Marc Andreessen tenía razón: el software ha devorado el mundo. Como resultado, el mundo puede ser pirateado.
Basta guardare gli ultimi mesi. L’operazione SolarWinds, “l’attacco più grande e sofisticato che il mondo abbia mai visto” secondo il presidente di Microsoft Brad Smith, ha concesso ai criminali russi mesi di libertà per governare innumerevoli agenzie governative e società private statunitensi. Ma anche opere stupide: il mese scorso in Florida, la sicurezza informatica in un impianto di trattamento delle acque era così permissiva che chiunque avrebbe potuto essere dietro un goffo tentativo di avvelenare la fornitura idrica locale. Nel frattempo, i criminali ransomware hanno fatto degli ospedali il loro bersaglio preferito; Nell'ottobre 2020 sei ospedali statunitensi. UU. Sono state vittime entro 24 ore.
La sicurezza informatica vince il Darkest Science Award. Ma se essere attaccati oggi comporta un costo per l’attività aziendale, allora l’approccio tradizionale di dare priorità al rischio e limitare i danni quando si verificano violazioni offre ancora motivo di speranza. Questa raccolta di articoli di CSO, Computerworld, CIO, InfoWorld e Network World fornisce consigli specifici sulle migliori pratiche di sicurezza in tutta l'azienda, dai dirigenti ai laptop degli sviluppatori.
La collaboratrice Stacey Collette, scrivendo per CSO, affronta l'annosa questione di come focalizzare l'attenzione del senior management sulla sicurezza in "4 modi per mantenere la conversazione sulla sicurezza informatica dopo che la crisi è passata". La tesi è che i disordini a cinque allarmi, come l’attacco SolarWinds, possono fungere da utili campanelli d’allarme. Collette suggerisce di cogliere l'attimo per convincere il consiglio di amministrazione ad abbinare il modello di business dell'azienda con un adeguato quadro di mitigazione del rischio e di utilizzare centri di condivisione e analisi delle informazioni per scambiare informazioni sulle minacce specifiche del settore e sulle misure difensive.
Il contributo del CIO, “Mitigating the Hidden Risks of Digital Transformation” di Bob Violino, evidenzia un problema in agguato: l’innovazione digitale aumenta quasi sempre il rischio. Tutti comprendono il potere di trasformazione del cloud, ad esempio, ma ogni fornitore IaaS o SaaS sembra avere un modello di sicurezza diverso, aumentando le possibilità di disastrosi errori di configurazione. Allo stesso modo, l’integrazione digitale con i partner promette ogni tipo di nuova efficienza e, per definizione, aumenta i rischi per terze parti. E si dovrebbe addirittura dire che il lancio di un’iniziativa relativa all’Internet delle cose amplierà significativamente la sua superficie di attacco?
Una seconda storia scritta da Violino, questa per Computerworld, esplora l'ossessione della sicurezza informatica del nostro tempo: "Le lezioni di sicurezza del WFH durante la pandemia". Parte dell'articolo tratta argomenti familiari, come la protezione efficace degli endpoint e l'autenticazione a più fattori per i lavoratori remoti. Ma Violino offre anche soluzioni più avanzate, come desktop cloud e accesso a reti non affidabili. Avverte che sarà necessaria una nuova ondata di preparazione per scenari di lavoro ibridi, in cui i dipendenti si alternano tra ufficio e casa per garantire il distanziamento sociale sul lavoro. La pandemia ha dimostrato che il lavoro remoto su larga scala è fattibile, ma saranno necessarie nuove soluzioni, come piattaforme di difesa e risposta dei dati onnipresenti, per proteggere il nostro nuovo mondo senza perimetro.
Ciò vale anche per le aziende con molte sedi distribuite. Come riporta la collaboratrice Maria Korlov nell’articolo di Network World “Le sfide WAN spingono Sixt verso l’implementazione SASE nativa del cloud, l’adozione sta accelerando per Secure Access Service Edge (SASE), un’architettura che combina SD-WAN con diverse misure di sicurezza, dalla crittografia a zero autenticazione di fiducia. Secondo Korlov, per la società di autonoleggio Sixt, il risultato è stato "una riduzione dal 15% al 20% dei costi di manutenzione della rete, sicurezza e pianificazione della capacità". Nelle 80 filiali Sixt, i tempi di inattività sono in media un decimo rispetto al passato.
In “6 rischi per la sicurezza nello sviluppo di software e come gestirli”, Isaac Sacolick, redattore capo di InfoWorld, ci ricorda che la moderna sicurezza informatica significa anche codice sicuro. Da un sondaggio ESG citato nell’articolo è emerso che quasi la metà degli intervistati ha ammesso di rilasciare regolarmente codice vulnerabile in produzione. Grazie all'esperienza pratica di Sacolick con i team di sviluppo, può offrire una moltitudine di soluzioni pratiche che i responsabili dello sviluppo possono adottare, dalla documentazione esplicita dei criteri di accettazione della sicurezza del codice alla garanzia che i repository di controllo della versione siano completamente bloccati.
Il fiasco di SolarWinds ha dimostrato che l’attuazione di tali politiche non è più un optional. La copertura dell'attacco si è concentrata sugli hacker backdoor russi che hanno inserito i prodotti Orion di SolarWinds, compromettendo istantaneamente i clienti che hanno installato il software. Meno attenzione è stata prestata al malware personalizzato che gli hacker hanno creato per intrufolarsi nel processo di sviluppo di SolarWinds senza essere scoperti e impiantare questa backdoor. Può un'azienda di sviluppo software affermare con sicurezza di poter supportare uno sforzo così sofisticato e concertato?
Le aziende di software si stanno ponendo questa domanda proprio adesso, mentre i governi e le aziende private, visti come obiettivi di alto valore, monitorano furiosamente le loro operazioni per vedere se sono vittime di un altro codice compromesso. Naturalmente, questo è solo l’ultimo fronte di battaglia contro un’orda globale di criminali informatici, dagli script kiddie agli hacker criminali fino alle menti sponsorizzate dallo stato.
<p>Copyright © 2021 IDG Communications, Inc.</p>