Le mamme e le nonne ce lo hanno sempre detto, nelle mezze stagioni: per non ammalarci dobbiamo vestirci a cipolla. La security onion, o sicurezza a cipolla, ricalca questo concetto. Si basa sulla costruzione di strati che costruiscono una barriera tra l'attaccante e la cassaforte aziendale, ovvero il luogo in cui sono custoditi i nostri dati. Vi abbiamo già parlato di vari metodi che costituiscono validi punti per una difesa informatica, da prodotti ormai conosciuti come i firewall, fino a soluzioni poco note come gli honeypot. Non abbiamo però mai approfondito la strategia, ovvero l'insieme delle azioni e dei prodotti informatici che fanno sì che il sistema aziendale sia protetto a più livelli, con bassissime soglie di tolleranza all'errore. Occorre ricordare che un sistema di sicurezza strutturato è prima di tutto un deterrente, come una porta blindata: tra un portone bello solido e una porticina di legno marcio, dove si dirigerà un ladro? Un sistema di cyber sicurezza è innanzitutto il primo ostacolo che dovrebbe far desistere gli hacker. Questi preferiscono concentrarsi su prede più facili, presenti in numero maggiore.
Il modello security onion nelle nostre aziende
Ma il modello security onion, la nostra cipolla, come funziona? L'approccio è detto defence in depth (difesa in profondità) e nasce, manco a dirlo, negli USA. Secondo il manuale pubblicato dall'Industrial Control Systems Cyber Emergency Response Team (qui lo studio del 2016, in inglese), divide la rete in zone. Le risorse logiche o fisiche da proteggere vengono raggruppate in base ai requisiti di sicurezza comuni, oltre a tutta una serie di fattori tipo l'importanza del dato contenuto e il danno potenziale se venisse sottratto o distrutto. Le unità all'interno dei raggruppamenti sono tipo un castello con alte mura di difesa, mentre c'è un monitoring costante degli scambi di informazioni tra questi insiemi (detti anche trust). Le informazioni che viaggiano da un trust ad un altro, come se fossero delle rotte commerciali che vanno da un castello ad un altro, viaggiano su percorsi predefiniti, delle rotte sulle quali viene posto uno strumento che misuri la correttezza del flusso informativo (tipicamente un firewall).Con l'architettura a cipolla, in cui le informazioni critiche sono all'interno di questo sistema di trust, si predilige un flusso di informazioni che parta dal centro verso l'esterno, verificate ogni volta. Ovviamente è molto difficile che il flusso di informazioni sia solamente unidirezionale, soprattutto di dati sensibili, ma un sistema di check ad ogni layer (strato) della cipolla rende il sistema complicato da attaccare, per quanto ostinato possa essere l'aggressore.
Generalmente la cipolla delle nostre aziende presenta uno o al massimo due strati, come un firewall e un sistema di controllo degli accessi. Questo genera un senso di falsa sicurezza che fa abbassare la guardia e rende vulnerabili soprattutto di notte o nel weekend quando non possiamo accorgerci subito di danneggiamento o furto di dati. La security onion è particolarmente nota in ambiente Linux. I dati da proteggere sono al centro e attorno, come sistemi difensivi, una serie di protezioni via via sempre più difficili da oltrepassare. Mettendo al centro il dato da proteggere, vi è un sistema di mitigazione del rischio, un sistema di rilevamento delle minacce, un sistema di protezione, uno dii prevenzione e infine la sicurezza della rete aziendale e la sicurezza fisica. Se finora avevate pensato alla cipolla come utile solo per fare il sugo, ma ora vi sono venute delle domande o curiosità da approfondire sul tema della sicurezza informatica, non esitate a contattarci. Saremo lieti di aiutarvi ad analizzare lo stato di sicurezza della vostra rete aziendale e a darvi (se gradito) qualche consiglio.
