IL CYBER CRIMINE PUO’ “SPEGNERE” LE NOSTRE CITTA’. SVENTARE QUESTO RISCHIO E’ IL NOSTRO MESTIERE
Intervista VIP a Luigi Maracino
“Nella Cyber security niente si può improvvisare, sono tante le declinazioni di un’attività strategica da cui dipende sempre più l’equilibrio e la tenuta di governi, istituzioni e imprese. Bisogna stare vicino ai cittadini, per dare un servizio competente, responsabile. Il sistema di protezione deve estendersi alle reti e ai sistemi che fanno funzionare le nostre città, non dobbiamo pensare solo alle infrastrutture critiche e alle grandi realtà produttive perché le aree potenzialmente esposte riguardano ormai tutti gli ambiti della vita quotidiana. I target di oggi sono indefiniti, chiunque può essere esposto a un attacco soprattutto perché in larga scala viene condotta una attività di scanning indiscriminato, rispetto a cui dobbiamo saper alzare le nostre difese”. Luigi Maracino, General Manager di Atlantica Cyber Security, dirige il SOC aziendale, struttura all’avanguardia per competenze, strumenti, attività di formazione e recruiting.
Dott. Maracino, a giudicare da quello che sta avvenendo in ogni angolo del Pianeta siamo tutti sotto “attacco”. Come dobbiamo valutare il nostro grado di esposizione in quella che il celebre sociologo tedesco Ulrich Beck ha definito la “società del rischio”?
Il livello di esposizione alle minacce reali e virtuali in una società sempre più permeata da sistemi hi-tech è innegabilmente molto alto. Questa condizione che tutti sperimentiamo corre di pari passo alla generale sensazione di fragilità esistenziale crescente che sta segnando un’epoca come quella che viviamo densa di paure e contraddizioni.
Questo obbliga a mantenere alta la soglia di attenzione, non si tratta di rallentare lo sviluppo della tecnologia, esercizio miope e fuori dal tempo, piuttosto di rafforzare la nostra capacità di lettura delle fenomenologie del cambiamento. Venendo alla sua domanda, va detto che esiste uno status di pericolo diffuso connesso alla complessità stessa delle reti e dei sistemi entro cui viviamo ormai immersi, ma vi sono anche, ed è su questo che dobbiamo soffermarci, “attacchi targettizzati” che hanno caratteristiche peculiari che finiscono sulle prime pagine dei giornali.
Prima di approfondire i tratti distintivi che connotano le attività di Atlantica Digital nel campo della cyber security, può darci una chiave interpretativa di questi eventi che colpiscono l’opinione pubblica, condizionando comportamenti collettivi?
Quando si ha di fronte un obiettivo preciso la minaccia diventa più temibile. In questi casi, per dirla in gergo tecnico, non “si fa massa ma sostanza”. L’infrastruttura critica sotto scacco, sia un ospedale, una impresa, un partito politico come sempre più sovente avviene, deve essere in grado di reagire, che significa esser pronta a fronteggiare un’azione organizzata. Fino a quando penseremo che il pericolo sia remoto, non faremo mai il salto di qualità. Sottovalutare il grado di rischio informatico è un errore grave. Dobbiamo, infatti, pensare che questi gruppi attaccanti sono strutturati e abili, non danno scampo, scelgono bene i potenziali target da colpire, le loro azioni sono incisive e problematiche, dense di conseguenze.
Quali azioni di contrasto vanno messe in campo per limitare i danni?
Quello che fa la differenza, rispetto alla continua evoluzione delle minacce è il framework che siamo in grado di costituire e alimentare; la sicurezza, come mi capita spesso di ripetere, è un ecosistema non un concetto astratto. La tecnologia, dico sempre ai miei collaboratori, deve essere per noi una commodity, nostro compito è analizzare e sondare l’intera catena del valore. Non tutte le organizzazioni possono avere le skills per colmare le vulnerabilità, per questo devono delegare ad
attori terzi la governance della sicurezza, cosa sempre delicata. L’outsourcing può essere praticato in condizioni di sostenibilità economica, ma soprattutto quando la reputazione della struttura che assicura un servizio gestito abbia competenza, reputazione accertata e credibilità. Il SOC deve possedere questi requisiti per affiancare grandi e piccole realtà in un percorso evolutivo, che oltre a ridurre le superficie esposte agli attacchi renda più competitiva l’organizzazione.
Lei parlava di governance della sicurezza, non basta il “controllo” come i teorici della complessità ci hanno dimostrato. Le nostre aziende sono pronte ad applicare questo nuovo paradigma?
Dobbiamo compiere un salto culturale molto forte per comprendere i nuovi scenari che la sua domanda fa intravedere. Fare una diagnosi è il primo passo che gli analisti del SOC devono compiere, serve a comprendere la postura di sicurezza dell’organizzazione. Gli strumenti del risk assessment e del vulnerability assessment ci danno la possibilità di fare un’anamnesi precisa.
La metafora, tratta dalla medicina, rende l’idea della delicatezza di questa fase che deve portare a un documento di rischio condiviso, che permette di aggiornare i sistemi e di modificare le configurazioni. Per dirla in sintesi: il cliente deve acquisire consapevolezza del livello di esposizione, per poter valutare i potenziali danni derivati dall’azione di uno o più attaccanti organizzati. Compito del SOC è, in particolare, il monitoraggio, il riconoscimento della minaccia e la verifica della portata dell’azione malevola in corso.
Senza allenamento corale non c’è sicurezza
Dalla sua disamina si capisce che gli analisti devono essere “medici competenti” avendo “in cura” la salute di reti e sistemi da cui dipende il benessere della collettività in senso ampio. Il tema centrale di questo numero di Cybersecurity Trends è costituito dal binomio: penetration test e security automation. Qual è il livello di impegno di Atlantica Digital su questo versante?
Molto elevato, come dimostra l’assetto organizzativo di cui ci siamo dotati. All’interno del nostro SOC opera, infatti, un “blue team” costituito dal gruppo di difesa votato ad analizzare la tipologia delle minacce, le possibili falle e le fragilità, affiancato da un “red team”, il gruppo di attacco che ha il compito di validare in maniera continuativa le azioni di contrasto sperimentate dalla struttura. La reattività del sistema, come dicevo all’inizio, è un aspetto cruciale che deve essere messa alla prova senza sosta, attraverso l’applicazione del continuous assessment.
Dal linguaggio della medicina a quello dello sport, il passo è breve…
Lo sport ci insegna che per essere competitivi serve costanza negli allenamenti e che molto spesso la miglior difesa è l’attacco. Un’efficace compliance deve basarsi sulla continuità non sulla sporadicità, che non permetterebbe di acquisire quella capacità predittiva essenziale per chi opera nella cyber security. Entra in gioco il fattore umano. Infatti, presidiare le piattaforme, i marketplace e le regioni più “nascoste” del web, che sono tutte aree di scambio dei dati che oggi assumono rilevanza strategica, utilizzare gli strumenti tecnologici più avanzati come la threat intelligence e il machine learning, risulta di importanza decisiva a patto che ci siano analisti validi, pronti a dosare interventi, strategie e metodologie di intervento.
Quando si parla di organizzazioni resilienti, che cosa si intende esattamente?
Resiliente è colui che sa adattarsi. Un SOC fa bene il suo compito se è in grado di allenare istituzioni, imprese, grandi e piccole, rendendole non solo reattive, ma anche capaci di ripensare azioni e strategie di contrasto rispetto all’emersione di minacce sempre diverse e in perenne evoluzione. Ho lavorato progettando uno dei primi SOC in Italia (presso BNL n.d.r.) eravamo ai primordi, non esistevano ancora tecnologie in grado di correlare ed aggregare eventi automaticamente, come i SIEM ad esempio, si cominciava a sperimentare un metodo di analisi e di messa in relazione di eventi potenzialmente pericolosi, con lo scopo di affinare le strategie di contrasto. Adesso il mio impegno è volto alla creazione di un Threat Operation Center, utilizzando un nuovo acronimo sarei tentato di parlare di “TOC”, orientato a praticare il tracciamento di una fragilità che va seguita dal punto di origine lungo tutto il percorso evolutivo. Un team di abili analisti ed ethical hacker, terminologia che certo non amo, ma che utilizzo solo a scanso di equivoci, ci stanno già aiutando in questo compito.
Cosa non Le piace di un certo vocabolario, per altro molto in uso?
Gli equivoci che può generare. Ricordiamoci che l’hacker ha per sua natura una spinta etica, dettata dalla curiosità che porta alla conoscenza. La sete di profitto di comuni delinquenti digitali ha purtroppo fatto saltare gli equilibri snaturando il significato di hacker. I gruppi criminali che sono nati negli ultimi anni non hanno niente a che vedere con la nascita e l’evoluzione della figura originaria, che mantiene forse un alone nobile e romantico, ma che è servita e continua a servire alla scienza per affinare le azioni di contrasto. L’hacker è un creativo difficile da prevedere, perché riesce a vedere oltre, cosa che per chi fa il nostro mestiere è molto importante.
Per mantenere gli occhi aperti serve l’apporto dei talenti. Di quali profili ha bisogno la cyber security per rispondere ai bisogni crescenti del mercato?
Il recruiting è un fronte che impegna sempre più la struttura che dirigo. Se pensiamo all’evoluzione che ha avuto questo settore ci possiamo rendere conto di quanto sia importante l’aggiornamento del knowhow per sostenere la sfida di una competizione senza frontiere. L’analista è ormai una figura trasversale, non risponde a nessuno standard tradizionale. Va costruita su un mix di competenze. Consapevoli di questo abbiamo sviluppato dei rapporti molto stretti con l’Università, li vanno cercati i cervelli e i nuovi saperi, che sono il motore dello sviluppo e dell’innovazione, a qualsiasi latitudine.
Quello cyber è un universo mutante, non si fa in tempo a scattare una fotografia che subito ci si accorge che è resa sfocata dal susseguirsi degli eventi. Si può essere al passo con i tempi?
Sì, aggiornandosi continuamente, non vedo altra strada. La formazione è il valore numero uno che deve guidare ogni passo. I nostri neoassunti sperimentano il loro “battesimo di fuoco” misurandosi con un trainer che opera per l’esercito israeliano nella formazione dei team che, a livello governativo, sono chiamati ad affrontare le azioni di cyber war. In pochi anni il mondo è cambiato. Ricordo che negli anni Novanta l’enfasi era posta sull’information technology, tutto era IT, l’acronimo scandiva non solo un tempo di sviluppo delle tecnologie, ma una condizione potrei dire “esistenziale”.
Con la stesura dell’“allegato B”, voluta da Stefano Rodotà nella qualità di Presidente dell’Autorità Garante della Protezione dei dati Personali, si aprì un percorso che non avevamo mai battuto prima. Dovevamo abituarci all’idea che la protezione doveva ampliarsi al dato immateriale, il “recinto” posto a difesa del perimetro fisico dell’organizzazione era solo una parte del lavoro che bisognava fare. Persone, strutture, reti e sistemi andavano protetti con nuovi strumenti e metodi. Il Documento Programmatico della Sicurezza, che tutte le aziende avrebbero dovuto da quel momento stilare, avrebbe conferito la stessa dignità alla dimensione reale e alla componente virtuale; il dato fisico e il corpo elettronico erano due facce della nostra stessa identità. Sono tutti passaggi decisivi che fanno comprendere la portata del cambiamento d’epoca, rispetto a cui il nostro processo di adeguamento è ancora ai primi passi.
L’attacco alle RTU, un rischio crescente per la collettività
Tecno-scienza e filosofia si toccano nel suo ragionamento. Sconvolgente tutto questo, non crede?
Lo sarebbe nella misura in cui non provassimo nemmeno ad allargare la nostra capacità di lettura di fatti e fenomeni. La fase sanzionatoria, che abbiamo vissuto nella prima fase IT cui facevo riferimento, definita dagli obblighi normativi pur necessari, è ormai superata. Oggi quella componente, che fa parte del corredo delle nostre conoscenze, si intreccia con l’esigenza di proteggere la sicurezza delle informazioni, che apre una serie di implicazioni la cui portata è ancora in larga parte difficile da misurare e prevedere.
Dicevamo all’inizio che i target potenzialmente esposti si stanno ampliando a dismisura. Parlare di sicurezza diventa utopia?
Non esiste una sicurezza assoluta, quello che possiamo fare e cercare di ridurre il rischio il più possibile. Non si può tralasciare nulla. I sistemi industriali sono divenuti il primo obiettivo del cyber crimine perché possiedono un’anima tecnologica che ne permette il funzionamento. Gli attacchi maggiormente dirompenti vengono sferrati alle Remote Terminal Unit, il fulcro elettronico che regola l’operatività delle reti industriali, ferroviarie, elettriche, infrastrutturali. Manomettere una RTU vuol dire spegnere le città, dirottare treni, fermare catene produttive. Vi sono vere e proprie academy che formano degli specialisti nell’utilizzazione di questa nuova, sofisticata strategia. Il nostro SOC sta lavorando su questo versante, nella consapevolezza che il fine dei criminali è quello di portare a termine una kill chain, una catena di azioni che ha l’obiettivo di acquisire il comando e il controllo di un dispositivo o sistema di una organizzazione. Il nostro lavoro è quello di impedire l’installazione, la modifica o la cancellazione di codice o eseguibile non autorizzato o potenzialmente dannoso, attuando una protezione passiva, secure by design, che ha l’obiettivo di validare (o negare), anche a livello firmware, azioni di tipo persistente. Attuando poi un continuous assessment, reiterando nel tempo attività di Vulnerability Assessment e Penetration Test (VA-PT), definiamo le scale di priorità delle azioni di mitigazione del rischio cyber, mettendo in evidenza quelle falle entro cui il nemico può farsi strada, suggerendo le contromisure più rapide ed efficaci a contrasto.
Sulla base di questa rivoluzione da Lei ben descritta possiamo in conclusione definire che il dato è divenuto un “asset sociale” come ha recentemente scritto Michele Mezza nel brillante pamphlet Algoritmi di libertà (ed. Donzelli n.d.r)?
Si può essere d’accordo in considerazione dell’importanza che il trattamento dei dati riveste nella digital society. Disponibilità, integrità, riservatezza, sono le regole che presiedono all’utilizzazione delle informazioni, per me hanno coinciso con delle precise regole di condotta, rivestendo, ci tengo a sottolinearlo, una valenza etica oltre che normativa.
Autore: Luigi Maracino
