Open Source e cybersecurity: dalla prevenzione al recupero

Hai appena installato l’ultimo antivirus e attivato il tuo nuovo brillante firewall e ti senti al sicuro da qualsiasi tipo di attacco esterno, giusto?
La realtà è che tutti i prodotti di sicurezza (e non) del mondo non saranno mai in grado di proteggere completamente il tuo data center, la tua azienda, la rete privata di casa, dalle minacce progettate ad hoc da malviventi che vogliono intrufolarsi tra i tuoi dispositivi.

A causa dell’asimmetria tra aggressori e aziende, la sicurezza informatica è un problema che non può mai essere risolto completamente e non scomparirà mai, anzi con il progredire della tecnologia diventerà quasi sicuramente un fulcro dei futuri sistemi.
Quindi, la chiave è rendersi conto che il viaggio verso un’infrastruttura sana ha un inizio ma non una fine.

Allora, la domanda fondamentale che ci si pone è: che aspetto ha una buona strategia di sicurezza informatica? Canonical, sebbene non sia un fornitore di sicurezza informatica, assicura che innumerevoli organizzazioni in tutto il mondo che usufruiscono della distribuzione Ubuntu, sono al sicuro da potenziali aggressori.

I punti cardine che analizzeremo in questo articolo sono diversi.

“La prevenzione è la miglior cura…”
Come teorizzò nel 1500 il filosofo olandese Erasmo, concentrarsi sulla prevenzione è molto più economico ed efficace che concentrarsi sulla cura. Ce lo ha insegnato anche la pandemia da COVID-19, che in questi due anni ci ha limitati nei movimenti e nella vita quotidiana. Questo principio è applicabile anche per la sicurezza informatica. I team di sicurezza sono spesso a corto di personale e risorse, quindi è fondamentale che si concentri l’attenzione sullo spegnimento dei grandi incendi, piuttosto che guardare i segnali di fumo per capire dove si trova l’incendio (spero che apprezziate l’analogia). Il modo migliore per evitare tutto ciò è creare sistemi sani e resilienti, privi di vulnerabilità. Facile a dirsi, ma prevalentemente difficile a farsi, soprattutto per le piccole aziende. Canonical crede che l’applicazione di patch non debba essere rivolto solo ed esclusivamente a team IT e ben finanziati. Questo è il motivo per cui è nato Ubuntu Pro, con una garanzia di 10 anni di aggiornamenti di sicurezza per tutti i pacchetti nel repository di Ubuntu Universe, patch live del kernel e strumenti di automazione per l’hardening. Però, alcune volte, l’attenzione alla prevenzione va ben oltre il sistema operativo, basti pensare che Kubernetes e Microk8s implementano il profilo di protezione avanzata Center For Internet Security (CIS) per impostazione predefinita.

“…Ma anche il rilevamento, la risposta e il ripristino sono importanti!”
A questo punto cosa succede quando gli aggressori entrano nella rete e accedono alle nostre macchine? Sappiamo che anche i controlli più sofisticati alla fine falliscono, pertanto, quando ciò accade, è importante assicurarsi che le minacce siano contenute e che le operazioni vengano ripristinate il più rapidamente possibile. Canonical, a tal proposito, cerca di aiutarti ad affrontare le sfide di rilevamento e risposta, stabilendo partnership con i principali fornitori di sicurezza, con l’ottica di creare software mirato per automatizzare le azioni comuni di eliminazione o messa in quarantena nelle applicazioni open source più popolari.
Dalle piattaforme di gestione delle vulnerabilità (si veda Tenable Nessus ai sistemi di rilevamento malware, come Microsoft Defender, agli strumenti di sicurezza dell’infrastruttura, come Aqua Security.
Canonical dal canto suo, ha una lunga storia di collaborazione con i principali fornitori di sicurezza, proprio con lo scopo di assicurarsi che comprendano il funzionamento interno dei nostri sistemi e sono a conoscenza di tutte le patch e vulnerabilità disponibili.

“E ricorda che la sicurezza fallisce nell’integrazione”
In matematica 1 + 1 fa sempre 2, ma quando si tratta di sicurezza informatica non è sempre così. La combinazione di due prodotti singolarmente sicuri non garantisce che anche il sistema risultante sia sicuro. Allo stesso modo, se un prodotto presenta una vulnerabilità, ciò non significa automaticamente che il sistema combinato possa essere compromesso.

Le organizzazioni o i team di sicurezza informatica sono spesso colpevoli di parlare delle funzionalità di sicurezza dei loro prodotti come se esistessero in modo isolato o come se fossero implementati in ambienti puliti e greenfield. La realtà, tuttavia, può sembrare molto diversa: tutte le nuove infrastrutture devono coesistere e integrarsi con molti altri sistemi, inclusi quelli legacy e obsoleti.

L’unico approccio praticabile è la difesa in profondità. Proprio su questo ultimo aspetto, che molti danno per scontato, Canonical si focalizza, offrendo una copertura verticalmente integrata che spazia dal sistema operativo distribuito su bare metal alle immagini container sino ad arrivare all’automazione delle applicazioni con Juju.
Durante i test per la sicurezza e l’affidabilità, i team si assicurano che tutti i prodotti non solo funzionino bene da soli, ma funzionino ancora meglio se distribuiti uno accanto all’altro.
È realistico per qualsiasi azienda eseguire tutta la propria infrastruttura interamente su prodotti Canonical. Questo è il motivo per cui pensiamo allo stack dell’infrastruttura come a una grande torre Jenga.
Se rimuovi un blocco dall’alto, alcuni altri potrebbero cadere. Tuttavia, se provi a rimuoverne uno dal basso, le possibilità che l’intera torre si ribalti sono esponenzialmente più alte.

Tutto è connesso ed è per questo che investiamo molto nel confinamento a livello di infrastruttura (container e sistema operativo) per limitare la probabilità che i problemi si diffondano a diversi livelli dello stack. Alla fine sappiamo che alte mura e profondi fossati non hanno mai tenuto un castello al sicuro per sempre.
Tuttavia, in un mondo in cui la maggior parte delle aziende tiene i cancelli aperti e le pareti incustodite, una strategia coerente di rafforzamento e patch di sicurezza contribuirà notevolmente a dissuadere gli attori delle minacce ordinarie e non sofisticate dall’irrompere facilmente nei sistemi.

Se vuoi sapere di più sulle funzionalità di sicurezza dei prodotti Canonical o su come possono essere realizzati e integrati, compila il modulo online.
Fonte: ubuntu.com

Foto di Saksham Choudhary