Informazioni personali

Cerca nel blog

Translate

venerdì 20 giugno 2014

V-Valley Security: Cloud e Information Technology

Slide1

Questo secondo articolo è tratto dalla mia seconda presentazione tenuta in occasione dell’ICT Trade di ferrara.

Il focus è dedicato alle problematiche inerenti il “cloud”.

Slide2

Uno dei termini che va per la maggiore al giorno d’oggi è il termine “cloud”.

Cosa in realtà significhi questo termine e cosa ci sia dietro, però, eè spesso oggetto di confusione e fraintendimento, che differenza c’è fra “cloud”, “internet” e “remoto”? cosa sono davvero i servizi cloud? e cosa significa “cloud” in termini di sicurezza?


 

Le Basi del Cloud


 

Innanzi tutto occorre capire cosa significhi cloud. In funzione dei vari messaggi MKTG cui siamo bombardati in prima istanza un servizio basato sul “cloud” (mi si conceda di non usare l’equivalente italiano “nuvola” che mi suona ridicolo almeno quanto chiamare un mouse “topo”) è un servizio che si trova in una località non meglio precisata su internet e cui l’utente accede remotamente grazie alla propria connessione alla grande rete.

Slide3

questa definizione, valida ai fini di una comunicazione rivolta alla grande massa degli utenti, non è però valida per capire cosa sia il cloud in realtà, ne ci da indicazioni di quali siano le differenze tra un servizio “cloud” ed uno remoto generico, se non il fatto che vi si accede attraverso una rete pubblica o una rete virtuale provata (VPN).

Un primo chiarimento su cosa significhi in realtà cloud lo si può ottenere andando a vedere presentazioni dei diversi servizi cloud.

Slide4

Pur non dandoci ancora indicazione precise su cosa significhi “cloud” da un punto di vista implementativo, la classica definizione di “cloud” come erogatore di un “Qualcosa” “come un servizioXaaS, “Xas a service arricchisce il concetto di “cloud” come qualcosa decisamente più complesso, dandoci anche indirettamente le prime indicazioni delle inerenze del cloud in termini di sicurezza.

Definizioni tipiche dei servizi cloud come “Platform as a Service“, “Software as a Service” già ci dovrebbero far capire che il livello di complessità legato al cloud è non indifferente, non tanto nei termini di uso da parte dell’utente\cliente ma in termini implementativi e di design da parte di chi si occupa di sicurezza e da parte di chi eroga il servizio.

Le problematiche di sicurezza del cloud infatti possono essere legate alle esigenze specifiche degli utenti ma anche a quelle dei provider che erogano tali servizi. Nel mare magnum dei termini legati al cloud molti sono di difficile comprensione proprio perchè non si ha una esatta idea di cosa si stia parlando.

 

Slide5

Occorre quindi fare un passo indietro e capire cosa ci sia dietro il termine “cloud”


 

Dentro il cloud


 

Slide6

Invece di partire dalla definizione ufficiale (ne esistono, tanto per cambiare, decine) partiamo dalla prima impressione di qualcosa erogato in una località non meglio precisata ed apriamo queste “nuvole” di servizi per vedere cosa siano in realtà…

Squarciando il velo delle nuvole quello cui ci ritroveremmo a vedere è: un insieme di dacenter.

Slide7

La prima osservazione che occorre fare è che stiamo parlando di più di un datacenter, questo perchè nel concetto di “cloud” è insito il fatto che vi siano più punti di erogazione del servizio geograficamente dislocati in modo tale da poter offrire la stessa qualità di servizio agli utenti abilitati “ovunque” essi siano.

Un singolo server, un singolo datacenter non sono cloud anche se si appoggiano su “internet” per l’erogazione dei servizi. l’entità geografica dei servizi “cloud” è un tratto distintivo specifico. Ovviamente questa distinzione non sempre viene evidenziata a dovere e quindi diventa difficile distinguere tra un generico servizio di hosting, ad esempio, da un vero servizio “PaaS” (Platform as a Service).

La discriminante geografica è di sicuro un elemento distintivo necessario, ancorchè non sufficiente.

Slide8

essendo questi datacenter legati tra loro ma distinti e distanti in termini di locazione geografica, appare evidente che questi ultimi devono essere in qualche modo interconnessi.

Questo punto non è di secondaria importanza ed ha impatti specifici abbastanza pesanti come ha dimostrato anche la storia recente, basti pensare che l’encryption dei canali di comunicazione tra datacenter è una novità di questi ultimi anni, a seguito dello scandalo NSA-Snowden. Persino i server di Google prima dello scoppio di questa questione si limitava ad inviare i messaggi in chiaro tra i suoi vari datacenter.

Le problematiche di sicurezza Cloud quindi hanno aspetti inaspettati a chi non ha una idea di cosa sia effettivamente un servizio cloud.


I nodi della questione


 

Per rendere comprensibile un argomento altrimenti abbastanza complesso, potremmo iniziare a considerare i servizi cloud come dei servizi erogati da più nodi separati geograficamente che utilizzano, per consentire l’accesso agli utenti,  internet in veste di cloud pubblico e tecnologie internet ma in gestione privata quando parliamo di private cloud.

Per rendere ancora più esplicito il messaggio questi nodi sono datacenter in qualche maniera tra loro connessi che offrono servizi tramite protocollo tcp\ip e altri protocolli “standard” o non propietari.

Nel caso gli IP di erogazione del servizio non siano accessibili via rete pubblica possiamo parlare a ragion veduta di cloud privato. si noti che invece autenticazione o uso di canali criptati non definisce di per se un cloud privato, infatti qualsiasi erogatore di servizi cloud può richiedere autenticazione ed encryption (ssl\ipsec\tls) per accedere ai servizi erogati.

Questi nodi “datacenter” sono in linea di massima descrivibili in termini di:

 

  • infrastruttura
  • potenza di calcolo
  • capacità di storage
  • comunicazione

 

Slide9

ognuna di queste aree ha ricadute in termini di sicurezza specifiche sia per quello che concerne le esigenze del provider erogante che di quelle dell’utilizzatore.

Infrastruttura:

un aspetto della sicurezza poco curato, almeno nel nostro paese, è quello infrastrutturale. Sotto questa definizione si può mettere un sacco di roba, in realtà, tutto quello, ad esempio, che afferisce alla infrastruttura fisica: dai calcoli di carico statico dei rack al power consumption e il raffreddamento sia intermini di temperatura che di volumi di aria mossi.

Non è banale pensare che un datacenter debba essere accuratamente pianificato anche da questo punto di vista, altrimenti perfomance e potenza di calcolo potrebbero essere seriamente compromesse, ad esempio da un eccessivo calore o da serie limitazioni all assorbimento energetico in aree critiche del datacenter stesso.

Altro aspetto critico è l’accesso e la sorveglianza fisica del datacenter. In una struttura cloud vengono tenuti gestiti ed elaborati dati provenienti da diversi utenti con diverse esigenze in termini di sicurezza, controllo e compliance. L’accesso alle strutture potrebbe essere un requirement necessario in alcune aree geografiche, ma contemporaneamente un problema per alcuni utenti. immaginate una server farm che ospiti un servizio “X” scherato tra diversi clienti, immaginate che si conceda l’accesso a uno di questi che inavvertitamente o con dolo senziente danneggi l’operatività funzionale di un altro…

Sebbene la politica più comune e pratica sia quella di non concedere accessi a terzi se non al personale del provider, anche questo è, in realtà, un blocco più formale che sostanziale: vendor, consulenti, contractor hanno spesso accesso a queste aree.

CPU:

Superato lo scoglio infrastrutturale, che impatta principalmente il provider di servizi (ed il propietario del datacenter fisico, qualora non coincidano), ci troviamo alle classiche problematiche di condivisione della potenza di calcolo.

Qui le problematiche sono tra le più disparate in quanto si va dallo sharing di risorse a risorse più o meno dedicate, SLA e capacità distributiva del carico di lavoro in termini geografici.

per fortuna le tecnologie di virtualizzazione e grid computing hanno fatto passi da gigante e le modalità commerciali di offering oggi offrono uno spread di modalità abbastanza esaustivo. rimane la problematica di calcolare quali siano gli effettivi bisogni e di come blindarli in SLA opportuni a costo del rischio di rendere vano il nostro investimento nel cloud.

Storage:

Lo storage è in questo senso, molto più complesso. non si tratta solo di distribuire una risorsa fisica che deve essere allocata opportunamente, ma anche di garantire che i dati siano protetti. NSA insegna accedere ai dati non è impossibile, e in alcuni casi persino il service provider più integerrimo può essere obbligato a dare accesso ai dati su “disco” anche in maniera distruttiva, si pensi alla vicenda legata a megaupload ad esempio.

Le problematiche legate alla tipologia di dati salvati nel cloud sono quindi particolarmente complesse e hanno a che fare sia con il tipo di dato che la sua locazione geografica. tecnologie di encryption multilayer sono di solito indispensabili, dove per multilayer si intende che da un lato il provider deve, o dovrebbe, fornire un minimo livello di data encryption, ma poi l’utente dovrebbe provvedere con un secondo layer indipendente dal provider che lo metta al sicuro da eventuali intrusioni.

Connectivity:

per quanto banale possa sembrare, la connettività è da sempre un problema, e nei servizi cloud questo problema è particolarmente evidente.

Da un lato ci sono le prestazioni e la raggiungibilità, un servizio cloud deve essere raggiungibile dai suoi utilizzatori, per banale che sia questa è una osservazione importante.

La raggiungibilità è un punto focale anche se si introducono tecnologie di sicurezza quali ipsec o vpn\ssl, per questo di solito queste tecnologie sono utilizzate in ambienti cloud private, mentre per quello che concerne l’accesso dell’utilizzatore si punta generalmente a fornire accessi https con buona pace del bug heartbleed.

Alcuni servizi solitamente trascurati, come il DNS, sono fondamentali tanto che molti provider di servizi cloud, si pensi a Google ad esempio, hanno deciso di intervenire sulla questione offrendoli direttamente al pubblico con l’aggiunta del layer di security DNSsec che ancora stenta ad essere adottato in ambito italiano.

Della connettività si devono preoccupare tanto i clienti, che devono valutare con attenzione gli standard di accesso promossi dal provider cloud, che il cloud provider stesso anche per le comunicazioni inter-datacenter.

Slide10

in particolare il provider di servizi cloud deve porre attenzione alle dorsali di connettività ed assicurarsi, a meno che non sia esso stesso un propietario di tutta la catena fisica di comunicazione, che le comunicazioni tra i suoi vari nodi rimangano protette anche in presenza di salti carrier su carrier.

Storicamente questo è infatti uno dei punti di attacco comune da parte di hacker e forze dell’ordine, agire sul carrier da accesso immediato al flusso di dati e quindi consente un monitoraggio “facile” e trasparente. NSA ancora docet in questo senso, ma pensiamo anche all’affaire telecom di qualche anno fa in italia.

Cryptare le comunicazioni diventa quindi un “obbligo” anche se i grandi content provider ci sono arrivati solo negli ultimi due anni…

Slide11

Problematica duale è quella per l’utilizzatore del servizio cloud, anche questo infatti dovendo accedere al cloud attraverso un internet service provider dovrà preoccuparsi che le modalità di autenticazione e trasmissione dati offerte siano tali da consentire un adeguato livello di sicurezza.

Strong authentication, token, e diversi encryption level sono sicuramente auspicabili da parte di chi si vuole servire di tali servizi o vuole implementarli privatamente.

 Services:

Slide12

in termini di servizi le problematiche variano, ovviamente, da servizio a servizio ma vi sono due aspetti che sono aprticolarmente critici sopratutto per gli utilizzatori:

Lock in e Lock out

di cosa si tratta? ben nel primo caso abbiamo una situazione in cui la migrazione dei propri dati dal provider attuale ad uno nuovo è cosi onerosa che, nei fatti, siamo bloccati e costretti a rimanere “fedeli” al nostro provider.

La questione diventa particolarmente significativa se i dati processati dal servizio sono sensibili, i costi di migrazione potrebbero diventare proibitivi ed annullare tutti gli eventuali “savings”.

In realtàquella di lock in non è una problematica solo dei servizi cloud, ma genericamente afferibile a qualsiasi tipo di servizio: più la tecnologia utilizzata è di tipo “legacy” e non standard (o meglio open standard) più si corre il rischio di incappare in problematiche di lock-in.

Duale al lock-in è il lock-out, dove invece non si riesce ad accedere ai propri dati nonostante se ne abbia il diritto. per quanto improbabile questa è una eventualità che può capitare, ed è più legata a problemi di ordine legale che di tipo tecnologico, ne siano esempio leggi sulla privacy che impediscono al provider di servizi di fornire le chiavi di accesso di uno specifico utente anche se questi non lavora più in azienda, o dati bloccati per indagini in corso anche se il cliente non è direttamente coinvolto, si pensi ancora alla vicenda megaupload, dove la chiusura forzata del servizio aveva impattato anche chi stava usando quella piattaforma per un servizio SaaS (Storage as a Service) assolutamente legale.

Per quello che concerne la parte di autenticazione e gestione degli utenti, per fortuna, sono stati introdotti standard di supporto quali SAML che consentono di demandare all’utente la gestione degli accesso al servizio cloud togliendoli almeno parzialmente dal diretto controllo del provider.

Slide15


 

Ma alla fine perchè dovrei usare il coud in una delle sue declinazioni?


 

nonostante questi aspetti da valutare il cloud rimane un grande opportunità per lo sviluppo dei servizi di business, suia da parte degli utilizzatori che possono effettuare dei notevoli savings in termini di risorse e competenze impegnate, che dal punto di vista dei provider che hanno la possibilità di espandere una area di business ancora relativamente immatura.

Slide13

Dal lato savings la immagine sopra ci può avvicinare a capire quali siano dal punto di vista di un utilizzatore.

maggiore è lo spostamento verso servizi software as a service maggiore è il saving infrastrutturale ottenuto dal cliente.

Considerando che già ad oggi l’offering Cloud è di tutto rispetto e copre dalla infrastruttura ai servizi di sicurezza con tutto quello che passa in mezzo.

Slide14

e se non ci credete pensate semplicemente ai servizi di storage as a service che già utilizzate e che magari non avete pensato fossero un “X” as a service.

Slide16

Slide17 Slide18

V-Valley Security: Cloud e Information Technology

Slide1

Questo secondo articolo è tratto dalla mia seconda presentazione tenuta in occasione dell’ICT Trade di ferrara.

Il focus è dedicato alle problematiche inerenti il “cloud”.

Slide2

Uno dei termini che va per la maggiore al giorno d’oggi è il termine “cloud”.

Cosa in realtà significhi questo termine e cosa ci sia dietro, però, eè spesso oggetto di confusione e fraintendimento, che differenza c’è fra “cloud”, “internet” e “remoto”? cosa sono davvero i servizi cloud? e cosa significa “cloud” in termini di sicurezza?


 

Le Basi del Cloud


 

Innanzi tutto occorre capire cosa significhi cloud. In funzione dei vari messaggi MKTG cui siamo bombardati in prima istanza un servizio basato sul “cloud” (mi si conceda di non usare l’equivalente italiano “nuvola” che mi suona ridicolo almeno quanto chiamare un mouse “topo”) è un servizio che si trova in una località non meglio precisata su internet e cui l’utente accede remotamente grazie alla propria connessione alla grande rete.

Slide3

questa definizione, valida ai fini di una comunicazione rivolta alla grande massa degli utenti, non è però valida per capire cosa sia il cloud in realtà, ne ci da indicazioni di quali siano le differenze tra un servizio “cloud” ed uno remoto generico, se non il fatto che vi si accede attraverso una rete pubblica o una rete virtuale provata (VPN).

Un primo chiarimento su cosa significhi in realtà cloud lo si può ottenere andando a vedere presentazioni dei diversi servizi cloud.

Slide4

Pur non dandoci ancora indicazione precise su cosa significhi “cloud” da un punto di vista implementativo, la classica definizione di “cloud” come erogatore di un “Qualcosa” “come un servizioXaaS, “Xas a service arricchisce il concetto di “cloud” come qualcosa decisamente più complesso, dandoci anche indirettamente le prime indicazioni delle inerenze del cloud in termini di sicurezza.

Definizioni tipiche dei servizi cloud come “Platform as a Service“, “Software as a Service” già ci dovrebbero far capire che il livello di complessità legato al cloud è non indifferente, non tanto nei termini di uso da parte dell’utente\cliente ma in termini implementativi e di design da parte di chi si occupa di sicurezza e da parte di chi eroga il servizio.

Le problematiche di sicurezza del cloud infatti possono essere legate alle esigenze specifiche degli utenti ma anche a quelle dei provider che erogano tali servizi. Nel mare magnum dei termini legati al cloud molti sono di difficile comprensione proprio perchè non si ha una esatta idea di cosa si stia parlando.

 

Slide5

Occorre quindi fare un passo indietro e capire cosa ci sia dietro il termine “cloud”


 

Dentro il cloud


 

Slide6

Invece di partire dalla definizione ufficiale (ne esistono, tanto per cambiare, decine) partiamo dalla prima impressione di qualcosa erogato in una località non meglio precisata ed apriamo queste “nuvole” di servizi per vedere cosa siano in realtà…

Squarciando il velo delle nuvole quello cui ci ritroveremmo a vedere è: un insieme di dacenter.

Slide7

La prima osservazione che occorre fare è che stiamo parlando di più di un datacenter, questo perchè nel concetto di “cloud” è insito il fatto che vi siano più punti di erogazione del servizio geograficamente dislocati in modo tale da poter offrire la stessa qualità di servizio agli utenti abilitati “ovunque” essi siano.

Un singolo server, un singolo datacenter non sono cloud anche se si appoggiano su “internet” per l’erogazione dei servizi. l’entità geografica dei servizi “cloud” è un tratto distintivo specifico. Ovviamente questa distinzione non sempre viene evidenziata a dovere e quindi diventa difficile distinguere tra un generico servizio di hosting, ad esempio, da un vero servizio “PaaS” (Platform as a Service).

La discriminante geografica è di sicuro un elemento distintivo necessario, ancorchè non sufficiente.

Slide8

essendo questi datacenter legati tra loro ma distinti e distanti in termini di locazione geografica, appare evidente che questi ultimi devono essere in qualche modo interconnessi.

Questo punto non è di secondaria importanza ed ha impatti specifici abbastanza pesanti come ha dimostrato anche la storia recente, basti pensare che l’encryption dei canali di comunicazione tra datacenter è una novità di questi ultimi anni, a seguito dello scandalo NSA-Snowden. Persino i server di Google prima dello scoppio di questa questione si limitava ad inviare i messaggi in chiaro tra i suoi vari datacenter.

Le problematiche di sicurezza Cloud quindi hanno aspetti inaspettati a chi non ha una idea di cosa sia effettivamente un servizio cloud.


I nodi della questione


 

Per rendere comprensibile un argomento altrimenti abbastanza complesso, potremmo iniziare a considerare i servizi cloud come dei servizi erogati da più nodi separati geograficamente che utilizzano, per consentire l’accesso agli utenti,  internet in veste di cloud pubblico e tecnologie internet ma in gestione privata quando parliamo di private cloud.

Per rendere ancora più esplicito il messaggio questi nodi sono datacenter in qualche maniera tra loro connessi che offrono servizi tramite protocollo tcp\ip e altri protocolli “standard” o non propietari.

Nel caso gli IP di erogazione del servizio non siano accessibili via rete pubblica possiamo parlare a ragion veduta di cloud privato. si noti che invece autenticazione o uso di canali criptati non definisce di per se un cloud privato, infatti qualsiasi erogatore di servizi cloud può richiedere autenticazione ed encryption (ssl\ipsec\tls) per accedere ai servizi erogati.

Questi nodi “datacenter” sono in linea di massima descrivibili in termini di:

 

  • infrastruttura
  • potenza di calcolo
  • capacità di storage
  • comunicazione

 

Slide9

ognuna di queste aree ha ricadute in termini di sicurezza specifiche sia per quello che concerne le esigenze del provider erogante che di quelle dell’utilizzatore.

Infrastruttura:

un aspetto della sicurezza poco curato, almeno nel nostro paese, è quello infrastrutturale. Sotto questa definizione si può mettere un sacco di roba, in realtà, tutto quello, ad esempio, che afferisce alla infrastruttura fisica: dai calcoli di carico statico dei rack al power consumption e il raffreddamento sia intermini di temperatura che di volumi di aria mossi.

Non è banale pensare che un datacenter debba essere accuratamente pianificato anche da questo punto di vista, altrimenti perfomance e potenza di calcolo potrebbero essere seriamente compromesse, ad esempio da un eccessivo calore o da serie limitazioni all assorbimento energetico in aree critiche del datacenter stesso.

Altro aspetto critico è l’accesso e la sorveglianza fisica del datacenter. In una struttura cloud vengono tenuti gestiti ed elaborati dati provenienti da diversi utenti con diverse esigenze in termini di sicurezza, controllo e compliance. L’accesso alle strutture potrebbe essere un requirement necessario in alcune aree geografiche, ma contemporaneamente un problema per alcuni utenti. immaginate una server farm che ospiti un servizio “X” scherato tra diversi clienti, immaginate che si conceda l’accesso a uno di questi che inavvertitamente o con dolo senziente danneggi l’operatività funzionale di un altro…

Sebbene la politica più comune e pratica sia quella di non concedere accessi a terzi se non al personale del provider, anche questo è, in realtà, un blocco più formale che sostanziale: vendor, consulenti, contractor hanno spesso accesso a queste aree.

CPU:

Superato lo scoglio infrastrutturale, che impatta principalmente il provider di servizi (ed il propietario del datacenter fisico, qualora non coincidano), ci troviamo alle classiche problematiche di condivisione della potenza di calcolo.

Qui le problematiche sono tra le più disparate in quanto si va dallo sharing di risorse a risorse più o meno dedicate, SLA e capacità distributiva del carico di lavoro in termini geografici.

per fortuna le tecnologie di virtualizzazione e grid computing hanno fatto passi da gigante e le modalità commerciali di offering oggi offrono uno spread di modalità abbastanza esaustivo. rimane la problematica di calcolare quali siano gli effettivi bisogni e di come blindarli in SLA opportuni a costo del rischio di rendere vano il nostro investimento nel cloud.

Storage:

Lo storage è in questo senso, molto più complesso. non si tratta solo di distribuire una risorsa fisica che deve essere allocata opportunamente, ma anche di garantire che i dati siano protetti. NSA insegna accedere ai dati non è impossibile, e in alcuni casi persino il service provider più integerrimo può essere obbligato a dare accesso ai dati su “disco” anche in maniera distruttiva, si pensi alla vicenda legata a megaupload ad esempio.

Le problematiche legate alla tipologia di dati salvati nel cloud sono quindi particolarmente complesse e hanno a che fare sia con il tipo di dato che la sua locazione geografica. tecnologie di encryption multilayer sono di solito indispensabili, dove per multilayer si intende che da un lato il provider deve, o dovrebbe, fornire un minimo livello di data encryption, ma poi l’utente dovrebbe provvedere con un secondo layer indipendente dal provider che lo metta al sicuro da eventuali intrusioni.

Connectivity:

per quanto banale possa sembrare, la connettività è da sempre un problema, e nei servizi cloud questo problema è particolarmente evidente.

Da un lato ci sono le prestazioni e la raggiungibilità, un servizio cloud deve essere raggiungibile dai suoi utilizzatori, per banale che sia questa è una osservazione importante.

La raggiungibilità è un punto focale anche se si introducono tecnologie di sicurezza quali ipsec o vpn\ssl, per questo di solito queste tecnologie sono utilizzate in ambienti cloud private, mentre per quello che concerne l’accesso dell’utilizzatore si punta generalmente a fornire accessi https con buona pace del bug heartbleed.

Alcuni servizi solitamente trascurati, come il DNS, sono fondamentali tanto che molti provider di servizi cloud, si pensi a Google ad esempio, hanno deciso di intervenire sulla questione offrendoli direttamente al pubblico con l’aggiunta del layer di security DNSsec che ancora stenta ad essere adottato in ambito italiano.

Della connettività si devono preoccupare tanto i clienti, che devono valutare con attenzione gli standard di accesso promossi dal provider cloud, che il cloud provider stesso anche per le comunicazioni inter-datacenter.

Slide10

in particolare il provider di servizi cloud deve porre attenzione alle dorsali di connettività ed assicurarsi, a meno che non sia esso stesso un propietario di tutta la catena fisica di comunicazione, che le comunicazioni tra i suoi vari nodi rimangano protette anche in presenza di salti carrier su carrier.

Storicamente questo è infatti uno dei punti di attacco comune da parte di hacker e forze dell’ordine, agire sul carrier da accesso immediato al flusso di dati e quindi consente un monitoraggio “facile” e trasparente. NSA ancora docet in questo senso, ma pensiamo anche all’affaire telecom di qualche anno fa in italia.

Cryptare le comunicazioni diventa quindi un “obbligo” anche se i grandi content provider ci sono arrivati solo negli ultimi due anni…

Slide11

Problematica duale è quella per l’utilizzatore del servizio cloud, anche questo infatti dovendo accedere al cloud attraverso un internet service provider dovrà preoccuparsi che le modalità di autenticazione e trasmissione dati offerte siano tali da consentire un adeguato livello di sicurezza.

Strong authentication, token, e diversi encryption level sono sicuramente auspicabili da parte di chi si vuole servire di tali servizi o vuole implementarli privatamente.

 Services:

Slide12

in termini di servizi le problematiche variano, ovviamente, da servizio a servizio ma vi sono due aspetti che sono aprticolarmente critici sopratutto per gli utilizzatori:

Lock in e Lock out

di cosa si tratta? ben nel primo caso abbiamo una situazione in cui la migrazione dei propri dati dal provider attuale ad uno nuovo è cosi onerosa che, nei fatti, siamo bloccati e costretti a rimanere “fedeli” al nostro provider.

La questione diventa particolarmente significativa se i dati processati dal servizio sono sensibili, i costi di migrazione potrebbero diventare proibitivi ed annullare tutti gli eventuali “savings”.

In realtàquella di lock in non è una problematica solo dei servizi cloud, ma genericamente afferibile a qualsiasi tipo di servizio: più la tecnologia utilizzata è di tipo “legacy” e non standard (o meglio open standard) più si corre il rischio di incappare in problematiche di lock-in.

Duale al lock-in è il lock-out, dove invece non si riesce ad accedere ai propri dati nonostante se ne abbia il diritto. per quanto improbabile questa è una eventualità che può capitare, ed è più legata a problemi di ordine legale che di tipo tecnologico, ne siano esempio leggi sulla privacy che impediscono al provider di servizi di fornire le chiavi di accesso di uno specifico utente anche se questi non lavora più in azienda, o dati bloccati per indagini in corso anche se il cliente non è direttamente coinvolto, si pensi ancora alla vicenda megaupload, dove la chiusura forzata del servizio aveva impattato anche chi stava usando quella piattaforma per un servizio SaaS (Storage as a Service) assolutamente legale.

Per quello che concerne la parte di autenticazione e gestione degli utenti, per fortuna, sono stati introdotti standard di supporto quali SAML che consentono di demandare all’utente la gestione degli accesso al servizio cloud togliendoli almeno parzialmente dal diretto controllo del provider.

Slide15


 

Ma alla fine perchè dovrei usare il coud in una delle sue declinazioni?


 

nonostante questi aspetti da valutare il cloud rimane un grande opportunità per lo sviluppo dei servizi di business, suia da parte degli utilizzatori che possono effettuare dei notevoli savings in termini di risorse e competenze impegnate, che dal punto di vista dei provider che hanno la possibilità di espandere una area di business ancora relativamente immatura.

Slide13

Dal lato savings la immagine sopra ci può avvicinare a capire quali siano dal punto di vista di un utilizzatore.

maggiore è lo spostamento verso servizi software as a service maggiore è il saving infrastrutturale ottenuto dal cliente.

Considerando che già ad oggi l’offering Cloud è di tutto rispetto e copre dalla infrastruttura ai servizi di sicurezza con tutto quello che passa in mezzo.

Slide14

e se non ci credete pensate semplicemente ai servizi di storage as a service che già utilizzate e che magari non avete pensato fossero un “X” as a service.

Slide16

Slide17 Slide18

V-Valley Security: Advanced Persistent Threat

Slide1Inizia con questo articolo una serie che ripercorre le presentazioni che ho fatto per V-Valley, distributore aggiunto del gruppo Esprinet, al fine di poter dare la possibilità a chi non ha potuto partecipare all’evento, o non ha preso appunti :), di rivedere le slides con un minimo di commento.

Ovviamente per chi mi conosce non esiste una relazione biunivoca tra quanto detto dal vivo e questi articoli, che sono per forza di cose più generici rispetto alle versioni live, ma spero che siano comunque un utile compendio ed una piacevole lettura 🙂

Slide2

Chiunque oggi segua il mondo dell’informatica, ed in particolare quello della sicurezza informatica deve essere incappato in tutta una serie di nuovi acronimi che vengono utilizzati dal marketing delle diverse aziende del settore. è noto come gli specialisti di informatica e quelli del marketing adorino porre tutto in acronimi, rende la discussione molto più “professionale”.

Dietro acronimi quali APT, AET, NGFW, MDM, IAM, IDD etc., spesso si celano vecchie tecnologie ripresentate come nuova panacea o nuovi soggetti effettivamente interessanti.

Recentemente quello, o uno di quelli, che va per la maggiore è APT, che nel gergo informatico attuale attribuito alla sicurezza significa Advance Persistent Threat.

Slide3

ovviamente la precisazione è d’obbligo, infatti il generico acronimo APT copre almeno un migliaio di diverse definizioni, molte delle quali nulla hanno a che fare con l’informatica, molte..non tutte 🙂

la definizione che a noi interessa è quindi quella strettamente legata all’ambito della sicurezza informatica.


Advanced Persistent Threat


La prima domanda che ci dovremmo porre quando parliamo di Advanced Persistent Threat è che cosa voglia dire questa definizione.

Per cercare di rendere il termine meno oscuro sono andato su internet a cercare delle definizioni “ufficiali”. Apparentemente la migliore

definizione è la seguente:

Slide4

  •  Advanced= Avanzate. Significa che gli avversari possono operare nella gamma completa delle modalità di intrusione di un computer. Possono utilizzare il più banale exploit a disposizione del pubblico contro una vulnerabilità ben nota, oppure possono elevare il loro gioco alla ricerca di nuove vulnerabilità e sviluppare exploit personalizzati, a seconda della condizione del bersaglio.
  • Persistent =Persistente. Significa che l’avversario è formalmente incaricato di compiere una missione. Non sono attacchi opportunisti, dettati dal caso. Come una unità di spionaggio gli attaccanti ricevono direttive e lavorano per soddisfare i loro padroni. Persistente non significa necessariamente che hanno bisogno di eseguire costantemente codice dannoso sul computer vittima. Piuttosto mantengono alto il livello di interazione necessario per eseguire i loro obiettivi.
  • Threat = pericolo, minaccia. Significa che l’avversario non è un “inutile” pezzo di codice. Questo punto è cruciale. Alcune persone parlano del termine “minaccia” con riferimento al malware. Se il malware non avesse un individuo collegato ad esso (qualcuno per controllare la vittima, leggere i dati rubati, ecc), allora la maggior parte del malware sarebbe di poca preoccupazione (fintanto che non degrada le prestazioni o blocca l’accesso ai dati). Piuttosto, l’avversario qui è una minaccia perché è organizzato e finanziato e motivato. Alcune persone parlano di più “gruppi” costituiti da “squadre” dedicate a varie missioni.

In altre parole un APT non è un riferimento ad un attacco specifico, una tecnologia univoca o un bug chiaro. Con APT si intende un attacco mirato e volontario portato da un soggetto contro un bersaglio specifico, contro cui attiva tutte le azioni, le tecnologie e le tempistiche necessarie per portare a compimento il proprio obiettivo.

Un APT può essere portato avanti anche con metodi che sono esterni all’informatica in senso stretto, ma che sono coerenti con le esigenze dell’attacco. Le tecniche di social engineering sono un classico aspetto di un APT, tecniche che spesso sfruttano veicoli e canali che poco hanno a che fare con i classici strumenti di protezione informatica.

I bersagli di un APT sono quindi complessi ed articolati. Tipici target sono tra i più diversi.

Slide5

Possiamo avere obiettivi Politici, sia mossi da uno stato o da gruppi di attivisti, Obiettivi economici, Tecnici e persino militari.

  • Obiettivi politici che includono continuare a reprimere la propria popolazione in nome della “stabilità”.
  • Obiettivi economici che si basano ad esempio sul rubare la proprietà intellettuale della vittima. Tale IP (Intellectual Property) può essere clonata e venduta, studiata e venduta ad un prezzo più basso per battere gli altri, o fusa con la ricerca locale per la produzione di nuovi prodotti e servizi più a buon mercato rispetto alle vittime.
  • Obiettivi tecnici che aumentano ulteriormente la capacità degli attaccanti di compiere la loro missione. Questi includono l’accesso al codice sorgente per sviluppare eventuali exploit, o imparare come funzionano le difese al fine di eluderele o bloccarle più efficacemente. Ancora più preoccupante è il pensiero che gli intrusi possano apportare modifiche per migliorare la loro posizione e indebolire la vittima.
  • Obiettivi militari che includono individuare carenze che permettano a forze militari inferiori di sconfiggere forze militari nominalmente superiori.

Basta sfogliare le notizie dei giornali di tutti i giorni per ritrovare queste casistiche.

Slide6

La questione è reale e ben nota agli addetti al settore, tanto che lo stesso NIST (il National Institute of Standard and Technology americano) ha da tempo una sua definizione di APT:

“La minaccia avanzata persistente è un avversario con livelli sofisticati di competenza e risorse significative, che gli consentono, attraverso l’utilizzo di vettori di attacco multipli (come frode e metodi informatici e fisici), di generare opportunità per raggiungere i propri obiettivi: questi consistono
tipicamente nello stabilire e ampliare punti di appoggio all’interno dell’infrastruttura informatica delle organizzazioni, allo scopo di derivarne informazioni in modo continuativo e/o di compromettere o ostacolare aspetti critici di una missione, programma o organizzazione, o di mettersi in condizione di farlo in futuro. Inoltre, la minaccia avanzata persistente persegue i propri obiettivi ripetutamente per un periodo di tempo prolungato, adattandosi agli sforzi di un difensore per resisterle, e con lo scopo di mantenere il livello di interazione necessario per eseguire i propri obiettivi”.

Queste definizioni potrebbero far pensare che la problematica legata agli APT sia oggetto solo di grandi organizzazioni private o pubbliche, ma in realtà chiunque può essere soggetto ad un APT. Ovunque vi sia qualcosa che vale la pena di essere rubato, ovunque vi sia qualche vantaggio a provocare danni o mettere in cattiva luce un soggetto od una società, allora un APT può essere un rischio reale.

L’esempio tipico è il furto di propietà intellettuale o di informazioni per poter fare concorrenza sleale, che può colpire aziende di qualsiasi dimensione.


 

Come funziona un APT


 

Un APT utilizza, per la natura stessa della sua definizione, una serie non prevedibile di tecnologie ed attacchi, rendendo nei fatti ogni APT diverso l’uno dall’altro.

Nonostante ciò esistono alcuni step che sono generalmente considerati comuni a tutti questi attacchi che ne definiscono il ciclo di attivazione.

In prima istanza un attacco APT può essere descritto nella seguente maniera:

Slide7

Esiste una prima fase in cui l’attaccante analizza l’ambiente da attaccare. Questa fase di riconoscimento serve all’attaccante per sapere quali siano gli eventuali punti deboli di una potenziale vittima. L’esplorazione può comportare da sopralluoghi fisici a tecniche classiche di social engineering o di truffa. Mail, telefonate, incontri come potenziali clienti..tutto può essere utilizzato all’inizio per raccogliere le necessarie informazioni. Ovviamente va considerato anche l’uso di social networks e normali ricerche web, persino le pagine istituzionali danno spesso preziose informazioni.

A questa fase poi si accompagna una fase più informatica, tesa a saggiare e valutare le difese in essere della potenziale vittima.

è interessante notare che, in questa fase, non è spesso necessario utilizzare tecnologie “esoteriche” o che richiedano conoscenze informatiche estreme. Spesso un buon tecnico informatico può trovare tutto quello che serve anche in prodotti commerciali assolutamente leciti. In questa fase di analisi è spesso anche possibile non valicare la sottile linea che divide ciò che è legale da ciò che non lo è. risulta spesso quasi impossibile poter intervenire a questo livello.

Il passo successivo è iniziare ad entrare nel sistema. qui le cose diventano più tecnologicamente complesse. spesso per iniziare ad entrare nel sistema occorre mettere in atto una serie complessa di azioni di cui la vittima predestinata è solo apparentemente uno dei bersagli. le casistiche sono molteplici ma lo scopo è sempre lo stesso iniziare ad avere una prima forma di accesso al sistema della vittima.

Una volta che si è finalmente entrati nel sistema occorre cercare di elevare il livello di intrusione al fine di ottenere i diritti, i permessi ed il livello di controllo necessari a svolgere il compito. In questa fase tipicamente vi sono la compromissione di server, applicazioni ed apparati di networking con lo scopo di “monitorare” e “controllare” le possibili vie di accesso.

Finita questa fase puòinziare l’attacco vero e proprio che può essere continuativo o, peggio, dormiente sino al momento opportuno.

In questa catena solitamente ci si accorge dell’attacco solo a cose fatte, infatti il problema di un APT non è fermare una specifica violazione, ma una serie di eventi tra loro correlati ad uno scopo. Per quanto possa sembrare strano fermare un evento anomalo, una intrusione, una infezione virale non è indice di un blocco dell’APT, anzi, potrebbe essere parte della strategia di attacco messa in atto, per testare le capacità di reazione della vittima, per distrarlo da altri fenomeni apparentemente meno gravi e cosi via.

Occorre sempre ricordare che l’APT non è legato a specifiche tecnologie, dove una fallisce si cerca una alternativa.

Slide8

Questa cosa rende gli APT particolarmente insidiosi, di solito il riconoscimento di un APT in quanto tale arriva solo in una fase particolarmente avanzata, quando oramai le azioni da intraprendere non sono più preventive ma correttive.

Esplodendo il ciclo di un APT con un maggior dettaglio si può osservare che la fase iniziale di analisi è non tracciabile, il primo reale punto in cui si può intervenire è l’iniziale ingresso nel sistema.

 

Slide9

é importante cercare, quindi, di fermare le attività il più presto possibile. intervenire nella fase di delivery, ossia di primo ingresso nel sistema, può consentire l’effettivo blocco della attività di attacco.

Questo intervento, però, non deve essere tout court un banale blocco di un tentativo di intrusione, ma un consapevole atto all’interno di una complessa strategia difensiva. In alcuni casi la detection viene utilizzata non per bloccare l’attacco ma per consentirne la continuazione, monitorata dalle difese, per scoprire quali siano le vulnerabilità che l’attaccante vuole sfruttare e quindi intervenire per ridisegnare le difese per rendere impossibili quei passi. esiste quindi un processo di sintesi che consente ai difensori di bloccare e aggiornare il proprio perimetro difensivo.

Questo comporta, tra l’altro, l’adozione di tecnologie di monitoraggio tra cui l’uso estensivo e progettuale di SIEM da integrare con i vari sistemi di monitoraggio logico e fisico della rete, definire baseline di riferimento per essere usati come parametri comparativi sull’andamento della rete, introdurre tecnologie di gestione degli account (IAM) e cosi via.


 

Come Difendersi da un APT


 

La parte di detection di un APT è fondamentale, prima avviene meglio è. rimane il fatto che più le difese di una rete sono labili maggiore sarà la facilità di un attaccante di portare a compimento una azione di intrusione e maggiore la difficoltà da parte della vittima di trovare una soluzione.

In linea di massima il primo consiglio da dare è: disegnare la rete in maniera opportuna, efficace ed efficiente ed amministrarla bene.

Per quanto possa sembrare ovvio, i criteri di un disegno corretto della rete sono largamente consoni ai meccanismi difensivi necessari da implementare in una rete per bloccare fegli APT.

Slide11

come minimo questo comporta:

 

  • 1. Complicare l’accesso iniziale

  • 2. Ridurre il rischio di escalation dei privilegi in caso di compromissione di un account

  • 3. Limitare il danno che può essere causato da un account compromesso, anche se privilegiato

  • 4. Rilevare precocemente account compromessi e attività sospette

  • 5. Raccogliere informazioni utili a un’indagine forense, per poter determinare quali danni si sono verificati, quando e a opera di chi

Il primo punto richiede di mettere in atto tutti quei suggerimenti che da anni vengono proposti dagli esperti del settore: dalla strong authentication degli utenti (ad esempio attraverso l’uso di token per sostituire almeno l’uso delle password), ai servizi di Network Access Control per monitorare sia chi entra in rete con sistemi wireless che wired. uno dei punti chiave in questa ottica è la formazione, a tutti i livelli, per aumentare il livello di consapevolezza sulle conseguenze di certe azioni all’interno della struttura aziendale.

Rendere complicato l’accesso iniziale non significa rendere la user experience un incubo, al contrario rendere i processi di accesso troppo farraginosi e complessi porta, dati alla mano, ad un drammatico incremento delle violazioni. Limitare l’uso di risorse deve essere accompagnato ad un attento studio della user experience.

il punto 2 è abbastanza autoesplicativo, assieme al punto 3 richiede che la gestione degli utenti sia attentamente vagliata, magari taramite sistemi o servizi IAM. risulta anche evidente che occorra intervenire pesantemente in termini di patching ed hardening delle piattaforme al fine di ridurre i rischi di tipo 3 e 2.

il punto 4 richiede che vengano messi in campo sistemi e processi di monitoraggio avanzati, quali NGFW, IPS\IDS, prodotti antimalware, anti Dos e via dicendo integrati con una solida struttura SIEM.

Il punto 5 nella sua ovvietà è il più disatteso: raccogliere dati che possano essere utili alla attività di sintesi e di eventuale analisi forense richiede non solo l’apporto di prodottie tecnologie ma, soprattutto di processi e competenze adeguate.


 

Ma tanto a me non mi beccano, non mi hanno mai beccato e, quindi, non mi beccheranno mai


 

il paradosso degli APT è che, siccome vengono raramente scoperti, vi è la falsa sensazione che sia sempre un problema degli altri.

vi lascio quindi con questa consolante statistica:

Gli APT sono difficili da individuare. Secondo il Verizon 2012 Data Breach Investigations Report, il 92% di tutte le organizzazioni e il 49% delle grandi organizzazioni è venuta a conoscenza di una violazione della sicurezza perché informata da un soggetto esterno.

Slide12

 

Spero che l’articolo vi sia utile e vi invito a contattare V-Valley per avere una indicazione aggiornata dei vari eventi ed attività in programma.

Antonio

Slide13

Slide14

V-Valley Security: Advanced Persistent Threat

Slide1Inizia con questo articolo una serie che ripercorre le presentazioni che ho fatto per V-Valley, distributore aggiunto del gruppo Esprinet, al fine di poter dare la possibilità a chi non ha potuto partecipare all’evento, o non ha preso appunti :), di rivedere le slides con un minimo di commento.

Ovviamente per chi mi conosce non esiste una relazione biunivoca tra quanto detto dal vivo e questi articoli, che sono per forza di cose più generici rispetto alle versioni live, ma spero che siano comunque un utile compendio ed una piacevole lettura 🙂

Slide2

Chiunque oggi segua il mondo dell’informatica, ed in particolare quello della sicurezza informatica deve essere incappato in tutta una serie di nuovi acronimi che vengono utilizzati dal marketing delle diverse aziende del settore. è noto come gli specialisti di informatica e quelli del marketing adorino porre tutto in acronimi, rende la discussione molto più “professionale”.

Dietro acronimi quali APT, AET, NGFW, MDM, IAM, IDD etc., spesso si celano vecchie tecnologie ripresentate come nuova panacea o nuovi soggetti effettivamente interessanti.

Recentemente quello, o uno di quelli, che va per la maggiore è APT, che nel gergo informatico attuale attribuito alla sicurezza significa Advance Persistent Threat.

Slide3

ovviamente la precisazione è d’obbligo, infatti il generico acronimo APT copre almeno un migliaio di diverse definizioni, molte delle quali nulla hanno a che fare con l’informatica, molte..non tutte 🙂

la definizione che a noi interessa è quindi quella strettamente legata all’ambito della sicurezza informatica.


Advanced Persistent Threat


La prima domanda che ci dovremmo porre quando parliamo di Advanced Persistent Threat è che cosa voglia dire questa definizione.

Per cercare di rendere il termine meno oscuro sono andato su internet a cercare delle definizioni “ufficiali”. Apparentemente la migliore

definizione è la seguente:

Slide4

  •  Advanced= Avanzate. Significa che gli avversari possono operare nella gamma completa delle modalità di intrusione di un computer. Possono utilizzare il più banale exploit a disposizione del pubblico contro una vulnerabilità ben nota, oppure possono elevare il loro gioco alla ricerca di nuove vulnerabilità e sviluppare exploit personalizzati, a seconda della condizione del bersaglio.
  • Persistent =Persistente. Significa che l’avversario è formalmente incaricato di compiere una missione. Non sono attacchi opportunisti, dettati dal caso. Come una unità di spionaggio gli attaccanti ricevono direttive e lavorano per soddisfare i loro padroni. Persistente non significa necessariamente che hanno bisogno di eseguire costantemente codice dannoso sul computer vittima. Piuttosto mantengono alto il livello di interazione necessario per eseguire i loro obiettivi.
  • Threat = pericolo, minaccia. Significa che l’avversario non è un “inutile” pezzo di codice. Questo punto è cruciale. Alcune persone parlano del termine “minaccia” con riferimento al malware. Se il malware non avesse un individuo collegato ad esso (qualcuno per controllare la vittima, leggere i dati rubati, ecc), allora la maggior parte del malware sarebbe di poca preoccupazione (fintanto che non degrada le prestazioni o blocca l’accesso ai dati). Piuttosto, l’avversario qui è una minaccia perché è organizzato e finanziato e motivato. Alcune persone parlano di più “gruppi” costituiti da “squadre” dedicate a varie missioni.

In altre parole un APT non è un riferimento ad un attacco specifico, una tecnologia univoca o un bug chiaro. Con APT si intende un attacco mirato e volontario portato da un soggetto contro un bersaglio specifico, contro cui attiva tutte le azioni, le tecnologie e le tempistiche necessarie per portare a compimento il proprio obiettivo.

Un APT può essere portato avanti anche con metodi che sono esterni all’informatica in senso stretto, ma che sono coerenti con le esigenze dell’attacco. Le tecniche di social engineering sono un classico aspetto di un APT, tecniche che spesso sfruttano veicoli e canali che poco hanno a che fare con i classici strumenti di protezione informatica.

I bersagli di un APT sono quindi complessi ed articolati. Tipici target sono tra i più diversi.

Slide5

Possiamo avere obiettivi Politici, sia mossi da uno stato o da gruppi di attivisti, Obiettivi economici, Tecnici e persino militari.

  • Obiettivi politici che includono continuare a reprimere la propria popolazione in nome della “stabilità”.
  • Obiettivi economici che si basano ad esempio sul rubare la proprietà intellettuale della vittima. Tale IP (Intellectual Property) può essere clonata e venduta, studiata e venduta ad un prezzo più basso per battere gli altri, o fusa con la ricerca locale per la produzione di nuovi prodotti e servizi più a buon mercato rispetto alle vittime.
  • Obiettivi tecnici che aumentano ulteriormente la capacità degli attaccanti di compiere la loro missione. Questi includono l’accesso al codice sorgente per sviluppare eventuali exploit, o imparare come funzionano le difese al fine di eluderele o bloccarle più efficacemente. Ancora più preoccupante è il pensiero che gli intrusi possano apportare modifiche per migliorare la loro posizione e indebolire la vittima.
  • Obiettivi militari che includono individuare carenze che permettano a forze militari inferiori di sconfiggere forze militari nominalmente superiori.

Basta sfogliare le notizie dei giornali di tutti i giorni per ritrovare queste casistiche.

Slide6

La questione è reale e ben nota agli addetti al settore, tanto che lo stesso NIST (il National Institute of Standard and Technology americano) ha da tempo una sua definizione di APT:

“La minaccia avanzata persistente è un avversario con livelli sofisticati di competenza e risorse significative, che gli consentono, attraverso l’utilizzo di vettori di attacco multipli (come frode e metodi informatici e fisici), di generare opportunità per raggiungere i propri obiettivi: questi consistono
tipicamente nello stabilire e ampliare punti di appoggio all’interno dell’infrastruttura informatica delle organizzazioni, allo scopo di derivarne informazioni in modo continuativo e/o di compromettere o ostacolare aspetti critici di una missione, programma o organizzazione, o di mettersi in condizione di farlo in futuro. Inoltre, la minaccia avanzata persistente persegue i propri obiettivi ripetutamente per un periodo di tempo prolungato, adattandosi agli sforzi di un difensore per resisterle, e con lo scopo di mantenere il livello di interazione necessario per eseguire i propri obiettivi”.

Queste definizioni potrebbero far pensare che la problematica legata agli APT sia oggetto solo di grandi organizzazioni private o pubbliche, ma in realtà chiunque può essere soggetto ad un APT. Ovunque vi sia qualcosa che vale la pena di essere rubato, ovunque vi sia qualche vantaggio a provocare danni o mettere in cattiva luce un soggetto od una società, allora un APT può essere un rischio reale.

L’esempio tipico è il furto di propietà intellettuale o di informazioni per poter fare concorrenza sleale, che può colpire aziende di qualsiasi dimensione.


 

Come funziona un APT


 

Un APT utilizza, per la natura stessa della sua definizione, una serie non prevedibile di tecnologie ed attacchi, rendendo nei fatti ogni APT diverso l’uno dall’altro.

Nonostante ciò esistono alcuni step che sono generalmente considerati comuni a tutti questi attacchi che ne definiscono il ciclo di attivazione.

In prima istanza un attacco APT può essere descritto nella seguente maniera:

Slide7

Esiste una prima fase in cui l’attaccante analizza l’ambiente da attaccare. Questa fase di riconoscimento serve all’attaccante per sapere quali siano gli eventuali punti deboli di una potenziale vittima. L’esplorazione può comportare da sopralluoghi fisici a tecniche classiche di social engineering o di truffa. Mail, telefonate, incontri come potenziali clienti..tutto può essere utilizzato all’inizio per raccogliere le necessarie informazioni. Ovviamente va considerato anche l’uso di social networks e normali ricerche web, persino le pagine istituzionali danno spesso preziose informazioni.

A questa fase poi si accompagna una fase più informatica, tesa a saggiare e valutare le difese in essere della potenziale vittima.

è interessante notare che, in questa fase, non è spesso necessario utilizzare tecnologie “esoteriche” o che richiedano conoscenze informatiche estreme. Spesso un buon tecnico informatico può trovare tutto quello che serve anche in prodotti commerciali assolutamente leciti. In questa fase di analisi è spesso anche possibile non valicare la sottile linea che divide ciò che è legale da ciò che non lo è. risulta spesso quasi impossibile poter intervenire a questo livello.

Il passo successivo è iniziare ad entrare nel sistema. qui le cose diventano più tecnologicamente complesse. spesso per iniziare ad entrare nel sistema occorre mettere in atto una serie complessa di azioni di cui la vittima predestinata è solo apparentemente uno dei bersagli. le casistiche sono molteplici ma lo scopo è sempre lo stesso iniziare ad avere una prima forma di accesso al sistema della vittima.

Una volta che si è finalmente entrati nel sistema occorre cercare di elevare il livello di intrusione al fine di ottenere i diritti, i permessi ed il livello di controllo necessari a svolgere il compito. In questa fase tipicamente vi sono la compromissione di server, applicazioni ed apparati di networking con lo scopo di “monitorare” e “controllare” le possibili vie di accesso.

Finita questa fase puòinziare l’attacco vero e proprio che può essere continuativo o, peggio, dormiente sino al momento opportuno.

In questa catena solitamente ci si accorge dell’attacco solo a cose fatte, infatti il problema di un APT non è fermare una specifica violazione, ma una serie di eventi tra loro correlati ad uno scopo. Per quanto possa sembrare strano fermare un evento anomalo, una intrusione, una infezione virale non è indice di un blocco dell’APT, anzi, potrebbe essere parte della strategia di attacco messa in atto, per testare le capacità di reazione della vittima, per distrarlo da altri fenomeni apparentemente meno gravi e cosi via.

Occorre sempre ricordare che l’APT non è legato a specifiche tecnologie, dove una fallisce si cerca una alternativa.

Slide8

Questa cosa rende gli APT particolarmente insidiosi, di solito il riconoscimento di un APT in quanto tale arriva solo in una fase particolarmente avanzata, quando oramai le azioni da intraprendere non sono più preventive ma correttive.

Esplodendo il ciclo di un APT con un maggior dettaglio si può osservare che la fase iniziale di analisi è non tracciabile, il primo reale punto in cui si può intervenire è l’iniziale ingresso nel sistema.

 

Slide9

é importante cercare, quindi, di fermare le attività il più presto possibile. intervenire nella fase di delivery, ossia di primo ingresso nel sistema, può consentire l’effettivo blocco della attività di attacco.

Questo intervento, però, non deve essere tout court un banale blocco di un tentativo di intrusione, ma un consapevole atto all’interno di una complessa strategia difensiva. In alcuni casi la detection viene utilizzata non per bloccare l’attacco ma per consentirne la continuazione, monitorata dalle difese, per scoprire quali siano le vulnerabilità che l’attaccante vuole sfruttare e quindi intervenire per ridisegnare le difese per rendere impossibili quei passi. esiste quindi un processo di sintesi che consente ai difensori di bloccare e aggiornare il proprio perimetro difensivo.

Questo comporta, tra l’altro, l’adozione di tecnologie di monitoraggio tra cui l’uso estensivo e progettuale di SIEM da integrare con i vari sistemi di monitoraggio logico e fisico della rete, definire baseline di riferimento per essere usati come parametri comparativi sull’andamento della rete, introdurre tecnologie di gestione degli account (IAM) e cosi via.


 

Come Difendersi da un APT


 

La parte di detection di un APT è fondamentale, prima avviene meglio è. rimane il fatto che più le difese di una rete sono labili maggiore sarà la facilità di un attaccante di portare a compimento una azione di intrusione e maggiore la difficoltà da parte della vittima di trovare una soluzione.

In linea di massima il primo consiglio da dare è: disegnare la rete in maniera opportuna, efficace ed efficiente ed amministrarla bene.

Per quanto possa sembrare ovvio, i criteri di un disegno corretto della rete sono largamente consoni ai meccanismi difensivi necessari da implementare in una rete per bloccare fegli APT.

Slide11

come minimo questo comporta:

 

  • 1. Complicare l’accesso iniziale

  • 2. Ridurre il rischio di escalation dei privilegi in caso di compromissione di un account

  • 3. Limitare il danno che può essere causato da un account compromesso, anche se privilegiato

  • 4. Rilevare precocemente account compromessi e attività sospette

  • 5. Raccogliere informazioni utili a un’indagine forense, per poter determinare quali danni si sono verificati, quando e a opera di chi

Il primo punto richiede di mettere in atto tutti quei suggerimenti che da anni vengono proposti dagli esperti del settore: dalla strong authentication degli utenti (ad esempio attraverso l’uso di token per sostituire almeno l’uso delle password), ai servizi di Network Access Control per monitorare sia chi entra in rete con sistemi wireless che wired. uno dei punti chiave in questa ottica è la formazione, a tutti i livelli, per aumentare il livello di consapevolezza sulle conseguenze di certe azioni all’interno della struttura aziendale.

Rendere complicato l’accesso iniziale non significa rendere la user experience un incubo, al contrario rendere i processi di accesso troppo farraginosi e complessi porta, dati alla mano, ad un drammatico incremento delle violazioni. Limitare l’uso di risorse deve essere accompagnato ad un attento studio della user experience.

il punto 2 è abbastanza autoesplicativo, assieme al punto 3 richiede che la gestione degli utenti sia attentamente vagliata, magari taramite sistemi o servizi IAM. risulta anche evidente che occorra intervenire pesantemente in termini di patching ed hardening delle piattaforme al fine di ridurre i rischi di tipo 3 e 2.

il punto 4 richiede che vengano messi in campo sistemi e processi di monitoraggio avanzati, quali NGFW, IPS\IDS, prodotti antimalware, anti Dos e via dicendo integrati con una solida struttura SIEM.

Il punto 5 nella sua ovvietà è il più disatteso: raccogliere dati che possano essere utili alla attività di sintesi e di eventuale analisi forense richiede non solo l’apporto di prodottie tecnologie ma, soprattutto di processi e competenze adeguate.


 

Ma tanto a me non mi beccano, non mi hanno mai beccato e, quindi, non mi beccheranno mai


 

il paradosso degli APT è che, siccome vengono raramente scoperti, vi è la falsa sensazione che sia sempre un problema degli altri.

vi lascio quindi con questa consolante statistica:

Gli APT sono difficili da individuare. Secondo il Verizon 2012 Data Breach Investigations Report, il 92% di tutte le organizzazioni e il 49% delle grandi organizzazioni è venuta a conoscenza di una violazione della sicurezza perché informata da un soggetto esterno.

Slide12

 

Spero che l’articolo vi sia utile e vi invito a contattare V-Valley per avere una indicazione aggiornata dei vari eventi ed attività in programma.

Antonio

Slide13

Slide14