About these ads

Archive

Posts Tagged ‘Cisco’

Mali Di Stagione (Seconda Parte)

February 2, 2011 5 comments

Assistendo in questi giorni alle continue scoperte di bachi nell’Androide non posso fare a meno di chiedermi se queste siano dovute ad una effettiva insicurezza della creatura di Google (che comunque si difende bene a livello di bachi con i suoi 0,47 bachi ogni 1000 linee di codice ben al di sotto dei 5 bugs/Kloc considerati fisiologici) oppure siano una conseguenza del processo di diffusione dell’Androide anche in ambito enterprise, diffusione che attira i malintenzionati e pone l’accento sui problemi  di sicurezza, soprattutto se relativi alla possibilità di ottenere illecitamente le informazioni contenute, il cui valore è maggiormente critico per gli utenti business.

Non si è ancora spenta l’eco della botnet di androidi privi di volontà (o meglio esecutori della volontà remota di qualcun’altro), che già nuove avvisaglie di tempesta si innalzano dall’orizzonte della Shmoocon appena conclusa.

Durante l’evento, due ricercatori di sicurezza, Jon Oberheide e Zach Lanier, hanno evidenziato alcune debolezze nel cervello kernel dell’Androide e nella modalità di gestione delle applicazioni.

Tra le debolezze rilevate (a livello teorico):

  • Il codice sorgente è facile da ottenere (e di conseguenza da sfruttare);
  • Realizzando giochi e applicazioni esteticamente gradevoli (fun-looking), e riuscendo a convincere gli utenti a scaricarle, sarebbe teoricamente possibile realizzare un attacco agente direttamente sul kernel, dopo averne identificato le debolezze;
  • La piattaforma è piena, a loro dire, di complicati appicicaticci facili da sfruttare.

I due ricercatori erano già saliti alla ribalta a novembre 2010 quando avevano presentato un proof-of-concept travestito nell’arcinota applicazione Angry Birds (un fake come si dice in termine tecnico), con cui erano stati in grado di bypassare il processo di approvazione dei permessi del sistema operativo e rubare incautamente il token di Autenticazione dall’Android AccountManager. In quell’occasione il codice malevolo era stato in grado di installare nell’Androide vittima e rigorosamente all’insaputa dell’utente, tre applicazioni in grado di accedere ai contatti, alle informazioni di posizione e agli SMS, trasmettendo, come se non fosse già abbastanza i dati a un server remoto.

E la drammatica conclusione era stata:

  • Intercettare le credenziali è relativamente semplice;
  • Le applicazioni che accedono allo storage, contengono bachi di sicurezza che un attaccante potrebbe sfruttare per causare un denial of service o bypassare i controlli di gestione dei diritti digitali (digital rights management);
  • Le applicazioni fornite direttamente dai carrier facilitano la fiducia dell’utente e pertanto saltano il primo e fondamentale livello di sicurezza, quello che proviene dall’utente;
  • Le applicazioni di terze parti hanno un livello di sicurezza aggiuntivo (ma manca un supporto per standard aperti);
  • Gli attacchi di tipo Man-in-the-middle sono relativamente semplici da attuare.

In sostanza, forse per la relativa giovinezza di questo mercato, il codice delle app è infarcito di errori di programmazione dovuti all’esigenza di raggiungere per primi il mercato (il time-to-market non perdona!), errori che nel mondo dei PC si facevano parecchi anni orsono.

Visto che quasi tutte le vulnerabilità degli smartphone con un cuore di Androide sono legate ai permessi delle applicazioni e alla conseguente possibilità di rubare informazioni sensibili (e non solo), è auspicabile (come anche previsto da Cisco) che la prossima frontiera del mercato di sicurezza per gli smartphone saranno propio le tecnologie DLP (Data Leackage Prevention) per la prevenzione del furto o perdita di dati. Questo spiegherebbe anche perché i principali produttori di sicurezza (e protagonisti del mercato DLP, non ultimi McAfee, Symantec e Trend Micro), abbiano messo proprio l’Androide al Centro dei problemi di sicurezza per il 2011.

About these ads

Previsioni Di Sicurezza 2011: 6 Produttori A Confronto (Aggiornamento)

January 26, 2011 8 comments

Dopo aver esaminato le previsioni 2011 di Sophos e Cisco, ho pensato di ampliare la griglia di confronto redatta in un post precedente, includendo le previsioni degli ultimi due arrivati. Il quadro che ne risulta conferma che, alla domanda secca: “Quale sarà la maggiore fonte di preoccupazione per gli IT Manager del 2011?”  La risposta è sicuramente una: “Il Mobile!“. L’emicrania da minaccia mobile raccoglie difatti la preferenza di 5 produttori su 6 e il 2011 ci rivelerà se la moda del mobile ha contagiato anche il mondo della sicurezza informatica, oppure se le mele con il jailbaco o gli Androidi dirootati (con le insonnie che ne derivano per gli IT Manager) sono una conseguenza del processo di consumerization dell’IT (ovvero la tendenza ad utilizzare tecnologie provenienti dal mondo consumer e quindi prive nativamente delle caratteristiche di sicurezzza ,e non solo, necessarie per un uso professionale).

Nelle preferenze dei produttori analizzati, seguono a ruota gli Advanced Persistent Threat, Hactivism e Social Media che raccolgono le preferenze di 4 brand sui 6 presi in esame, mentre le altre tipologie di minacce appaiono estremamente frammentate.

Per confrontare correttamente le previsioni occorre considerare il fatto che i produttori esaminati non sono perfettament omogenei tra loro: se da un lato Kaspersky, Sophos ,Symantec e Trend Micro sono vendor focalizzati principalmente sulla sicurezza dell’Endpoint, McAfee rappresenta una via di mezzo (nato dall’Endpoint ha progressivamente ampliato la propria offerta sino a coprire anche la sicurezza di rete), mentre Cisco appare fortemente orientato alla sicurezza di rete. La diversa natura si riflette anche da una diversa impostazione dei report: le previsioni di Cisco e McAfee si basano sulla raccolta di dati da parte della propria rete di sensori, le previsioni di Sophos e Trend sulla raccolta di dati dei propri laboratori che analizzano minacce provenienti dagli endpoint (pertanto le previsiono dei produttori appena citati prendono spunto da eventi e trend del 2010), mentre le previsioni di Symantec e Kaspersky appaiono (soprattutto nel secondo caso) piuttosto visionarie come impostazione.

La diversa prospettiva di analisi (ed in sostanza le diverse strategie dei produttori) si riflettono anche sui risultati della griglia comparativa: le previsioni di Sophos abbracciano una vasta gamma di minacce e sono assimilabili ad una sorta di sintesi tra le previsioni di McAfee e Trend Micro; mentre le previsioni di Cisco appaiono molto vicine a quelle di McAfee (Cisco non cita direttamente le vulnerabilità di Apple poiché le annega all’interno dei sistemi operativi), verosimilimente perché le previsioni dei Cisco Security Intelligence e McAfee Global Labs sono basate sui dati raccolti dalla propria rete di sensori (approccio simile, ciascuno con le proprie tecnologie).

Symantec costituisce il vendor che ha fornito maggiore evidenza dei problemi di sicurezza del cloud e delle infrastrutture virtualizzate (probabile eredità ed influenza di Veritas), mentre Kaspersky appare piuttosto visionaria nelle sue previsioni.

Ultima considerazione: il mobile non registra l’en plein tra le previsioni poiché non figura tra le previsioni del solo Kaspersky. Il motivo? Il produttore Russo aveva inserito il mobile malware tra le previsioni dell’anno passato (e non a caso è stato il primo a scoprire un malware per l’Androide ad Agosto 2010).

Il 2011 Secondo Cisco: Beware of The Social Network

January 25, 2011 6 comments

E’ stato da poco pubblicato il report Cisco relativo ai trend di sicurezza del 2010 e contenente le previsioni per il 2011. Rispetto alle previsioni analizzate sino ad ora (a cui si sono recentemente aggiunte le previsioni di Sophos), il report Cisco offre una interessante lettura dell’anno passato e delinea gli scenari di sicurezza per l’anno appena entrato dalla prospettiva di chi possiede una offerta di sicurezza network-centrica (la rete per il colosso californiano costituisce l’intelligenza sopra la quale vengono costruiti tutti i servizi della propria offerta), il cui approccio differisce notevolmente da quello dei colossi sino ad ora analizzati. Questi ultimi difatti (con la parziale eccezione di McAfee nato dall’endpoint ma estesosi successivamente verso tutti i settori tramite acquisizioni strategiche) pongono l’endpoint al centro della propria offerta.

Il report di Cisco nasce dall’immane quantità di dati raccolti dalla rete di sensori sparsa nel mare di bit che si estende attraverso i cinque continenti e che sono stati analizzati dal proprio Centro di Security Intelligence Operations.

Ecco le minacce per il 2011 evidenziate dal colosso di San Jose:

Network sempre più Social (soprattutto per il malware)

Ormai sembra un refain immancabile (ma non è il solo) quando si parla di sicurezza informatica). Anche a detta del brand californiano, il Social Network sarà, nel corso del 2011, sotto i poco ambiti riflettori dei malintenzionati. Purtroppo si concretizzerà il fenomeno che Cisco ha definito “Exploitation Of Trust“, ovvero lo sfruttamento della relazione di fiducia che si crea tra individui collegati all’interno di un social network (di tipo personale o professionale) come veicolo di malware o altri mezzi per compiere atti illeciti.

Il motivo è presto detto: da un lato il Social Network consente di raggiungere contemporaneamente molteplici utenti in tempo quasi reale, dall’altro la filosofia del social network richiede che le amicizie (o i contatti) siano esplicitamente accettati, creando una relazione di fiducia tra gli utenti che costituisce il vettore che i malintenzionati sono interessati ad utilizzare per la diffusione dei propri  fini illeciti (mediante spam, malware, etc.).

Un malware o una frode propagati tramite Social Network hanno maggiore probabilità di riuscita (e un impatto più devastante in un minor intervallo temporale) sia per i famosi sei gradi di separazione che consentono una rapida propagazione, sia perché un messaggio (vettore di contenuto malevolo) proveniente da una persona “fidata” (a sua volta vittima) ha già superato il naturale muro di precauzione e diffidenza (già troppo basso in condizioni normali) che costituisce la prima forma di difesa di ciascuno (mai dimenticare che la sicurezza informatica  di ogni individuo comincia dal proprio comportamento sociale)

Se a questo si aggiungono le ulteriori complicazioni:

  • Il social network costituisce una vetrina, per cui le “difese naturali”  dei  contatti sono ulteriormente abbassate (e chi costruisce malware tende a sfruttare atteggiamenti e debolezze di chi si mette in vetrina e segue pedissequamente l’equazione: più contatti = più visibilità);
  • La nota allergia per la privacy (soprattutto da parte di Facebook) che rende possibile ad una applicazione malevola la lettura dei dati personali da un profilo vittima.

Si deduce come nel corso del 2011 dovremo abituarci alle infezioni provenienti dal Social Network, sulla falsa riga di Koobface. Come fare per difendersi? Educazione all’utilizzo del Social Network, mantenimento di un atteggiamento circospetto e ricordarsi che:

If it sounds too good to be true, it probably is

APT

Le minacce di tipo Advanced Persistent Threat, subiranno una metamorfosi nel corso del 2011, diventando sempre più specifiche e soprattutto costruite per scopi ben precisi (ad esempio per rubare informazioni) e con uso massiccio delle vulnerabilità 0-day. Inutile ribadire che anche le minacce APT “trarranno giovamento “dell’involontario supporto infrastrutturale del Social Network per aumentare il livello di diffusione.

Vulnerabilità

Gli exploit di vulnerabilità applicative (soprattutto da parte di Java e PDF) sono destinate a confermare il proprio peso nel corso del 2011. Curiosamente, il colosso di San Jose ritiene che Java turberà maggiormente i sogni degli IT Manager a causa di tre caratteristiche insite nella natura del linguaggio:

  • Java è evasivo: il metodo più affidabile di rilevazione per gli exploit java consiste nel farli girare in una macchina virtuale, ma questo è estremamente intenso dal punto di vista dell’utilizzo delle risorse;
  • Java è pervasivo: spesso il linguaggio SUN Oracle gira in background e questo rende più difficile identificare eventuali comportamenti illeciti da parte di applicazioni Java;
  • Java è invasivo: la natura multipiattaforma del linguaggio che ha costituito la forza per la sua diffusione, ha costituisce anche una sgradita leva per la diffusione del malware che può propagarsi rapidamente tra architetture differenti.

Curiosamente, la previsione è suffragata dai dati raccolti dal proprio Centro di Intelligenza secondo il quale Java si è piazzato al primo posto della poco ambita classifica relativa alla tipologia di Web Malware maggiormente bloccata dal proprio servizio Scansafe, con il 7%, seguito da PDF (in calo) e Flash, relativamente con il 2% e l’1%.

Dispositivi Mobili e Mai Sicuri

Immancabile, anche nelle previsioni del Colosso di San Jose, la presenza delle piattaforme mobili tra gli obiettivi 2011 dei malintenzionati. L’Androide e il Sistema Operativo della Mela saranno i più colpiti dalle infezioni informatiche, sia perché, a detta di Cisco, i sistemi operativi standard hanno raggiunto uno standard di sicurezza elevato che sta spingendo i creatori di malware verso questi siti mobili, sia perché la maggiore attenzione del mondo enterprise verso questi dispositivi li rende una fonte importante di informazioni (e guadagni diretti e indiretti) in caso di compromissione. Come prevedibile le applicazioni (soprattutto se scaricate da Store paralleli) saranno il vettore di infezione privilegiato, mentre le precauzioni rimangono le stesse indicate dagli altri produttori: occhio alla mela con il jailbaco e all’Androide dirootato che aumentano notevolmente le probabilità di una infezione, occhio inoltre ai permessi quando si installano le applicazioni (perché un lettore multimediale dovrebbe accedere agi SMS?). Tra le precauzioni da adottare nel 2011 per i dispositivi mobili anche il ricorso a tecnologie di virtualizzazione che consentiranno di rinnovare il focus su tecnologie di DLP per questi dispositivi.

Da notare come la rete di sensori Cisco abbia rilevato nel corso del 2011 un picco delle vulnerabilità rivolte verso il mondo Apple.

Botnet e Hacktivism

Sebbene Cisco abbia osservato, nel corso del 2010, una leggera riduzione del numero di macchine compromesse (estremamente più diffuse in ambito consumer che in ambito enterprise) si assisterà nel corso del 2011 ad un aumento dello schema di utilizzo delle Botnet, sempre meno per “semplice SPAM” (in diminuzione nel 2011) e sempre più per scopi politici (sulla falsa riga di quanto accaduto nell’affaire Wikileaks) o per mere questioni economiche (ad esempio per la diffusione di spyware per il furto di dati sensibili). Non manca ovviamente il riferimento a Stuxnet (vincitore del premio Evil Award 2010), come esempio di nuova minaccia concepita per scopi politici e aventi obiettivi delimitati e ben definiti.

E’ importante notare come il Colosso di San Jose auspichi iniziative congiunte dei governi per affrontare la nuova emergenza del Cibercrimine, augurandosi nel contempo che la frammentazione delle normative tra i vari paesi non sia un ostacolo per la diffusione delle tecnologie di protezione.

Conclusioni

Anche secondo Cisco nel 2011 saranno in bella (si fa per dire) vista le minacce rivolte al Social Network e al mondo mobile. Il riferimento a Stuxnet, in questo caso indicato come capostipite di una nuova famiglia di minacce informatiche organizzate, non manca mai. Curiosa, anche in questo caso, l’assenza di minacce rivolte alle infrastrutture virtuali.

10.. 100.. 1000.. 2011 Pad…

December 23, 2010 1 comment

Il 2011 sarà l’anno dei pad, per tutti i gusti, tutte le esigenze, tutti i sistemi operativi e (speriamo) per tutte le tasche.

I botti del 31 dicembre saranno solo un pallido preludio ai botti che spareranno i produttori di tablet nel 2011. In rete circolano già i primi rumor dei presunti iPad 2 e, addirittura, iPad Mini (alla faccia di chi se li è fatti regalare per Natale). Ma se gli ingegneri di Cupertino non dormono mai, il resto del mondo Hi-Tech non sta a guardare e sul fronte delle tavolette, nel primo trimestre del 2011, già in occasione del CES di Las Vegas, ne vedremo delle belle.

Dopo RIM, che per prima ha presentato il suo playbook presumibilmente sul mercato da febbraio 2011, a capeggiare la schiera c’è un outsider decisamente scomodo, minaccioso e da un certo punto di vista intrigante. Sto parlando di Cisco, il colosso della rete, vero cuore pulsante di Internet che con il suo Cius lancerà sul mercato un tablet basato su Android espressamente concepito per utenza business con funzioni avanzate (e interfacce di programmazione estese) di Unifed Communication. Ma non saranno da meno HTC, che promette scintille con l’architettura Tegra 2 (la stessa strada sembra sarà seguita dai coreani Samsung per il suo Samsung Galaxy Tab 2 ed LG) e Acer, che promette tavolette per tutte le tasche (dal punto di vista del prezzo e delle dimensioni).

Non mancheranno all’appello nemmeno Toshiba che riparte da un Folio per rinverdire i fasti del famoso Libretto, ASUS, che punta ad una offerta completa per dimensioni e sistema operativo (Windows o Android), e, addirittura, una vecchia conoscenza come Creative, che con le sue tavole della serie ZiiO mira a (ri)creare un nuovo standard di intrattenimento per uscire dall’anonimato in cui il gigante multimediale di Singapore è caduto negli ultimi anni, nel tentativo di  rinverdire i bei tempi che furono (con le mitiche Sound Blaster).

Saranno della partita anche NEC, con una suggestiva proposta a libretto, e HP che promette di rinverdire i fasti di Palm con una famiglia di tablet equipaggiati con il redivivo WebOS.

Infine, tra una folta schiera di presunti outsider, più o meno improbabili, a volte incautamente saliti sul carro dell’androide vincitore, si distingue sicuramente Motorola, la marca delle ali, che con il suo Motopad, la cui presentazione è prevista al CES (e che grazie a uscite mirate ha creato una grande attesa) punta a confermare il Rinascimento ottenuto grazie il felice connubio con l’Androide, iniziato con il primo Droid (Milestone per noi cugini del Vecchio Continente) e proseguito con i successivi modelli della famiglia.

Gartner stima che il mercato delle tavolette nel 2011 raggiungerà in tutto il mondo quasi 55 milioni di unità contro i 19 milioni del 2010, ed è destinato a crescere sino a 154 milioni nel 2012, quali sono però le incognite di un mercato così affollato?

In primo luogo quello dei tablet rimarrà nel 2011 un mercato di nicchia, si stima che le vendite globali si attesteranno attorno al 15% di quelle relative a smartphone, e quindi non abbastanza ricettivo per la pletora di produttori che vi si stanno ammassando attorno.

In secondo luogo, piuttosto che contrastare Apple con una strategia unitaria, a mio parere i concorrenti si stanno frammentando eccessivamente: la maggior parte, se non tutti i produttori sopra citati puntano ad aprire un proprio mercato delle applicazioni, in aggiunta al tradizionale Android Market, e questo potrebbe creare un po’ di malumore presso i consumatori se non addirittura spostarli verso un produttore con una offerta unitaria (ad esempio Apple).

Nell’attesa di capire quale tavoletta si conquisterà l’ambito scettro di “Anti-iPad” godiamoci questo video in cui Motorola svela parzialmente il suo prodotto, in realtà prendendola un po’ alla lontana e terminando con l’immancabile confronto con iPad e Samsung Galaxy. Il mio preferito è sicuramente il modello Maya, se non fosse che, si dice, abbia una funzione di autodistruzione nel 2012…

 

Ne resterà soltanto uno… (Seconda Parte)

December 8, 2010 5 comments

Se immaginassimo per un attimo che non esista Antitrust, concentrandoci ad immaginare il framework di sicurezza ideale, potremmo suddividere un offerta completa di sicurezza in 6 domini:

  • Sicurezza degli Endpoint (EPP) che include le funzioni di Antivirus, Personal Firewall/Network Access Control, Host IPS, DLP, Cifratura per tutte le classi di dispositivi, mobili o fissi;
  • Sicurezza della rete e dei contenuti (NP) che include le funzioni di Firewall, IPS, Web and Email Protection;
  • Sicurezza applicativa  (AP) che include le aree di analisi del codice, WEB/XML/Database Firewall;
  • Compliance: che include le funzioni di assessment e verifica della sicurezza delle postazioni e delle applicazioni
  • Identity & Access Management (IAM) che include le funzi0ni di autenticazione, accesso sicuro ai dati, etc.
  • Gestione & Management che inclide la funzione di gestione unificata dei domini delineati in precedenza.

Rappresentando graficamente il modello, per ogni offerta di sicurezza da parte di un produttore è possibile associare tre livelli di conformità (conforme, parzialmente conforme, non conforme). Il modello di sicurezza unificato (che vede la sicurezza come un processo end-to-end) è quello a cui stanno tendendo i produttori:  se si mappano gli stessi in 3 livelli (Colossi,  Leader e Niche Player) è interessante notare come i vendor stiano tendendo verso il modello, ove possibile tramite prodotti interni, oppure mediante acquisizioni mirate a colmare eventuali lacune della propria offerta.

  • I “Colossi” sono produttori dotati delle capacità tecnologiche e finanziarie tali da poter costruire una offerta completa. Liquidità e capitalizzazione sono tali da poter acquisire una o più aziende per colmare un Gap all’interno della loro offerta. Rientrano in questa categoria aziende con capitalizzazione attorno o superiore a 100 miliardi di dollari, quali il nuovo arrivato Intel e vecchie conoscenze come Cisco, IBM, Microsoft, HP.
  • I “Leader”: rientrano in questa categoria i player focalizzati sulla sicurezza che offrono, nel proprio segmento, soluzioni best of breed. I player appartenenti a queta categoria sono di dimensioni tali da effettuare acquisizioni per costruire una offerta completa ma non abbastanza grandi per non essere loro stessi oggetti del desiderio dei colossi in una situazione di mercato complessa come l’attuale. Esempi rampanti sono le compiante McAfee e ISS (acquisite rispettivamente da Intel e IBM) e gli oggetti del desiderio Symantec e Checkpoint.
  • I “Niche Player: rientrano in questa categoria i produttori di Nicchia che ci sono specializzati in specifici segmenti in cui hanno raggiunto livelli tecnologici eccellenti e che di conseguenza potrebbero far gola a rappresentanti delle categorie sopra riportate. Rientrano in questa categoria ad esempio Kasperky, Trend Micro,  etc…

In realtà ai colossi andrebbe aggiunta una ulteriore categoria, quella degli “outsider”. Gli outsider sono aziende dotate di vasta capitalizzazione ma ad oggi non sufficientemente focalizzate sulla sicurezza (ovvero potenziali colossi come era Intel sino a qualche mese fa) oppure fortemente focalizzate sulla sicurezza, ma con una capitalizzazione che le rende inappetibili ai Colossi. In queste personalissima classificazione appartengono alla prima categoria Oracle e EMC, mentre appartiene alla seconda categoria Juniper. Entrambi gli appartenenti a questa categoria potrebbero fare acquisizioni da un momento all’altro ma ad oggi hanno, nel modello di sicurezza unificata, più di due caselle rosse.

Esaminando la mappa delle acquisizioni dei colossi si può avere un quadro chiaro delle loro strategia: in rigoroso ordine alfabetico:

Cisco

Punti di Forza: notevoli risorse e Ability to Execute, crescia esponenziale nella sicurezza di rete e dei contenuti.

Punti di debolezza: Gestione Frammentata, Strategia sull’Endpoint incerta, Offerta IAM Parziale

HP

Punti di Forza: Disponibilità di Risorse per Acquisizioni. Presenza nell’Application Security con Soluzione Leader.

Punti di debolezza: Mancanza di copertura per l’Endpoint, copertura parziale nella sicurezza di rete (limitata all’IPS ma la strategia è incerta).

IBM

Punti di Forza: Dispnibilità di Risorse, Offerta completa su Sicurezza delle Applicazioni e su IAM.

Punti di debolezza: Offerta su Endpoint, Compliance e Rete Parziale (Mancano Antivirus, DLP, e soluzioni di Content Security.

Intel

Punti di Forza: Gestione Unificata Estesa, Offerta Completa

Punti di debolezza: Strategia Incerta e Fantascientifica dopo l’acquisizione di McAfee (Focalizzazione sul Mobile o Antivirus Hardware Integrato sul processore), Difficoltà nell’integrare le acquisizioni, Offerta IAM Assente, Offerta Application Security Limitata.

 

 

Microsoft

Punti di Forza: Risorse Notevoli, vasta base di installato (!!) da utilizzare come punto di partenza

Punti di debolezza: Funzioni parziali su tutti i domini (‘Antitrust?).

 

Noi balliamo da sole

Di seguito le aziende di sicurezza che maggiormente suscitano l’attenzione degli analisti e puntualmente sono al centro di voci di mercato: Checkpoint, Fortinet e Symantec. Questi player partono da approcci opposti (rispetttivamente rete per i primi due ed endpoint per il terzo) e potrebbero far gola ad uno dei player sopra indicati (come accaduto a McAfee) oppure ad un Outsider. Anche se non perfettamente partinente in questa categoria è stata inserita anche Juniper. In realtà è praticamente impossibile che Juniper venga acqquisita da un colosso, tuttavia, come capitalizzazione è più vicina a questi player (pur valendo circa 20 volte Fortinet) che hai colossi.

Checkpoint

Punti di Forza: Forte focalizzazione sulla rete. Modello di gestione unificata Esemplare. Precursore del modello di unificazione della sicurezza unificata sull’endpoint.

Punti di Debolezza: Stenta a imporsi come venditore di soluzioni Endpoint. Carente su Application Security, Compliance e IAM.

Fortinet

Punti di Forza: Forte focalizzazione sulla sicurezza di rete e dei contenuti.

Punti di Debolezza: Copertura deole degli altri domini.

Juniper

Punti di Forza: Forte focalizzazione sulla sicurezza di rete e dei contenuti.

Punti di Debolezza: Copertura debole degli altri domini.

Symantec

Punti di Forza: Forte focalizzazione sull’endpoint.

Punti di Debolezza: Strategia e focalizzazione sulla sicurezza da ricostruire dopo l’acquisizione di Veritas. Strategia Altalenante per la sicurezza di rete.

 

 

E quindi?

E quindi vederemo se i fuochi di artificio sono finiti qui o continueranno nel corso del 2011. Certo è che soprattutto  HP, IBM e la stessa Microsoft necessitano di una o più acquisizioni per riempire il gap rispetto al modello unificato ideale (all’inizio di novembre si è parlato di un interessamento, in seguito smentito, di IBM verso Fortinet), tramite una unica acquisizione, come fatto da Intel con McAfee o facendo shopping tra i produttori di nicchia.

Ne resterà soltanto uno… (Prima Parte)

December 5, 2010 Leave a comment

Il titolo di questo post riporta alla memoria la frase prinicipale del bel film “Higlander, L’Ultimo Immortale”, il capolavoro fantasy di Russel Mulcahy che nell’ormai lontanto 1986 rapì la mente di noi geek adolescenti con i suoi improbabili duelli tra le montagne scozzesi, duelli avvolti tra la bruma e la bellissima colonna sonora dei Queen (Who wants to live forever?). Se ripenso al film e guardo il mercato della sicurezza informatica direi che la frase  essenza si adatta perfettamente alla situazione attuale, con la sola non trascurabile differenza che ai tempi di Connor MacLeod, non esisteva l’Antitrust.

All’inizio erano il firewall e l’antivirus…

L’inizio del mercato della sicurezza informatica (si parla del termine degli anni ’90) vedeva tecnologie con ruoli ben distinti, rivolte alla risoluzione di problemi di sicurezza inerenti alla rete ed ai sistemi. Esisteva un modello di sicurezza informatica basato su un approccio “a silo”, ovvero un approccio che prevedeva tecnologie verticali e trovava la massima espressione nel firewall e l’antivirus (a sua volta declinato in antivirus di rete e antivirus di sistema). In quegli anni formidabili, nel 99% dei casi un progetto di sicurezza informatica poteva dirsi completo se prevedeva queste due componenti che con il passare del tempo erano anche in grado di dialogare tra loro (oggi diremmo in modo non efficiente, ma allora i protocolli di content vectoring erano il massimo che la tecnologia poteva garantire). Certo la gestione non era ottimale, ma con l’ausililo della tecnologia consentita dall’epoca, si ponevano le basi per un modello unitario.

Poi vennero gli IDS…

E si realizzò ben presto che il firewall e l’antivirus non potevano tutto: all’interno delle regole consentite era possibile veicolare minacce invisibili in grado di sfruttare le vulnerabilità dei sistemi. Di conseguenza fu necessario innalzare il livello di protezione mediante l’inserimento di sistemi di difesa dedicati in grado di scansionare il traffico ad un livello superiore rispetto a quanto consentito dai firewall. Sorsero così i primi produttori dedicati ai sistemi IDS. Questi produttori utilizzavano la tecnologia nata per scansionare i sistemi alla ricerca di vulnerabilità per proteggere i sistemi stessi. Con questo approccio nel 1998 Internet Security Systems mise in commercio i primi sensori di rete, sensori che con il passare degli anni divennero apparati dedicati, sempre più evoluti, in grado di estendere il proprio livello di protezione verso l’endpoint (Host IPS). Nel contempo, e in modo del tutto analogo, i produttori di dispositivi firewall si apprestavano, anche essi, ad aggredire gli endpoint con soluzioni di Personal Firewall. Endpoint che prima di allora sembravano appannaggio esclusivo dei produttori di antivirus.

E le applicazioni inscure e magari anche mobili…

Nella seconda metà degli anni 2000, la crescita prepotente del Web 2.0 e l’evoluzione tecnologica dei dispositivi mobili (che hanno allargato notevolmente il livello di esposizione dell informazioni) hanno reso necessaria l’introduzione di un ulteriore livello di sicurezza per la protezione delle applicazioni (al livello 7 della pila OSI direbbero gli esperti) e dell’utenza mobile. Questa piccola rivoluzione copernicana ha portato all’introduzione di soluzioni tecnologiche atte a focalizzare l’analisi su applicazioni WEB, database, transazioni XML e soprattutto, più in generale, ad introdurre la sicurezza nel ciclo di sviluppo del Software e nel processo di accesso alle informazioni. Nel contempo si è cominciato a guardare con interesse a soluzioni di protezione dell’endpoint fissi e mobili più evolute, in grado di garantire cifratura, protezione dei dispositivi rimovibili e, specialmente negli ultimi tre anni, dedicate ad impedire la perdita o il furto di informazioni (Wikileaks docet).

E alla fine la necessità di avere una gestione unificata

La crescita del modello di sicurezza end-to-end ha reso infine necessaria l’introduzione di un modello di gestione unificata (qualcuno una volta diceva “La Potenza è nulla senza il controllo”) poiché gestire in modo disomogeneo (per l’appunto con un approccio “a silo”) le numerose componenti è costoso, inefficiente e inefficace (ed è altrettanto improbabile che giustifichi investimenti cospicui in tecnologia di sicurezza). E’ importante inoltre considerare il problema dell’analisi dei dati: soluzioni di protezione eterogenee non devono offrire solamente un unico punto di amministrazione, ma anche un unico punto di raccolta e analisi dei dati.

La conseguenza del trend sopra descritto è stata che nel corso degli anni si è assistito a numerose scosse di mercato: i produttori di sicurezza (generalisti o verticali) dotati di adeguate capacità finanziarie, hanno avviato importanti campagne di acquisizione  e/o fusione con lo scopo di realizzare il modello di sicurezza unificato sopra citato ed utilizzare lo stesso come base per altre strategie, estendendo nel contempo la propria sfera di azione su segmenti di mercato non precedentemente coperti. Naturalmente in alcuni casi le campagne di acquisizione sono state effettuate anche per garantire crescite  di fatturato in un epoca di congiuntura economica non certo esaltante  (ma questa è un altra storia).

La conseguenza, per quanto riguarda i produttori di sicurezza informatica, è stato uno sconvolgimento del panorama tecnologico ed economico da parte di tre forze contrastanti:

  • I produttori provenienti dalla “sicurezza di rete” si sono estesi verso l’endpoint (approccio network-centric). Per questa classe di produttori la sicurezza dell’endpoint rappresenta l’estensione del proprio modello strategico che parte dalla rete: questa rileva le minacce che vengono utilizzate per proteggere gli endpoint, il tutto effettuato tramite una gestione unificata.
  • I produttori provenienti dalla “sicurezza dell’endpoint” si sono estesi verso la rete (approccio endpoint-centric). Per questi produttori l’estensione alla rete rappresenta il mezzo per realizzare un modello unico di correlazione delle informazioni di sicurezza a partire dai dati raccolti nei nodi terminali (siano essi fissi o mobili, client o server).
  • I colossi produttori di hardware, software e servizi hanno si sono estesi verso la sicurezza per realizzare un modello unico di che parte dallo sviluppo del software e dall’accesso sicuro alle applicazioni, e si estende verso la rete e i sistemi per offire un modello end-to-end.

La descrizione dello scenario è estremamente complessa e merita un capitolo a parte, per cui, dopo aver elencato le ragioni, nel prossimo post cercherò di far luce sulla mappa delle acquisizioni e le mie personalissime considerazioni sulle relative strategie.

Nel frattempo però prendo il mio Androide e mi cerco un bel posto per il brunch…

Dicembre… Fioccano i Report di Sicurezza.

December 1, 2010 1 comment

Sono stati recentemente diffusi i report di sicurezza Q3 2010 di tre importanti protagonisti del settore (in rigoroso ordine alfabetico) : il report azzurro (Cisco), il report rosso (McAfee), e il report giallo (Symantec).

Naturalmente l’epoca del Web 2.0 e il crescente impatto della mobilità si riflettono anche nelle tipologie di attacchi maggiormente diffusi negli ultimi 3 mesi. Devo però ammettere che un dato in particolare mi ha colpito: secondo il report McAfee la Cina si è posizionata al primo posto come origine degli attacchi SQL Injection con oltre il 54% degli eventi di questa categoria originati dalla terra dei Mandarini. Analogamente, per il report Symantec la Cina si è posizionata al 5° posto globale nella poco ambita classifica “top ranked country for malicious activity” (al primo posto ci sono gli Stati Uniti), figurando nel contempo, all’interno della stessa graduatoria, al 2° posto dietro la Nazione a Stelle e Strisce come numero di sorgenti degli attacchi.

Non ho potuto fare a meno di pensare che tra le “Bombe di Mosca” rivelate da Wikileaks vi siano anche le preoccupazioni dei diplomatici USA per gli attacchi cinesi al motore di ricerca Google. Assisteremo presto a uno Stuxnet con gli occhi a Mandorla (magari tagliato su misura per le Infrastrutture Critiche Americane ed Europee?).

Follow

Get every new post delivered to your Inbox.

Join 2,707 other followers