trasparenza
La vita di un moderno responsabile della sicurezza informatica (noto anche come CISO – Chief Information Security Officer) non è solo combattere gli hacker. È anche una ricerca senza fine che va sotto il nome di “conformità”. Le autorità di regolamentazione continuano a stringere le viti, gli standard spuntano come funghi e il mal di testa peggiora; ma… c’è di più: i CISO sono responsabili non solo del proprio perimetro, ma anche di ciò che accade al di fuori di esso: dell’intera supply chain, di tutti gli appaltatori e dell’intero miscuglio di software su cui sono eseguiti i processi aziendali. Sebbene la logica in questo caso sia solida, purtroppo è anche spietata: se viene trovata una falla nel fornitore, ma i problemi colpiscono, alla fine sei tu ad essere ritenuto responsabile. Questa logica si applica anche al software di protezione.
In passato, le aziende raramente pensavano a cosa contenessero effettivamente le soluzioni e i prodotti di protezione utilizzati. Adesso, tuttavia, le aziende, soprattutto quelle di grandi dimensioni, vogliono sapere tutto: cosa c’è veramente all’interno? Chi ha scritto il codice? Interromperà qualche funzione critica o potrebbe addirittura far crollare tutto? (Abbiamo visto precedenti del genere; esempio: l’incidente dell’aggiornamento di Crowdstrike 2024.) Dove e come vengono elaborati i dati? E queste sono le domande giuste da porsi.
Il problema sta nel fatto che quasi tutti i clienti si affidano ai fornitori per le risposte accurate quando vengono poste tali domande, molto spesso perché non hanno altra scelta. Un approccio più maturo nella realtà informatica di oggi è verificare.
Nel linguaggio aziendale questo si chiama fiducia della supply chain e cercare di risolvere questo enigma da soli è un serio grattacapo. È necessario l’aiuto dei fornitori. Un fornitore responsabile è pronto a mostrare cosa c’è dietro le sue soluzioni, ad aprire il codice sorgente a partner e clienti per la revisione e, in generale, a guadagnarsi la fiducia non con belle diapositive ma con passaggi solidi e pratici.
Quindi chi lo sta già facendo e chi è ancora bloccato nel passato? Un nuovo e approfondito studio dei nostri colleghi europei ha la risposta. È stato condotto dal rinomato laboratorio di test AV-Comparatives, dalla Camera di Commercio del Tirolo (WKO), dalla MCI Entrepreneurial School e dallo Studio Legale Tremolada.
La conclusione principale dello studio è che l’era delle “scatole nere” nella sicurezza informatica è finita. RIP. Amen. Il futuro appartiene a coloro che non nascondono il codice sorgente e i rapporti sulle vulnerabilità e che offrono ai clienti la massima scelta durante la configurazione dei prodotti. E il rapporto afferma chiaramente chi non solo promette, ma mantiene. Indovina chi!…
Che bella ipotesi! Sì, siamo noi!
Offriamo ai nostri clienti qualcosa che, purtroppo, è ancora una specie rara e in via di estinzione nel settore: centri per la trasparenza, revisioni del codice sorgente dei nostri prodotti, una distinta base del software dettagliata (SBOM) e la possibilità di controllare la cronologia degli aggiornamenti e controllare le implementazioni. E, naturalmente, forniamo tutto ciò che è già diventato lo standard del settore. È possibile esaminare tutti i dettagli nel rapporto completo “Transparency and Accountability in Cybersecurity” (TRACS) o nel nostro riepilogo. Di seguito, illustreremo alcuni degli aspetti più interessanti.
Fidarsi è bene, ma verificare è meglio
TRACS ha esaminato 14 famosi fornitori e i relativi prodotti EPP/EDR, da Bitdefender e CrowdStrike al nostro EDR Optimum e WithSecure. L’obiettivo era capire quali fornitori non si limitano a dire “fidati di noi”, ma consentono effettivamente di verificare le loro affermazioni. Lo studio ha coperto 60 criteri: dalla conformità al GDPR (General Data Protection Regulation – dopo tutto è uno studio europeo) conformità e controlli ISO 27001, alla possibilità di elaborare tutta la telemetria in locale e accedere al codice sorgente di un prodotto. Gli autori hanno però deciso di non attribuire punti per ogni categoria o formare un’unica graduatoria generale.
Perché? Perché ognuno ha modelli di minaccia e rischi diversi. La funzionalità per uno può essere un bug e per un altro un disastro. Installazione rapida e completamente automatica degli aggiornamenti. Per una piccola impresa o un’azienda di vendita al dettaglio con migliaia di minuscole filiali indipendenti, questa è una benedizione: non avrebbero mai abbastanza personale IT per gestire tutto manualmente. Ma per una fabbrica in cui un computer controlla il nastro trasportatore sarebbe del tutto inaccettabile. Un aggiornamento difettoso può arrestare una linea di produzione, che in termini di impatto aziendale potrebbe essere fatale (o almeno peggiore del recente attacco informatico Jaguar Land Rover); qui, ogni aggiornamento deve prima essere testato. È la stessa storia con la telemetria. Un’agenzia di pubbliche relazioni invia i dati dai propri computer al cloud del fornitore per partecipare al rilevamento delle minacce informatiche e ottenere protezione istantanea. Perfetto. Un’azienda che elabora le cartelle cliniche dei pazienti o i progetti tecnici altamente riservati sui propri computer? Le impostazioni di telemetria dovrebbero essere riconsiderate.
Idealmente, ogni azienda dovrebbe assegnare “pesi” a ogni criterio e calcolare il proprio “indice di compatibilità” con i fornitori di EDR/EPP. Ma una cosa è ovvia: vince chi offre scelte ai clienti.
Eseguire l’analisi della reputazione dei file sospetti. Può funzionare in due modi: tramite il cloud comune del fornitore o tramite un micro-cloud privato all’interno di una singola organizzazione. Inoltre è possibile disabilitare del tutto questa analisi e lavorare completamente offline. Pochissimi fornitori offrono ai clienti tutte e tre le opzioni. Ad esempio, l’analisi della reputazione “on-premises” è disponibile solo per otto fornitori nel test. Inutile dire che siamo uno di loro.
Alzare l’asticella
In ogni categoria del test la situazione è più o meno la stessa del servizio reputazione. Analizzando attentamente tutte le 45 pagine del rapporto, siamo in vantaggio sulla concorrenza o tra i leader. E possiamo affermare con orgoglio che in circa un terzo delle categorie comparative offriamo capacità significativamente migliori rispetto alla maggior parte dei nostri colleghi. Scopritelo voi stessi:
Visitare un Transparency Center e rivedere il codice sorgente? Verificare che i file binari del prodotto vengano compilati a partire da questo codice sorgente? Solo tre fornitori nel test forniscono questi elementi. E uno di questi è riservato ai clienti governativi. I nostri Transparency Center sono i più numerosi e distribuiti geograficamente e offrono ai clienti la più ampia gamma di opzioni.
Apertura del nostro primo Transparency Center nel 2018
Scaricare gli aggiornamenti dei database e ricontrollarli? Solo sei fornitori, noi compresi, forniscono questo.
Configurare l’implementazione in più fasi degli aggiornamenti? Questo non è proprio raro, ma non è nemmeno diffuso: solo sette fornitori oltre a noi lo supportano.
Leggere i risultati di un controllo di sicurezza esterno dell’azienda? Solo noi e altri sei fornitori siamo pronti a condividerlo con i clienti.
Scomporre una supply chain in anelli separati utilizzando una SBOM? Anche questo è raro: è possibile richiedere una SBOM a soli tre fornitori. Uno di questi siamo noi.
Naturalmente, ci sono categorie in cui tutti ottengono buoni risultati: tutti hanno superato un controllo ISO/IEC 27001, sono conformi al GDPR, seguono pratiche di sviluppo sicure e accettano rapporti sulle vulnerabilità.
Infine, c’è la questione degli indicatori tecnici. Tutti i prodotti che funzionano online inviano determinati dati tecnici sui computer protetti e informazioni sui file infetti. Per molte aziende questo non rappresenta un problema e sono contente che migliori l’efficacia della protezione. Ma per coloro che sono seriamente concentrati sulla riduzione al minimo dei flussi di dati, AV-Comparatives misura anche quelli, e ci capita di raccogliere la minor quantità di telemetria rispetto ad altri fornitori.
Conclusioni pratiche
Grazie agli esperti austriaci, i CISO e i relativi team ora hanno un compito molto più semplice da eseguire durante la verifica dei fornitori di prodotti di protezione. E non solo i 14 testati. La stessa struttura può essere applicata ad altri fornitori di soluzioni di protezione e al software in generale. Ma ci sono anche conclusioni strategiche…
La trasparenza semplifica la gestione del rischio. I responsabili della gestione di un’azienda, non vogliono indovinare se lo strumento di protezione diventerà il loro punto debole. Servono prevedibilità e responsabilità. Lo studio WKO e AV-Comparatives conferma che il nostro modello riduce questi rischi e li rende gestibili.
Fatti anziché slogan. In questo settore, non è sufficiente essere in grado di scrivere “siamo al sicuro” sul proprio sito Web. Sono necessari meccanismi di controllo. Il cliente deve essere in grado di passare e verificare personalmente. Noi forniamo questo servizio. Altri stanno ancora cercando di capire come fare.
Trasparenza e maturità vanno di pari passo. I fornitori trasparenti con i propri clienti in genere dispongono anche di processi più maturi per lo sviluppo dei prodotti, la risposta agli incidenti e la gestione delle vulnerabilità. I loro prodotti e servizi sono più affidabili.
Il nostro approccio alla trasparenza (GTI) funziona. Quando abbiamo annunciato la nostra iniziativa diversi anni fa e aperto i Transparency Center nel mondo, abbiamo sentito critiche di ogni genere: era uno spreco di denaro e nessuno ne aveva bisogno. Adesso esperti europei indipendenti affermano che è così che dovrebbe operare un fornitore nel 2025 e oltre.
È stato un vero piacere leggere questo rapporto. Non solo perché ci elogia, ma perché il settore sta finalmente girando nella giusta direzione, verso la trasparenza e la responsabilità.
Abbiamo iniziato questa tendenza, la stiamo guidando e continueremo a essere pionieri in tal senso. Quindi, gentili lettori e utenti, non dimenticate: la fiducia è una cosa; essere in grado di verificare completamente è un’altra.
Consigli