commissione europea sembra aver compreso il messaggio, ha difatti lanciato di recente un’iniziativa atta a creare un framework europeo di certificazione. Questa misura costituirà un enorme passo avanti, sempre che il nuovo framework si basi sull’esperienza e sui criteri di valutazione dei Paesi che già sanno esattamente cosa fare e non indebolisca i criteri di qualificazione per far posto a chi è rimasto indietro.
 
La luce alla fine del tunnel
 
Alla fine un framework che instilli fiducia nelle tecnologie di sicurezza si svilupperà inevitabilmente attraverso una miglior collaborazione e cooperazione di tutti gli interessati nell’ecosistema cyber. Uno scambio costante tra il settore pubblico e privato, la costituzione di alleanze tra i produttori di soluzioni di cybersecurity, il coinvolgimento dei clienti nel processo di sviluppo (p.es. design collaborativo) aumenteranno senza dubbio l’affidabilità e l’efficacia dei dispositivi di sicurezza.
 
Chi è Stormshield – www.stormshield.com
 
Stormshield sviluppa soluzioni di sicurezza punto-punto innovative per la protezione delle reti aziendali (Stormshield Network Security), delle postazioni di lavoro (Stormshield Endpoint Security), e dei dati (Stormshield Data Security). Certificate ai massimi livelli in Europa (EU RESTRICTED, NATO, e ANSSI EAL4+), queste soluzioni affidabili di nuova generazione garantiscono protezione delle informazioni strategiche. Le soluzioni sono commercializzate e installate su scala globale presso aziende di qualsiasi dimensione, istituzioni governative e organizzazioni che si occupano di difesa, attraverso una rete di distributori, integratori di sistema e operatori.
 
Contatti per la stampa
 
SAB Communications snc - Ufficio stampa STORMSHIELD
Via della Posta 16
email: press@sab-mcs.com 

Stormshield | ANSSI | backdoor | Bad Rabbit | BSI | CMO | cybersicurezza | ecosistema cyber | firewall | framework | Matthieu Bonenfant | NCSC | NotPetya | NSA | ransomware | Shadow Brokers | Sicurezza informatica | sicurezza perimetrale | Snowden | WannaCry |



Commenta l'articolo

 

Potrebbe anche interessarti

Posizionamento siti internet


Secondo il Cyber Defense Report di McAfee Il 57% degli esperti mondiali è convinto che sia oggi in atto una corsa agli armamenti cibernetic


Antonio Valente Anas a, il DM 5/11/01 sulle geometrie delle strade, il DM 14/09/2006


Data breach – le aziende hanno perso il contatto con la realtà?


L’Italia è stata una delle prime nazioni europee a riconoscere le gallerie come un luogo a maggior rischio per la circolazione stradale e nel settembre 1999,ANTONIO VALENTE ANAS


Massimo Paracchini presentato dalla Meeting Art


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

Una conversazione é più efficiente dell’e-mail: Snom offre la migliore qualità audio per le Huddle Rooms

Una conversazione é più efficiente dell’e-mail: Snom offre la migliore qualità audio per le Huddle Rooms
Mai prima d’ora abbiamo comunicato così tanto e spesso. Per il solo 2019 gli esperti hanno previsto un volume di circa 293,6 miliardi di e-mail scambiate in tutto il mondo – ogni giorno! Entro il 2023 questa cifra dovrebbe salire a 347,3 miliardi ogni 24 ore*. Nel contempo i dipendenti sono sempre più mobili e svolgono il proprio lavoro ovunque sia possibile: in uffi (continua)

Nuovo accessorio - Snom A190: headset DECT multicella

Nuovo accessorio - Snom A190: headset DECT multicella
Snom, produttore internazionale di telefoni IP premium per professionisti e aziende presenta il nuovo A190 cordless DECT multicella. Un headset in grado di passare senza soluzione di continuità da una cella all’altra e di eseguire il roaming in installazioni DECT multicella. Insieme alla stazione base DECT M900 annunciata di recente , gli utenti dispongono di una soluzione complet (continua)

Abbattere i costi é la ragione per cui due terzi delle aziende europee adottano il VoIP

Abbattere i costi é la ragione per cui due terzi delle aziende europee adottano il VoIP
 In Europa siamo ben lontani dal rinunciare al telefono fisso, che campeggia ancora sull'83,5% delle scrivanie. Rilevante anche la notorietà del VoIP presso l'utenza aziendale, 4 addetti su 5 conoscono infatti questa tecnologia e ne sappiamo annoverare i vantaggi. Questi sono solo alcuni dei risultati del recente studio * condotto da Snom in cinque Paesi europei in collaborazione con l (continua)

Snom svincola la telefonia IP dalla postazione di lavoro fissa e fa dei suoi terminali un salvavita

Snom svincola la telefonia IP dalla postazione di lavoro fissa e fa dei suoi terminali un salvavita
 Con la sua nuova serie di terminali IP cordless DECT, Snom rivoluziona la tradizionale modalità di fruizione della telefonia IP. Un’integrazione della tecnologia Bluetooth Low Energy, unica nel suo genere, apre i terminali ad infiniti scenari d’impiego.   Snom, pioniere del VoIP e noto produttore di terminali IP premium e accessori per la telefonia aziendale, annunc (continua)

La nuova libertà nelle conversazioni telefoniche: l’headset DECT A150 ultraleggero di Snom

La nuova libertà nelle conversazioni telefoniche: l’headset DECT A150 ultraleggero di Snom
 Con il suo A150, Snom, produttore internazionale di terminali VoIP premium per aziende e professionisti presenta un headset ultraleggero senza fili, che si avvale del protocollo DECT per massimizzarne la portata. L’eccellente qualità audio e la comodità d’uso una volta indossato caratterizzano l’elegante dispositivo sovrauricolare dotato di numerose funzionali (continua)