I protagonisti del settore ci aiutano a fare il punto sull’evoluzione dei sistemi di rilevamento delle intrusioni, esprimendo pareri a volte contrastanti sulla loro utilità e il grado di maturità.
Sul mercato esistono soluzioni molto diverse tra loro che vengono tutte definite Intrusion prevention system (Ips). In comune hanno la capacità di individuare una minaccia prima che possa far danni, ma come riescono in questo e, soprattutto, come intervengono dopo tale rilevamento sono elementi peculiari di ciascuna di esse. La diffusione di queste tecnologie appare comunque in aumento, tanto è vero che, secondo Infonetics, il mercato dei meccanismi di protezione proattiva e preventiva, nel mondo, sarebbe destinato a passare dai 430 milioni di dollari del 2003 a 900 milioni entro il 2007.
Per comprendere qualcosa di più sugli Ips, la loro utilità e il grado di maturità della tecnologia, abbiamo interpellato gli esperti di alcune delle principali società specializzate nella sicurezza: Lorenzo Centurelli, technical manager di Check Point Software Technologies; Roberto Mircoli, business developer Security e Wireless Networking di Cisco Systems; Elio Molteni, Business Technologist Security di Computer Associates; Fabio Panada, direttore tecnico di Internet Security Systems; Sergio Vantusso, marketing manager Semea (Southern Europe, Middle East and Africa) di Network Associates/McAfee; Edilberto Bottini, Enterprise product manager di Symantec; Stefano Chiccarelli, Chief security officer di Tenovis.
Dall’Ids all’Ips
Come dichiara Molteni, "tecniche a parte, quello che è cambiato in quest’ultimo anno è la velocità nello "sferrare" gli attacchi. Si deve quindi pensare a un sistema di sicurezza che si preoccupi di prevenire, piuttosto che curare. Fra gli intrusi, oltre a virus, worm, spam, è fondamentale controllare il fenomeno sempre crescente degli spyware". Un’opinione che trova larghi consensi e c’è chi va oltre.
Vantusso, per esempio, ritiene che "quando le aziende valutano i budget destinati all’It, dovrebbero innanzitutto prendere in considerazione le tecnologie per bloccare e prevenire le intrusioni". Centurelli, invece, afferma: "Non è più sufficiente avere dei sistemi in grado di identificare delle anomalie del traffico di rete, in quanto la tipologia degli attacchi è cambiata, spostandosi in modo predominante sugli applicativi".
Panada pone l’accento sui vantaggi di un Ips, che "permette di avere un controllo a livello applicativo del traffico, con la possibilità di bloccare gli eventuali attacchi senza per questo disabilitare la porta del servizio relativo. Per esempio, consideriamo un worm come Slammer: si propaga rapidamente e utilizza un singolo pacchetto ben definito per attaccare i server. Utilizzando un Ips possiamo scrivere una regola per filtrarlo, laddove, con un firewall tradizionale, ciò si tradurrebbe nel dover chiudere un servizio". Certo, è possibile aggiornare i server, ma non sempre questa via è praticabile nei tempi brevi di una crisi.
Bottini sottolinea: "La capacità di risposta in tempo reale delle soluzioni di intrusion prevention e la capacità di ridurre eventuali falsi positivi sono due aspetti fondamentali per far fronte a debolezze o carenze dell’infrastruttura di fronte a un tentativo di attacco".
Di fatto, i sistemi di intrusion detection hanno avuto successo quasi esclusivamente nelle grandi imprese. Secondo Mircoli, un freno alla loro diffusione potrebbe essere stato il timore di mettere a nudo troppi problemi nelle reti. Il manager di Cisco aggiunge: "In effetti, intrusion detection e intrusion protection costituiscono solo un aspetto di un più ampio modello di sicurezza integrata e multilivello, in cui ogni elemento collabora nativamente con gli altri proprio al fine di realizzare prime reti intrinsecamente sicure che si autodifendono".
Chiccarelli, invece, sostiene: "Nell’ultimo anno molti appliance e software di intrusion prevention si sono affacciati sul mercato, promettendo livelli di sicurezza alti e automatizzati. A mio avviso è soltanto un modo nuovo di proporre l’intrusion detection che non ha avuto il successo sperato perché richiede comunque molto know how per l’utilizzatore. Gli intrusion prevention sono sicuramente degli strumenti utili ma nulla potrà mai sostituirsi alla competenza umana. Anzi gli Ips, se da un lato risolvono alcuni problemi, dall’altro ne introducono altri; come per esempio attacchi DoS basati proprio sull’utilizzo degli intrusion prevention come primi giudici del tipo di traffico che può arrivare sui server".
Domanda spinta dal bisogno
Eppure il mercato dell’intrusion prevention è in rapida crescita, anche se, come evidenzia Panada, "ancora giovane". Il direttore tecnico di Iss, inoltre, spiega: "Sotto la denominazione Ips si nascondono diversi tipi di prodotti con tecnologie differenti. A oggi, non esiste ancora uno standard per la definizione di Ips, per cui sotto questo cappello ricadono strumenti con modalità e obiettivi diversi".
L’esigenza però è sentita. Anzi, secondo Vantusso, "la necessità di avere un sistema di intrusion prevention è dettato dalla crescita e dal cambiamento del modo di fare business. Velocità, rapidità, reperibilità di informazioni sono elementi fondamentali ma di grande pericolo perché espongono le aziende a elevati rischi di attacchi o intrusioni".
Lo stesso Chiccarelli concorda sul roseo futuro degli Ips: "Dal punto di vista della percezione del cliente, l’intrusion prevention è sicuramente uno strumento più semplice da recepire rispetto al classico Ids. Prevedo quindi una maggior recettività da parte del mercato di questi strumenti, aiutati anche da alcune nuove disposizioni della legge sulla privacy. Questo non vuol dire però che il livello di sicurezza reale aumenterà". Il Cso di Tenovis, infatti, ritiene: "Non è ancora possibile delegare la sicurezza interamente a degli apparati, occorre e forse occorrerà sempre la competenza tecnica per mitigare il rischio di attacchi". Gli fa eco, in un certo senso, Molteni: "Ancora una volta è importante sottolineare che "fare sicurezza" non significa solo dotarsi di uno strumento, come l’antivirus. È fondamentale affrontare il problema "security" in un contesto più ampio che tenga conto di tutte le possibili insidie che possono venire dall’esterno e dall’interno e, soprattutto, affrontare la materia con un approccio olistico".
Ma c’è chi ancora vede ostacoli. Mircoli sostiene: "I sistemi di intrusion prevention sono soluzioni relativamente complesse, richiedendo l’intervento di personale qualificato per installare, configurare, estrarre i dati e le informazioni e selezionare il rumore di fondo non significativo dalle effettive minacce alla rete. Proprio per questo attualmente il rischio è che le imprese italiane non siano ancora del tutto pronte per accogliere le soluzioni di Ips senza un adeguato sviluppo, oltre che della tecnologia stessa, anche delle competenze specialistiche necessarie".
Centurelli, dal canto suo, dichiara: "Sostanzialmente gli ostacoli principali all’adozione dei sistemi di prevenzione sono due: gli investimenti fatti per gli Ids e spesso l’architettura di rete esistente, che necessita di adeguamento per favorire l’inserimento ottimale dei sistemi di prevenzione". Peraltro, come osserva Bottini, di Symantec, "molte aziende scelgono di affidare in outsourcing l’amministrazione del proprio sistema di sicurezza perché non sono in grado di sostenere un investimento in tecnologie e risorse specializzate".
Penetrare a bordo di un client
Internet resta la principale fonte di intrusione, ma cresce il pericolo rappresentato dai portatili aziendali. Se non adeguatamente protetti e utilizzati conformemente alle policy aziendali, questi si possono rivelare un vero e proprio "cavallo di Troia" con il quale eludere le difese della rete.
I sistemi di intrusion prevention, in maniera anche molto differente gli uni dagli altri, promettono soluzioni al problema, con controlli che si estendono sul client, fino a impedirne l’accesso quando si rileva un rischio o la non conformità a determinati parametri. Al riguardo, abbiamo interrogato gli esperti, secondo i quali le soluzioni ci sono, ma l’importante è saperle utilizzare e integrare tra loro in un approccio sistemico. Panada, per esempio, afferma: "Le minacce di oggi occupano più livelli e sono di vari tipi; la conseguenza è che miglior protezione è data da strumenti che coprono il più alto numero possibile di questi livelli". Centurelli aggiunge: "È necessario avere una protezione completa non solo dei pc degli utenti remoti, ma anche e soprattutto degli accessi da postazioni pubbliche, ancora più vulnerabili. Non è più sufficiente un semplice client Vpn, prima di consentire l’accesso alla rete è indispensabile avere la certezza che il computer non abbia installato del software "dannoso", come trojan horse, spyware, malware in generale. La situazione ottimale si ha quando tali controlli vengono effettuati anche sui computer all’interno della rete, prima di consentire l’accesso alla rete stessa". Ne conviene Molteni, che dichiara: "Certamente, tecnologicamente parlando, vanno impiegati strumenti come gli antivirus e gli antispyware oltre agli Ids/Ips. Ma, da un altro punto di vista, è necessario aumentare il livello di sensibilizzazione degli utilizzatori, con l’approccio corretto del "buon padre di famiglia"".
È questo un aspetto fondamentale, aldilà delle soluzioni tecnologiche che ogni produttore ha sviluppato. Anche Bottini, infatti, afferma: "La protezione dei client da sempre è motivo di attenzione da parte delle aziende. In relazione a ciò non solo gioca un ruolo chiave l’adozione di adeguate soluzioni di sicurezza, ma è importante anche la definizione di policy e la formazione dei dipendenti verso un utilizzo corretto degli strumenti informatici".
La varietà delle minacce, peraltro, riduce la speranza di risolvere il tutto con strumenti automatici, come pure insufficiente appare una corretta gestione degli utenti e degli accessi. "In questo scenario – sostiene Mircoli -, oltre l’identity management, identificare e isolare dalla propria rete i sistemi che in qualche misura non sono conformi alle politiche di sicurezza aziendali acquisisce in maniera sempre più impellente una nuova valenza nella gestione degli accessi. Gestione che riguarda non più solo l’autenticazione degli utenti, ma anche la validazione delle credenziali relative alla sicurezza dei dispositivi che, di volta in volta, ogni utente utilizza e in base alle quali ottengono l’accesso e si vedono differenziare i privilegi di utilizzo dei servizi in rete".
È forse all’interno della Lan che bisogna lavorare di più. Chiccarelli dichiara: "Per rispondere al forte aumento degli attacchi client based negli ultimi anni e alle problematiche introdotte dalla mobilità, che impedisce alla divisione di sicurezza interna di tenere sotto controllo i portatili e i palmari aziendali, è fondamentale operare sulla rete. In particolare, è opportuno abbassare il livello di autenticazione sulla Lan aziendale dal livello applicativo al livello 2 della pila Iso/Osi, ossia utilizzare protocolli come l’802.1x per autenticarsi sin dal momento in cui ci si attacca allo switch Ethernet. Ma questo tipo di soluzioni non bastano e vanno comunque integrate con controlli di tipo applicativo e con policy interne chiare e semplici perché vengano rispettate da tutti".
Quanto sostiene Chiccarelli è forse ancora più rilevante, alla luce di quello che afferma Vantusso, secondo il quale non solo i notebook, ma tutto ciò che è connesso remotamente è ad alto rischio, compresi palmari, smart-phone di nuova generazione e così via. Spiega il manager di McAfee: "È soltanto questione di tempo prima che il mondo wireless sia colpito dagli stessi tipi di attacchi che stanno contagiando le reti fisse. Infatti, gli analisti Idc stimano che il mercato della sicurezza mobile arriverà a 1,27 miliardi di dollari entro il 2007". Sempre secondo il dirigente, l’ambiente wireless è vulnerabile per quattro motivi: "La protezione attuale delle reti mobili è scarsa o nulla. La capacità di elaborazione di un tipico dispositivo mobile ha raggiunto ormai lo stesso livello dei pc di cinque o sei anni fa e parallelamente sono aumentate funzionalità e capacità di automatizzare le operazioni, su cui puntano hacker e creatori di virus per diffondere codice dannoso. La naturale tendenza verso la standardizzazione di reti e sistemi operativi dei terminali renderà più facile lo sviluppo delle minacce".
Intrusion prevention Una Babele
Ovviamente, ogni produttore ha effettuato scelte precise, sviluppando soluzioni che rispondono a determinati approcci. Le diversità tecnologiche, rilevanti in materia di intrusion prevention, sono accentuate nell’ambito della protezione a livello client. Questo non solo per l’aumento degli attacchi diretti, ma anche per l’apertura verso l’esterno che un client comporta. In generale, si distinguono due linee di sviluppo degli Ips: quella che vede l’Ips come un Ids in-line (e quindi in grado di svolgere un’azione sul traffico, quale "allow" o "deny") e quella che ha abbracciato le teorie dell’anomaly detection. Cisco è tra le società che hanno scelto questa strada e, infatti, Mircoli sostiene: "I tradizionali sistemi anti virus e Ids, che basano la loro azione sul riconoscimento di opportune impronte di attacco (signature, ndr), rimangono insufficienti di fronte alla natura delle attuali minacce. Diventa sempre più importante, quindi, la rilevazione basata sulle anomalie, che, partendo dalla definizione di un modello di normalità di un sistema e delle attività che lo riguardano, osserva il traffico allo scopo di identificarne porzioni che violino determinate caratteristiche di normalità, a livello di protocollo, di composizione statistica o di comportamento di utenti e processi all’interno dei sistemi".
Approccio analogo in Check Point, dove Centurelli afferma: "La possibilità di controllare il comportamento delle applicazioni fornisce un enorme aiuto nella ricerca di eventuali "falle" nella sicurezza del client". Presso il leader dell’intrusion detection, l’opinione è solo leggermente diversa. Panada, infatti, assicura: "L’utilizzo di questa tecnologia è una delle nuove frontiere per quanto riguarda la protezione dei sistemi. Lo sviluppo di questa funzionalità potrebbe portare, un giorno, a sistemi che si auto-proteggano. Oggi, però, non è così e "lavorare" sulle applicazioni è solo uno dei livelli di protezione. Il controllo del comportamento delle applicazioni, soprattutto se eseguito sulla memoria in "user space" e non in "kernel space" è facilmente superabile e richiede un alto costo di gestione".
Bottini concorda con questa filosofia di fondo, ma aggiunge: "Aldilà della protezione contro l’emergere di nuove minacce e lo sfruttamento delle vulnerabilità, lo studio dei comportamenti anomali è di grande importanza in un’ottica di business continuità, poiché consente di gestire rallentamenti e mal funzionamenti della rete". Ma, secondo Vantusso, è opportuna una protezione combinata: "Per proteggere efficacemente host e pc, è necessario disporre di una soluzione che offra i massimi livelli di protezione da attacchi zero-day, con la capacità di scalare a tutta l’azienda".
È quanto sostiene anche Iss, che non a caso ha sviluppato il virtual patching, sfruttando le competenze del centro di ricerca per realizzare le signature in anticipo rispetto alla comunità degli hacker, partendo dalle vulnerabilità.
Ma non tutti sono favorevoli all’analisi del comportamento. Chiccarelli spiega: "Questa strada mi sembra troppo dispendiosa, anche se, certamente, sono necessari controlli a livello di switch e a livello applicativo oltre ai classici strumenti che operano sul Tcp/Ip". Il responsabile del Soc Tenovis, inoltre, aggiunge: "L’altra via ancora troppo poco utilizzata è la crittografia. È impossibile, a mio avviso, studiare il comportamento di tutte le applicazioni per prevenire abusi, mentre è possibile avere un livello di protezione crittografico elevato da rendere inutile, almeno per le applicazioni sensibili, attacchi client based".
