About these ads

Archive

Posts Tagged ‘Security Summit 2011’

Relazione Tavola Rotonda Mobile Security

Ho pubblicato su Slideshare la relazione da me redatta della Tavola Rotonda “Mobile Security: Rischi, Tecnologie, Mercato” tenutasi il 14 marzo a Milano all’interno del Security Summit 2011.

La relazione, che ho inserito all’interno di un thread del gruppo Linkedin Italian Security Professional, è visibile al link sottostante. Ancora un grazie al gruppo che ha ospitato questo interessantissimo appuntamento!

About these ads

Mobile Security: Impressioni a Caldo

March 16, 2011 4 comments

Fortunatamente il virus che mi ha colpito sta mitigando i suoi effetti, la mente è un po’ più lucida e quindi mi permette di raccogliere le idee e tirare le somme sulla tavola rotonda del 14 marzo.

In effetti è stata una occasione propizia per confrontarsi con la prospettiva degli operatori e valutare come gli stessi intendano affrontare il problema della sicurezza mobile considerato il fatto che esso è si un problema tecnologico, ma interessa principalmente l’utente: parafrasando una felice espressione emersa durante la tavola rotonda, espressione tanto cara agli operatori, si può affermare che il problema della mobile security arriva “all’ultimo miglio”, ovvero sino a casa (in questo caso virtuale) dell’utente stesso.

Ad ogni modo su un punto gli addetti del settore, operatori inclusi, sono tutti d’accordo: sebbene il problema della sicurezza mobile parta da lontano, ovvero dal processo di Consumerization dell’IT che ha “prestato” al mondo Enterprise strumenti di lavoro non nativamente concepiti per un uso professionale; il ruolo principale, in termini di sicurezza, rimane quello dell’utente. Gli utenti hanno eccessiva familiarità con i dispositivi, dimenticano che sono a tutti gli effetti ormai vere e proprie estensioni del proprio ufficio, e questo li porta a comportamenti superficiali, quali ad esempio l’utilizzo di pratiche di root o jailbreak, l’utilizzo di Market paralleli e la mancata abitudine di controllare i permessi delle applicazioni durante l’installazione.

Naturalmente questo ha conseguenze molto nefaste poiché le minacce che interessano il mondo mobile sono molteplici e peggiorate dal fatto che oramai, con i nuovi dispositivi acquistati nel 2011 ci porteremo almeno 2 core nel taschino. Prendete le minacce che interessano i dispositivi fissi, unitele al fatto che il dispositivo mobile lo avete sempre dietro e lo utilizzate per qualsiasi cosa ed ecco che il quadro si riempe di frodi, furto di informazioni (di qualsiasi tipo visto l’utilizzo corrente dei dispositivi), malware, spam, Denial of Service, e non ultima, la possibilità di creare Botnet comandate da remoto per effettuare DDoS, SMS spam, rubare dati su vasta scala.

Sebbene il punto di arrivo sia lo stesso (ovvero la necessità di una maggiore consapevolezza da parte dell’utente), le opinioni sul ruolo del processo di Consumerization non sono omogenee tra chi, come il sottoscritto, ritiene che le tecnologie non abbiano i necessari livelli di sicurezza richiesti per un uso professionale (e questo fattore è peggiorato dall’atteggiamento dell’utente) e chi sostiene invece che le tecnologie sono intrinsecamente sicure ma il problema è in ogni caso riconducibile all’utente che si rivolge, lui stesso, ai dispositivi, anche per uso professionale, con un atteggiamento consumer.

Riguardo gli aspetti relativi a tecnologia e mercato la mia opinione è molto chiara: i due punti sono intrinsecamente connessi  e questo si traduce, sinteticamente, nella necessità di portare nel mondo mobile le stesse tecnologie di protezione degli endpoint tradizionali. Secondo la mia personale esperienza, il mercato ha difatti iniziato il processo, che diverrà sempre più preponderante, di considerare il mondo degli endpoint mobili come una estensione naturale del mondo degli endpoint tradizionali (notebook, desktop, etc.) ai quali si dovranno pertanto applicare le stesse policy e gli stessi livelli di sicurezza (con le opportune differenziazioni dovute alla diversa natura dei dispositivi) proprie del mondo wired. Fondamentale in questo scenario è il modello di gestione unificata endpoint fissi e mobili in grado di applicare in modo astratto e device indipendent le stesse politiche di sicurezza a tutti i dispositivi indipendentemente dalla natura degli stessi.

Per quanto concerne la tecnologia, (pre)vedo due filoni protagonisti del mondo mobile: il DLP e la Virtualizzazione. Il DLP poiché ritengo il modello di sicurezza mobile perfettibile, e di conseguenza lo ritengo terreno fertile per i produttori di sicurezza in grado di ampliare, con le proprie soluzioni, il modello di sicurezza nativo (con qualche riserva su Apple vista la poca apertura di Cupertino); la Virtualizzazione, di cui ho già avuto modo di parlare, consentirà di risolvere i problemi di tecnologia e privacy connessi con l’utilizzo professionale del proprio dispositivo. Grazie alla virtualizzazione, di cui dovremmo vedere i primi esempi nella seconda metà di quest’anno, una Organizzazione potrà gestire il proprio telefono virtuale all’interno del dispositivo fisico dell’utente, controllando le policy e le applicazioni e tenendo i due mondi completamente separati. Questa soluzione dovrebbe essere una ottima spinta per risolvere i problemi tecnologici e di privacy (non dimentichiamoci infatti che spesso l’utente finisce inevitabilmente per inserire informazioni personali anche nel dispositivo professionale), delegando, almeno per la macchina virtuale enterprise, il modello di sicurezza dall’utente all’Organizzazione.

Infine si arriva, inevitabilmente alla domanda fatale: la sicurezza ha un costo: chi paga? A mio avviso il modello è (relativamente) semplice e, personalissima opinione, è sufficiente voltarsi indietro per capire come potrà essere il modello di sicurezza futuro.

Naturalmente la distinzione tra consumer ed enterprise è d’obbligo: per quanto ho affermato in precedenza le organizzazioni, soprattutto se di una certa dimensione, saranno autonome nella realizzazione (e di conseguenza nel sostenerne i costi) della propria architettura di sicurezza mobile concependola come una estensione trasparente del modello di sicurezza per gli endpoint tradizionali. Questa è la tendenza verso cui sta andando il mercato e verso la quale stanno convergendo i produttori con l’offerta di suite di sicurezza complete per sistemi operativi fissi e mobili contraddistinte da modelli di gestione unificata.

Diverso è il caso del mondo consumer ma anche in questo caso prevedo che, implicitamente, i terminali mobili verranno trattati alla stregua di terminali fissi e quindi le funzioni di sicurezza potranno essere offerte, ad esempio, come un add-on del piano dati, analogamente a quanto accade oggi per l’antivirus/personal firewall, che ormai tutti gli operatori offrono in bundle con la connessione ad Internet. In questo caso è importante notare anche il fatto che l’età media degli utilizzatori è sempre più bassa pertanto, soprattutto nel mondo consumer, gli stessi mostreranno sempre maggiore familiarità con le tecnologie mobili e le loro necessarie estensioni in ambito di sicurezza al punto di considerarle tutt’uno.

Rimane ovviamente ancora da verificare l’aspetto relativo ad eventuali investimenti infrastrutturali: una interessante domanda rivolta agli operatori ha infatti evidenziato se vi è allo studio la creazione di una baseline (ovvero l’analisi dei livelli di traffico per evidenziare anomalie dovute, ad esempio, ad eccessivo traffico generato da malware). Allo stato attuale, essendo il problema trasversale tra tecnologie e legge, la baseline è dettata dalla stessa compliance.

(Mobile) Security Summit 2011

March 3, 2011 1 comment

L’edizione del Security Summit 2011 si terrà a Milano dal 14 al 16 marzo 2011. All’interno della manifestazione suggerisco una interessante tavola rotonda dedicata alla Sicurezza in ambito Mobile in cui interverrò direttamente. Mobile Security: Rischi, Tecnologie, Mercato, questo il titolo del seminario, organizzato dal Gruppo Italian Security Professional. L’evento, in cui sarà interessante confrontare le minacce del mondo mobile con il punto di vista degli operatori, si terrà il 14 marzo alle ore 16:30; per chi potrà essere a Milano in quei giorni, sicuramente una occasione interessante.

Il programma della tavola rotonda, già on-line, è il seguente:

Modera: Paolo Colombo – Italian Security Professional

Intervengono:
Stefano Brusotti, Telecom Italia, Responsabile Security Innovation
Raoul Chiesa, CLUSIT/ENISA
Aronne Elia, International project PMO, Vodafone Italia
Fabio Gianotti, Head of Engineering & Innovation, H3G, Security
Paolo Passeri, Technical Manager, Business-e

Special guest:
Philippe Langlois, fondatore P1 Security e Senior Researcher Telecom Security Task Force.

Follow

Get every new post delivered to your Inbox.

Join 3,199 other followers