La nebbia che ha avvolto Petya, l’ultimo grande attacco informatico estivo, ha confermato due cose, anzi tre: non sappiamo cosa fanno, quando lo hanno fatto e perché. Soprattutto perché. Game, set match. Anche per questo di Petya e dei 711 milioni di indirizzi email rubati non si è parlato al Cloudsec2017, l’evento internazionale dedicata alla cybersecurity che si è svolto nei giorni scorsi a Londra. Esperti di sicurezza e Cio startup e Ceo di corporation globali hanno preferito concentrarsi su un messaggio: «Ormai è chiaro che non si tratta più di difendere il perimetro. Sicurezza non significa invulnerabilità. Noi che ci occupiamo di sicurezza dobbiamo reagire con la forza della community, condividendo informazioni su quanto sta succedendo alle nostre imprese». Il noi lo pronuncia Jane Franklan, imprenditrice, scrittrice ed Ciso advisor autoproclamatasi portavoce dei “buoni” che si occupano di proteggere le aziende dagli attacchi.

L’idea è quella di creare una collaborazione sempre più stretta tra soggetti chiamati da un lato a muoversi in un mercato molto competitivo e sempre più strategico per il sistema imprenditoriale. «Aziende, provider, istituzioni e forze dell’ordine devono agire in sinergia e con urgenza per fare fronte comune e ottenere risultati concreti - sottolinea Paolo Dal Cin, Accenture Security Lead per Italia, Europa Centrale e Grecia -. Siamo di fronte a un cybercrime sempre più organizzato e tecnicamente preparato, spesso finanziato da criminalità organizzata, concorrenti sleali o enti governativi. L’accordo siglato tra la Commissione Europea e l’Ecso (European Cyber Security Organization), di cui Accenture è un membro fondatore, è uno degli esempi di partenariato pubblico-privato costituito in tal senso. Ma è chiaro che i soggetti coinvolti non possono più rispondere da soli».

Certamente, molte aziende di sicurezza informatica del settore stanno diventando molto più aperte sul modo in cui difendono le reti client dalle intrusioni per competere sul mercato. Tali informazioni spesso includono i dettagli tecnici su come queste aziende rilevano, tracciano, catturano e eliminano le intrusioni.

«Esiste da sempre un gentlement agreement tra noi vendor - sottolinea Gastone Nencini, numero uno di Trend Micro Italia - Quando scopriamo un nuovo malware condividiamo le informazioni. Inoltre come Trend Micro collaboriamo con le polizie internazionali Europol e Interpol ma la collaborazione più stretta deve arrivare dalle istituzioni e dalle aziende. Spesso, almeno in Italia, è difficile individuare i giusti interlocutori istituzionali, ce ne sono troppi. A livello di imprese non è sempre facile convincerle a condividere i dati relativi a una intrusione. A noi questi dati servono per i nostri sistemi di machine learning, significa rendere più sicuri i nostri software».

Nella sicurezza, come in altri settori, l’uso di strumenti di machine learning ha senso se si hanno a disposizioni grandi moli di informazioni legati alle dinamiche degli attacchi, alla tipologia di tecniche usate, alla dinamiche di diffusione dell’epidemia nelle rete aziendali. L’industria della security sta automatizzando e affidando gran parte dei servizi di analisi e discovery a questi tipi di algoritmi evoluti. Ma non tutti sembrano d’accordo.

«È vero ci sono pro e contro - commenta Joshua Ray, Managing Director di iDefense, società di Accenture specializzata in intelligence -. I pro sono legati alla capacità di elaborazione dei dati e di individuazione delle minacce. Se applicata correttamente, infatti, l'artificial intelligence aiuta con l'automazione a semplificare attività predefinite e ad aumentare notevolmente la capacità operativa. Con l'utilizzo di algoritmi sempre più avanzati si è inoltre in grado di individuare dati sospetti e potenziali minacce nell'ambiente monitorato. Per quanto riguarda i contro, oltre alla non facile identificazione di un roi dimostrabile, rimane la difficoltà di capire come integrare correttamente queste tecnologie nel processo di orchestrazione dei sistemi esistenti, affinché ci sia più ampio accesso e se ne faccia un maggiore utilizzo all'interno delle community di security».

Il problema è ancora nella condivisione delle informazione. L’intelligence delle intelligence. Paradossalmente sono proprio i grandi attacchi l’occasione. Come sottolinea iDefense, però c’è anche un lato oscuro. O quantomeno di rischio. L’apertura della comunità di sicurezza informatica consente a tutti di imparare, buoni, cattivi e Governi. Per alcuni, è un male necessario.

Articolo apparso sul Sole 24 Ore del 10 settembre 2017

© Riproduzione riservata