I mille volti della sicurezza delle reti informatiche

In alcune applicazioni, la sicurezza delle reti può avere conseguenze pesanti sull'incolumità delle persone. Questo concetto è indicato in inglese con il termine “safety”, che differisce dal termine “security”, che riguarda invece la protezione di dati e di beni materiali. Ne costituiscono un esempio le reti all'interno degli ospedali, in cui l'accesso alle informazioni cliniche sui pazienti può consentire al personale medico di intervenire in modo più mirato e tempestivo e di somministrare la giusta quantità di farmaci, potendo così salvare la vita a molti pazienti o evitare errori che potrebbero rivelarsi fatali.

Il fenomeno del Web 2.0

La situazione è resa ancora più complessa dall'affermazione del concetto di “Web 2.0”, al tempo stesso un'enorme opportunità per le aziende, ma anche una grossa sfida. Spesso questo concetto è associato alla tecnologia; in realtà quest'ultima costituisce solo un aspetto del fenomeno, di proporzioni molto vaste, che comporta anche un radicale cambiamento culturale. Time Magazine l'ha definito una rivoluzione, e l'ha eletto “personaggio dell'anno” nel 2006.
Il Web 2.0 implica un modo completamente nuovo di lavorare che è caratterizzato dalla partecipazione degli utenti, dall'apertura verso questi ultimi e verso i partner, per creare un ecosistema completo, e soprattutto dall'uso massiccio delle reti. Sotto questo aspetto la rete è la piattaforma, la quale abbraccia tutti i dispositivi connessi, e crea importanti effetti attraverso la partecipazione, fornendo agli utenti esperienze dinamiche ricche al posto dei contenuti statici che erano disponibili su piattaforme di rete di tipo Web 1.0. Una grande novità introdotta dal fenomeno Web 2.0 è la dimensione sociale delle reti informatiche. L'accesso remoto alle reti aziendali, reso necessario dall'aumento del numero di “mobile worker”, di uffici delocalizzati in aree a basso costo della mano d'opera, di attività esternalizzate, e dall'esigenza di comunicare con i business partner e con i clienti, fanno sì che il perimetro delle reti IT aziendali abbia i confini sempre meno definiti ed estesi anche all'esterno dei limiti fisici delle strutture dell'azienda. Per questo motivo, tali confini sono anche sempre più difficili da difendere. Basti pensare che, secondo una stima della società di analisi Idc, entro il 2009 ci saranno nel mondo oltre 450 milioni di mobile worker. Il 75% delle aziende assisterà ad un aumento dei volumi di affari di tipo mobile, e ci saranno oltre 105 milioni di telelavoratori. Già oggi, negli Stati Uniti e in Europa, il 41% dei lavoratori è mobile, e passa almeno il 20% del proprio tempo fuori ufficio. Per questo motivo è necessario, da parte delle aziende, porre una maggiore attenzione sulla sicurezza dei dati anche per i lavoratori mobili, pur garantendo a questi ultimi la piena operatività. Le infrastrutture IT messe in piedi dalle aziende sono state progettate per molti anni con lo scopo di fornire solo ai propri dipendenti l'accesso a determinate funzioni ed informazioni. Per contro, non sono state mai pensate per fornire applicativi sicuri a qualsiasi utente, in ogni luogo ed usando qualsiasi dispositivo e per favorire la collaborazione, aspetti questi al centro del nuovo modo di lavorare reso possibile dal Web 2.0.

Sicurezza informatica:
l'evoluzione del concetto

L'Ing. Maurizio Mapelli, Segretario dell'Aispi (Associazione Italiana Professionisti della Sicurezza Informatica), intervenuto di recente ad una tavola rotonda organizzata a Milano dalla società Citrix, cui ha preso parte anche il Politecnico di Milano, osserva come ci sia stata negli ultimi anni una profonda evoluzione del concetto di sicurezza informatica. Negli anni '90, la sicurezza era semplicemente associata ad alcuni prodotti stand-alone, come antivirus e firewall e ad un approccio reattivo: si acquistava il prodotto per la sicurezza (e in molti casi lo si fa purtroppo ancora oggi), una volta che si era manifestato un problema di virus, di spam o di attacco alla rete. Oggi, per contro, la sicurezza informatica condiziona tutte le attività di un'azienda e costituisce un'esigenza irrinunciabile, non tanto per i possibili ritorni di investimento, che peraltro sono difficili da quantificare, ma perchè non se ne può fare a meno, anche per soddisfare i requisiti imposti dalle legislazioni, sempre più severe in materia di sicurezza informatica e di protezione dei dati e della privacy di dipendenti e clienti. Si parla quindi sempre più spesso di sicurezza integrata, che richiede un approccio olistico basato su piattaforme hardware/software complete e su una revisione dei processi aziendali che comprendano strategie ben definite di disaster recovery, di backup, e di gestione degli utenti, degli account, delle password e degli accessi alle reti e alle periferiche. Molto spesso i problemi di sicurezza sono causati dal comportamento dei dipendenti stessi dell'azienda, i quali nella maggior parte dei casi agiscono in buona fede, vanificando però gli effetti dei sistemi di sicurezza adottati a livello corporate.

Le tecnologie e le “best practice” per la sicurezza non devono essere in conflitto con le esigenze di business dell'azienda. Kurt Romer, Chief Security Strategy presso Citrix, osserva come in passato era essenzialmente il responsabile IT dell'azienda ad occuparsi della sicurezza delle reti e dei dati aziendali. Quest'ultimo, avendo una formazione più che altro tecnica, non era perfettamente a conoscenza degli aspetti organizzativi e più legati al business. Di conseguenza rischiava di mettere in pratica soluzioni troppo restrittive, ad esempio adottando un firewall che blocca qualsiasi dato o accesso sospetto, rischiando così di ostacolare o di bloccare il lavoro dei dipendenti e le attività critiche per l'azienda; oppure potevano optare per soluzioni più lasche, mettendo però a repentaglio la sicurezza dei dati aziendali.
È necessario quindi, da parte delle aziende, adottare soluzioni hardware e software per la sicurezza robuste e scalabili, che proteggano l'accesso alla rete, facendo sì che dati ed applicativi siano forniti solo agli utenti accreditati al momento giusto, con un controllo granulare sui pacchetti di dati trasmessi in rete e sulla manipolazione dei dati stessi. A questo scopo serve un approccio integrato non solo dal punto di vista hardware/software, ma anche di quello organizzativo: i sistemi per la sicurezza non vanno più pensati come dei semplici prodotti da aggiungere alle infrastrutture di rete aziendali, ma come parte integrante di queste ultime e, non da ultimo, dei processi aziendali stessi. Questi ultimi devono essere modificati non solo per risultare conformi alla legislazione vigente, ma anche per garantire la sicurezza delle infrastrutture IT aziendali in futuro, adottando un modello basato sulla creazione di un ecosistema completo per la sicurezza.

Sicurezza informatica:
alcuni dati

L'Aispi ha condotto di recente uno studio sull'approccio adottato dalle Pmi Italiane per garantire la sicurezza delle proprie reti informatiche. Queste ultime investono nelle soluzioni hardware e software per la sicurezza essenzialmente perchè costrette a farlo, per adeguarsi alle legislazioni vigenti. Ciò nonostante, si avvertono segnali incoraggianti di una maggiore sensibilità delle Pmi al tema della sicurezza delle reti informatiche, piuttosto in linea con altri mercati esteri. Il principale freno rimane la disponibilità di budget limitati.

Paolo Maccarone, Professore Associato presso la Facoltà di Ingegneria dei Sistemi del Politecnico di Milano e responsabile dell'Osservatorio Information Security Management della School of Management del Politecnico di Milano, ha presentato, in occasione della manifestazione Infosecurity 2008, che si è tenuta presso la nuova sede della Fiera di Milano dal 5 al 7 febbraio scorsi, i risultati di una ricerca basata sull'analisi di oltre 30 casi di studio di alcune tra le principali aziende italiane, e su una survey che ha coinvolto oltre 300 Chief Information Officer. Dai dati emersi dal rapporto, il quale può essere consultato e scaricato, previa registrazione, dal sito degli osservatori Ict e Management del Politecnico di Milano, emergono alcuni aspetti significativi sull'approccio delle aziende Italiane nei confronti della sicurezza. Uno di questi, a sorpresa, è il fatto che anche le grandi aziende italiane adottano purtroppo ancora un approccio “reattivo” verso la sicurezza. Esse sono quindi soggette ad ondate di interventi di urgenza sulle proprie infrastrutture IT, in relazione ad eventi (come attacchi, virus o spam) che si verificano. Questi interventi molto spesso si sovrappongono fra di loro e non sono coordinati. Inoltre, una volta passata la situazione di emergenza, questi interventi sono addirittura lasciati perdere o interrotti; ciò costituisce uno spreco, oltre che un pericolo potenziale per la sicurezza.

C'è ancora confusione attorno agli aspetti legati alla sicurezza e manca una netta visione strategica e un'attenzione verso l'analisi e la gestione dei rischi. Si tende purtroppo ad adottare approcci obsoleti, perdendo di vista i problemi più importanti per la sicurezza. Di questo sono responsabili in parte anche i vendor, i quali propongono più che altro soluzioni di tipo general purpose, mentre dovrebbero invece porre maggiore enfasi sulla verticalizzazione e sulla customizzazione delle soluzioni. Le grandi e le piccole aziende e i diversi settori hanno infatti delle specificità che vanno tenute in considerazione per poter mettere a punto infrastrutture efficaci per la sicurezza.

Un altro aspetto da non sottovalutare è la scarsa attenzione riservata agli aspetti procedurali e umani legati alla sicurezza: ad esempio, per vanificare l'effetto dei sistemi di autenticazione e di protezione, basta che un dipendente dell'azienda comunichi imprudentemente la propria password a qualcuno, o che lasci distrattamente le stampe di dati sensibili sulla stampante condivisa o a bordo della propria auto che viene in seguito rubata.
Occorre fare molta attenzione quando si esternalizza la gestione delle risorse IT, fenomeno questo, sempre più comune: un'azienda può adottare misure molto rigorose in termini di sicurezza, ma l'outsourcing può aprire voragini all'interno dei sistemi informativi delle aziende, e costituisce una variabile fuori dal controllo diretto da queste ultime. Anche se le aziende si possono tutelare contrattualmente in caso di attacchi alla rete IT con conseguente furto o perdita di dati sensibili (come i numeri di carta di credito dei clienti) o di proprietà intellettuale, i danni che ne conseguono, anche in termini di immagine, ricadono comunque sulle aziende stesse.

In alcuni settori infine sta emergendo il concetto di sicurezza dei processi industriali, che non hanno a che fare direttamente con la sicurezza delle informazioni. In passato queste funzioni erano gestite da sistemi stand-alone e con una tecnologia che non “dialogava” con il mondo esterno. Oggi per contro i Pc che governano i processi industriali sono in molti casi connessi a una rete Lan, e se non sono adottate misure severissime per la sicurezza, i pericoli possono essere notevoli: basta pensare a cosa succederebbe se un Pc che controlla un processo chimico fosse infettato da un virus.

Reti wireless e sicurezza

L'esigenza crescente di mobilità comporta seri problemi per la sicurezza. I dipendenti delle aziende che si trovano spesso ad operare fuori dal proprio ufficio richiedono la possibilità di accedere alle reti aziendali sempre e in ogni luogo. Ormai non c'è più distinzione fra gli utenti locali e quelli remoti, anche perchè è possibile accedere alla rete con diversi dispositivi, compreso il cellulare 3G. Questo ha un impatto enorme sulle politiche aziendali; è indispensabile che le aziende siano al corrente delle minacce esistenti e delle tecniche migliori per contrastarle.
Il problema è ancora più critico quando si considerano settori in cui la sicurezza delle reti può avere implicazioni sulla vita umana, come ad esempio nel settore della salute, in cui le tecnologie wireless stanno prendendo piede in modo lento ma progressivo. L'industria sanitaria spende complessivamente ogni anno 1.500 di miliardi di dollari, solo negli Stati Uniti; di questa cifra solo il 5% è destinato alle infrastrutture IT, e ancor meno alle tecnologie di rete wireless. Si tratta comunque di un giro d'affari che Frost & Sullivan valuta per oltre 637 milioni di dollari nel 2007 a livello mondiale. L'esigenza di migliorare l'assistenza sanitaria, di gestire budget sempre più limitati e di far fronte alla carenza di personale, spingono gli ospedali a passare alle tecnologie wireless per gestire le infrastrutture meglio e con meno risorse. La sfida consiste nel fornire al personale medico un accesso in tempo reale, rapido e intuitivo alle informazioni direttamente dal letto del paziente, mantenendo nel contempo aggiornate tutte le applicazioni e proteggendo i dati clinici.

Nel 2004 l'Ieee ha ratificato lo standard Ieee 802.11i, noto anche come Wpa2, il quale consente di integrare i protocolli crittografici e di autenticazione più evoluti all'interno delle reti wireless. Il protocollo 802.11i utilizza come algoritmo crittografico l'Aes (Advanced Encryption Standard) a differenza dei predecessori Wep e del Wpa che usano l'RC4, il quale è più semplice da realizzare, ma non costituisce uno standard aperto. Diverse aziende, fra cui Atheros, Broadcom e Texas Instruments, offrono chipset per reti Wireless Lan che supportano lo standard 802.11i. Nonostante i vantaggi apportati da tecnologie come l'802.11i, esistono comunque delle minacce serie per la sicurezza delle reti wireless. Ad esempio, se un utente cerca di collegarsi alla propria rete aziendale senza riuscirci, e trova nelle vicinanze reti non sicure con possibilità di accesso, potrebbe essere tentato a collegarsi, con un grosso rischio per la protezione dei dati. Oppure i lavoratori possono viaggiare con laptop pieni di dati sensibili e non adeguatamente protetti. Oppure ancora, osserva Paolo Lossa, Area Director per l'Italia, la Grecia e i Paesi del bacino del Mediteraneo di Foundry Networks, azienda specializzata nei sistemi per la gestione del traffico su rete, ci possono essere access point illegali che permettono ad utenti non autorizzati di accedere alla rete aziendale. Mentre nei primi due casi i rischi per la sicurezza sono legati ai comportamenti delle persone, per proteggersi contro gli access point illegali occorre poter localizzare questi dispositivi e disabilitarli. Il tracciamento dei dispositivi wireless aziendali può essere realizzato per mezzo di trasmettitori wireless a basso costo o di tag Rfid (Radio Frequency IDentification), usati in molte applicazioni per localizzare in tempo reale beni di valore o apparecchi. Ciò aggiunge una sicurezza di tipo fisico all'accesso wireless, esattamente come accade per le reti via cavo, ritenute più sicure delle reti wireless proprio per questo motivo. È possibile individuare access point illegali misurando la potenza del segnale emesso da questi ultimi e mappando i dati ottenuti. Combinando le tecniche di localizzazione con la tecnologia 802.11i, è possibile realizzare un sistema di autenticazione trasparente, integrato e a bassa manutenzione.

Un pericolo spesso trascurato:
il furto delle risorse IT

Molti utenti, per comodità, copiano i dati sensibili sul proprio laptop aziendale, smart phone o Pda, su memorie SD o chiavi Usb, ignorando o sottovalutando i pericoli per la sicurezza che ne possono derivare. Ad esempio, le informazioni relative ai destinatari delle e-mail e i documenti ad esse associati sono archiviati in un dispositivo che può essere facilmente rubato, e comunque sono facilmente accessibili. Una grande quantità di dati sensibili è attualmente memorizzata sui laptop aziendali, e le aziende non possono permettersi di perderli o farseli rubare. Si possono rischiare di avere pesanti implicazioni di carattere legale, sugli affari o sulle relazioni con i clienti. Secondo Safeware, una società di assicurazioni specializzata nelle assicurazioni sugli apparecchi elettronici, nel 2004 sono stati rubati nel mondo oltre 600.000 laptop, pari al 5% del totale dei laptop aziendali, per un valore stimato di oltre 3,6 miliardi di euro in perdita di dati e di proprietà intellettuale. Secondo una stima effettuata negli Stati Uniti dall'Fbi, il 97% dei computer rubati non viene mai recuperata. Gartner stima che tre quarti della aziende nel mondo non stia adottando delle policy precise per far fronte ai furti di laptop.
Per limitare i danni, una volta che il laptop è stato rubato, è necessario adottare tecniche avanzate di protezione dei dati, in grado di localizzare il Pc rubato e di accedervi da remoto cancellando tutti i dati prima che finiscano nelle mani sbagliate. Questo è possibile per mezzo di opportuni software combinati con la tecnologia Rfid o di localizzazione Gps.

Un approccio integrato basato sulla virtualizzazione

Nel passato, la tendenza era di “isolare” le reti aziendali, rendendole inaccessibili dall'esterno. Come già accennato, oggi questo non è più possibile senza limitare e ostacolare pesantemente le attività aziendali. Quindi, anziché rendere sicure le infrastrutture di rete, è necessario piuttosto rendere sicuri i dati degli applicativi, a prescindere dalla particolare soluzione hardware usata per la sicurezza. Questo è possibile attraverso le tecniche di virtualizzazione, che si stanno progressivamente affermando. La virtualizzazione rende disponibili dati ed applicativi attraverso l'accesso da remoto ad un sistema centralizzato. Essa quindi implica al contempo la separazione fra lo strato fisico e quello logico della rete e un accoppiamento dinamico fra i due. Il sistema IT può quindi essere adattato in modo flessibile al flusso di lavoro richiesto in un particolare momento, senza compromessi sulla sicurezza.
Dal punto di vista operativo, quando l'utente richiede l'accesso a dati sensibili, anziché avere accesso diretto a questi ultimi, riceve una loro rappresentazione virtuale, che consente comunque di lavorare pur mantenendo dati e applicazioni isolati dall'ambiente esterno. Il responsabile IT della società può stabilire chi può avere accesso ai dati, se è possibile o meno stampare documenti ed e-mail, e definire policy per la sicurezza ad hoc per ogni tipo di applicazione.
La virtualizzazione consente di avere stesso livello di sicurezza indipendentemente dall'applicazione e dall'hardware sottostante, a prescindere dal fatto che sia nuovo o già esistente. Consente tra l'altro di consolidare le risorse IT, con notevoli risparmi per le aziende. Inoltre, rende accessibili dati e funzioni sempre ed ovunque, indipendentemente dal dispositivo usato per accedere a questi ultimi, senza dover reinstallare software ogni volta che si acquista un nuovo PC o un laptop; basta disporre di un semplice browser per essere operativi. La virtualizzazione garantisce un livello di sicurezza elevato, perchè i dati rimangono fisicamente all'interno del data centre aziendale. I dipendenti possono anche portarsi a casa il lavoro, senza che le informazioni siano scaricate dalla rete aziendale, e senza che questi ultimi debbano preoccuparsi di adottare particolari procedure per la sicurezza, al di fuori dell'autenticazione.

L'hardware per la sicurezza:
alcune soluzioni a confronto

Come già accennato, i sistemi più avanzati per la sicurezza IT richiedono un controllo granulare sui pacchetti di dati trasmessi in rete. Le soluzioni tradizionali per la sicurezza, come i firewall, sono ormai inadeguate per proteggere le reti aziendali dagli attacchi. Essi infatti si limitano a filtrare il traffico sulla rete in base alle intestazioni dei pacchetti ai livelli 3 e 4 della rete. Oggi però gli attacchi tendono a sfruttare le vulnerabilità della rete a livello applicativo (il livello 2). Per poter fermare questi attacchi, occorre analizzare il contenuto stesso dei pacchetti individuando eventuali virus, spam, contenuti indesiderati e tentativi di accesso alla rete non autorizzati, ed associando a questi ultimi delle “firme”. Ogni elemento o nodo della rete deve quindi avere la capacità di analizzare il contenuto dei pacchetti di dati trasmessi sulla rete stessa, senza aggiungere latenze significative alla rete. I dispositivi comunemente usati per ispezionare il contenuto dei pacchetti dati sono i processori general purpose, i Dsp, gli Asic, gli Fpga e i Network Processor.

I processori general purpose, solitamente in architettura Risc o “augmented Risc” (la quale integra un acceleratore hardware), sono dotati di un insieme di istruzioni e di risorse in termini di spazio degli indirizzi, che sono ideali per l'ispezione dei pacchetti. Questa soluzione tuttavia non è in grado di scalare con le elevate velocità, dell'ordine dei Gigabit al secondo, delle reti di ultima generazione. I Dsp offrono elevate prestazioni, al prezzo però di una maggiore complessità del progetto. Gli Asic offrono prestazioni spinte e costi unitari contenuti, ma mancano di flessibilità.
La tecnologia Fpga assicura una notevole flessibilità, la programmabilità hardware e la riconfigurabilità sul campo. Offre una potenza di elaborazione dei pacchetti elevata a fronte di consumi relativamente contenuti, sfruttando il loro parallelismo intrinseco. Consente inoltre di ridurre considerevolmente il numero di componenti su scheda integrando grandi quantità di porte logiche, di I/O ad alta velocità e di core IP ottimizzati per l'elaborazione di rete.

I “processori di rete” o Npu (Network Processor Unit), introdotti sul mercato a partire dalla fine degli anni '90, combinano la programmabilità software con le prestazioni e i prezzi unitari degli Asic. Offrono quindi buone prestazioni ed un certo grado di flessibilità e scalabilità. Questi dispositivi possono essere usati in diversi punti della rete, ad esempio nei router e nei sistemi di bilanciamento dei carichi alla periferia, e si possono interfacciare con Asic o Fpga. Sono in grado di analizzare i pacchetti di dati con elevata granularità, alla massima velocità supportata dal sistema. Fra i principali produttori di Npu figurano Amcc, Bay Microsystems, Broadcom, l'israeliana EzChip, Freescale, Ibm, Intel, Lsi, Marvell, MindSpeed, Vitesse, Wintegra e Xelerated.

I progettisti ricorrono spesso anche ai coprocessori. Questi ultimi gestiscono il traffico su rete in modo più efficiente, scaricando la Npu dalle funzioni ad alta intensità di calcolo e riducendo la congestione sul bus del sistema. Ai processori di rete possono essere affiancati più coprocessori, che si dividono così i compiti. Ne costituiscono un esempio i Nse (Network Search Engine) di Idt e i dispositivi di interfaccia di Pmc-Sierra. I coprocessori sono in grado di operare sia con dispositivi Npu, sia con gli Asic. Offrono al contempo vantaggi di prestazioni e di scalabilità, bassi consumi e un costo per porta più basso rispetto alle soluzioni tradizionali, assicurando un grado elevato di sicurezza e di protezione contro gli attacchi organizzati alla rete. La società Sensory Networks ha svilppato una soluzione alternativa per l'ispezione dei pacchetti, che combina l'uso di acceleratori software con Cpu (come i dispositivi Quad-core Xeon di Intel) e processori grafici multicore. Questa soluzione consente di ottenere prestazioni elevate e scalabilità a costi contenuti.

La protezione dell'accesso fisico alle reti

Un altro aspetto da non trascurare per garantire la sicurezza delle reti di ultima generazione è il fatto che la sicurezza fisica e quella IT devono essere strettamente integrate, attraverso l'uso di dispositivi che controllano l'accesso alla rete da parte di Pc, terminali mobili e periferiche. Ne costituiscono un esempio i lettori di smart card e quelli biometrici, i quali si basano tipicamente sull'acquisizione dell'impronta digitale. Questi sistemi di autenticazione offrono numerosi vantaggi rispetto all'approccio tradizionale basato sulle password. La gestione delle password comporta infatti costi ingenti per aziende e organizzazioni. Le pratiche tradizionali relative alle password sono spesso aggirate o non seguite dai dipendenti. Da un'indagine della società Idc emerge che dal 30% al 50% delle risorse degli help desk aziendali sono spese per il ripristino delle password smarrite. Lo staff IT nelle aziende passa in media 28 minuti al giorno per risolvere problemi di password per i dipendenti, il che si traduce in una perdita di produttività per oltre 7.000 dollari. Si stima che i costi annuali legati alla gestione delle password possono raggiungere in tutto 13.000 euro per lavoratore mobile.