Traduttore automatico - Read this site in another language

domenica 22 ottobre 2017

A Praga, dal 23 ottobre, l'Open Source Summit Europe

L'Open Source Summit Europe è l'evento forse più atteso nel panorama europeo
in relazione al famoso "pinguino" del Sistema Operativo Linux.
Una settimana di eventi, incontri, convegni e lavori tra esperti di tutto il mondo ha inizio sotto l'auspicio della "The Linux Foundation", organizzazione non profit con sede centrale a San Francisco ma ormai distribuita in tutto il mondo.
Il programma prevede la partecipazione di più di 2000  esperti. 
Tra questi vi è Linus Torvald, creatore del kernel Linux, sempre impegnato nel seguire da vicino gli sviluppi della sua creatura. 
Per la Intel Corporation sarà presente Imad Sousou, vice presidente e General Manager della società famosa per i suoi processori ma molto attenta al mondo Open Source.

Tra i più giovani la programmatrice e web designer quindicenne Keila Banks. Iniziò a programmare all'età di 9 anni e a 12 vinse il premio "Young Entrepreneur of the Year" e, con soli undici anni, l'hacker Reuben Paul e fondatore della CyberShaolin.


Tra gli appuntamenti del lunedì, più attesi per gli esperti di sicurezza:
- "OP-TEE - Using TrustZone to Protect Our Own Secrets" presenta Marc Kleine-Budde. Funzionalità che sembra essere in grado di proteggere dati sensibili anche in presenza di un kernel compromesso.
- il panel del lunedì pomeriggio  "Hatching Security: LinuxKit as Security Incubator", relatori di tutto riguardo sono Tycho Andersen e Riyaz Faizullabhoy. Si parlerà di un nuovo progetto open source chiamato LinuxKit, un tool per creare sottosistemi Linux disegnati per la virtualizzazione sicura di ambienti Linux.

Ancora poche ore all'inizio dell'evento e una ultima considerazione: i tempi sono cambiati rispetto a quando, anni fa, Linux era solo un fratello minore del più noto Unix, sono tanto cambiati che tra gli sponsor dell'evento troviamo anche la Microsoft e ciò fa capire quanto sia elevata l'attenzione verso il mondo dell'Open Source Software.

Per approfondire:
http://events.linuxfoundation.org/events/open-source-summit-europe;

Alessandro Rugolo

Intelligenza Artificiale: opportunità o rischio?


Immagine tratta da: www.thesun.co.uk
In Italia è passato praticamente inosservato, forse per paura di derisione, un fatto accaduto qualche mese fa e che invece ha destato se non scalpore almeno inquietudine nel resto del mondo: lo “spegnimento” di due “robot” che improvvisamente hanno cominciato a parlare tra loro in una lingua da loro stessi inventata.
C’è chi ha considerato l’avvenimento come “eccitante” da punto di vista scientifico, chi invece, come il Professore di robotica Kevin Warwick, ha immediatamente messo in risalto i pericoli che da ciò possono derivare, in particolare se i robot dovessero avere una qualche capacità militare…

Ma cosa è successo realmente?
Si è trattato di un esperimento eseguito da Facebook. Sono stati installati due chatbot (vedi articolo), chiamati Alice e Bob, che dovevano migliorare le proprie capacità di negoziazione. Avrebbero dovuto utilizzare la lingua inglese tra loro e poi, in un secondo tempo, con i possibili utenti ma, ad un certo punto, senza alcun preavviso, hanno cominciato ad usare un loro linguaggio incomprensibile ad altri.
Gli esperti di Facebook hanno quindi preferito spegnere le due macchine perché non è stato raggiunto il risultato atteso.
Dopo questo allarme si è scoperto che fatti simili sembrano essere già accaduti almeno presso Google.

Dunque, cosa sta accadendo?
L’Intelligenza Artificiale può rappresentare un rischio? E, se la risposta è si, allora occorre chiedersi: AI può rappresentare un rischio per la civiltà umana?
La risposta non è semplice. Forse la risposta non c’è.
Chiunque, come me, sia stato da ragazzo un appassionato lettore di fantascienza non può non aver letto Asimov. Ma per parlare dei più giovani, negli ultimi anni i film che parlano di forme di Intelligenza Artificiale che interferiscono con il naturale sviluppo della civiltà umana sono innumerevoli. Come possiamo essere certi che un programma, magari sviluppato da un gruppo di attivisti ecologisti per salvaguardare la natura non possa un giorno prendere il controllo del mondo e decidere che la razza umana è il vero pericolo per la natura e dunque decida di “fare piazza pulita”?

E, fate attenzione, chiunque pensasse che si tratta solo di fantascienza, al punto in cui siamo, non avrebbe capito niente. Sembra infatti che ultimamente la realtà superi la fantasia!

Se si considera che fermare l'evoluzione in questo campo è praticamente impossibile, la cosa peggiore è non parlarne per paura di essere derisi. Ciò che occorre è controllo accurato su ciò che accade e sulla ricerca per poter prevenire possibili problemi che potrebbero nascere da un campo, l'Intelligenza Artificiale, assolutamente nuovo. 
In questo senso è solo da elogiare la discossione iniziata in seno al Parlamento Europeo relativamente alla necessità di regolamentazione dei Robot.

Alessandro RUGOLO


Per approfondire:
- http://www.ilfattoquotidiano.it/2017/08/01/intelligenza-artificiale-due-robot-facebook-hanno-dialogato-in-una-lingua-sconosciuta/3769549/;
- http://www.europarl.europa.eu/news/it/headlines/economy/20170109STO57505/i-robot-sono-sempre-piu-utilizzati-urge-una-legislazione-europea;

sabato 21 ottobre 2017

Londra, brevi considerazioni post viaggio!

Londra,
bellissima cittadina mi vien da dire... poi rifletto. 

Wikipedia dice 8.787.892 abitanti!

Non ero mai stato a Londra e devo dire che sono stato favorevolmente colpito, ad eccezione del cibo naturalmente.

Non voglio scrivere un racconto di viaggio, non oggi, per cui scriverò ciò che mi viene in mente, soprattutto per indicare le differenze tra Londra e Roma, la città dove abito.

Allora iniziamo subito con una cosa che mi ha colpito: nel quartiere di Paddington, dove ho passato quasi una settimana, mi sono imbattuto in soli due cani. A Londra non ci sono cani... Almeno non nelle zone che ho visitato, o se ci sono, non li ho incontrati!

Non perchè non mi piacciano i cani, sia ben chiaro, ciò che non mi piace sono i padroni che non li sanno gestire, i loro residui organici presenti in ogni angolo, marciapiede, giardino, parco, pianerottolo, strada e suola di scarpa di tutto il territorio di Roma, per non parlare della puzza cui quasi non si fa più caso tanta è l'abitudine...

Bilancio: Londra 1 - Roma 0, ma andiamo avanti.

A Londra esistono i marciapiedi e, stranamente, vengono utilizzati dai pedoni. Da questo punto di vista Roma è avanti infatti anche a Roma (qualche volta) ci sono i marciapiedi, ma di solito vengono utilizzati dalle macchine, e non solo per parcheggiare!

Bilancio: Londra 2 - Roma 0...

Terzo punto: il traffico. Che dire, girare per Londra a piedi o in taxi fa capire cosa significhi gestire il traffico. Non si può certo dire che non ci sia traffico in periferia, però si può affermare senza dubbio che si tratta di traffico ordinato, non del caos che si vive giornalmente a Roma. Semafori funzionanti, mezzi pubblici numerosi e funzionanti, bus e underground efficienti consentono a chiunque di raggiungere ogni punto della città in un tempo relativamente breve.

Bilancio: Londra 3 - Roma 0, ma solo perchè mi sono imposto di non dare punteggi negativi!

Quarto: raccolta della nettezza urbana e pulizia delle strade. Potrei citare il sommo poeta "... o quanto a dir qual'era è cosa dura..." raccogliere l'immondezza nella città eterna, facile invece è raccoglierla nella città nuova, Londinium, fondata dai romani intorno al 43 d.C.. Ebbene si, a Londra mi è capitato di assistere a scene che voi umani non potete neanche immaginare: mi trovavo comodamente seduto in un vagone della metropolitana e, durante una sosta di pochi minuti, due loschi figuri si sono precipitati nel mio vagone ed in quello affianco e, dotati di bacchetta prensile, raccoglievano i pochi resti di umanità lasciati per terra da qualche viaggiatore poco attento! Chi mai ha assistito ad una scena simile a Roma?

Bilancio: Londra 4 - Roma 0.


Quinto: verde pubblico. A Londra ho attraversato a piedi diversi parchi pubblici, il St. James, l'Hide Park tra gli altri. Ma ho soprattutto camminato in lungo ed in largo. Certo, non ho visitato tutta Londra ma ho percorso chilometri e chilometrie, meraviglia delle meraviglie, il verde pubblico è "curato", dovunque. A Roma chi non si è imbattutto in una foresta selvaggia ad ogni angolo scagli la prima pietra! Mi farebbe piacere sapere quanti addetti vi sono  nelle due città al verde pubblico e alla cura delle strade... ma forse è meglio non saperlo!

Bilancio: Londra 5 - Roma 0.

Sesto: musei. I musei di Londra sono gratuiti, ma soprattutto sono "vivi". Il fatto di non dover spendere cifre astronomiche per l'ingresso al museo fa si che siano in tanti ad aggirarsi per i negozi di souvenir interni alle strutture per acquistare guide, oggetti caratteristici o anche una semplice "applepie". La cosa più bella però è proprio constatare che i musei vivono una loro vita grazie ai tanti, giovani e meno giovani, che si muovono per le sale, che studiano le opere, che seguono la lezione di arte o di scienze comodamente seduti per terra attorno ad un insegnante. Poi, lungo i corridoi, si aprono sale dedicate ai sostenitori dei musei, in cui si svolgono attività di studio e ricerca... che dire di più?

Londra 6 - Roma 0.

Sette: Albergo. albergo tre stelle... Stanza piccola, anzi no, piccolissima. Apertura porte ad incastro, nel senso che si rischia di restare incastrati. Stanza di 6 metri quadri? Bagno senza bidet... però pulito. Certo che da noi un tre stelle è molto diverso. Personale gentile, abituato ad aiutare nonostante la diversità della lingua. A Roma, per chi c'è stato, gli alberghi sono molto meglio.

Bilancio: Londra 6 - Roma 1

Otto: acqua. L'acqua, per noi italiani è molto importante, l'acqua in bottiglia intendo dire. Non parlo della bottiglia d'acqua acuistata per strada nel chiosco o presso un museo, in questi posti mi aspetto di pagarla cara, come accade anche a ROma, ma da noi esistono migliaia di tipi di acqua nei supermercati o negozi e il prezzo è relativamente basso. 
Non a Londra! Una bottiglia al supermercato costa una sterlina o più! Certo, c'è da dire che l'acqua del rubinetto si può bere, ma per chi non è abituato all'idea...

Bilancio: Londra 6 - Roma 2

Nove: il cibo. Dobbiamo proprio parlare del cibo? Bene, facciamolo. L'Italia ha tante pecche, tantissime direi. Però il cibo italiano è un'altra cosa!
In ogni bar, locale, ristorante, pub londinese si millanta la vendita di cibi italiani, dal caffè al cappucchino alla pasta, pollo, lasagne, tagliatelle... ma poi, si entra e si rimane delusi. Voi direte, ma vai a Londra e cerchi cibo italiano? Ma dai... provinciale!
Ebbene, no, non ho cercato cibo italiano, cercavo piatti tipici ma mi offrivano sempre falsi italiani. Offerti con parole semi italiane o spagnole. 
Che dire del caffè? Ne l'espresso, ne il ristretto sanno di caffè, in nessun locale provato! Il cibo assaggiato era sempre troppo speziato, troppo imburrato, troppo... troppo... non me lo fate dire!
E poi, è quasi impossibile ordinare un bel piatto di verdure cotte, grigliate, fresche... 

Bilancio: Londra 6 - Roma 3.

Dieci: monumenti. Bella, Londra è bella, dei bei palazzi ma... da questo punto di vista non è assolutamente paragonabile a Roma, città eterna... 
Non troverete niente di simile al COlosseo, ai fori imperiali, agli archi di trionfo... Roma è un museo a cielo aperto, Londra è una bella città, grande, pulita, ordinata, ma è una bella città, non una città eterna...

Bilancio: Londra 6 - Roma 4.

Abbiamo finito? Non so, però al momento non mi viente altro in mente.
Londra merita di essere visitata e, magari, per certi aspetti, imitata.
Naturalmente anche loro potrebbero imparare qualcosa da noi, la cucina di sicuro, a patto di non prendere a riferimento quella di dubbia qualità dei locali del centro di Roma, dove un tempo ci si poteva imbattere in una ottima trippa alla romana o in un piatto di carbonara, mentre oggi, sempre più di frequente, ci si imbatte in un kebabbaro o in un ristorante cinese o, peggio, in un finto ristorante italiano dove chi cucina a volte, forse viene da Londra!

Alla prossima.

Alessandro RUGOLO

sabato 14 ottobre 2017

Injection, Broken Authentication ed XSS i principali rischi cyber.


Walter Ambu - CEO e fondatore di Entando
OWASP è uno standard per la produzione di applicazioni web sicure e se consideriamo che ormai quasi tutte le applicazioni sono web...
OWASP è anche un'organizzazione mondiale che ha lo scopo di migliorare la sicurezza del software (vedi articolo: Cyber defence: programmare in sicurezza è la base di tutto).
Tra le iniziative di maggior successo vi è la OWASP Top Ten, un elenco dei dieci principali rischi cyber nello sviluppo di applicazioni.
Nel 2013 è stata pubblicata l'ultima lista ancora valida mentre la prossima dovrebbe essere rilasciata a novembre 2017.
A inizio anno è iniziato il processo per aggiornare la lista ma il primo tentativo è andato a vuoto essendo stato bocciato dalla community.
La prima bozza della Top Ten del 2017, ancora in discussione indica i seguenti 10 maggiori rischi:

A1-Injection
A2-Broken Authentication and Session Management
A3-Cross-Site Scripting (XSS)
A4-Broken Access Control
A5-Security Misconfiguration
A6-Sensitive Data Exposure
A7-Insufficient Attack Protection
A8-Cross-Site Request Forgery (CSRF)
A9-Using Components with Known Vulnerabilities
A10-Underprotected APIs.

Un elenco non certo semplice da capire per chi non abbia approfondite conoscenze in campo di sicurezza informatica.
Proviamo quindi ad approfondire il significato di questi termini con Walter Ambu, fondatore di Entando, una start up che fa uso della metodologia OWASP per lo sviluppo sicuro di software.

Entando - il team
Ingegner Ambu, la sua società, la Entando, sviluppa software sicuro… Può aiutarci a capire qualcosa di più sulla metodologia di sviluppo? Di che tipo di software vi occupate? A che tipo di clienti vi rivolgete? Quanto dedicate alla ricerca e sviluppo? E, soprattutto, ci aiuta a capire meglio quali sono i principali rischi inseriti nella OWASP Top Ten?

Entando è una piattaforma software Open Source che semplifica la realizzazione di applicazioni web e mobile di nuova generazione ossia le “Modern Applications”.
Cosa intendiamo?
Oggi le aziende e le pubbliche amministrazioni, soprattutto quelle più grandi impegnate nella corsa verso la digitalizzazione, hanno due problemi: la rapidità e l’armonizzazione.
Da un lato, devono accelerare i tempi di rilascio delle applicazioni, prima che un loro competitor lo faccia. Dall’altro, devono fare ordine in un portafoglio di applicazioni sempre più ampio, caratterizzato da interfacce tutte diverse e da user experience incoerenti che creano problemi a chi le usa. Entando, grazie a pattern UX/UI (User eXperience/User Interface), funge da "armonizzatore" della user experience e da “acceleratore”, grazie alle moderne tecniche di software development basate su containers, devops, CI/CD (Continuous Integration/Continuous Development), microservizi.
Va da sé che Entando deve avere per natura, in quanto azienda Open Source, una forte propensione naturale per l’innovazione e la ricerca. Il team è composto da ingegneri del software, specialisti IT e Phd, che - a proposito di “modernità”- lavorano anche in modalità smart working.
In quanto alla sicurezza, Entando sviluppa seguendo la metodologia OWASP...

Ingegnere, come mai la sua società ha adottato questa metodologia? Quali sono i vantaggi? E' difficile applicarla alla produzione di software? Il personale svolge dei corsi? Collaborate con le Università?

Sviluppare Modern Applications per aziende e amministrazioni pubbliche significa dare garanzie di innovazione, qualità e sicurezza sul software prodotto. Per tale ragione Entando ha deciso di adottare le linee guida OWASP oltre a metodologie di controllo e verifica della qualità del codice.
Entando collabora attivamente con il Pattern Recognition and Applications Lab dell’Università degli studi di Cagliari (http://pralab.diee.unica.it) la cui divisione di sicurezza informatica è guidata dal Prof. Giorgio Giacinto. In particolare ha fatto parte di un progetto chiamato sTATA (http://stata.diee.unica.it) che consiste nella creazione di un distretto con competenze specifiche e avanzate nell’ambito della sicurezza informatica, all’interno del quale possano svilupparsi idee, soluzioni, e prodotti innovativi in risposta ai rischi di attacco informatico ai quali cittadini e aziende sono oggigiorno esposti. Questo progetto ha previsto ovviamente diverse fasi tra cui quella di formazione del personale Entando coinvolto nella realizzazione della piattaforma.
Sappiamo che ci sono ancora delle discussioni in corso sulla Top Ten 2017 e che dovremo ancora attendere per conoscere quella ufficiale. Ma lasciamo queste sottigliezze ai cultori della materia e proviamo a ragionare come se la Top Ten fosse già stata rilasciata.
In cima, già nel 2013 e per ora anche nella bozza di proposta per il 2017, si trova la categoria conosciuta come “Injection” di cui riporto la definizione: “Injection flaws, such as SQL, OS, XXE, and LDAP injection occur when untrusted data is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing data without proper authorization”.
Ingegnere, in parole povere, per i non esperti, ci può spiegare di che si tratta?

Per Injection si intende un vasta classe di attacchi che consentono ad un malintenzionato di passare ad un software dei dati in ingresso che ne alterano l’esecuzione prevista. Si tratta di uno degli attacchi più pericolosi per le applicazioni web. Il risultato può variare dalla perdita di dati fino ad arrivare al furto di dati sensibili come le carte di credito.
Tra le diverse tipologie di Injection, SQL Injection è quella più nota.
SQL Injection è una pratica di hacking che consiste nel colpire applicazioni web che si poggiano su database. A causa della vulnerabilità l’aggressore è in grado di operare sul database, leggendo, alterando, o cancellando in maniera non autorizzata i dati in esso presenti.

Tra i casi reali in cui è stato utilizzato un attacco di questa categoria vi è quello del 2009 condotto ai danni della Heartland Payment System. In quella occasione furono rubate le credenziali di 130 milioni di carte di credito e debito.
Ma come si migliora la sicurezza di un sistema soggetto a questa vulnerabilità?

Occorre verificare la funzionalità dei controlli sui dati in ingresso, in modo che non sia possibile effettuare interrogazioni arbitrarie al database sfruttando una mancata o incorretta validazione dei dati ricevuti. Per essere ancora più chiari, se un form su un sito richiede l’inserimento di un userid, il software deve controllare che i dati inseriti dall’utente siano effettivamente del formato di un userid ed impedire che l’utente possa inviare dei dati differenti, magari una stringa che possa essere interpretata come un comando.

Grazie, ora credo sia più chiaro a tutti il significato di “Injection”.
Forse non tutti potranno comprendere a fondo i meccanismi alla base dell'attacco ma credo che la cosa più importante sia sensibilizzare le persone che l'uso di strumenti web può presentare dei rischi ma che esistono dei metodi per minimizzarli.

Ingegner Ambu, la seconda della lista è Broken Authentication and Session Management.
Di che cosa si tratta?

In questo caso abbiamo a che fare con una vulnerabilità in cui un aggressore è in grado di manipolare i dati che tipicamente vengono memorizzati nel cosiddetto “session token”, ossia un identificativo univoco per l’utente che naviga nelle pagine web e che viene utilizzato per scambiare dati tra la parte client e quella server di un’applicazione web. I famosi cookie abilitano questo meccanismo. In questo caso un aggressore può addirittura assumere identità altrui, modificare password ed entrare nei sistemi. Immaginiamo, per esempio, i danni che un hacker può fare entrando nel nostro conto bancario!

Può svuotarci il conto! E magari ottenere informazioni sui conti correnti di persone con le quali abbiamo dei rapporti di lavoro. Potenzialmente ciò mette a rischio non solo noi ma anche persone e aziende con le quali abbiamo a che fare.
Ingegner Ambu, non voglio certo portarle via troppo tempo chiedendole di analizzare tutte e dieci le vulnerabilità della lista ma credo che almeno la terza meriti attenzione: Cross-Site Scripting (XSS), di che si tratta?

Il Cross-Site Scripting è una tecnica piuttosto comune per eseguire un furto di identità.
In pratica un’applicazione prende in carico dei dati ricevuti in ingresso, per esempio da un form, senza operare alcun controllo di validazione, da questo punto di vista assomiglia alla tecnica dell’injection.
Malintenzionati possono quindi iniettare attraverso il browser del codice script nocivo, esempio del codice javascript, in un qualunque form del sito web causando il furto di identità di qualunque persona o la modifica di porzioni del sito web addirittura costringendo l’utente a scaricare un malware.

Ingegner Ambu la ringrazio per il tempo dedicatoci. Approfitto ancora della sua presenza e competenza per ripetere che tutte queste tecniche d’attacco possono essere almeno in parte rese inoffensive utilizzando le best practices della metodologia OWASP. In pratica l’impiego della metodologia OWASP consente di prevenire buona parte degli attacchi più comuni e pericolosi.

Esatto, OWASP è una metodologia di tipo preventivo. La sua applicazione in ogni caso non va considerata come una panacea contro tutti i mali ma è sicuramente molto utile e merita di essere studiata approfonditamente da tutti coloro che in qualche modo si occupano di sviluppo software e di sicurezza informatica. A tal proposito il 20 ottobre prossimo presso l’auditorium della facoltà di Ingegneria e Architettura, in Piazza d’Armi a Cagliari, si terrà l'Italy OWASP Day 2017. Un evento interessantissimo sotto il profilo della sicurezza del software.
Tra gli ospiti sarà presente il vice presidente di Synopsys, Gary McGraw, autorità riconosciuta a livello mondiale nel campo della sicurezza informatica.
Noi di Entando saremo presenti e vi sarà la possibilità di approfondire i concetti appena esposti e molto altro. Vi aspettiamo!


Alessandro RUGOLO


Per approfondire:

- https://www.w3schools.com/sql/sql_injection.asp

giovedì 5 ottobre 2017

Cyber security: cos'è un SOC?

Il mondo della cyber security è ogni giorno più complesso e per riuscire a gestire i numerosi incidenti informatici sempre più organizzazioni iniziano a considerare l'ipotesi di far ricorso ai servizi di un Security Operation Center (SOC) o a realizzarne uno all'interno della propria organizzazione.
Ma cos'è un Security Operation Center?
Per fare un po di chiarezza utilizzo un documento che mi è sembrato molto chiaro e che invito a leggere: "Classification of Security Operation Centers", pubblicato nel 2013. Gli autori (Pierre Jacobs, Alapan Arnab, Barry Irwin) lavorano per il Department of Computer Science della Rhodes University a Grahamstown, in Sud Africa.
Ciò che ora ci interessa è mettere in evidenza il concetto di SOC per cui riporto il primo paragrafo del citato documento:
"A Security Operations Centre (SOC) can be defined as a centralized security organization that assists companies with identifying, managing and remediating distributed security attacks [1]. Depending on the capabilities required from a SOC by the en&terprise or client, a SOC can also be responsible for the management of technical controls. The end-goal of a SOC is to improve the security posture of an organization by detecting and responding to threats and attacks before they have an impact on the business."
Da quanto detto si capisce immediatamente che il SOC è una struttura organizzativa centralizzata che si occupa di assistere le società nella identificazione, gestione e nel porre rimedio ad attacchi di sicurezza distribuiti. Un SOC può anche essere chiamato a gestire tutti i controlli tecnici di una società che si avvale dei suoi servigi.
Il SOC può essere interno alla società e lavorare solo a supporto della stessa, o offrire servizi anche ad altre società. In ogni caso lo scopo finale di un SOC è quello di migliorare la "postura di sicurezza" di una organizzazione attraverso l'individuazione e la risposta ai rischi e agli attacchi prima che questi possano impattare sul core business dell'organizzazione.
Sarebbe meglio dire che il SOC "tende ad evitare l'impatto di attacchi informatici sul business dell'organizzazione o comunque a limitarne i danni", in quanto affermazione più realistica.
Nel documento è possibile trovare un'analisi approfondita delle funzioni e dei componenti di un SOC, ma al momento ci interessa solo il concetto suesposto.
Diciamo subito che il SOC non è una invenzione dei nostri giorni e non deriva neanche dal mondo ICT. Se ne parla da tanto negli ambienti che gestiscono la sicurezza fisica ed il mondo ICT non ha fatto altro che adottarlo.
Attualmente si parla di SOC di quinta generazione, riferendosi a strutture dotate di capacità di analisi predittive oltre che di monitoraggio e risposta.
E' opportuno mettere subito in evidenza l'aspetto, a mio parere, più importante: un Security Operation Center è una unità organizzativa complessa, generalmente centralizzata, che si occupa di identificare, gestire e porre rimedio ai problemi di sicurezza informatica ed è costituito da processi, strumenti e persone.


Mentre processi e strumenti sono tutto sommato facili da trovare e sostituire all'occorrenza, la stessa cosa non vale per le persone che devono essere preparate adeguatamente e conoscere a fondo l'organizzazione per cui lavorano.


Generalmente un SOC utilizza uno o più strumenti informatici di tipo SIEM, ovvero Security Information and Event Management, per l'aggregazione e correlazione dei dati e informazioni provenienti da differenti sistemi.
E fino ad ora abbiamo parlato di teoria...
In Italia vi sono diversi SOC gestiti da alcune delle più grandi società del mondo ICT, tra questi vi è quello della Società Engineering, quello della Italtel e quello della Leonardo.
Per capire meglio l'utilità dei SOC nella società moderna mi sono rivolto all'Ingegner Pesaresi della Engineering, ad un team Italtel e ad un team Leonardo ponendo loro alcune domande.
Ingegner Pesaresi buon giorno e innanzitutto un grazie per la disponibilità. Il cyber space è entrato prepotentemente nelle nostre vite attraverso le notizie ormai quotidiane, immagino che qualcosa di simile stia accadendo nelle organizzazioni. Quanto è importante il settore Cyber per Engineering? Per quale motivo la vostra società ha sentito la necessità di creare un SOC?


Engineering: Buon giorno, io sono il responsabile commerciale della BU Difesa e Spazio in Engineering. Nella visione Engineering la problematica della sicurezza informatica, o cybersecurity, deve essere affrontata attraverso un approccio multidisciplinare, basato sull'unificazione e integrazione di competenze di tipo legale, economico, e tecnologico, poiché è divenuto oggi evidente che l’individuazione di soluzioni efficaci e di risposte alle sfide poste in essere richiedono, oltre alle ovvie competenze in ambito ICT, anche la profonda comprensione di aspetti normativi, di dominio e la valutazione di impatti socio-economici.
In questi ambiti Engineering pone la massima attenzione alla CyberSecurity, in quanto ritenuta di primaria importanza per la protezione delle informazioni memorizzate e trattate con sistemi informatici e trasmesse attraverso le reti, con lo scopo di assicurare riservatezza, integrità e disponibilità delle informazioni.
L’offerta del Gruppo nell’ambito della Cyber Security è specializzata nella sicurezza delle applicazioni, la sicurezza perimetrale di infrastrutture informatiche, la sicurezza nello scambio di informazioni tra reti a diverso livello di classificazione e la sicurezza di infrastrutture critiche.
Il gruppo Engineering opera attraverso un network integrato di 4 Data Center dislocati a Pont-Saint-Martin, Torino, Milano e Vicenza, con un sistema di servizi e un’infrastruttura che garantiscono i migliori standard tecnologici, qualitativi e di sicurezza agli oltre 330 clienti sia in ambito nazionale che internazionale. In tale contesto, allo scopo di assicurare la necessaria cornice di sicurezza informatica ai dati ed ai sistemi dei nostri clienti, il Data Center principale di Pont Saint Martin è dotato di un Security Operation Center all'avanguardia.

Anche in Italtel potete contare su un SOC nazionale. Ciò fa pensare che il settore cyber sia molto importante, è così?


Italtel: La trasformazione digitale aumenta la superficie di esposizione agli attacchi informatici che sono sempre più evoluti. E’ quindi importante fornire soluzioni e servizi di qualità per garantire la protezione dei dati, la resilienza delle infrastrutture critiche e contrastare le minacce avanzate. La Cyber Security è pilastro fondamentale della nostra offerta rivolta alla Pubblica Amministrazione, alle aziende ed ai Service Providers, nostra storica area di forza. Nata come azienda di telecomunicazioni, Italtel da diversi anni ha diversificato la propria offerta e oggi è una multinazionale italiana nel settore dell’Information & Communication Technology e indirizza con le sue soluzioni diversi settori verticali quali: Pubblica Amministrazione, Sanità, Difesa, Finance, Energy, Industry 4.0, Smart Cities, senza tralasciare le Telecomunicazioni. I servizi di SOC di Italtel nascono già nel 2001 con l’acquisizione di SecurMatics, sviluppando l’esigenza di garantire una gestione efficace e continuativa dei livelli di sicurezza dei clienti in affiancamento ai servizi professionali di rete ed alla gestione delle infrastrutture mediante i nostri Network Operation Center (NOC) e Technical Assistance Center (TAC). Oggi il panorama delle minacce è in continua mutazione ed è quindi importante potenziare le soluzioni ed i servizi, inclusi quelli managed, in un una linea di offerta univoca rivolta alle pubbliche amministrazioni, alle aziende e ai service provider.

Ho visitato, tempo addietro, il SOC della Leonardo e ne sono rimasto colpito…


Leonardo: Leonardo garantisce le prestazioni, la continuità, l’information superiority dei sistemi dei propri clienti, oltre a proteggerne le infrastrutture e le applicazioni mediante interventi mirati. Sviluppa inoltre soluzioni digitali sicure, identificando, riducendo e gestendo le minacce, le vulnerabilità e i rischi. In questo ambito Leonardo è in grado di fornire soluzioni innovative per contrastare le minacce cyber, sempre più pervasive e strutturate, che rendono la protezione del patrimonio tecnologico, informativo e intellettuale di ogni organizzazione, civile o militare, una necessità improrogabile. Tra le realizzazioni più significative nel settore della cyber security Leonardo ha fornito un sistema “chiavi in mano” alla NATO per lo sviluppo, la realizzazione e il supporto della NATO Computer Incident Response Capability (NCIRC), che eroga servizi a oltre 70.000 utenti in 29 Paesi. La capacità di offrire protezione è accresciuta anche dalle soluzioni sofisticate di intelligence, applicabili sia a dati open source sia a fonti eterogenee, a supporto delle esigenze delle forze di polizia e agenzie investigative.


Il vostro SOC è ad uso interno o ad uso esterno? Quali sono i servizi che il vostro SOC rende? Quali sono i servizi più richiesti?


Italtel: Il nostro SOC è principalmente rivolto al mercato con servizi customizzati a seconda della tipologia dei clienti. Fondamentalmente esistono due macro gruppi di clienti tipo. Aziende di grandi dimensioni, che si sono date una adeguata security governance, hanno già internalizzato i team operativi ma richiedono all’esterno servizi o competenze specifiche che non riescono ad indirizzare, come ad esempio i servizi di Threat Intelligence o di Incident Response (IR). Aziende di medie dimensioni che ci chiedono oltre ai servizi SOC in full-outsourcing anche di avere un ruolo di partner/consulente in grado di effettuare assessments e gap-analisys continuative per aumentare il livello di protezione. Tra l’altro, mantenere un SOC operativo chiede investimenti continui sulla formazione e sulle tecnologie a supporto dell’operazione.


Qual’è invece la situazione per la Engineering? Quali sono i servizi più richiesti?


Engineering: Il nostro SOC fornisce servizi sia ad uso interno, ma soprattutto in favore dei nostri clienti, che sono distribuiti in tutte le aree di mercato e cioè Finanza, Telecomunicazioni, Utilities, Industria e servizi ed anche la Pubblica Amministrazione ai quali eroghiamo servizi a vari livelli, dalla consulenza di alto livello orientati alla definizione della governance, ai servizi di assessment, quali pentration test, vulnerabilty assesment ed ethical hacking, fino a scendere ai servizi di un SOC quali ad esempio Security Response Team, Gestione dell'infrastruttura di sicurezza e soluzioni di DDoS. Inoltre, realizziamo anche progetti specifici per i nostri clienti per implementare soluzioni di sicurezza come ad esempio Identity Access management, Strong Authentication, Mobile Device Security. Infine, ci stiamo realizzando alcuni progetti pilota di soluzione di Cyber Threat intelligence, finalizzati a prevedere in anticipo potenziali attacchi informatici.


Leonardo: Leonardo ha realizzato due SOC, uno in Italia e l’altro in UK. Il principale è quello di Chieti, un centro di eccellenza in ambito Cyber Security e Threat Intelligence, ovvero dedicato alla protezione dalle minacce cibernetiche nei principali settori di riferimento (i.e. Infrastrutture Critiche, Grandi Aziende, Pubbliche Amministrazioni, Difesa, Agenzie di Intelligence, Istituzioni nazionali ed internazionali). Presso il sito di Chieti sono allocati i principali asset di riferimento:
- SOC Business (Security Operation Center), attraverso cui viene garantita la capacità di detection e monitoraggio 24x7 per tutti i client nazionali ed internazionali di Leonardo;
- CSIRT (Computer Security Incident Response Team), attraverso cui viene assicurata la risposta tempestiva ad un attacco informatico;
- Cyber Threat Intelligence (ovvero servizi di Open Source Intelligence basati su un middleware proprietario implementato su una piattaforma di supercalcolo ad alta efficienza energetica – High Performance Computer).
Il centro operativo di sicurezza di Chieti rappresenta oggi uno dei più importanti Managed Service Security Provider (MSSP) a livello europeo, in termini di completezza del portafoglio dei servizi erogati e in relazione al numero di clienti e piattaforme monitorate. Alcuni numeri più significativi: oltre 50,000 log ricevuti, aggregati e collezionati ogni secondo; più di 30,000 eventi di sicurezza collezionati e correlati al secondo. Il SOC gestisce una media di 50 incidenti di sicurezza al giorno, applicando le principali best practice internazionali di riferimento (ad es. NIST-800-xx, ENISA) al fine di contenere gli incidenti e rispondere tempestivamente alle odierne minacce di sicurezza cibernetica. A Chieti lavorano oltre 100 esperti di sicurezza, di cui Certified Ethical Hacker specializzati in attività di Vulnerability Assessment e Penetration Test. Ogni anno sono analizzati e inviati ai Clienti oltre 500 annunci di early warning. Il sito inoltre possiede diverse certificazioni dei Servizi di Sicurezza Gestita.


Per mantenere un SOC operativo, immagino, dobbiate investire in ricerca e sviluppo. E' cosi? Quanto investite in percentuale e in quali settori del cyberspace?


Engineering: Engineering crede nella ricerca e nella necessità di trasformare il potenziale delle tecnologie informatiche in opportunità di crescita per i propri clienti attraverso l'innovazione, in un allineamento continuo con l’evoluzione di tecnologie, processi e modelli di business.
Engineering ha aperto il primo laboratorio di ricerca nel 1987 e oggi, in collaborazione con aziende, università e centri di ricerca a livello nazionale e internazionale, conta su:
  • 250 ricercatori
  • 70 progetti di ricerca in corso
  • 6 laboratori di sviluppo
  • circa 30 milioni di euro di investimenti annui in Ricerca e Innovazione.
La Cybersecurity è uno dei temi sui quali si sta investendo di più in termini di ricerca in particolare in ambito europeo, dove Engineering è presente con un laboratorio denominato IS3Lab (Intelligence Systems and Social Software) che partecipando con un ruolo di leadership ai principali progetti di ricerca finanziati in ambito Horizon2020.


Avete collaborazioni con organizzazioni di sicurezza? Che tipo di rapporti esistono tra il vostro SOC e i CERT nazionali?


Engineering: Engineering è anche uno dei soci fondatori di ECSO (European CyberSecurity Organization) che raggruppa le principali aziende europee che si occupano di sicurezza informatica, e che sta collaborando con le istituzioni europee per la definizione di una strategia comune in ambito Cybersecurity.


Leonardo: In questo settore la collaborazione è un fattore critico di successo. Collaboriamo con numerose imprese e technology provider internazionali con cui scambiamo informazioni sulle nuove minacce e vulnerabilità. Grazie alle capacità riconosciute dal mercato, siamo il partner strategico di molte tra le più importanti organizzazioni pubbliche e private in Europa e non solo. Questo ci consente di supportare tali organizzazioni nel design e nella implementazione dei loro sistemi di sicurezza informatica. Con esse possiamo scambiare informazioni come previsto dalle relazioni contrattuali. Infine, partecipiamo a gruppi di lavoro e tavoli di confronto istituzionali in Europa (ad esempio ECSO) così come in Italia e nel Regno Unito.
Un progetto di partnership importante, inoltre, è sviluppato insieme alla NATO.
Leonardo e l’Agenzia per le comunicazioni e le informazioni dell’Alleanza Atlantica (NCI - Communications and Information Agency) hanno siglato un accordo di collaborazione sulla sicurezza informatica allo scopo di condividere informazioni confidenziali per migliorare la conoscenza del contesto di riferimento e aumentare la protezione delle rispettive reti e sistemi.
Questa iniziativa di collaborazione mira alla condivisione delle informazioni sulle minacce informatiche e sulle pratiche di sicurezza da adottare e riconosce l’importanza di lavorare con partner industriali affidabili affinché l’Alleanza possa raggiungere pienamente i propri obiettivi in materia di protezione dalla cyber criminalità. Leonardo coopererà con l’agenzia NCI per comprendere meglio i modelli di minaccia e le tendenze di attacco più recenti. Ciò renderà più efficace l’applicazione di misure preventive e migliorerà le capacità dell’azienda nella salvaguardia delle informazioni, riducendo così la portata di eventuali tentativi futuri di intrusione.


In Italia qual'è il mercato dei servizi di sicurezza informatica? Visto l'aumentato interesse verso la cybersecurity, è aumentato il mercato nell'ultimo periodo?


Engineering: In Italia il mercato dei servizi della sicurezza informatica ha stentato a decollare in quanto i nostri clienti erano poco sensibili a questa tipologia di minaccia. Forse un ruolo importante lo ha giocato il gap tecnologico del nostro paese, che risulta uno dei meno connessi e quindi, intrinsecamente meno esposto a rischi informatici. Tuttavia, negli ultimi mesi, forse a causa dei recenti episodi di attacchi informatici che hanno compromesso anche la reputazione di molte aziende, la questione, che prima era vista come un problema tecnico gestito dai CIO/CSO, è salita all'attenzione dei vertici che hanno incominciato a prendere coscienza delle conseguenze in termini reputazionali che può subire un'azienda vittima di attacchi informatici. Di conseguenza il mercato italiano sembra volgere uno sguardo più attento alla questione della protezione dei dati e dei sistemi aziendali e sempre più clienti incominciano ad affrontare il problema, chiedendoci, in prima battuta attività di analisi del rischio e, successivamente, richiedendoci attività di messa in sicurezza delle loro infrastrutture ICT.


Leonardo: Nel periodo 2013 – 2018 il mercato mondiale della cyber security cresce con un tasso annuo di crescita composto (CAGR) del 10,4% fino ad un valore atteso di 80B€ nel 2018; il mercato italiano cresce con un CAGR del 8,6% per un valore pari a ca. 2B€ nel 2018. Il rapporto Assinform 2017 indica per lo scorso anno una crescita del mercato della sicurezza informatica di oltre 11%.
Nel contesto italiano, il settore Government / Defense rappresenta il 20% del mercato, mentre il cluster Business circa l’80% (di cui il settore CNI – Critical National Infrascructure – impatta per oltre la metà).


Che tipo di personale può trovare impiego in un SOC? Che tipo di studi e che specializzazioni occorrono?


Engineering: Nel nostro SOC trovano impiego ingegneri informatici specializzati in sicurezza delle reti e del software. Purtroppo queste professionalità sono difficile da trovare sul mercato perchè esistono in Italia pochi programmi di studio finalizzati a preparare ingegneri esperti in sicurezza informatica. Per far fronte a questo gap, abbiamo avviato presso la nostra Scuola ICT "Enrico Della Valle" una serie di corsi di specializzazione in cybersecurity rivolti principalmente a formare personale interno, ma aperti anche all'esterno a quelle organizzazioni che intendessero specializzare propri dipendenti.


Leonardo: Noi impieghiamo esperti di sicurezza informatica e giovani tecnici e ingegneri con conoscenza teorica degli standard e dei protocolli di sicurezza informatica, delle maggiori problematiche di sicurezza. Prediligiamo personale con elevata propensione alla risoluzione di problematiche inerenti network e security, conoscenza degli standard e delle best practice di riferimento per il governo della Sicurezza ICT, la prevenzione e la gestione degli incidenti di sicurezza informatica e conoscenza delle tematiche di sicurezza finalizzate alla protezione di reti e sistemi di controllo e automazione.


Per quale motivo i vostri clienti si sono rivolti a voi? A seguito di incidenti cyber o per prevenire problemi?


Italtel: Italtel ha tradizionalmente operato nella progettazione e realizzazione di infrastrutture di rete per service provider globali e nella nostra esperienza l’elemento della sicurezza è da sempre un fattore chiave sotto molteplici aspetti. In virtù di questa expertise molti clienti si sono rivolti a noi sulla Cyber Security perchè hanno già avuto modo di saggiare la nostra qualità del servizio nella gestione di reti complesse.


Engineering: Come si accennava sopra, la nostra azienda eroga da decenni servizi ICT tramite i propri Data Centre a clienti pubblici e privati ed in tale contesto per noi è sempre stato un "must" assicurare i massimi livelli di sicurezza logica e fisica. Molti di questi clienti gestiscono loro infrastrutture per le quali hanno sentito la necessità di migliorare i propri livelli di sicurezza. E' stato quindi quasi naturale che i nostri clienti, alla luce delle nostre riconosciute capacità, ci chiedessero consulenza in ambito cybersecurity. Tuttavia, recentemente, la nostra azienda ha avviato un'attività di promozione delle proprie competenze nel settore cybersecurity anche nei confronti di tutto il mercato.


Secondo voi qual'è la figura più importante, se esiste, all'interno di un SOC?
Se doveste rivolgervi ai giovani, invitandoli a studiare una o più materie, cosa potreste suggerirgli?


Engineering: Direi che non esiste una figura più importante delle altre. La cybersecurity è una materia multidisciplinare che richiede competenze variegate, che vanno dalla governance, alle questioni più prettamente tecniche e che coinvolgono tutta l'infrastruttura ICT, dai livelli più bassi della rete a quelli più elevati delle applicazioni.
Quindi, l'unico suggerimento che mi sentirei di dare ad un giovane ingegnere informatico è di specializzarsi in qualunque materia inerente la cybersecurity perchè sicuramente troverà un'azienda disponibile ad assumerlo.


Italtel: Se proprio dovessimo individuare una figura di rilievo, allora direi che il SOC MANAGER è il ruolo fondamentale per l’erogazione del servizio, in grado sia di governare e stimolare i security analyst nelle fasi più delicate della gestione di un incidente informatico sia nel gestire adeguatamente le comunicazioni con l’esterno.


Quali strumenti utilizzate nel vostro SOC? Quale SIEM utilizzate?


Engineering: Il nostro SOC utilizza prodotti cosiddetti "branded". Tuttavia, c'è sempre maggiore attenzione verso l'open source non solo per questioni economiche, ma anche per esigenze di "sicurezza nazionale". Infatti, la tendenza è di cercare di avere il controllo del codice sorgente anche per questa tipologia di prodotti.


Dal punto di vista normativo, la nuova norma "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali", DPCM emanato il 17 febbraio 2017 e pubblicato in Gazzetta Ufficiale, serie generale n. 87 del 13 aprile 2017, sembra promettere grossi cambiamenti, cosa ne pensate?


Italtel: Il DPCM Gentiloni migliora ed ottimizza la catena decisionale nazionale nell’affrontare il domino Cyber, terreno principale dei conflitti futuri. Inoltre il modello cooperativo e collaborativo tra le istituzioni e le infrastrutture critiche ritengo sia fondamentale per affrontare le minacce che ci attendono.


Leonardo: Con il DPCM 17/2/2017 e il successivo Piano Nazionale, il Dipartimento Informazioni per la Sicurezza (DIS) acquisisce il ruolo di guida delle attività di cyber security a livello nazionale.
Il ruolo sarà esercitato mediante due strutture dedicate rispettivamente la prima alle attività “operative” e la seconda a quelle di natura strategica ed evolutiva. In ambito operativo, viene a costituirsi un servizio di Intelligence e Sicurezza Cibernetica (NSC) con l’obiettivo di gestire h24 l’unità per l’allertamento e la risposta a situazioni di crisi cibernetica, acquisendo le comunicazioni su violazioni o tentativi di violazione dagli organismi di informazione per la sicurezza, dalle Forze di Polizia, dalle strutture del Ministero della Difesa (che permangono separate) e dai CERT (Computer Emergency Response /Readiness Team).
E’ inoltre prevista la realizzazione di laboratori per la valutazione e certificazione nazionale per componentistica ICT di mercato destinata a infrastrutture critiche e strategiche, sviluppo di crittografia nazionale, Ricerca e Sviluppo su tecnologie sovrane.
Leonardo è in grado di mettere a disposizione competenze e servizi a supporto dell’operatività del DIS. In particolare, ciò riguarda gli ambiti di Threat Intelligence e Open Source Intelligence, modelli, soluzioni e capacità a supporto dei CERT, sistemi e servizi per l’addestramento (Cyber range / Cyber Academy), competenze di consolidamento infrastrutturale ed applicativo, competenze di “hardening” di sistemi.
Un elemento interessante è, inoltre, il centro di Ricerca e Sviluppo in tecnologie sovrane di cyber security, che sarà verosimilmente costituito nell’ottica di una collaborazione tra settore pubblico e privato, creando un ecosistema che veda la collaborazione di istituzioni, industria ed accademia.


Engineering: Senza dubbio si sentiva l'esigenza di dare una "governance" al modo della cybersecurity in ambito nazionale e la Direttiva va sicuramente in questo senso affidando al DIS un ruolo centrale di guida. Tuttavia, bisognerà fare ogni sforzo affinchè l'approccio non sia quello di trattare la materia come una questione "riservata" a pochi addetti ai lavori, ma di affrontare la questione con la massima apertura mentale possibile, coinvolgendo tutte parti in gioco sia pubbliche, ma soprattutto private.


Penso che la panoramica fatta con l'aiuto di Italtel, Engineering e Leonardo sia sufficiente a illustrare lìimportanza dei SOC e dei servizi di cybersecurity erogati per cui non resta che ringraziare tutti per la disponibilità e mi auguro che possano servire a fare un po di chiarezza nel mondo Cyber sul concetto di SOC.
I SOC, sia chiaro, sono solo un aspetto della cyber security. Network Operation Center (NOC) e Infrastructure Operation Center (IOC) con le loro varianti completano le strutture impiegate nella gestione del cyberspace e spero di poter avere l'occasione di parlarne prossimamente.


Alessandro Rugolo & Ciro Metaggiata.


Per approfondire:
- http://ieeexplore.ieee.org/document/6641054/
- http://icsa.cs.up.ac.za/issa/2013/Proceedings/Full/58/58_Paper.pdf;
-http://academic.research.microsoft.com/Publication/12790770/security-operation-center-concepts-&-implementation;


Immagini fornite dalla Leonardo.