Pagine

Visualizzazioni totali

venerdì 15 aprile 2011

Ethical hacking, la miglior difesa è la consapevolezza


“È fondamentale per un’azienda essere consapevole del livello effettivo di rischio al fine di implementare le azioni correttive per aumentare il livello di sicurezza”

Le attività di Ethical Hacking sono principalmente pratiche utili al management aziendale, poiché sono il risultato di competenze tecniche ed organizzative che consentono l'analisi e le scelte migliori per risolvere i problemi nell'ambito della sicurezza informatica. Questo consente di prendere coscienza della capacità di difesa della propria rete o dei propri sistemi, rendendo visibili le eventuali debolezze che un hacker esperto potrebbe sfruttare, dando quindi la possibilità di difendere al meglio la propria infrastruttura. Ne abbiamo parlato con Laura Zazzara - responsabile dell’offerta di Sicurezza di Akhela.

Puoi descrivermi il fenomeno dell'ethical hacking?

Gli hacker sono nati come persone curiose e motivate, con una buona dose d’individualismo, una gran passione per reti e computer e una forte voglia di ampliare sempre di più il proprio bagaglio di conoscenze tecniche. Purtroppo con il passare del tempo molte di queste persone si sono fatte attrarre da facili guadagni e hanno deciso di mettere queste capacità a disposizione della criminalità organizzata che li assolda per scopi e obiettivi illegali: spionaggio industriale, furto di credenziali di accesso bancarie o identità personale, danneggiamento di sistemi informatici. Gli ethical hacker, in difesa dello spirito iniziale della loro passione, si contrappongono a ciò, usando le stesse capacità in maniera etica, seria, trasparente, per verificare la sicurezza di reti, sistemi e applicazioni, al fine di individuare vulnerabilità, prevenire frodi e truffe, delineare il livello effettivo di rischio e proporre azioni correttive per aumentare il livello di sicurezza.

Quali sono le possibilità che Akhela mette a disposizione dei suoi clienti?

Akhela offre ai propri clienti non solo servizi e prodotti di sicurezza, ma innovazione, esperienza, soluzioni che consentono di supportare in modo efficace le esigenze di sicurezza di ogni Azienda. Ogni soluzione nasce da esperienze specifiche e viene costantemente aggiornata a fronte delle nuove sfide che quotidianamente vengono lanciate alla sicurezza aziendale. Un costante monitoraggio del mercato internazionale ci consente di proporre ai nostri clienti i prodotti tecnologicamente più avanzati e affidabili. Akhela vanta un’offerta particolarmente innovativa nell'area della sicurezza applicativa, della Mobile Security, dell’Automotive e della Sicurezza Industriale (reti SCADA/DCS).

Come è costituito il vostro gruppo di hacker?

La nostra organizzazione parte dal presupposto che è fondamentale garantire la totale riservatezza dei dati dei nostri clienti. Il nostro gruppo di hacker è rigorosamente costituito da personale con contratto di lavoro dipendente sia per capitalizzare e consolidare l’esperienza accumulata, sia perché operando per l'analisi e la gestione della sicurezza, riteniamo pericoloso ed improponibile l'erogazione dei servizi con personale di terze parti del quale non si abbia un diretto controllo. Le nostre persone operano indifferentemente all’interno dei due SOC (Security Operation Center) presenti a Cagliari e Torino o presso le sedi dei Clienti. L’area SOC è separata rispetto all’area operativa di Data Center ed è protetta da un sistema di controllo accessi specifico per la massima tutela dei dati trattati. All’interno dell’area SOC sono stati ricavati dei piccoli ambienti (protetti da controllo accessi) dedicati a Clienti specifici, all’interno dei quali hanno accesso esclusivamente gli ethical hacker che hanno siglato un accordo di Non Disclosure Agreement con il Cliente. Tutte le connessioni tra il SOC Akhela e le reti dei Clienti, laddove questo sia previsto, avvengono in maniera protetta e criptata. Non vengono conservati all’interno della struttura documenti, comunicazioni o informazioni in chiaro, se non preventivamente concordato con i Clienti.

Quali sono stati i risultati raggiunti?

La presenza di personale competente e motivato è un fattore chiave per il successo di un progetto. Il team di ethical hacker di Akhela è costituito da figure professionali con skill specialistici molto elevati a cui vengono costantemente affiancati ragazzi brillanti, spesso provenienti dall’underground, che prima di operare per i clienti subiscono un duro periodo di “quarantena” in cui vengono formati sui principi etici. La scelta di inserire costantemente nel team nuovi giovani entusiasti per sperimentare nuove tecniche è perché siamo convinti che la sperimentazione conduca sempre all’innovazione. Questo processo è iniziato nel 2004 e ad oggi vantiamo i migliori professionisti del settore sia per capacità che per etica professionale, come confermato dai continui riconoscimenti dei nostri clienti e dalla costante crescita del nostro fatturato.

Non c'è il rischio che l'ethical hacking sia sempre indietro nella corsa contro il male?

In questo periodo storico il cyber crime è il business criminale più in ascesa e con i più elevati margini di futura diffusione; ad oggi fattura più del traffico di armi e droga. Questa diffusione si basa su una serie di fattori che accomunano tante altre tipologie di crimini, con la differenza che un cyber criminale può attaccare migliaia di sistemi in un solo colpo, oppure rubare migliaia di numeri e codici di carte di credito in pochi minuti con la radicata illusione di non poter essere scoperto.

Per rispondere alla domanda se i cattivi sono sempre un gradino davanti ai buoni, posso dire che sino a qualche tempo fa era così. Oggi la preparazione della maggior parte dei criminali informatici è abbastanza carente, perché la voglia di apprendere, presente sino a qualche tempo fa, ha lasciato il posto alla voglia di strafare e agire subito. Quindi, in questi anni, per la prima volta, gli ethical hacker stanno riuscendo a contrastare gli hacker “cattivi”.

Dal tuo punto di osservazione privilegiato, qual è la situazione nel settore della security in Italia?

Penso che la sicurezza, in tutte le organizzazioni debba partire dal fattore umano. Nelle aziende italiane si continua ad investire su strumenti tecnologici e il fattore umano rimane l’elemento più scoperto e vulnerabile. In generale c'è una scarsa attenzione verso il personale; per fare un esempio, in tutti i settori si sono diffusi i “lavoratori temporanei” e gli “stagisti” che spesso lavorano su progetti riservati a cui non dovrebbero essere ammessi e che, dopo poco tempo, magari lavorano per la concorrenza. Un altro esempio è quello dei call-center "in outsourcing", che per l’erogazione dei servizi di supporto, mettono una quantità enorme di informazioni riservate a disposizione di giovani con salari modesti che, teoricamente, potrebbero non mettersi troppi scrupoli se qualcuno gli offrisse una ricompensa in cambio delle informazioni a cui hanno accesso.

Fonte: Data Manager - Autore: Antonio Savarese