Cisco pubblica il suo primo report sulla (poca) sicurezza mondiale

Il Cisco Annual Security Report 2007, diffuso contemporaneamente al lancio della versione aggiornata del sito Cisco Security Center, passa in rassegna le tematiche di sicurezza che hanno tenuto banco nello scorso anno; inoltre include previsioni per l’anno 2008 e raccomandazioni formulate dai più importanti esperti Cisco in materia di security, quali John Stewart, Chief Security Officer dell’azienda, e Dave Goddard, che ricopre il ruolo di Vice President Customer Assurance and Security Programs.

A differenza dei tanti report di fine anno in questo settore, che sono focalizzati sulle minacce alla sicurezza dei contenuti (virus, worm, trojan, spam e phishing), il report Cisco amplia l’ambito della discussione includendovi sette categorie di risk management, andando quindi ben oltre le singole criticità relative alla sicurezza dei contenuti. Le categorie in questione sono la vulnerabilità, la sicurezza fisica, il cybercrime, la minaccia interna, l’identità, l’errore umano e il rischio geopolitico; nell’insieme, esse riguardano requisiti di sicurezza quali la protezione dal malware, la protezione dalla fuoriuscita non autorizzata di dati, la gestione del rischio a livello d’impresa, il disaster planning e molto altro ancora.

I contenuti del report confermano ulteriormente il fatto che le minacce e gli attacchi informatici hanno ormai assunto una dimensione globale ed assai più sofisticata che in passato. La crescente diffusione di applicazioni, strumenti e metodi di comunicazione basati su IP crea infatti le condizioni per sferrare un maggior numero di attacchi; si sta così aprendo un nuovo capitolo nella storia delle minacce alla sicurezza e nelle metodologie di assalto.

Anni fa, virus e worm (ad esempio Code Red, Nimbda ed altri) infettavano i sistemi informatici allo scopo di far danno e di dare notorietà ai loro creatori. Con la diffusione dell’uso di Internet e dell’e-commerce, sono nate nuove minacce miste (attacchi di phishing realizzati con l’invio di spam, botnet ecc.) create allo scopo di sottrarre informazioni personali e denaro. Questo approccio "stealth-and-wealth" si è poi ulteriormente evoluto, assumendo dimensioni globali e caratteristiche tali da riguardare di frequente e contestualmente più di una delle sette categorie di rischio elencate nel report.

Secondo Stewart, la sicurezza delle informazioni non è più semplicemente una battaglia contro un virus o un attacco spam. Spesso sono in gioco anche fattori di tipo legale, di identità e geopolitici. Stewart fa riferimento, ad esempio, ai furti di identità realizzati ai danni delle grandi catene commerciali, e ad un recente attacco di distributed denial-of-service avvenuto la scorsa primavera, che sembra sia stato lanciato da hacker russi contro la vicina Estonia con motivazioni di tipo politico. Secondo le notizie disponibili, l’attacco sarebbe stato una reazione alla decisione delle autorità estoni di rimuovere un monumento di guerra dell’era sovietica da un parco; il risultato è stato il blocco completo di numerosi siti web governativi del paese.

"Il crimine informatico sta cambiando pelle sotto i nostri occhi, e spesso si serve di tecniche ben note, ma che in precedenza erano utilizzate solo tramite mezzi elettronici" spiega Stewart. "I team che si occupano della sicurezza IT, le aziende, i governi, le forze dell’ordine, i consumatori, i cittadini: sono tutti potenziali obiettivi di attacco, ma anche tutti potenziali alleati. L’efficacia della sicurezza a livello nazionale, aziendale e personale dipenderà dalla collaborazione e dalla comunicazione fra tutti questi soggetti".

Secondo Steward e Goddard, alla base del successo di questa collaborazione c’è una azione educativa. Il report Cisco propone numerose linee guida per ognuna delle sette categorie di risk management individuate. Ecco alcune delle più importanti.

• Condurre su base regolare verifiche all’interno delle organizzazioni che possono costituire un target interessante per il crimine informatico e valutare le possibili modalità con cui esse possono essere attaccate.
• Tenere ben presente il fatto che le minacce agiscono in parallelo con le modalità di utilizzo dei sistemi.
• Cambiare la mentalità dei dipendenti, dei consumatori e dei cittadini, che tendono a considerarsi semplici spettatori, dando loro la possibilità di diventare attori influenti, condividendo la responsabilità della sicurezza. I team IT dovrebbero guidare questo cambiamento, ma non è un compito di loro esclusiva pertinenza.
• Dare priorità all’educazione in materia di sicurezza. Le aziende, i vendor del settore security e gli enti governativi devono investire per educare e creare consapevolezza del problema. Questa azione dovrebbe prevedere anche una collaborazione a livello di settore fra partner e fra concorrenti.
• Istituzionalizzare la formazione nel campo della sicurezza IT includendola nei curriculum scolastici e accademici.
• Quando si costruisce una rete sicura, non tenere in considerazione solamente le prestazioni; concentrarsi piuttosto sulla capacità della rete di collaborare, analizzare, adattarsi e risolvere i problemi di sicurezza globalmente, a partire da gateway e server fino ai desktop e ai dispositivi mobili.
• I fornitori di sicurezza devono offrire soluzioni omnicomprensive, che coprano tutta l’infrastruttura di rete, l’insieme delle applicazioni attive su di essa e i dati stessi.

Il report è disponibile per la consultazione.