il fantastico mondo della security

Mi pare di capire che tu voglia diventare un pro o almeno cercare di capirci un po’ di più nel marasma che c’è in giro, corretto? Ecco, allora iniziamo a chiarire che solitamente per chi lavora in questo settore, si dice spesso security dando per scontato che si tratti di tutto ciò che ruota intorno al mondo della sicurezza informatica, intendendo l’information security ma in particolare - dato anche il periodo storico - alla cybersecurity. Detto ciò, ognuno la spiega a modo suo, ognuno ha i suoi framework e riferimenti, ma ci sono dei concetti che sono importantissimi ed è necessario saperli. First of all, cosa si intende per CIA/RID. La CIA Triad (tra tutti i modi in cui si può chiamare, questo è quello che mi piace di più) è un concetto fondamentale nel mondo della security e rappresenta i tre pilastri su cui si basa la sicurezza informatica. Se i sistemi di un'organizzazione garantiscono la riservatezza, l'integrità e la disponibilità, le potenziali minacce informatiche a tali sistemi sono limitate, ovvero, il rischio è mitigato.CIA è un acronimo che sta per:

  • Confidentiality (Riservatezza): significa garantire che le informazioni siano accessibili solo ed esclusivamente a coloro che sono autorizzati a visualizzarle, questo significa quindi garantire la protezione dei dati da accessi non autorizzati. Come fare? Beh, ad esempio utilizzando password robuste, crittografando i dati, limitando l’accesso, insomma facendo tutto il possibile per evitare che chiunque acceda a qualunque cosa.

  • Integrity (Integrità): in questo caso invece si tratta di accuratezza delle informazioni, ovvero, la loro completezza e la garanzia che non siano state modificate in modo non autorizzato. in pratica, signfica proteggere i dati da alterazioni e garantirne la loro affidabilità. Un esempio di integrità potrebbe essere utilizzare un hash (poi vedremo cos’è) o eseguire dei backup dei dati regolarmente così da poter ripristinare i dati nel caso di alterazione.

  • Availability (Disponibilità): significa garantire che le informazioni e i sistemi siano accessibili quando necessari da parte degli utenti autorizzati. in sostanza, assicurare che i servizi siano sempre funzionanti e disponibili. e quando si dice sempre, si intende sempre. Questo è il punto più difficile da garantire, perchè è davvero difficile garantire la disponibilità dei sistemi se è possibile che ci siano cali di tensione, aggiornamenti, riavvii, e mille altre cose che potrebbero succedere. Per questo è utile avere i sistemi ridondati e avere un piano di disaster recovery attivo.

Lo so, sei al primo paragrafo e vuoi già scappare per le troppe nozioni. Però, secondo me, alcune cose sono più difficili da spiegare che da fare, poi capirai tu - secondo le tue competenze e abilità - cosa sarà più semplice per te. Questo ti è utile anche per capire dove incastrarti in questo panorama gigantesco. Di solito, chi ha a che fare con la confidenzialità, si occupa di temi privacy o sviluppo sicuro, chi ha a che fare con l’integrità e la disponibilità invece, sono solitamente persone che afferiscono al mondo sistemistico. La realtà è che tutti devono conoscere tutto (o almeno provarci, almeno le basi).

Quindi, tolto il primo acronimo che ci indica che è appunto un modello riconosciuto, lo stack si chiama OSI (Open Systems Interconnection) perchè ciascun livello è interconnesso con gli altri e al contempo si occupa di specifiche attività, dal livello più basso vicino alla macchina, quello della trasmissione fisica dei dati (livello fisico) fino a quello più alto che arriva alle applicazioni utente (livello applicativo).

Questo modello ha più uno scopo teorico e/o didattico che permette di insegnare i principi fondamentali della comunicazione di rete e per la progettazione di nuovi protocolli. A questo modello ne corrisponde uno che è stato implementato e si chiama TCP/IP (Transmission Control Protocol/Internet Protocol). Dico che è stato implementato perchè ad ognuno dei quattro livelli corrispondono protocolli reali utilizzati per la comunicazione su Internet, si concentra sui meccanismi di comunicazione effettivamente utilizzati nelle reti. Il TCP/IP è suddiviso in quattro livelli principali: applicazione, trasporto, rete e collegamento dati. Esiste una mappatura con il modello ISO/OSI e qui sotto ho cercato a modo mio di fare un riassunto che dovrebbe - almeno spero - chiarirti le idee.

CI SONO TANTI LIVELLI DA CONOSCERE E COMPRENDERE

Nel mondo informatico si parla tanto dallo stack ISO/OSI ma che cosa voglia dire forse è bene rinfrescarlo così da avere una base comune da cui partire. Questo modello è stato sviluppato dall'Organizzazione Internazionale per la Standardizzazione (ISO) ed è un modello teorico a sette livelli che offre una vista dettagliata e completa delle funzioni di una rete.

un po’ di storia sul TCP/IP

Il protocollo TCP/IP ha rappresentato una svolta rivoluzionaria nelle comunicazioni digitali, consentendo l'interconnessione globale di reti eterogenee e gettando le basi per lo sviluppo di Internet come lo conosciamo oggi. La sua capacità di stabilire connessioni affidabili e standardizzate tra dispositivi ha stimolato un'innovazione senza precedenti, dando vita a una rete mondiale sempre più interconnessa. La standardizzazione e l'interoperabilità di questo standard hanno permesso lo sviluppo di protocolli di sicurezza uniformi, rendendo più difficile lo sfruttamento di vulnerabilità da parte di attacchi informatici. L'architettura modulare del protocollo consente di isolare e proteggere le diverse funzionalità della rete, contribuendo a rafforzare ulteriormente la sicurezza. Si parla spesso di “suite di protocolli” infatti qua dentro non c’è solo TCP ma anche UDP (user datagram protocol), quello che è importante che tu sappia è che ad ogni porta corrispondono dei servizi (tra 1-1024 che sono le “well-known”), nel senso che queste porte sono riservate. ad esempio la porta TCP/80 è riservata all’http.. essendo questo però un portale sulla sicurezza è meglio se memorizzi la 22 e 443 - poi ti interrogo. mi raccomando da non confondere con la 23 che è una delle cose più insicure e purtroppo ancora utilizzate ampiamente a causa di servizi vecchi, di tanti “eh si è sempre fatto così” o “finchè non cade..”. nel mondo UDP ci sono altri servizi famosi come la posta (e quindi SNMP), il DNS e quel mostro ad otto teste chiamato IoT (ma anche l’OT non scherza). detto ciò, la diffusione del TCP/IP è stata rapidissima, con sempre più nazioni che hanno adottato questo protocollo, rendendo possibile la creazione di una rete intercontinentale. l'Italia, grazie al pionieristico lavoro del CNUCE, è stata tra i primi paesi a connettersi a Internet, contribuendo in modo significativo all'espansione della rete in Europa.

digressione sugli attacchi

La sicurezza informatica è un tema sempre più cruciale nel nostro panorama digitale, per questo è necessario per te che ci stai entrando in punta di piedi, comprendere le diverse strategie che utilizzano gli attaccanti per poterti difendere efficacemente dalle minacce. Come abbiamo visto prima, il modello ISO/OSI suddivide la comunicazione di rete in sette livelli, ciascuno con specifiche funzioni. Gli attaccanti possono sfruttare vulnerabilità a qualsiasi livello per compromettere la sicurezza di un sistema. Utilizzo questo modello per semplicità anche tua di memorizzazione, ricordare i vari livelli, dal più basso (fisico) al più alto (applicativo) può aiutarti anche a vedere la sicurezza informatica con occhi diversi.

  • Livello fisico: qui gli attacchi si concentrano sull'accesso fisico ai dispositivi o alle infrastrutture, il che potrebbe indicare furto di dispositivi, il danneggiamento fisico dei cavi o le intercettazioni delle comunicazioni.

  • Livello collegamento dati: a questo livello, gli attacchi mirano a interferire con la comunicazione tra dispositivi sulla stessa rete, ad esempio con lo spoofing dell'indirizzo MAC, che permette a un attaccante di impersonare un altro dispositivo.

  • Livello rete: questo è il livello più frequentemente attaccato dagli hacker che di fatto sfruttano le vulnerabilità dei protocolli di routing per reindirizzare il traffico verso sistemi compromessi (gli attacchi man-in-the-middle sono molto comuni a questo livello).

  • Livello trasporto: qui gli attacchi si concentrano sui protocolli che gestiscono la trasmissione dei dati tra applicazioni. un attacco tipico è il denial of service (DoS), che mira a rendere un servizio o una risorsa informatica inaccessibile.

  • Livello sessione: in questo caso invece gli attacchi possono interrompere le sessioni di comunicazione, impedendo lo scambio di dati tra i dispositivi.

  • Livello presentazione: gli attacchi a questo livello invece possono alterare la formattazione o la codifica dei dati, rendendoli incomprensibili o dannosi.

  • Livello applicativo: questo è il livello più alto e quindi anche più vicino a noi e alle applicazioni che utilizziamo quotidianamente. gli attacchi più comuni a questo livello sono il phishing, le injection (SQL, XSS) e i malware.

Visto che le immagini raccontano più di mille parole qui sotto trovi il mapping tra livello e attacco, che può tornarti utile soprattutto alle cene di famiglia quando l’ennesimo parente ti ha detto che ha cliccato su un link per sbaglio (chiaro esempio di compromissione del livello 6).

people, process & technology

il framework people, process & technology rappresenta un approccio olistico alla gestione della sicurezza informatica, riconoscendo che la tecnologia, per quanto avanzata, è solo uno dei componenti di un sistema complesso. al centro di questo modello ci sono le persone, il fattore umano, con le loro competenze, le loro abitudini e la loro consapevolezza, che interagiscono con i processi aziendali. la tecnologia, a sua volta, fornisce gli strumenti e le infrastrutture necessarie per supportare questi processi. unendo questi tre elementi in modo armonico, è possibile creare un ambiente di lavoro più sicuro e resiliente, dove le persone si sentono protette e valorizzate, i processi sono efficienti e la tecnologia supporta efficacemente gli obiettivi aziendali.

abbiamo visto come ciascuno dei tre pilastri - persone, processi e tecnologia - sia fondamentale per una strategia di sicurezza informatica efficace. ma è l'interazione tra questi elementi che rende il sistema veramente robusto e resiliente. le persone sono il cuore del sistema. sono loro a utilizzare gli strumenti tecnologici, a seguire i processi e a prendere decisioni cruciali. non mi stancherò mai di dire che la parte più importante del settore informatico in generale è la formazione, a maggior ragione nella sicurezza informatica dove uno sbaglio potrebbe portare a fuga di dati e perdite di soldi. la formazione adeguata e una cultura della sicurezza ben radicata sono essenziali per minimizzare il rischio di errori umani, spesso la causa principale delle violazioni di sicurezza. ma questo è solo uno step, ci sono anche i processi che definiscono il modo in cui le persone lavorano e interagiscono con la tecnologia. processi ben definiti e documentati garantiscono la coerenza e l'efficienza delle attività, riducendo il rischio di omissioni o errori. la tecnologia fornisce gli strumenti necessari per implementare i processi e proteggere i dati. firewall, sistemi di rilevamento delle intrusioni, software antivirus e altre tecnologie di sicurezza sono essenziali per difendere l'organizzazione dalle minacce informatiche.

per garantire il successo di una strategia di sicurezza informatica, è fondamentale promuovere una comunicazione efficace tra tutti gli attori coinvolti. la sicurezza informatica non è solo un problema tecnico, ma riguarda tutti i livelli dell'organizzazione. la collaborazione tra il reparto it, il management e i dipendenti è essenziale per identificare le vulnerabilità, implementare le contromisure e rispondere efficacemente agli incidenti. in tutto ciò, i manager a capo dell'organizzazione hanno un ruolo cruciale nel promuovere una cultura della sicurezza informatica. i leader devono dare l'esempio, dimostrando l'importanza della sicurezza e investendo nelle risorse necessarie. inoltre, devono assicurarsi che la sicurezza informatica sia integrata in tutti i processi aziendali, dalla progettazione dei prodotti e dei servizi alla gestione delle forniture. il panorama delle minacce informatiche è in continua evoluzione. per rimanere al passo con le nuove sfide, le organizzazioni devono adottare un approccio proattivo alla sicurezza, investendo in ricerca e sviluppo e aggiornando costantemente le proprie conoscenze e competenze.

  1. Strategia di sicurezza: qui ci finiscono le priorità date sia dagli investimenti ottenuti che dai trend di mercato ma anche dalle reali criticità dell’Azienda che si sta considerando.
    come si capiscono queste cose dipende dal livello di maturità dei prossimi passi.

  2. Protezione degli asset: per proteggere si deve conoscere, quindi tutto in realtà parte dagli asset inventory che non sono degli excel ultimo aggiornamento 1994 ma dei tool automatici che fanno discovery con o senza agente a bordo macchina.

  3. Disegni/mappe di rete: in caso di emergenza o anche solo per aver chiaro che cosa si trova nell’infrastruttura, come gli oggetti sono collegati tra di loro e le connessioni con l’esterno.

  4. Gestione delle identità: dipendenti, fornitori, clienti, collaboratori sono i nostri attori ed ad ognuno di questi sono associati dei ruoli e delle autorizzazioni. cosa succede quando una persona lascia l’Azienda? quando cambia dipartimento? gestire le identità è un mestiere davvero molto complesso e collaborare con altri uffici è necessario, soprattutto con le risorse umane.

  5. Impianto procedurale: come nel caso delle identità, anche le procedure spesso sono demandate ad altri uffici, tuttavia se si governa bene l’infrastruttura, vuol dire che ci sono almeno le procedure di disaster recovery, business continuity e gestione degli incidenti. per quanto siano IT, è necessario includere il mondo compliance e parlare anche del mondo audit, necessario e grande aiuto per sanare vulnerabilità.

  6. Training e comunicazione: formare i dipendenti sui rischi informatici e le minacce, oltre che comunicare cosa voglia dire avere una strategia di sicurezza è mandatorio.

  7. Gestione degli eventi: eh sì, non degli incidenti, ma in generale degli eventi. che questo si traduce in creazione di workflow più o meno accurati per ogni evenienza. del tipo che se sei in aereo per 20 ore, i tuoi colleghi devono essere in grado di sostituirti, così come se qualcosa di blocca non puoi essere il collo di bottiglia. quindi workflow per l’operatività, per le eccezioni e per i disastri.

parliamo dei rischi che sono davvero importanti

È un po’ come attraversare una strada trafficata: se si conoscono le regole e si presta attenzione, si può arrivare sani e salvi alla destinazione. se non si è cauti, si rischiano incidenti spiacevoli. immaginate il mondo digitale come una grande città, piena di opportunità e di persone interessanti. come in ogni città, ci sono anche dei pericoli da evitare. questi pericoli possono assumere diverse forme: virus che infettano i vostri computer, hacker che cercano di rubare le vostre informazioni personali, messaggi ingannevoli che vi portano a cliccare su link pericolosi. conoscere le basi della sicurezza informatica, potrete proteggervi da questi rischi e navigare nel mondo digitale in tutta tranquillità. è come imparare ad andare in bicicletta: all'inizio può sembrare difficile, ma con un po' di pratica diventerete esperti.

il rischio è dato dalla probabilità che un evento accada moltiplicato per l’impatto che potrebbe avere nel caso succeda.

faccio un esempio prendendo come rischio quello di un utente clicca su un link sospetto contenuto in un'email non richiesta (phishing). la probabilità che questo accada è alta - se pensiamo che le email di phishing sono molto diffuse e spesso ben costruite per ingannare anche utenti esperti. la probabilità che qualcuno, magari distratto o curioso, clicchi su un link del genere è elevata. l’impatto anche è alto perchè cliccando sul link, l'utente potrebbe infettare il dispositivo, diffondere malware, rilasciare info personali, etc etc. in ambito aziendale è praticamente impossibile avere zero rischi quindi si deve lavorare sulla mitigazione dei rischi. in questo caso, ad esempio, se siamo in una Azienda si potrebbe pensare di avere dei filtri di protezione phishing così da diminuire la probabilità che accada e per ridurre l’impatto si potrebbe pensare di limitare l’accesso ai dati. poi.. se mitigarlo non è la soluzione, si può accettare il rischio ma a quel punto va fatta una valutazione degli impatti che non metta in ginocchio l’Azienda.

è importante sottolineare che la sicurezza informatica è un processo continuo. non basta una sola lezione per diventare esperti. è fondamentale mantenere alta l'attenzione e aggiornare costantemente le proprie conoscenze.

Controls, frameworks, and compliance

I principi fondamentali CIA che abbiamo visto prima sono alla base della definizione dei controlli appropriati per mitigare minacce, rischi e vulnerabilità in ambito cyber. i controlli di sicurezza sono salvaguardie progettate per ridurre rischi specifici e sono utilizzati in combinazione con i framework per garantire la corretta implementazione degli obiettivi e dei processi di sicurezza, nonché il rispetto dei requisiti di conformità normativi. i framework di sicurezza sono linee guida utilizzate per sviluppare piani di mitigazione dei rischi e delle minacce ai dati e alla privacy. comprendono l'identificazione e la documentazione degli obiettivi di sicurezza, la definizione delle linee guida per raggiungerli, l'implementazione di solidi processi di sicurezza e il monitoraggio e la comunicazione dei risultati. la conformità è il processo di aderenza agli standard interni e alle normative esterne. quello che io uso di più perchè è più nelle mie corde è il cybersecurity framework (CSF) del NIST - quell’ente che sviluppa diversi framework di conformità volontari utilizzabili dalle organizzazioni per gestire il rischio. una maggiore conformità equivale a un rischio inferiore.

Oltre al NIST CSF esiste il suo analogo per i rischi (NIST RMF) ed esistono anche numerosi altri controlli, framework e standard di conformità rilevanti per i professionisti della sicurezza. il più famoso è ormai il GDPR che regola la protezione dei dati in europa, la PCI DSS che riguarda la sicurezza delle informazioni delle carte di credito, HIPAA protegge le informazioni sanitarie dei pazienti, ISO stabilisce standard internazionali, e SOC 1/SOC 2 valutano la conformità finanziaria e i livelli di rischio delle organizzazioni. ultimo ma non per importanza, l’OWASP 10 ovvero una classifica delle 10 vulnerabilità più critiche nel mondo web. un sacco di acronimi.

Poi ci sono altri framework che sono importanti e che derivano da certificazioni di settore, ne nomino uno su tutti: CISSP. In effetti, la classificazione/ argomenti che c’è in questa certificazione è molto accurata e completa, ma se sei alle prime armi o primi anni della tua carriera potrebbe essere tutto-troppo, questa certificazione è pensata per chi lavora in questo settore da un po’.

i domini della sicurezza informatica

Allora l’elenco che propongo qui sotto è frutto di un mischione di cose apprese, studiate e probabilmente inventate (mica tanto perchè io sono molto CSF oriented), tuttavia è la mia base per le strategie che costruisco e che consiglio, oltre che quelle che insegno e applico. Mi piace chiamarli domini ma potete chiamarli topic, areee, argomenti, come vi pare. Sono una classificazione di tutte le aree di interesse di cui una persona che lavora nella sicurezza informatica deve avere padronanza.

Fonti (ho preso solo le foto, onestamente gli articoli non li ho letti quindi non so se il contesto da cui li ho estrapolati ha senso per questo pippozzo che ti sei letto)

  • Immagine sugli attacchi ISO/OSI https://www.linkedin.com/pulse/understanding-cyber-attacks-across-osi-layers-your-abolfazl-mohammadi/

  • Immagine che compara i due stack https://cheapsslsecurity.com/blog/what-is-the-tcp-model-an-exploration-of-tcp-ip-layers/