La questione è che qualsiasi approccio alla sicurezza non è mai statico o definitivo. Per questo motivo, anche nell'ambito dell’hardening dei sistemi, è necessario adottare sempre un approccio di tipo dinamico ed evolutivo, partendo da una sicurezza nativa. Sin dalla fase di progettazione e installazione di un sistema informatico, infatti, è necessario analizzare da subito tutte le possibili vulnerabilità, riducendo le superfici d’attacco e mettendo a punto un risk management allo stato dell’arte.
Scopri cosa può fare il Continuous Vulnerability Assessment per la tua azienda
Un’attenzione particolare va posta durante la fase di configurazione e installazione: in questo caso, è necessario tenere conto di ogni possibile debolezza del sistema. Più si è in grado di allargare la prospettiva dell’analisi e più la governance dei sistemi sarà più funzionale, controllata e meglio gestita.
Hardening dei sistemi, tra potenziamento e strategia
L’hardening di un sistema è quel processo, spesso trascurato, di riduzione della superficie delle vulnerabilità.
Questa superfice, risultato del connubio tra la configurazione del sistema e la sua dotazione software, dovrebbe avere la “dimensione” strettamente necessaria a garantire che il sistema sia in grado di adempiere allo scopo che ne giustifica la sua esistenza ma, come nella maggior parte dei processi di ottimizzazione, l’effort necessario tende ad aumentare esponenzialmente costringendo il responsabile dell’infrastruttura ad accettare quel margine di insicurezza dato dal rapporto tra la probabilità di subire un attacco proprio dove è vulnerabile e lo sforzo necessario a ridurre ulteriormente questo margine.
Purtroppo, la scoperta di nuove vulnerabilità e l’evoluzione delle tecniche di hacking richiederebbero una revisione della valutazione del rischio legato alla superficie delle vulnerabilità che dovrebbe quindi essere aggiornata in funzione di questa nuova consapevolezza e, cosa ancora più importante, i rischi dovrebbero essere valutati tenendo conto come eventuali movimenti laterali potrebbero mettere a repentaglio la sicurezza degli altri sistemi.
La mitigazione di questi rischi passa per l’adozione di una cultura del potenziamento che richiede ai manager di ragionare in maniera olistica, risolvendo l’infrastruttura di supporto a livello di networking così come l’ottimizzazione del software. Serve una cultura della sicurezza capace di mappare e gestire in maniera granulare ogni componente di sistema: dall’identificazione dei moduli kernel e dei protocolli necessari a supportare i sistemi alla gestione degli accessi (configurazioni di sistema, permessi e password), dall’abilitazione dei log di sicurezza all’installazione programmata delle patch. Senza dimenticare che nessun sistema è mai veramente sicuro.
La cultura tecnologica degli hacker e l’evoluzione delle minacce oggi più che mai impongono una strategia attenta e continua. Come avvertono gli esperti, la sicurezza non potrà mai essere risolta una volta per tutte. I manager devono continuare a dirigere e presidiare un’orchestra tecnologica complessa, che spesso rappresenta il lato oscuro delle logiche organizzative. È necessario prevedere l’eliminazione degli account, programmare la chiusura di certe porte o l’arresto di servizi, disabilitare i privilegi, disinstallare programmi o strumenti particolari del sistema operativo così come limitare connessioni o sbloccare operazioni. Il tutto considerando come, con l’entrata in vigore del GDPR, molte cose sono cambiate.
GDPR: i principi del Privacy by design e by default
Dal 25 maggio 2018, con l’attuazione della normativa europea, l’hardening dei sistemi è diventata una procedura entrata a far parte delle best practice della compliance normativa associata al tema della Privacy by design e by default.La sua corretta interpretazione e implementazione implica non solo un’attenzione alla progettazione del trattamento o del sistema, o insieme di sistemi, di riferimento ma anche l’intero l’esercizio del sistema sia con un’anima reattiva che proattiva di adeguamento. La richiesta del comma 1 dell’articolo 25 richiede, in particolare, di:
- mettere in atto misure tecniche adeguate
- mettere in atto misure organizzative adeguate
- attuare in modo efficace i principi di protezione dei dati
In particolare, il GDPR prevede l’adozione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio (ad esempio, la pseudonimizzazione e la cifratura dei dati personali), tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. A livello di sistema di controllo, la normativa comprende le azioni e gli strumenti messi in campo dall'organizzazione per verificare l’esistenza, l’adeguatezza e l’effettiva applicazione del modello di protezione dei dati personali, con riferimento a tutte le componenti sopra indicate. In particolare, il GDPR sottolinea l’importanza di dimostrare le scelte effettuate dall’organizzazione (accountability), motivo per il quale diventa fondamentale dimostrare l’effettuazione di controlli periodici e ben documentati, nonché l’esistenza di piani di remediation a fronte del rilevamento di eventuali non conformità.
Soprattutto, è necessario verificare che le applicazioni e l’infrastruttura tecnologica di supporto soddisfino i requisiti necessari a tutelare la RID dei dati personali, in qualunque stato essi si trovino (in use, in motion, at rest). In questo caso è fondamentale definire degli standard di programmazione che consentano di implementare applicazioni esenti da vulnerabilità dovute a tecniche di programmazione non sicure e definizione degli standard architetturali necessari a soddisfare i requisiti di sicurezza definiti.
L’importanza del vulnerability assessment
L’hardening dei sistemi richiede una valutazione delle vulnerabilità che presuppone la loro identificazione, la catalogazione e la classificazione. Dal punto di vista pratico, questo è possibile programmando dei Penetration test che aiutino a simulare una serie di attacchi per verificare la resilienza di applicazioni e sistemi. Gli stress test devono anche tenere conto della conformità al GDPR, identificando eventuali carenze dovute alla complessità delle policy adottate e dell’organizzazione. Il tutto supportato da una reportistica adeguata, che aiuta a programmare un hardening dei sistemi più efficace ed efficiente. Si tratta certamente di un’attività fondamentale alla sicurezza aziendale ma non sempre le aziende hanno il tempo e le risorse necessarie. Terziarizzare la complessità affidandosi a un partner tecnologico competente può fare la differenza, semplificando da un lato tutte le attività legate all’hardening dei sistemi e, dall’altro, massimizzando i risultati.
Scopri cosa può fare il Continuous Vulnerability Assessment per la tua azienda scaricando il nostro eBook gratuito “Cosa può fare il Continuous Vulnerability Assessment per la tua azienda”!
