00:02 Introduzione
02:12 Il cybercrime in aumento
05:59 Scenario competitivo
10:41 La storia finora
13:00 9 cerchi dell’inferno
14:50 Modello di minaccia (concetti 1/3)
20:54 Superficie di attacco (concetti 2/3)
25:14 Raggio nero (concetti 3/3)
30:48 Hardware non sicuro (peccati 1/3)
38:05 Software non sicuro (peccati 2/3)
43:42 Attacchi alla supply chain (peccati 3/3)
49:22 Saggezza comune (virtù 1/3)
57:23 Inversione di sicurezza (virtù 2/3)
01:03:28 (In)Sicuro per design (virtù 3/3)
01:09:56 Conclusioni
01:12:10 Prossima lezione e domande del pubblico
Descrizione
Il cybercrime è in aumento. Il ransomware è un business in crescita. A causa della loro natura fisicamente distribuita, le supply chain sono particolarmente esposte. Inoltre, la complessità ambientale è un terreno fertile per i problemi di sicurezza informatica. La sicurezza informatica è controintuitiva per design, perché è proprio l’angolazione adottata dagli attaccanti per individuare ed sfruttare le vulnerabilità. A seconda delle varianti delle ricette numeriche coinvolte nell’ottimizzazione della supply chain, il rischio può aumentare o diminuire.
Trascrizione completa
Benvenuti a questa serie di lezioni sulla supply chain. Sono Joannes Vermorel e oggi presenterò “Cybersecurity per la supply chain”. Le moderne supply chain sono ampiamente guidate dal software e lo sono sempre di più ogni giorno che passa. Sebbene il software offra grandi vantaggi, come una maggiore produttività o una maggiore reattività, presenta anche gravi svantaggi. Tra questi svantaggi c’è la sicurezza informatica, che rappresenta una classe di problemi a sé stante e può rivelarsi estremamente costosa. Tuttavia, per la supply chain non c’è possibilità di tornare a un’era pre-software; non è più possibile gestire in modo redditizio una supply chain su larga scala senza software. Pertanto, la sicurezza informatica deve essere affrontata frontalmente.
Il primo obiettivo di questa lezione sarà comprendere l’entità e la portata della sfida della sicurezza informatica, in particolare dal punto di vista della supply chain, per capire cosa serve per proteggere una moderna supply chain. Il secondo obiettivo di questa lezione sarà comprendere cosa rende la sicurezza informatica così unica e impegnativa, perché è profondamente controintuitiva. In particolare, dal punto di vista della supply chain, vogliamo capire cosa rende le intuizioni applicabili alla sicurezza informatica così avverse alla saggezza comune che prevale nella maggior parte dei circoli della supply chain.
La cybercriminalità è in aumento da oltre un decennio. L’FBI fornisce statistiche molto interessanti sulla cybercriminalità. Lo scorso anno, le perdite segnalate negli Stati Uniti per la cybercriminalità ammontavano a oltre 4 miliardi di dollari. Questi numeri probabilmente sottovalutano l’entità del problema, poiché le aziende, per varie ragioni, sono inclini a sottostimare i problemi. Innanzitutto, ci sono gli incidenti di piccola scala, che sono particolarmente difficili da valutare e quantificare. Ad esempio, se si perde mezza giornata di operazioni di magazzino in un magazzino a causa di una violazione minore della sicurezza informatica, questo è difficilmente il tipo di incidente che giustifica una segnalazione effettiva e una richiesta di risarcimento danni, anche se c’è stato un danno reale.
D’altra parte, gli incidenti di grande portata tendono ad essere sottostimati dalle grandi aziende, se solo per evitare di causare un panico di mercato nel caso in cui l’azienda sia quotata in borsa. Pertanto, gli incidenti di grande portata tendono ad essere minimizzati. Tuttavia, i dati più importanti e interessanti di questi rapporti sono la crescita annuale delle perdite segnalate, che si attesta a circa il 30 percento. L’FBI mostra che questi numeri sono stati molto stabili negli ultimi cinque anni. La mia opinione personale è che questa crescita è molto probabile che rimanga stabile in termini di tendenza di crescita per il decennio a venire. Infatti, l’importanza del software sta ancora crescendo costantemente e la nostra economia moderna sta diventando sempre più dipendente dal software. Pertanto, sospetto che questa tendenza continuerà a crescere per circa un decennio prima di raggiungere un plateau.
Ora, la cybercriminalità è un problema importante e sta diventando sempre più grande; tuttavia, non è la fine del mondo, specialmente se la confrontiamo con l’entità di altri problemi. Ad esempio, se assumiamo un decennio di crescita annuale costante del 30 percento, la cybercriminalità in termini di perdite segnalate raggiungerebbe circa 50 miliardi di dollari all’anno negli Stati Uniti. Questo farebbe sì che l’entità di questo problema sia circa un terzo del mercato illegale delle droghe. Quindi, sebbene la cybercriminalità sia un grosso problema, non è esattamente un problema di livello apocalittico, specialmente se confrontiamo questa cifra con il PIL degli Stati Uniti. Tuttavia, è un problema che sta diventando abbastanza serio da richiedere molta attenzione dedicata, specialmente perché la maggior parte dei costi è sostenuta dagli attori che prestano meno attenzione. Questo costo non è distribuito in modo uniforme e la mia opinione è che le supply chain, essendo particolarmente esposte, sopportino una parte maggiore di questo costo rispetto al resto dell’economia. In questa porzione, le aziende che prestano meno attenzione stanno effettivamente sostenendo la maggior parte del costo.
Per creare un problema di sicurezza informatica, è possibile compromettere macchine, persone o una combinazione di macchine e persone. Le tecniche che sfruttano le persone sono tecnicamente note come tecniche di ingegneria sociale, che possono essere incredibilmente efficienti nel sfruttare i problemi di sicurezza informatica. Tuttavia, l’ingegneria sociale meriterebbe una lezione a sé stante e oggi l’obiettivo di questa lezione è concentrarsi sulla parte informatica del problema. Le supply chain sono molto esposte, praticamente per design. Primo, le supply chain coinvolgono molte macchine. Secondo, le supply chain sono costituite da operazioni geograficamente distribuite. Terzo, per design, le macchine nelle supply chain sono incredibilmente interconnesse e interdipendenti. Infine, molte persone sono coinvolte nelle supply chain, il che significa che il panorama applicativo è molto complesso. Dove c’è complessità, c’è anche fragilità in termini di sicurezza informatica. Nel complesso, le supply chain hanno tutti gli ingredienti per essere obiettivi principali dei problemi di sicurezza informatica.
Se non fosse abbastanza complicato, vorrei subito sottolineare che la sicurezza informatica è tipicamente in conflitto con altri tipi di sicurezza e quindi migliorare la situazione sul fronte della sicurezza informatica potrebbe effettivamente creare altri tipi di problemi di sicurezza. Per illustrare questo aspetto, che potrebbe essere piuttosto controintuitivo, diamo un’occhiata al caso di un data lake. Se si introduce un data lake in cui si raccolgono tutti i dati della supply chain, si crea un singolo punto di fallimento. Se c’è una violazione in questo data lake e un intruso può comprometterlo, allora questo unico attaccante sarà in grado di esfiltrare tutti i dati in una volta sola. Questo è qualcosa che deriva dal design stesso della nozione di data lake e non c’è alcuna soluzione alternativa.
Tuttavia, un data lake ha anche i suoi vantaggi. Se non abbiamo un data lake, l’azienda è esposta a un’altra classe di problemi. La maggior parte delle frodi aziendali si basa sul fatto che, tipicamente in un’organizzazione di grandi dimensioni, la mano destra non sa cosa fa la mano sinistra, e questa mancanza di comunicazione e sincronizzazione all’interno dell’azienda può essere utilizzata per commettere vari tipi di frodi. Un modo per mitigare questi problemi consiste nel mettere insieme tutti i dati in modo che tali frodi diventino molto più evidenti, proprio perché tutti i pezzi sono stati messi insieme. A questo proposito, avere un data lake può essere un ottimo modo per mitigare vari tipi di frodi che altrimenti passerebbero inosservate solo perché i dati non possono essere conciliati. Pertanto, possiamo vedere che avere un data lake crea un problema di sicurezza informatica, ma fa anche parte della soluzione per evitare vari tipi di frodi che possono essere molto costose per l’azienda.
Vediamo qui che la sicurezza informatica riguarda tutti i compromessi, non solo tra i costi coinvolti nei meccanismi di sicurezza, ma anche tra altri tipi di sicurezza che vanno oltre il campo specifico della sicurezza informatica.
Questa lezione è la settima lezione di questo quarto capitolo sulla supply chain, e questo quarto capitolo è dedicato alle scienze ausiliarie della supply chain. Le scienze ausiliarie rappresentano argomenti che non sono esattamente supply chain ma sono fondamentali per una pratica moderna della supply chain.
Da quando abbiamo iniziato questo quarto capitolo, siamo saliti sulla scala dell’astrazione. Abbiamo iniziato con la fisica del calcolo e poi ci siamo spostati verso il software con l’elemento più basilare del software, ovvero gli algoritmi. Siamo poi entrati in due tipi specifici di algoritmi piuttosto elaborati, l’ottimizzazione matematica e l’apprendimento automatico, che sono di grande interesse per la supply chain. In particolare, abbiamo visto che sia l’ottimizzazione matematica che l’apprendimento automatico si dimostrano guidati dai paradigmi di programmazione. Abbiamo quindi fatto un breve excursus attraverso la lezione su linguaggi e compilatori, che è probabilmente uno degli argomenti più sottovalutati nei circoli della supply chain per quanto riguarda la conoscenza informatica.
Nell’ultima lezione, ci siamo addentrati nell’ingegneria del software, concentrandoci sul lasciare per un po’ da parte le macchine e focalizzandoci sulle persone che creano il software necessario per far funzionare una supply chain in primo luogo. Oggi, dopo esserci concentrati su ciò che serve per creare il software necessario alla tua supply chain per funzionare, ci concentreremo su ciò che serve per distruggere e disabilitare proprio questo software che dovrebbe far funzionare la tua supply chain.
Il resto di questa lezione sarà diviso in tre blocchi. Prima, rivedremo tre concetti chiave che sono di interesse anche per comprendere la sicurezza informatica. Sebbene la sicurezza informatica sia profondamente controintuitiva, ciò non significa che sia impermeabile alla razionalità e all’analisi logica. In secondo luogo, analizzeremo e elencheremo una serie di cause principali molto comuni di molti, se non la maggior parte, dei problemi di sicurezza informatica al giorno d’oggi. In particolare, vedremo che è difficile non sentirsi sopraffatti considerando la portata stessa delle cause principali dei problemi di sicurezza informatica. Infine, daremo un’occhiata a ciò che può essere fatto per mitigare almeno i rischi di sicurezza informatica. Vedremo che gran parte delle conoscenze da trovare sul lato positivo, o sul lato di ciò che può essere fatto, è del tipo di conoscenza negativa, che enfatizza ciò che deve essere evitato piuttosto che ciò che dovrebbe essere fatto. Cercherò di coprire tutti questi argomenti da una prospettiva di supply chain; tuttavia, ci sono molti aspetti che non sono incredibilmente specifici della supply chain per quanto riguarda la sicurezza informatica.
Per pensare a una soluzione, dobbiamo prima chiarire il problema che stiamo cercando di risolvere in primo luogo. Questa è la linea di pensiero esatta che ho avuto per il terzo capitolo di questa serie, che è dedicato al personale della supply chain. Infatti, il personale della supply chain cerca di cristallizzare i problemi stessi che stiamo cercando di risolvere, e nella sicurezza informatica c’è un equivalente approssimativo sotto forma del modello di minaccia. Il modello di minaccia è letteralmente uno strumento per cristallizzare il tipo di problema che stiamo cercando di risolvere dal punto di vista della sicurezza. La sicurezza informatica è piuttosto sfuggente, vaga e diversificata; è molto difficile ragionare sulla sicurezza informatica. Quando si ha una discussione sulla sicurezza, è molto difficile non incorrere nel problema di spostare gli obiettivi durante la discussione, anche se le persone che partecipano alla discussione lo fanno in buona fede.
Ad esempio, se stiamo discutendo della minaccia di rendere pubblica una password da parte di un dipendente, che è più facile di quanto sembri anche se il dipendente non ha torto, la discussione non dovrebbe deviare verso altri tipi di minacce, come avere password deboli o comuni. Pensare chiaramente a una minaccia è essenziale nella sicurezza informatica perché una rimediazione mal concepita a un determinato problema tende ad essere peggiore del problema originale. Se un’azienda decidesse che, al fine di limitare il problema delle password esposte, procederebbe con azioni disciplinari nei confronti dei dipendenti colpevoli di divulgare le loro password, questo approccio probabilmente avrebbe un effetto negativo grave. Invece di cercare supporto, i dipendenti inizierebbero a nascondere i problemi che affrontano con le loro password, rendendo il problema peggiore nel lungo periodo.
La cosa interessante dei modelli di minaccia è che ti costringono a scegliere le tue battaglie, a scegliere le minacce che affronterai e quelle che non affronterai, anche se la minaccia è reale. Ad esempio, considera la seguente minaccia: cosa succederebbe se un dipendente disonesto avesse accesso ad alto privilegio al data lake? Cosa succederebbe se questa persona dovesse esfiltrare dati, sfruttando i suoi alti privilegi? Questa è una minaccia, ma decidi di combattere questa minaccia specifica o no? Hai risorse limitate e tempo limitato. Affrontare questa minaccia molto specifica può rivelarsi incredibilmente costoso e quindi la modellazione delle minacce ti aiuta anche a decidere che, ad un certo punto, ci sono alcune minacce che sono semplicemente troppo costose da affrontare. Le tue risorse e il tuo tempo sarebbero meglio impiegati per affrontare altri tipi di minacce, che possono essere altrettanto pericolose ma molto più economiche e facili da affrontare.
A questo proposito, attenzione alle analogie. Il tipo di minacce che affronti nella sicurezza informatica è completamente diverso dal tipo di minacce che affronti in termini di rischio industriale o rischio fisico. La sicurezza informatica coinvolge avversari - persone che possono pensare e adattare le loro azioni alle tue pratiche e politiche. Ad esempio, se hai processi di sicurezza ben documentati, un attaccante potrebbe approfittare di questa documentazione esistente per individuare i tuoi punti ciechi. Il mio punto non è che non dovresti avere alcuna documentazione riguardo alla sicurezza; il mio punto è che quando si tratta di sicurezza informatica, gli avversari sono intelligenti e possono approfittare di tutto ciò che gli dai, anche se sono i tuoi stessi processi di sicurezza. Pertanto, la modellazione delle minacce aiuta davvero a iniziare a pensare a questo tipo di problemi.
Nel mondo fisico, la superficie di attacco è qualcosa di relativamente ovvio. Se dovessimo pensare a un castello medievale, la superficie di attacco sarebbero le mura e il ponte levatoio. Tuttavia, nel mondo informatico, la situazione è molto più complessa. In termini di sicurezza informatica, elementi apparentemente insignificanti possono essere potenzialmente attaccati. Una chiave intuizione sulle superfici di attacco è che sono sempre più grandi di quanto si pensi.
Un esempio concreto di ciò è il cavo OMG, che sembra un normale cavo USB ma contiene al suo interno un microcomputer in grado di compromettere qualsiasi computer semplicemente collegando il cavo. Questo pezzo di hardware economico può essere acquistato per soli $139, dimostrando quanto siano accessibili queste superfici di attacco.
In termini di superfici di attacco, ogni singolo componente hardware e software ha la propria superficie di attacco, per quanto insignificante possa sembrare. Inoltre, nel caso specifico della supply chain, è molto difficile identificare tutte le superfici di attacco. L’IT ombra, che è diffuso nel mondo della supply chain, e i dispositivi di proprietà dei dipendenti (modelli di bring your own device) sono ulteriori punti di ingresso per un attaccante nella tua supply chain. Non si tratta solo di ciò che è gestito dal team IT, ma anche di tutte le cose che non sono gestite dal tuo team IT ma che contribuiscono, in un modo o nell’altro, alle operazioni della tua supply chain.
L’idea riguardo la superficie di attacco è di chiarire cosa può essere attaccato, non concentrarsi su come può avvenire l’attacco. Concettualmente, la cosa interessante dell’idea di superficie di attacco è che ti costringe a creare una sorta di mappatura di tutti gli elementi che possono essere compromessi in un modo o nell’altro. Da una prospettiva specifica della supply chain, qualsiasi tipo di software con capacità programmabili, come i fogli di calcolo di Excel o gli script Python, ha una superficie di attacco assolutamente enorme se la programmabilità o la compatibilità estesa viene fatta con un linguaggio di programmazione generico. Pertanto, per quanto riguarda la supply chain e considerando la quantità di configurazione in corso, la superficie di attacco è tipicamente molto ampia.
Ora, come terzo concetto, abbiamo il raggio di esplosione, che è un modo per misurare l’impatto potenziale totale di un evento di sicurezza. Quando si inizia a pensare in termini di raggio di esplosione, non ci si chiede se questo evento accadrà; si inizia semplicemente a pensare: “Quando accadrà, qual sarà il vero raggio di esplosione del problema?” L’idea è quella di cercare di pensare alle conseguenze, indipendentemente dalle misure di mitigazione in atto. Se e quando questo evento accade, qual sarà l’impatto?
Se torniamo all’analogia del castello, il raggio di esplosione nel mondo dei computer può essere incredibilmente ampio. Ad esempio, nel caso dell’attacco alla Colonial Pipeline, il sistema compromesso era solo una piccola parte del sistema, semplicemente il sistema di fatturazione. Il vero raggio di esplosione di avere il sistema di fatturazione di una singola azienda compromesso ha colpito l’intero stato del Texas. Questo ti dà un’idea del vero raggio di esplosione dei problemi di sicurezza informatica quando si inizia a pensare alle supply chain.
Con l’avvento del cloud computing, i raggi di esplosione si sono enormemente ampliati. Sebbene il cloud computing sia estremamente competitivo come modello di business e modello operativo IT, comporta raggi di esplosione massicci. Se un attaccante ottiene il controllo amministrativo delle tue risorse di cloud computing, può annullare l’intero panorama delle tue applicazioni in una sola volta, creando un singolo punto di fallimento con conseguenze di vasta portata. Il fatto che tu stia spostando le app nel cloud tende ad aggravare il problema dell’interconnessione, che porta a raggi di esplosione più ampi.
Quando sposti le app nel cloud, ottieni facilità nell’interconnetterle con altre app nel cloud, il che comporta vantaggi commerciali reali. Tuttavia, in termini di raggi di esplosione, stai creando interdipendenze massicce che possono essere sfruttate da un attaccante per generare un raggio di esplosione di dimensioni sorprendenti.
In termini di supply chain, pensare al raggio di esplosione è un buon modo per pensare a modi per mitigare quei raggi di esplosione. Se torniamo a un altro esempio di supply chain, consideriamo che, come ho descritto nella precedente lezione, abbiamo due tipi di elementi software nella gestione della supply chain. Abbiamo gli elementi transazionali, che sono essenzialmente la gestione della supply chain stessa, come il monitoraggio dei livelli di stock. Poi, abbiamo gli elementi analitici, che riguardano l’ottimizzazione della supply chain, comprese le previsioni, la pianificazione e varie analisi statistiche dei dati.
Se decidiamo di mantenere tutti gli elementi software di natura analitica strettamente isolati dalla produzione, in modo che la parte analitica del tuo paesaggio applicativo possa leggere i dati dai sistemi transazionali ma non scrivere nulla in quei sistemi, significa che quando i sistemi analitici vengono compromessi, il raggio di esplosione sarà contenuto nella parte analitica del tuo paesaggio applicativo. Più semplicemente, se il tuo software di previsione viene compromesso, non compromette il software che tiene traccia dei tuoi livelli di stock.
Ora, rivediamo le cause principali e le fonti dei problemi di sicurezza informatica. Per quanto riguarda l’hardware, la situazione è assolutamente terribile. In breve, il barile sta perdendo da tutte le parti e l’intera comunità continua ad applicare nastro adesivo per risolvere in fretta i problemi che continuano a emergere. Quasi tutto l’hardware è rotto al giorno d’oggi.
Ad esempio, tutti i processori moderni sono praticamente rotti. Nel 2018, un team di ricercatori in sicurezza ha svelato due nuove classi di vulnerabilità nei processori moderni chiamate Spectre e Meltdown. Queste vulnerabilità sfruttano le capacità di previsione dei rami presenti nei processori moderni. Come potresti ricordare dalla lezione sulla moderna informatica per la supply chain, abbiamo visto che i processori moderni hanno pipeline di esecuzione molto profonde e un modo per ottenere alte prestazioni è attraverso la previsione dei rami. Si scopre che questo meccanismo di previsione dei rami, che si trova in ogni processore moderno sul mercato, può essere sfruttato per violare i confini di sicurezza. Questa situazione è difficile da risolvere perché è un difetto di progettazione fondamentale associato all’avere la previsione dei rami nei processori in primo luogo.
I processori hanno un sacco di problemi e non sto nemmeno menzionando quelli con backdoor accidentali dovuti al supporto legacy. Ma si scopre che anche le memorie sono rotte. Esiste una classe di attacchi chiamati attacchi Rowhammer che sfruttano la disposizione fisica delle moderne celle di memoria presenti nelle moderne DRAM ad alta densità. È possibile provocare errori di memoria e sfruttare tali errori per esfiltrare dati dalle macchine. Non esiste una soluzione reale, anche se si dispone di DRAM ECC (Error Correction Code), che è il tipo di memoria tipicamente presente nelle macchine dei data center di produzione. L’ECC rallenta solo gli attacchi Rowhammer; non può prevenirli. Tutto ciò che serve per effettuare un attacco Rowhammer è far eseguire alla macchina una pagina web con JavaScript abilitato su questa pagina web e quindi è possibile esfiltrare direttamente i dati dalla memoria della macchina. Non solo i processori e la memoria sono rotti, ma anche l’USB è rotto. Quando si tratta di USB, è sicuro presumere che qualsiasi dispositivo USB che si collega al proprio dispositivo possa compromettere il dispositivo collegato. Abbiamo visto un esempio con il cavo “Oh My God” in una slide precedente, ma fondamentalmente, il problema è molto profondo. La causa principale sono decisioni molto sbagliate che sono state prese decenni fa riguardo all’USB, specialmente per quanto riguarda il plug-and-play.
Dal punto di vista dell’esperienza utente, è fantastico che quando si collega un dispositivo al computer, possa funzionare immediatamente. Tuttavia, ciò che sta accadendo sotto il cofano è che c’è un sacco di intelligenza all’interno del controller USB per importare automaticamente i driver e abilitare automaticamente tutte le funzionalità che possono essere utilizzate come punti di ingresso per un attaccante per prendere il controllo della tua macchina. Quindi, tutte quelle funzionalità plug-and-play sono molto belle dal punto di vista dell’esperienza utente, ma sono un vero incubo dal punto di vista della sicurezza informatica.
A proposito, molti, se non la maggior parte, dei chipset Wi-Fi hanno anche gravi falle di sicurezza. Nel 2017, i ricercatori hanno dimostrato che i chipset prodotti da Broadcom, ampiamente utilizzati sia negli iPhone che nei telefoni Samsung, erano difettosi. Tutto ciò che serviva a un attaccante per compromettere il dispositivo era trovarsi nel raggio del Wi-Fi e avere il Wi-Fi attivo per prendere il controllo del dispositivo.
Dal punto di vista della supply chain, vediamo che non solo l’hardware convenzionale è in gran parte difettoso, ma anche la distribuzione geografica, che può essere ulteriormente amplificata se hai qualsiasi tipo di IoT nella tua supply chain, è soggetta a tutti i problemi che ho appena descritto e anche di più. Un attaccante può frequentemente ottenere accesso fisico all’hardware, o almeno diventa molto più difficile impedire l’accesso fisico a qualsiasi dispositivo che potrebbe essere collegato alla tua supply chain. Pertanto, le supply chain sono estremamente esposte per design per quanto riguarda l’hardware.
Come abbiamo visto che lo stato delle cose in termini di sicurezza hardware è terribile, non dovrebbe sorprendere che lo stato delle cose riguardante la sicurezza del software sia altrettanto terribile. Non elencherò tutte le falle che si possono trovare nel software; l’idea chiave è che ogni singolo livello ha i suoi problemi di sicurezza informatica. Potremmo parlare del sistema operativo, delle macchine virtuali, degli ipervisori, dei framework delle applicazioni, dei server web e così via. Tutti questi livelli hanno incontrato una serie di gravi problemi di sicurezza informatica.
Tuttavia, la cosa che vorrei sottolineare è che, per quanto riguarda il software, anche i pezzi di software che sono supposti proteggerti possono avere gravi conseguenze negative. Ad esempio, gli antivirus rappresentano una classe intera di problemi di sicurezza. Un antivirus è un pezzo di software che opera con enormi privilegi sulla macchina, solo perché è supposto essere in grado di analizzare ciò che stanno facendo tutti gli altri processi. Per necessità, l’antivirus opera con enormi privilegi, il che significa che è un bersaglio principale per un attaccante. Inoltre, l’antivirus, se presente, sarà presente su molte macchine dell’azienda, quindi è lo stesso software con privilegi molto elevati che si trova su molte macchine. Questo è davvero un bersaglio principale per un attaccante, e indovina un po’? Molti attaccanti al giorno d’oggi stanno prendendo di mira direttamente gli antivirus. Questo è, tra l’altro, ciò che puoi vedere sullo schermo: ricercatori di sicurezza che mostrano come compromettere un antivirus esistente sul mercato per utilizzare questo antivirus per estrarre dati dal bersaglio.
Tuttavia, i problemi con gli antivirus sono molto profondi. Un antivirus è fondamentalmente un calcolo molto intensivo in termini di risorse. Di conseguenza, significa che gli antivirus inevitabilmente comportano molta magia di programmazione a basso livello per raggiungere il livello desiderato di prestazioni. Purtroppo, più trucchi a basso livello hai nel tuo software per ottenere grandi prestazioni di calcolo, più superficie di attacco ottieni, solo perché ti esponi in termini di problemi a basso livello. Inoltre, gli antivirus sono, per design, pezzi di software che devono interagire costantemente con il mondo esterno. Tipicamente, un antivirus non vale nulla se non si aggiorna costantemente con l’ultimo set di firme e pezzi di logica su come rilevare il malware più recente. Quindi, ti ritrovi con un pezzo di software che aumenta la tua superficie di attacco solo perché deve connettersi alla rete e fare molte altre cose.
La mia personale opinione è che la maggior parte delle soluzioni antivirus stia facendo più danni che benefici nel mercato del software aziendale odierno. Ma la realtà è che si può dire praticamente la stessa cosa per la maggior parte delle soluzioni di sicurezza. Negli ultimi anni, ci sono stati problemi molto gravi a livello mondiale in cui gli attaccanti hanno preso di mira specificamente alcune soluzioni di sicurezza, solo perché quelle soluzioni di sicurezza condividono le stesse caratteristiche chiave degli antivirus: alti privilegi, ampia portata e alta connettività, che li rendono bersagli principali per gli attaccanti.
Per concludere dal punto di vista della supply chain, vorrei sottolineare che il tipo di software aziendale che è prevalente nei circoli della supply chain tende ad avere una sicurezza abissale a causa della sua complessità interna. È già difficile proteggere un pezzo di software molto sottile e snello; quando si tratta di un prodotto molto gonfio che è cresciuto costantemente per decenni, diventa un compito quasi impossibile.
Infine, gli attacchi alla supply chain sono interessanti per almeno due ragioni molto diverse. In primo luogo, gli attacchi alla supply chain sono interessanti perché sono cresciuti enormemente nel corso degli ultimi anni. La mia personale previsione è che questi attacchi alla supply chain probabilmente saranno una delle forme dominanti di attacchi alla sicurezza informatica nel prossimo decennio. In secondo luogo, la presenza della parola chiave “supply chain” nel nome degli attacchi può generare molta confusione, specialmente quando si discute con un pubblico della supply chain. Un attacco alla supply chain è semplicemente un attacco che mira a una delle dipendenze del tuo software. Ad esempio, attaccare direttamente Amazon, il software prodotto da Amazon direttamente, potrebbe risultare molto difficile. Possibilmente, i team di Amazon sono molto fiduciosi e competenti e il loro software è molto ben progettato, con pochi difetti di sicurezza da sfruttare. Tuttavia, cosa succede con tutte le dipendenze o i pezzi di software che vengono utilizzati da Amazon ma non sono stati creati o progettati in primo luogo da Amazon? Tutti quegli elementi sono, ad esempio, il caso del software open-source. Attualmente, ogni singolo fornitore sta utilizzando massicciamente software open-source. Puoi citare qualsiasi grande azienda al giorno d’oggi; le probabilità sono che stiano sfruttando ampiamente pezzi di software open-source.
Se torniamo al caso di Amazon, cosa succede se comprometto uno dei componenti open-source utilizzati da Amazon, se non riesco a compromettere direttamente Amazon? Questo è esattamente l’essenza di un attacco alla supply chain. Si scopre che venerdì scorso, probabilmente è stato uno dei più grandi attacchi informatici degli ultimi dieci anni con la scoperta della vulnerabilità “catastrofica” di Log4j. In breve, Log4j è un componente open-source utilizzato per registrare gli errori. Fondamentalmente, quando il software incontra un errore, si desidera essere in grado di risalire agli errori successivamente e quando si verifica un errore, si desidera tipicamente registrare questo errore. Questa è la funzione principale di un logger, come Log4j. La “j” in Log4j sta per Java, che nel mondo del software aziendale è uno degli stack software dominanti. Per tutti i software implementati in Java, la maggior parte dei prodotti ha bisogno di un logger e probabilmente la maggior parte sta utilizzando Log4j in questo momento.
Si scopre che venerdì scorso è stata trovata una vulnerabilità catastrofica, classificata come 10 su 10 su una scala di criticità della sicurezza, in Log4j. Poiché questo specifico pezzo di software è stato sottoposto a una grande attenzione, perché ci sono state caos su larga scala in tutto il mondo a causa di questa singola vulnerabilità, oggi è stata trovata una seconda vulnerabilità critica. Questa è davvero l’essenza di un attacco alla supply chain: un piccolo componente, apparentemente innocuo, qualcosa che probabilmente non hai mai sentito parlare o di cui ti sei reso conto di essere dipendente, si trova proprio al centro del tuo sistema e può creare una enorme quantità di caos perché crea vulnerabilità.
Dal punto di vista della supply chain, si scopre che le supply chain sono particolarmente vulnerabili agli attacchi alla supply chain. Questo è il caso perché le supply chain moderne sono fortemente interconnesse. Molto probabilmente, la tua azienda, se gestisci una supply chain moderna, è fortemente connessa in termini di software sia ai tuoi fornitori che ai tuoi clienti. Può assumere la forma di EDI, ma può anche assumere tutte le forme di integrazione informatica tra le aziende. In termini di attacchi alla supply chain, significa che non sono solo le dipendenze del software che hai per attaccarti; le probabilità sono che tutto ciò che serve è compromettere una delle dipendenze di uno dei tuoi fornitori o una delle dipendenze di uno dei tuoi clienti. In termini di superficie di attacco, le supply chain sono molto vulnerabili ed esposte per design.
Finora, quello che abbiamo visto è un quadro piuttosto cupo della situazione e credo che questa sia una rappresentazione accurata della sicurezza informatica odierna. Abbiamo un sacco di problemi e temo che discuterò in questa ultima sezione cosa si può fare al riguardo. Sia chiaro, però; al momento, è una battaglia in salita e estremamente difficile che bisogna essere pronti a perdere ogni tanto. Solo perché è molto difficile non significa che non dovremmo cercare di fare meglio in termini di sicurezza.
Iniziamo con la saggezza comune in termini di sicurezza informatica. L’FBI ha una raccomandazione tra le prime cinque in termini di sicurezza informatica. Esaminiamo queste raccomandazioni. La prima raccomandazione è fare il backup, testare i tuoi backup e mantenere i tuoi backup offline. Nel complesso, è una buona raccomandazione. Tuttavia, l’idea di mantenere i backup offline è un po’ irrealistica. È molto costoso e difficile. Perché un backup sia utile, devi farlo frequentemente. Un backup che ha un mese di età è tipicamente inutile. Se stai facendo il backup molto frequentemente, ogni giorno, ogni ora o addirittura ogni minuto, diventa difficile avere un backup veramente offline. Il mio suggerimento sarebbe di mantenere i tuoi backup strettamente isolati. Quando si tratta di backup, concentrati sulla ripresa rapida. Quello che conta non è avere un piano di backup ma un piano di ripristino se il tuo paesaggio applicativo finisce compromesso.
La seconda raccomandazione è utilizzare l’autenticazione a più fattori. Anche questa è una buona raccomandazione, poiché le password sono insicure. Tuttavia, il problema con l’autenticazione a più fattori è che molto spesso hai solo l’illusione di averla. Ad esempio, se hai una password e una conferma tramite telefono, potresti dire che è un’autenticazione a due fattori. Ma se posso reimpostare la password con il telefono in mano, è solo un’autenticazione a un fattore. Con l’autenticazione a più fattori, assicurati che quei fattori siano veramente isolati e non si trasformino in un’autenticazione a un fattore perché un fattore prevale sugli altri.
La terza raccomandazione è aggiornare e patchare i tuoi sistemi. Questa è una buona pratica; tuttavia, troppo di una cosa buona può diventare una cosa cattiva. Uno dei problemi più gravi che abbiamo oggi sono gli attacchi alla supply chain in cui dipendiamo dagli aggiornamenti software automatici. Se un attaccante riesce a effettuare un attacco alla supply chain compromettendo un pezzo di software open-source, e ce ne sono migliaia, significa che lasciando che gli aggiornamenti automatici prendano il sopravvento, questo pezzo di malware entra nei tuoi sistemi. Questo sta diventando sempre più pericoloso. La maggior parte dei problemi con l’hardware USB proviene dalle capacità di aggiornamento automatico del firmware. Quindi, mentre è importante aggiornare e patchare i tuoi sistemi, considera sempre se stai creando un problema di sicurezza ancora più grande.
La quarta raccomandazione è assicurarsi che le tue soluzioni di sicurezza siano aggiornate. Su questa raccomandazione, non sono troppo sicuro di cosa costituisca una soluzione di sicurezza. Questa raccomandazione sembra essere il prodotto diretto di qualche sforzo di lobbying da parte di un’azienda di sicurezza. La maggior parte di ciò che viene pubblicizzato come soluzioni di sicurezza al giorno d’oggi potrebbe non rendere la tua supply chain o la tua azienda più sicura. Tuttavia, se hai un pezzo di software, è tipicamente meglio tenerlo aggiornato, che si tratti di una soluzione di sicurezza o di qualsiasi altra cosa.
L’ultima raccomandazione è rivedere ed esercitare il tuo piano di risposta agli incidenti. Questa raccomandazione non è male, ma secondo me non rientrerebbe tra le prime cinque. Questo tipo di pensiero è più appropriato per affrontare incidenti industriali, come il rischio di incendio, ma non necessariamente problemi di sicurezza informatica. La mia quarta raccomandazione, in termini di sicurezza, sarebbe conoscere i tuoi modelli di minaccia, conoscere la tua superficie di attacco e conoscere il tuo raggio di azione. Il fatto stesso di sapere come sei esposto in primo luogo e il tipo di cose che possono accadere va molto lontano nel prevenire problemi. La conoscenza in termini di sicurezza informatica è fondamentale.
La mia quinta raccomandazione sarebbe che la sicurezza informatica è una cultura, non un processo e non una soluzione. Questo è solo un promemoria che nessuna lista di controllo di qualsiasi tipo farà del bene alla tua azienda nel lungo periodo. È una cultura.
Per quanto riguarda l’inversione della sicurezza, sembra che le nostre aspettative intuitive in termini di modelli di ruolo o di chi dovremmo fidarci per la sicurezza informatica siano invariabilmente sbagliate. Le organizzazioni che sembrano più sicure all’esterno o in termini di apparenza sono tipicamente le peggiori, mentre le organizzazioni che sembrano molto grigie o sospette sono spesso le migliori. Questa è l’essenza del paradosso dell’inversione della sicurezza.
A titolo di prova aneddotica, vorrei evidenziare un discorso del 2014 sulla sicurezza degli aeroporti, in cui due ricercatori di sicurezza hanno dimostrato che in termini di sicurezza informatica, gli aeroporti sono davvero scarsi. La sicurezza è così scarsa che sarebbe quasi comica se non fosse così seria. Ti aspetteresti che gli aeroporti internazionali traggano vantaggio da una sicurezza informatica incredibilmente rigorosa, ma la realtà è esattamente il contrario. La sicurezza informatica è letteralmente una barzelletta completa, con un’enciclopedia di vulnerabilità che dimostra completa incompetenza, mancanza di cura e apatia verso il problema.
Questo discorso corrisponde alla mia stessa esperienza professionale. Come passatempo professionale, ho condotto audit tecnologici per conto di società di investimento per più di un decennio. Ho avuto la possibilità di auditare decine di aziende tecnologiche e la mia osservazione è che più sicura è l’apparenza o il contesto dell’azienda, peggiore sembra essere la loro effettiva sicurezza informatica. Le aziende che operano nei settori della difesa e della sicurezza tendono ad avere una sicurezza informatica incredibilmente scarsa, mentre quelle in aree grigie, come i siti di scommesse e i siti per adulti, tendono ad avere un’eccellente sicurezza informatica.
Gli stessi problemi si verificano anche all’interno di un settore specifico. Ad esempio, nel settore sanitario, ho constatato che la sicurezza dei dispositivi utilizzati dai chirurghi durante le operazioni è completamente disastrosa, mentre la sicurezza informatica delle macchine distributrici nell’ospedale è piuttosto buona. Intuitivamente, si penserebbe che i dispositivi utilizzati in sala operatoria debbano essere incredibilmente sicuri, ma è vero il contrario. La macchina distributrice è più sicura dei dispositivi utilizzati dal chirurgo.
Questa inversione controintuitiva, credo, deriva da una semplice questione di darwinismo. Nessun aeroporto internazionale è mai fallito a causa di enormi problemi di sicurezza informatica. Questi aeroporti non possono nemmeno fallire e possono cavarsela con problemi di sicurezza informatica in corso per anni con un impressionante grado di apatia. Al contrario, se gestisci un’azienda che opera un’app di scommesse online e permetti agli hacker di esfiltrare denaro, non durerai a lungo e nessuno verrà in tuo soccorso.
A titolo di prova aneddotica, vorrei evidenziare un discorso del 2014 sulla sicurezza degli aeroporti. In questo discorso, due ricercatori di sicurezza hanno dimostrato che in termini di sicurezza informatica, gli aeroporti sono davvero scarsi. La sicurezza è così scarsa che sarebbe quasi comica se non fosse così seria. Questo è esattamente il contrario di quello che ti aspetteresti; ti aspetteresti che gli aeroporti internazionali abbiano una sicurezza informatica incredibilmente rigorosa. Tuttavia, la sicurezza informatica negli aeroporti è letteralmente una barzelletta completa. Questi ricercatori di sicurezza hanno dimostrato che non si tratta di una sola vulnerabilità, ma di un’enciclopedia di vulnerabilità, con molti problemi che dimostrano completa incompetenza, mancanza di cura e apatia.
Questo discorso corrispondeva alla mia stessa esperienza professionale. Come passatempo professionale, ho condotto audit tecnologici per conto di società di investimento per più di un decennio. Ho avuto la possibilità di auditare decine di aziende tecnologiche e la mia osservazione è che più sicura è l’apparenza o il contesto dell’azienda, peggiore sembra essere la loro effettiva sicurezza informatica. Ad esempio, le aziende che operano nei settori della difesa e della sicurezza tendono ad avere una sicurezza informatica incredibilmente scarsa, mentre le aziende che operano in aree grigie, come i siti di scommesse o i siti per adulti, tendono ad avere un’eccellente sicurezza informatica.
Curiosamente, gli stessi problemi si verificano anche all’interno di un settore specifico. Ad esempio, nel settore sanitario, la sicurezza dei dispositivi utilizzati da un chirurgo durante un’operazione è disastrosa, mentre la sicurezza informatica delle macchine distributrici nel corridoio dell’ospedale è piuttosto buona. Intuitivamente, si penserebbe che tutto ciò che entra in sala operatoria debba essere incredibilmente sicuro perché la vita del paziente è in gioco, ma è vero il contrario. La macchina distributrice è più sicura dei dispositivi utilizzati dal chirurgo.
Questa inversione controintuitiva, credo, è una semplice questione di darwinismo. Nessun aeroporto internazionale è mai fallito a causa di enormi problemi di sicurezza informatica e non è nemmeno permesso loro di fallire. Di conseguenza, possono cavarsela con problemi di sicurezza informatica in corso per anni con un notevole grado di apatia. Al contrario, se gestisci un’azienda che gestisce un’app di scommesse online e permetti agli hacker di esfiltrare denaro perché possono modificare gli esiti delle scommesse, non durerai a lungo e nessuno verrà in tuo soccorso.
Di conseguenza, queste persone sono essenzialmente sopravvissute. Sono quelli che hanno fatto tutto il necessario per proteggere i loro sistemi. Per la supply chain, il punto chiave qui è che se stai cercando un vero aiuto per la sicurezza informatica per assisterti nella protezione della tua supply chain, non cercare ex funzionari militari con credenziali impeccabili. Invece, cerca un amministratore di sistema o qualcuno che abbia avuto a che fare con un sito per adulti o scommesse online: quelle aree di confine in cui le persone avevano davvero bisogno di competenze, talento e dedizione per sopravvivere. Altrimenti, l’azienda sarebbe cessata di esistere sotto la loro supervisione.
Come ultima parte su cosa può essere fatto in termini di sicurezza informatica, vorrei delineare il ruolo del design. Quando si tratta di sicurezza informatica, molti cosiddetti esperti ti direbbero che devi addestrare le tue squadre. Personalmente, non ne sono così sicuro, nel senso che non puoi addestrare le persone a non commettere errori. Anche le persone più intelligenti saranno stanche, malate e commetteranno errori molto stupidi ogni tanto. Non puoi fare affidamento solo sull’addestramento. La sicurezza informatica non è come la sicurezza militare; non puoi semplicemente sottoporre le persone a un intenso addestramento in modo che possano agire per istinto. La maggior parte delle volte, la situazione richiede davvero di essere calmi e riflettere attentamente su ciò che sta accadendo. Altrimenti, la rimediazione sarà molto probabilmente peggiore del problema che avevi inizialmente.
La mia opinione è che se hai un problema di design nella tua organizzazione per quanto riguarda la sicurezza informatica, nessuna quantità di addestramento o nastro adesivo risolverà il problema. Sarà una battaglia che non puoi vincere. Quando guardi le cose da una prospettiva di design, stai cercando decisioni o aspetti che possono avere un impatto enorme sui modelli di minaccia, sulle superfici di attacco e sul raggio di esplosione. Vuoi prendere decisioni di design che eliminino il maggior numero possibile di classi di modelli di minaccia, eliminino intere superfici di attacco e limitino il raggio di esplosione potenziale.
Ad esempio, parlando delle superfici di attacco, considera le decisioni di design coinvolte. Se la tua organizzazione sceglie fornitori di software con Richieste di Proposte (RFP) o Richieste di Preventivo (RFQ), puoi essere certo che avrai enormi problemi di sicurezza informatica per design a causa delle RFP e delle RFQ. Perché? Beh, se selezioni fornitori di software aziendale basandoti su RFP o RFQ, stai selezionando fornitori che possono spuntare tutte le caselle perché ci saranno tonnellate di caselle da spuntare. Una tipica RFP per la supply chain avrà centinaia di caselle da spuntare e quelle caselle riguarderanno le capacità e le funzionalità del software. Quando guidi la tua selezione di fornitori di software aziendale attraverso un RFP, stai effettivamente selezionando fornitori che hanno prodotti enormemente ingrossati con tonnellate di funzionalità e capacità, il che a sua volta comporta una superficie di attacco massiccia. Più capacità e funzionalità ci sono, maggiore è la superficie di attacco. Se ogni singolo fornitore di software che scegli viene scelto attraverso questo processo, alla fine ti ritrovi con un panorama applicativo che ha una superficie di attacco incredibilmente ampia alla fine della giornata o, meglio, alla fine del decennio, perché questi sono problemi che si muovono lentamente per quanto riguarda le supply chain.
Lo stesso tipo di decisioni progettuali può avere un impatto enorme anche sulla portata dell’esplosione. Ad esempio, il modo in cui si affronta i dati ha conseguenze piuttosto drammatiche dal punto di vista della supply chain. La maggior parte dei dati personali è semplicemente completamente inutile per qualsiasi tipo di ottimizzazione della supply chain. Se si desidera avere previsioni migliori e una migliore pianificazione, non è necessario conoscere il nome e il cognome dei propri clienti. L’idea, e questa è una pratica che Lokad ha adottato più di un decennio fa, è quella di considerare i dati personali come un passivo, non un’attività. In termini di portata dell’esplosione, ciò significa che se i sistemi vengono mai violati, i danni saranno molto più piccoli se i dati personali non vengono divulgati. Sì, è brutto se tutti i livelli di stock sono esposti pubblicamente, ma non avrà un impatto negativo molto grande sulla tua azienda, a differenza dei dati personali divulgati. Questo è un aspetto progettuale dell’organizzazione della tua supply chain che può avere conseguenze enormi in termini di portata dell’esplosione.
Le decisioni progettuali migliori sono quelle che eliminano intere classi di problemi. Il ruolo di una cultura della sicurezza informatica in un’azienda è quello di consentire all’organizzazione di sviluppare le corrette intuizioni su quali decisioni progettuali dovrebbero essere prese per proteggere la tua azienda. Le corrette intuizioni progettuali sono il prodotto di una corretta cultura della sicurezza informatica.
Questo mi porta alla conclusione che la sicurezza informatica è troppo importante per essere lasciata esclusivamente nelle mani degli specialisti IT. La sicurezza informatica è meglio affrontata come una cultura all’interno dell’azienda ed è una responsabilità condivisa, non solo dei responsabili della sicurezza che hanno la parola chiave “sicurezza” nel loro titolo di lavoro. Come abbiamo discusso in precedenza in questa lezione, la sicurezza informatica spesso si scontra con altri tipi di sicurezza all’interno di un’azienda, quindi è un’illusione pensare che uno specialista della sicurezza informatica possa salvarti. Possono affrontare solo una faccia del problema, ecco perché la cultura è essenziale per favorire l’emergere di decisioni progettuali che portano grandi benefici in termini di sicurezza alla tua azienda.
La cultura giusta è anche essenziale per respingere istintivamente le cattive decisioni progettuali che creerebbero problemi continui che non possono essere risolti in seguito. Avere una grande cultura della sicurezza non riguarda solo ciò che si dovrebbe fare, ma anche ciò che non si dovrebbe fare. Uno degli aspetti più difficili di una sana cultura della sicurezza informatica è far sì che i dipendenti si interessino sufficientemente al problema in modo che non siano soddisfatti dell’apparenza della sicurezza. In una sana cultura della sicurezza informatica, le persone cercano una sicurezza genuina, non solo l’apparenza della sicurezza. L’illusione della sicurezza è spesso molto peggiore di una mancanza effettiva di sicurezza.
Questa è stata l’ultima lezione del 2021 e la prossima lezione si svolgerà nel 2022, lo stesso giorno della settimana. Nella prossima lezione inizierò il quinto capitolo, che tratta delle previsioni. In particolare, credo che sarà una presentazione abbastanza interessante perché Lokad è riuscita a ottenere un risultato molto spettacolare nella competizione di previsione M5. Presenterò questo risultato, ma discuterò anche le lezioni che sono legate a questo modello per quanto riguarda la supply chain.
Ora, passiamo alle domande.
Domanda: In generale, i leader della supply chain considerano la sicurezza informatica irrilevante per loro o no?
La mia sensazione è che sì, in larga misura lo fanno, ma può essere peggio di così. L’apatia è un grosso problema, ma anche quando i leader della supply chain si interessano, tendono ad affrontare la sicurezza informatica da una prospettiva di analisi del rischio che sarebbe applicabile per i rischi industriali. Questo non è l’approccio più efficiente quando si tratta di sicurezza informatica. Quindi il mio punto è che i leader della supply chain non si preoccupano assolutamente abbastanza di ciò che può distruggere le loro supply chain al giorno d’oggi e devono davvero familiarizzare con il tipo giusto di rimedio.
Domanda: Poiché la sicurezza informatica è in aumento, gli investimenti delle aziende in questo settore crescono più velocemente rispetto al loro budget per altri software. Esiste la possibilità che in futuro i benefici di avere un sistema software siano bilanciati dai costi elevati per la sicurezza informatica e le persone tornino alla carta e penna?
Non ho detto che la sicurezza informatica è in aumento; ho detto che la criminalità informatica è in aumento. Spero che a un certo punto la sicurezza informatica sarà in aumento. È vero che gli investimenti delle aziende in questo settore stanno crescendo più velocemente rispetto ai loro budget per altri software. La domanda è se, in futuro, i benefici di avere un sistema software potrebbero essere bilanciati dai costi elevati per la sicurezza informatica e le persone potrebbero tornare alla carta e penna.
Come stavo dicendo, a causa dell’aumento della criminalità informatica, le persone sentono la pressione e quindi spendono denaro per soluzioni di sicurezza informatica. Infatti, anche l’FBI consiglia di investire in qualche tipo di soluzione di sicurezza. Il mio problema con queste soluzioni di sicurezza è che la sicurezza non può essere un’aggiunta successiva; la maggior parte di essa è progettata. Se la tua azienda sta selezionando software basato su RFP, hai un problema nel nucleo stesso della tua azienda, ovvero stai selezionando fornitori di software aziendale che saranno estremamente carenti dal punto di vista della sicurezza. Pertanto, non importa se decidi di investire in una soluzione di sicurezza di lusso in seguito, è troppo tardi. Per progettazione, sei compromesso.
Se torniamo all’analogia del castello medievale, non puoi progettare un fossato più grande sopra un ponte levatoio debole o rendere le mura del castello più alte se non sono abbastanza alte. Nell’era medievale, la maggior parte dei castelli cresceva nel tempo e non veniva costruita in una volta sola. L’idea di avere strati aggiuntivi di sicurezza funziona se si tratta di rischi fisici, ma nel software non funziona. Più linee di codice aggiungi, più grande diventa il tuo problema di sicurezza.
Concordo sul fatto che la criminalità informatica sia in aumento e che le spese per la sicurezza informatica stiano aumentando. Tuttavia, se dovessimo misurare la sicurezza informatica come un rapporto tra le perdite segnalate nella criminalità informatica rispetto al PIL, questo rapporto sta peggiorando. Abbiamo meno sicurezza informatica mentre spendiamo di più per combatterla.
Per quanto riguarda la possibilità di tornare alla carta e penna, non penso che il mondo tornerà all’era pre-digitale. Il costo di farlo è semplicemente troppo elevato. I benefici portati dal software sono assolutamente giganteschi e anche se consideriamo la criminalità informatica un problema significativo, alla fine è comunque un problema che, in termini di entità, è solo un terzo delle dimensioni del problema delle droghe illegali. Le droghe illegali sono un problema significativo, ma non segnalano la fine della nostra civiltà industriale. Non credo che le persone torneranno alla carta e penna. Tuttavia, sospetto che molti fornitori di software inizieranno ad adottare soluzioni tecnologiche più semplici.
Per illustrare questo punto, consideriamo la vulnerabilità di Log4j, che ha colpito il mondo e ha causato il caos tra le grandi aziende. Questa vulnerabilità correlata all’attacco alla catena di approvvigionamento è stata causata dalla complessità e dalle capacità del componente Log4j. Normalmente, dovrebbe essere un piccolo pezzo di software che registra gli errori, ma si è rivelato un mostro in termini di capacità software. Le persone hanno scoperto un modo per sfruttare questo mostro per ottenere conseguenze non volute.
Da Lokad, non stiamo usando Log4j; la nostra stack è in .NET e stiamo usando NLog, il componente equivalente nella stack .NET. Tuttavia, alla luce dei problemi all’interno della comunità Java, il mio CTO ed io abbiamo deciso di eliminare gradualmente NLog e optare per qualcosa di molto più semplice. Non sarà un NLog migliore, ma qualcosa con solo l’uno percento della complessità. Questi logger sono incredibilmente capaci, ma le loro capacità diventano un grande svantaggio.
L’equivalente di passare alla carta e penna sarebbe iniziare a sostituire pezzi di software molto potenti e complessi con pezzi di software molto più piccoli e meno capaci. Questo può contribuire ad alleviare l’onere dei costi di sicurezza. Ad un certo punto, diventa chiaro che è più conveniente reimplementare un piccolo pezzo di software che fa esattamente ciò di cui hai bisogno, anche se devi reinventare la ruota, piuttosto che utilizzare un componente open-source gratuito che comporta una massiccia superficie di attacco extra a causa delle sue dimensioni.
Per quanto riguarda gli attacchi noti più grandi che colpiscono le catene di approvvigionamento, potrebbero esserci dei pregiudizi negli attacchi che fanno notizia. Log4j è stato un enorme problema a livello mondiale perché ha colpito molte industrie, tra cui banche, catene di approvvigionamento, fornitori di servizi di cloud computing e aziende di videogiochi. Tuttavia, se guardiamo all’attacco alla Colonial Pipeline, è stato un attacco ransomware mirato a un singolo pezzo di software di fatturazione specifico. Quello che vedo è che il tipo di attacchi che fanno notizia sono quelli che ricevono molta copertura, ma ciò non significa che non ci siano attacchi specifici alle catene di approvvigionamento. Anche se non posso divulgare dettagli sulla base clienti di Lokad, ho assistito ad attacchi ransomware tra i nostri oltre 100 clienti. È evidente per noi quando non riceviamo dati per una settimana o due mentre le aziende lottano per risolvere la situazione, di solito ripristinando i loro sistemi da zero con i backup. A volte, Lokad finisce per essere l’unico backup che avevano. Gli attacchi gravi mirati ai sistemi di catena di approvvigionamento accadono abbastanza frequentemente.
Con un campione piuttosto piccolo, Lokad ha più di 100 aziende come clienti, ma non è come se ne avessimo un milione. Anche con questo, attualmente stiamo registrando circa mezza dozzina di incidenti gravi all’anno, il che equivale a un rischio annuale del 5% per un incidente significativo di sicurezza informatica. Questo è un rischio piuttosto elevato secondo me.
Domanda: Sembra che la sicurezza informatica stia diventando l’analogia digitale dell’igiene personale. Pensi che le scuole dovrebbero iniziare a insegnare ai bambini queste competenze?
Sì, capisco il tuo punto riguardo all’igiene. Tuttavia, nella sicurezza informatica, gli attaccanti sono intelligenti. I virus nella vita reale mutano ed è difficile contenere i patogeni. Ma c’è una differenza significativa tra affrontare un attacco senza mente e dover affrontare persone che possono pensare a lungo e duramente su come infliggere il massimo danno a te e alla tua azienda.
Concordo sul fatto che insegnare e formare le persone, anche i bambini, sulla sicurezza informatica sia una sfida. La mia convinzione personale è che un bambino di 12 anni sia essenzialmente intelligente quanto un adulto, ma gli manca l’esperienza di un adulto. Quindi sì, è qualcosa che dovrebbe essere affrontato, inclusi gli schemi di frode e ingegneria sociale. Molte persone cadono ancora vittime di truffe ovvie, come le famose email del principe nigeriano.
Le scuole dovrebbero preparare le menti giovani e le generazioni più giovani ad affrontare un mondo che può essere avverso. Anche in tempi relativamente pacifici, ci sono persone che desiderano farti del male. L’aspetto chiave della sicurezza informatica è che una persona che ti vuole male può essere a migliaia di chilometri di distanza e comunque riuscire a farti del male, alla tua organizzazione e ai tuoi parenti.
Ad un certo punto, le scuole dovrebbero affrontare questa questione. Tuttavia, almeno in Francia, è ancora difficile trovare insegnanti che possano insegnare competenze di programmazione di base. Questa lotta in corso rende difficile trovare insegnanti che possano insegnare sicurezza informatica e sicurezza digitale ai bambini. Tuttavia, probabilmente dovrebbe essere fatto, ma non ho molte speranze per questa area nel prossimo decennio.
Poiché non ci sono altre domande, vorrei augurarvi tutti un Buon Natale e vedervi tutti l’anno prossimo.
