La sicurezza richiede orchestrazione

La sicurezza è una questione strategica e sempre attuale particolarmente in uno scenario che, se offre grandi opportunità alle organizzazioni in grado di allocare le proprie risorse in logica multicloud, richiede una conseguente, attenta, capacità di controllo ed intervento su quanto accade lungo l’intera infrastruttura. 
È questo il punto di vista sul percorso di razionalizzazione dei data center della pubblica amministrazione di un addetto ai lavori come Fortinet, attraverso le parole di Filippo Monticelli, Regional Director Italy.
“Fortinet segue il settore PA sia a livello centrale che locale praticamente dalla sua nascita. Sin dagli inizi ci siamo posizionati come soluzione di riferimento per la network security all’interno delle principali convenzioni Consip. Su questi quindici anni di rapporto abbiamo costruito un sistema di relazioni e di confronto molto intenso e costruttivo sui grandi temi della digitalizzazione e della sicurezza”.

Quali sono i tratti emergenti in questo momento?

“Sicuramente una maggiore e crescente apertura al cloud, anche se alcuni nodi sono ancora da sciogliere. Manca la disponibilità concreta di una offerta accessibile di servizi cloud per la PA locale che permetta di rispettare i requisiti normativi sul piano della governance e della tracciabilità, ma i grandi player si stanno muovendo e l’ossatura dei servizi è già disponibile. In questo scenario Fortinet si pone come l’operatore che, nell’ambito della security, offre la possibilità all’utilizzatore dei servizi cloud di mettere in sicurezza il workload”.

I servizi cloud garantiscono in genere alti livelli di sicurezza. Cosa deve fare in questo senso l’utilizzatore? 

“Bisogna tenere presente che nel momento in cui un’organizzazione comincia a spostare il workload su un’infrastruttura cloud, il rapporto tra quello che eroga l’operatore cloud sul piano dei servizi di sicurezza e quello che deve invece fare il cliente in realtà resta, per la maggior parte, in capo a quest’ultimo. La responsabilità sulla sicurezza dei dati resta quindi alle amministrazioni. Certo, le soluzioni native, quelle offerte dai player, sono importanti e danno un significativo supporto. Fortinet stessa ha collaborato con i maggiori attori come Amazon, Microsoft, Google con i propri virtual firewall per permettere ai clienti di mantenere sotto governo tutti gli asset, assicurando un livello coerente di sicurezza attraverso un’unica piattaforma di gestione lungo tutta la catena: dall’on premice, al data center privato, al cloud”.

Il riferimento alla responsabilità e alla capacità di controllo degli asset da parte delle amministrazioni Amministrazioni sollecita anche una riflessione sulla necessità di evitare il rischio di lockin tecnologico. Cosa ne pensa?

“Dal nostro punto di vista è importante assicurare la massima interoperabilità dei servizi. Fortinet lavora a questo aspetto anche con la realizzazione di software specifici: i Fortinet Fabric Connectors perché è importante assicurare agli utilizzatori dei servizi la possibilità di operare secondo il modello del multicloud. Se oggi si parla di migrazione dai data center privati a quelli cloud è perché questo deve avvenire in modalità assolutamente dinamica. L’utilizzatore deve poter essere in grado di migrare le proprie soluzioni applicative o piattaforme saas su un player, secondo criteri di opportunità ed efficacia. In tutto questo è importante che il livello di sicurezza sia adeguato e garantito costantemente”.
.

.
È in corso la terza fase del censimento dei data center pubblic che dovrebbe riuscire a portare oltre lo scenario di parcellizzazione delle infrastrutture pubbliche, come interpretate dal punto di vista della sicurezza questa possibilità?

“Ci sono esperienze di erogazione di servizi informatici basati su alcuni poli nelle amministrazioni pubbliche assolutamente di rilievo. Pensiamo agli esempi forniti dalla Rete Telematica Regionale Toscana, da Lepida in Emilia Romagna o da Rupar. Queste reti regionali funzionano con modelli di servizio iaas o saas che non hanno nulla da invidiare ai servizi offerti dai player che operano su scala globale. Quello che forse è mancata negli anni scorsi è stata una vera regia nazionale. Le opportunità offerte dal Spc Cloud sono state sfruttate al di sotto delle possibilità. Ma gli strumenti ci sono e la possibilità di sfruttarli in sicurezza è tutta in campo”.

Poniamo un momento l’attenzione sulla vostra attività di analisi delle minacce informatiche sulle reti, quali sono i fenomeni di maggior rilievo in questo periodo?

“Il nostro Treath Report ha cadenza annuale ed ogni tre mesi pubblichiamo un aggiornamento. Rispetto all’ultimo, rilasciato agli inizi di settembre, spicca il fatto che il livello di minacce ha raggiunto un livello di picco. L’indice di rischio è in costante aumento. Secondo il nostro modello è in crescita del 4% rispetto allo stesso periodo dello scorso anno. Questo vuol dire che la rincorsa del settore cyber security nei confronti del cyber crime perde terreno. Sono in accelerazione le capacità di sofisticazione dei tool che vengono utilizzati per azioni malevole. Spesso si basano su vulnerabilità note che tuttavia, per tanti motivi, non sono ancora state corrette”.

E come si spiega la persistenza di queste vulnerabilità di fronte alla presenza di sistemi di security aggiornati?

“Il problema che stiamo riscontrando è che spesso se le infrastrutture di security, per quanto aggiornate, non coprono end to end tutto il ‘fronte’ esposto alle minacce creando una sorta di sistema multistrato di filtri, sostenuto da un’adeguata struttura di coordinamento, si creano dei ‘buchi’ che vengono sfruttati dai software malevoli noti ma opportunamente modificati”.
Facciamo un esempio.
“Esistono malware noti che, se inseriti all’interno di un applicativo possono nascondersi grazie a tecniche di offuscamento. In pratica sono progettati per riconoscere se stanno operando in un ambiente protetto e attivano una serie di processi che non consentono la detection. A questo punto, se non esiste un sistema di coordinamento tra le diverse risorse di sicurezza presenti nel sistema, quel tipo di minaccia anche se potenzialmente nota rimane attiva ed in grado di arrivare al bersaglio. 
Purtroppo la capacità del Cybercrime di utilizzare anche vecchi software e poi arricchirli creando varianti in tempi molto rapidi, magari tramite soluzioni di machine learning, è molto alta e può produrre problemi che richiedono una capacità di controllo dei fenomeni su tutta l’infrastruttura informatica”.
È uno scenario che l’evoluzione della superficie attaccabile rende sempre più complesso, cosa implica, per esempio, l’espansione dell’Iot nel quotidiano?
“Su questo piano siamo ancora soltanto all’inizio. In questi ultimi anni ci sono stati alcuni casi eclatanti ma da quello che stiamo osservando anche in questo campo dovremmo aspettarci un’accelerazione del problema”.