La sicurezza informatica da una nuova prospettiva: stiamo parlando della strategia di TAG Distribuzione, azienda nata in Italia con tecnologia Israeliana alle spalle. Per approfondire finalità e strategie dell’Azienda, abbiamo intervistato il fondatore e CEO, Eylam Tamary (nella foto), insieme alla responsabile marketing, Illana Rozenek e al cybersecurity specialist, Simone Fratus.
Un’azienda Italiana
«TAG Distribuzione è un’azienda Italiana, a capitale Israeliano – esordisce Eylam Tamary – ed è stata fondata 4 anni fa, basandosi su una lunga esperienza sviluppata presso un vendor internazionale». Qual è stata la molla iniziale che vi ha indotto a dar vita a TAG? «L’idea originale è stata quella di costruire un’azienda che operasse come distributore, ma in grado di offrire valore aggiunto. Quindi non solo prodotti, ma anche una nuova metodologia, un nuovo approccio, per aiutare le aziende ad alzare il livello di sicurezza, riducendo al contempo i costi operativi».
Tutto ciò in un mercato che è cambiato in modo notevole, soprattutto negli ultimi due anni e non solo a causa della Pandemia. «Le aziende hanno cominciato a considerare con un po’ più di attenzione e consapevolezza quello che molti vendor raccontano sulla sicurezza – continua Tamary -. Oggi viene sempre più apprezzato chi, come TAG, affronta la situazione per quella che è, senza fronzoli né sovrastrutture aggiunte esclusivamente per scopi commerciali». Il fatto di “dire le cose come stanno”, spiega, trova sempre più sostenitori nel mondo della sicurezza informatica. «A questo si aggiunge l’attenzione maggiore che oggi c’è da parte delle aziende sui temi delle tecnologie IT e della cybersecurity», ambiti sui quali è sempre più richiesto un supporto di consulenza da parte di partner esperti. A ciò va aggiunto il disappunto da parte di molti per approcci troppo orientati alla vendita di prodotti e meno rivolti alla soluzioni dei reali problemi degli utilizzatori. «Credo che TAG abbia dimostrato di poter essere un partner competente e disponibile ad aiutare davvero i propri clienti: pensiamo sia questa la chiave del nostro successo. Il nostro obiettivo è quello di essere un vero VAD, un Value-Added Distributor, che dà un valore aggiunto reale ai propri partner e ai propri clienti».
Il rapporto ENISA – l’importanza del Ransomware
Ogni anno, l’Agenzia Enisa (European Union Agency for Cybersecurity, ossia l’Agenzia per la cibersicurezza dell’Unione Europea) rilascia un rapporto, identificato come Etl (Enisa Threat Landscape, panoramica sulle minacce informatiche) relativo allo stato delle minacce alla cibersicurezza attive sul mercato nel periodo in esame. Il Rapporto, giunto alla nona edizione (aprile 2020-metà luglio 2021), ha lo scopo di: “identificare minacce primarie e macro-tendenze osservate riguardo alle minacce, agli attori delle minacce stesse e alle tecniche di attacco, descrivendo anche le più importanti misure di mitigazione possibili”, come recita la descrizione ufficiale. «Enisa raccoglie dati da fonti attendibili, quali Mitre Att&ck, Shodan, Cve (Common vulnerabilities and exposures) – spiega Simone Fratus – e li contestualizza per il territorio Europeo e per il periodo a cui fa riferimento».
Una delle principali e più pericolose minacce di questi ultimi anni è sicuramente costituita dal cosiddetto Ransomware, ossia l’attacco ai sistemi informativi con l’intento di criptare e rendere inservibili i file della vittima. Per sbloccarli, serve una chiave che viene fornita solo dietro pagamento di un cospicuo riscatto (in inglese, ransom). «Molte informazioni su questo tipo di attacco sono già contenute nel Rapporto Enisa – continua Fratus -. Purtroppo oggi si sono diffuse piattaforme di Ransomware-as-a-Service, che consentono anche a persone prive di competenze tecniche di sviluppare rapidamente, a pagamento, attacchi Ransomware “fai-da-te” efficaci in modo semplice e veloce. Oggi esistono circa 16 di queste piattaforme disponibili nel mondo». È interessante notare che spesso, dietro questi tool di sviluppo di malware, ci sono vere e proprie multinazionali, se non organizzazioni governative. «Sono per esempio disponibili vere e proprie tabelle che indicano quali sono i reali guadagni ottenibili con una certa piattaforma. Per esempio, ci sono pacchetti che, con un investimento di circa 150 mila euro, garantiscono un ritorno pari a oltre 3 milioni di euro. È questo uno dei motivi che hanno dato a queste piattaforme grande successo, tanto che negli ultimi anni sono diventate uno standard di fatto per gli attacchi ai sistemi informativi più recenti». Anche perché nei “pacchetti” vengono offerti, oltre al software, i punti di accesso relativi a varie aziende che si possono scegliere come bersagli e la capacità di riprogrammare rapidamente gli attacchi, in modo da spiazzare i principali sistemi di protezione e intercettazione degli attacchi stessi.
Continuando ad affrontare il tema della sicurezza informatica nell’ambito della strategia messa in campo da TAG Distribuzione, proseguiamo la chiacchierata con il fondatore e CEO, Eylam Tamary e con il cybersecurity specialist, Simone Fratus.
Una falsa percezione della security
Facciamo ancora riferimento al report ETL (ENISA Threat Landscape – ricordiamo che ENISA è l’acronimo di: European Union Agency for Cybersecurity, ndr), che affronta i vari problemi cui si trova di fronte oggi chi si occupa di sicurezza informatica. «Ci sono moltissime persone che stanno attraversando una fase che noi identifichiamo come la “falsa percezione della Security” – spiega Simone Fratus – . Nello specifico, tutti credono che per evitare per esempio il Ransomware, basta stare attenti al Phishing». In realtà, il canale più utilizzato per portare attacchi ransomware è RDP (Remote Desktop Protocol, il protocollo utilizzato per connettere un computer a un altro, per esempio per effettuare test o correggere impostazioni errate da remoto, ndr) via VPN (Virtual Private Network, cioè un tunnel sicuro tra il proprio computer e Internet, pensato per proteggere l’identità dell’utente, ndr). «Subito dopo, in ordine di importanza come vettore di attacchi, si parla di Zero Day, a causa della crisi della Supply Chain, cui fa seguito la protezione delle applicazioni e, in particolare, le Api (Application Programming Interface)». Sulla “crisi” della Supply Chain ci sono poi alcune considerazioni da fare: «La Supply Chain è uno dei 10 punti di cui tratta il Rapporto ETL, anzi le viene dedicata una sezione specifica». Attualmente, si tratta di una tipologia di attacchi che colpisce tutti gli attori presenti in un collegamento operativo tra fornitori, partner e clienti finali, cioè l’intera Supply Chain dal vendor all’end user. «La linea di demarcazione in questo caso è stata fissata da un attacco specifico sferrato a SolarWinds, uno dei maggiori fornitori di prodotti dedicati alla gestione intelligente di grandi reti e sistemi informativi, tra l’altro partner di svariati Enti governativi USA e di molti vendor». Il problema principale dell’attacco SolarWinds è stata la modalità APT (Advanced Persistent Threat) con cui è stato portato. «In pratica, si è trattato di backdoor inserite nei prodotti SolarWinds che sono rimaste silenziosamente attive per molto tempo, creando dei “punti d’ingresso” alle reti dei soggetti colpiti. Data la durata dell’attacco, sono stati colpiti moltissimi soggetti, pubblici e privati». Al punto che il presidente USA, Joe Biden, ha emanato un Ordine Esecutivo che obbliga tutte le aziende e gli enti governativi americani ad adottare il modello di cybersecurity “Zero Trust” («il nostro mantra da sempre», sottolinea Fratus), che dovrebbe risolvere anche il problema della supply chain. «In questo momento è un po’ come se fossimo nell’anno zero della cybersecurity».
Il modello Zero Trust
L’idea originale di Zero Trust è stata utilizzata in Forrester Research nell’agosto del 2020, a cura di un analista, John Kindervag che ha reso popolare il termine, coniato in realtà da Stephen Paul Marsh dell’Università di Stirling in Scozia per la sua tesi dottorale sulla Computational Security nell’aprile del 1994. La descrizione è stata poi formalizzata e cristallizzata in un documento ufficiale del Nist USA (National Institute of Standards and Technology).
«Si tratta di un approccio, una metodologia, non un bollino o una caratteristica tecnica» spiega Fratus. Parafrasando la descrizione tratta dal documento Nist, possiamo dire che: «Un’azienda enterprise deve considerare che non è possibile dare fiducia in modo implicito e occorre analizzare continuamente e valutare i rischi ai propri asset e funzioni di business per poi implementare protezioni in grado di mitigare questi rischi». La filosofia alla base del modello Zero Trust è molto semplice: «Il dato di fatto è che ci sarà sicuramente un attacco, un Data Breach – spiega ancora Fratus -: è solo una questione di tempo, prima o poi accadrà». Non è quindi più possibile garantire che si potranno evitare gli attacchi: «Piuttosto, il prossimo attacco verrà “compartimentato”, cioè non ci sarà più la compromissione dell’intero ecosistema. Un altro aspetto è legato al concetto di “sicurezza perimetrale”: un concetto definito “concetto del castello”. Se si supera il “fossato” e si crea una breccia nelle mura, tutto il castello è perduto». Questo implica che ovviamente la sicurezza perimetrale non rappresenta più un modello vincente per le minacce attuali. Un altro modello spesso utilizzato per dare un esempio concreto di sistema sicuro è quello cosiddetto del Sommergibile. «L’involucro del sommergibile è uno scafo metallico, estremamente resistente, che contiene tutto ciò che occorre proteggere, mentre all’esterno c’è un “mare” di problemi. Il secondo aspetto è che lo scafo del sommergibile è “stealth”, cioè invisibile, quindi è molto difficile da colpire». Infine, e si tratta di un aspetto non trascurabile, il sommergibile ha uno scafo “compartimentato”. «Questo significa che, anche se viene colpito e un compartimento si allaga, il sommergibile può continuare a navigare ed essere operativo e funzionante. In pratica, è lo stesso principio dello Zero Trust». Cioè se anche un sistema informativo viene attaccato «viene compromessa una singola sessione ma non tutto l’ecosistema informatico dell’azienda».
Deception, cos’è?
In modo letterale, il termine “deception” in Italiano si traduce come “inganno”. Di cosa si tratta? «Partendo da lontano, farei risalire questo termine alla strategia militare – spiega ancora Fratus – o, se vogliamo, al libro “L’arte della guerra” di Sun Tzu (generale Cinese vissuto 5 secoli prima di Cristo, ndr)». Nel caso della cyber-security e di TAG, la declinazione della deception si chiama “Deceptive Bytes” ed è una tecnologia in grado di ingannare gli attaccanti informatici. «Oggi chi sviluppa cyber-attacchi non lavora più principalmente nella fase della “guerra”, ma in quella, preliminare, dello spionaggio. In pratica, dopo essersi insediato in un sistema informatico, l’attaccante cerca di capire dove si trova (fase di discovery) e poi, quando l’ha capito, impiega tecniche di evasione per non essere scoperto e quindi non poter essere bloccato». La fase in cui si combatte contro gli attacchi informatici è proprio quella dello spionaggio. «Deceptive Bytes non rileva l’attacco: rileva l’attaccante, attraverso l’analisi degli atteggiamenti messi in atto. Avendo capito chi è l’attaccante, attraverso l’impiego di strategie specifiche, gli si impedisce di scoprire dove si trova e gli si fa credere di essere in un ambiente sicuramente ostile, in modo da farlo desistere dal proseguire l’attacco». In pratica, si mette in atto una vera e propria azione di controspionaggio.
Verso il futuro
«Oltre ai normali traguardi di crescita, sia dal punto di vista del fatturato che dei collaboratori – aggiunge il CEO di TAG Eylam Tamary -, ci siamo posti l’obiettivo di creare un’azienda che dia il suo contributo ai clienti, alle aziende, ma anche al Paese per combattere questo fenomeno della cybercriminalità che oggi si qualifica proprio come un’attività mirata a fare danni a scopo di lucro». Per questo, TAG è parte attiva per esempio in azioni sociali volte a lottare contro il cyberbullismo. «La nostra missione è già nel logo: Always One Step Ahead, sempre un passo avanti», continua Fratus «Noi portiamo sul mercato un punto di vista completamente diverso sulla security – conclude Tamary –: collaboriamo con AGID (Agenzia per l’Italia Digitale) e con il Governo Italiano per aiutare le aziende a combattere contro la criminalità informatica e aumentare il livello di sicurezza di tutti».