Venti anni fa, gli incidenti di sicurezza erano visti semplicemente come un problema tecnico da risolvere all’interno dei servizi di calcolo.

I vari CSIRT (Computer Security Incident Response Team) operavano in sostanziale isolamento, con poca o nulla condivisione di dati ed esperienze. L’utilizzo sempre più spinto del cloud computing, l’uso di dispositivi mobili sempre più indistinguibili da desktop e laptop, la difficoltà di stabilire il perimetro di una rete, hanno dato un colpo mortale a questo paradigma.

Chi è Roberto Cecchini
GARR e INFN

Laureato in Fisica Teorica troppi anni fa all’Università di Firenze. Per alcuni anni ha lavorato presso ditte private, come programmatore, analista e sistemista. Da circa 15 anni si occupa di problemi di sicurezza informatica. Per l’INFN coordina i gruppi Security e Auditng, per il GARR ha istituito e coordina GARR-CERT, il servizio per la gestione degli incidenti di sicurezza.
Ama leggere, detesta le barche, a vela e tanto più a motore, sta cercando di trasformare il terreno intorno alla sua casa avita in Lunigiana in un bel giardino, non trascurando anche la produzione frutticola.

Ormai è chiaro che la sicurezza deve essere inclusa in tutti gli aspetti operativi di un’organizzazione. La condivisione delle esperienze tra i vari CSIRT, fortemente voluta anche dalla UE, è fondamentale ed aiuta a fronteggiare le minacce, la cui velocità di propagazione è in continua crescita. Mi viene in mente, a riprova dei cambiamenti a livello globale che ci sono stati, la campagna di DDoS del febbraio 2014, durata qualche giorno, in cui la nostra rete venne pesantemente coinvolta. Si trattò di una vera e propria guerra tra provider, perlopiù cinesi, in cui le nostre macchine vennero sfruttate per effettuare attacchi di denial of service ai rivali, complici software non aggiornatissimi, configurazioni un po’ troppo permissive e la nostra grande banda passante. Gli attacchi erano di breve durata, circa cinque minuti, ma ripetuti ogni quarto d’ora. Il traffico in uscita era tale che alcune organizzazioni risultavano a tutti gli effetti irraggiungibili. All’inizio vennero utilizzate vulnerabilità del protocollo NTP e DNS. Poi, man mano che i sistemi venivano configurati correttamente, si passò ad altri protocolli, per esempio SNMP.

Per evitare il ripetersi di eventi del genere abbiamo sviluppato sistemi di monitoraggio sul traffico in uscita per rivelare al nascere eventi di questo tipo. Proattivamente, abbiamo cominciato a segnalare ai nostri referenti locali di rete possibili situazioni critiche, ottenendo la massima collaborazione. Sono convinto che un evento così disastroso non sia più possibile: attacchi DDoS ne facciamo e ne subiamo quotidianamente, ma su una scala decisamente inferiore.

Questo non vuol dire abbassare la guardia, dato che conviviamo ancora oggi con elementi ereditati dal passato quando la sicurezza era l’ultima delle preoccupazioni. Mi riferisco ad esempio al BGP, il protocollo per l’interconnessione delle varie reti che compongono Internet, a mio avviso molto vulnerabile a livello di sicurezza. Ad esempio, qualche anno fa due ricercatori hanno mostrato come si possa intercettare il traffico Internet su una scala allora impensabile. In realtà non è detto che qualche grande agenzia non lo stia facendo anche in questo momento.

Di certo un importante aiuto potrà venire dalle tecnologie di intelligenza artificiale (AI). Anche se siamo ancora all’inizio, le premesse sono molto interessanti. Ad esempio, un paio di mesi fa è stato annunciato l’investimento di 240 M$ da parte di IBM per la creazione di un laboratorio di AI al MIT, tra i cui obiettivi c’è anche la cybersecurity. Dato che gli attacchi più comuni sono stati automatizzati da tempo e vista anche la mancanza cronica di risorse è giusto che anche i difensori facciano lo stesso. Una recente statistica indica in circa 150 giorni il tempo medio tra la scoperta di una vulnerabilità e la sua eliminazione: è ovvio che bisogna lavorare per ridurre questo iato, e tutti speriamo che l’AI ci possa dare una mano. L’adozione di tecniche dette humaninteractive machine learning dovrebbe portare alla riduzione dei tempi di analisi. Le macchine fanno una scrematura dei dati di base, sempre più difficili da gestire manualmente e indicano agli analisti umani i punti ritenuti degni di attenzione. Questi, a loro volta, forniscono feedback al sistema per permettergli di migliorare le sue conclusioni.

Vorrei infine toccare l’argomento privacy dato che, nell’era dei Big Data, sempre maggiore attenzione viene dedicata alla protezione dei dati personali. È imminente, ad esempio, l’entrata in vigore del Regolamento generale per la protezione dei dati (GDPR), che costringerà a cambiare molte delle metodologie con cui questi sono gestiti. Basti pensare all’istituzione del data protection officer, all’estensione della definizione di dato personale e sensibile, all’obbligo di valutazione preventiva del rischio e alla notifica in caso di violazione all’autorità e al proprietario dei dati.

Insomma, gli scenari stanno cambiando e con l’avvento dell’Internet of everything la gestione e la sicurezza delle informazioni sono diventate una priorità. Per questo il nostro Paese è chiamato a investire sempre di più in nuove figure professionali (mi riferisco alle professioni emergenti del data scientist, del chief technology officer, dello sviluppatore mobile e del big data architect) che possano essere in grado di gestire sempre più questa complessità emergente.