Quantum computing: facciamo il punto.

Il quantum computing è un paradigma di calcolo che sfrutta i principi della meccanica quantistica per elaborare informazioni in modo radicalmente diverso rispetto ai calcolatori classici. Mentre i computer tradizionali utilizzano bit che possono assumere uno dei due stati, 0 o 1, i computer quantistici impiegano qubit, che grazie alla proprietà della sovrapposizione quantistica, possono esistere simultaneamente in più stati. Altra proprietà fondamentale è l'entanglement quantistico, che permette ai qubit di essere correlati in modo tale che lo stato di uno influenzi istantaneamente lo stato dell'altro, anche se separati da distanze enormi.

Queste caratteristiche offrono potenzialità straordinarie per risolvere problemi che sono difficili o impossibili da affrontare con i calcolatori classici, come la simulazione di molecole complesse per la scoperta di farmaci o la decifrazione di algoritmi criptografici.

Il concetto di quantum computing è stato teorizzato per la prima volta nei primi anni '80. 

Uno dei primi a suggerire che la meccanica quantistica potesse essere applicata al calcolo è stato il fisico Richard Feynman. Nel 1981, Feynman tenne una conferenza in cui sostenne che i computer classici non sarebbero mai stati in grado di simulare in modo efficiente i sistemi quantistici poiché il comportamento di questi sistemi richiede un tipo di calcolo che può essere gestito solo da un dispositivo che sfrutta le leggi della meccanica quantistica. Potremmo anche dire: così nacque il quantum computing!

Nel 1985, David Deutsch dell'Università di Oxford propose una versione universale di un computer quantistico, un modello che potesse teoricamente eseguire qualsiasi calcolo che un computer classico sarebbe in grado di eseguire, ma in modo molto più rapido grazie all'uso di qubit e dell'entanglement.

Il quantum computing, a ben guardare, ha il potenziale di rivoluzionare molti settori. Un esempio è la simulazione di sistemi quantistici, che è impossibile per i computer classici a causa della crescita esponenziale della complessità computazionale. In ambiti come la chimica, la fisica dei materiali e la farmacologia, i computer quantistici potrebbero accelerare la scoperta di nuovi farmaci, materiali e tecnologie.

Tipologie di calcolo quantistico: Gate-based vs. Quantum Annealing.

Il calcolo quantistico universale è chiamato "gate-based" (IBM, Google, Rigetti) e utilizza un approccio simile a quello dei computer classici, ma fa uso di porte quantistiche che manipolano i qubit in vari stati quantistici. Questo approccio permette di eseguire una varietà di operazioni su più qubit, ma è molto difficile da scalare, poiché i qubit devono essere mantenuti in uno stato coerente per periodi di tempo più lunghi.

Altro approccio è quelo conosciuto come "quantum annealing" (D-Wave) che si utilizza per la soluzione di problemi di ottimizzazione, dove si cerca di trovare il minimo globale di un sistema. Tale approccio non è versatile come i sistemi gate-based e non sembra poter essere impiegato per eseguire calcoli generali.

Il report "Quantum Decade" di IBM

Il report "The Quantum Decade", recentemente pubblicato da IBM, ci permette di capire la visione ambiziosa della società per il futuro del quantum computing, che punta a una rivoluzione tecnologica da attuare nei prossimi dieci anni. IBM si impegna a sviluppare computer quantistici scalabili e ad affrontare le sfide tecniche legate alla stabilità dei qubit, alla decoerenza e alla correzione degli errori. La decoerenza quantistica, in particolare, che si verifica quando un sistema quantistico perde la sua coerenza a causa dell'interazione con l'ambiente esterno, è uno degli ostacoli principali per la costruzione di computer quantistici affidabili. Nel suo report IBM prevede che nei prossimi dieci anni vi sarà un'ampia diffusione della tecnologia attraverso la piattaforma IBM Quantum, che permetterà a ricercatori e aziende di accedere a computer quantistici via cloud, aprendo la strada a nuove applicazioni nei settori della chimica, della finanza, dell'IA e dell'ottimizzazione. 

Tra i principali obiettivi vi è il miglioramento delle metodologie per la misura della potenza dei computer quantistici, con l'introduzione del Quantum Volume, che misura la reale capacità di un computer quantistico di eseguire calcoli complessi, considerando non solo il numero di qubit, ma anche la loro qualità, la durata della coerenza quantistica, la capacità di correggere errori e l'efficacia nel gestire circuiti quantistici di crescente complessità senza compromettere l'affidabilità dei risultati. Parte degli sforzi andrà anche nella esplorazione di nuove architetture basate su qubit superconduttori e materiali topologici.

Il quantum computing è visto come una tecnologia in via di maturazione che sarà in grado di risolvere problemi complessi, dalla simulazione di materiali alla progettazione di nuovi farmaci, segnando un progresso fondamentale nella scienza e nell'industria.

IonQ e la sua architettura a qubit ionici

IonQ è una delle aziende più innovative nel campo del quantum computing, con un approccio unico che utilizza qubit ionici per la costruzione dei suoi computer quantistici. La tecnologia di IonQ si basa sull'uso di ioni intrappolati, che sono atomi caricati elettricamente e manipolati con precisione attraverso campi elettrici e magnetici. Ogni qubit è rappresentato da uno stato quantistico di un singolo atomo, che viene "intrappolato" in un campo elettromagnetico in una struttura chiamata trappola ionica. Questi ioni sono poi manipolati con laser ad alta precisione per eseguire operazioni quantistiche. Una delle principali caratteristiche dei qubit ionici è la loro straordinaria stabilità, che li rende meno suscettibili ai disturbi ambientali e alla decoerenza rispetto ad altre tecnologie di qubit, come quelli basati su circuiti superconduttori.

IonQ si distingue per la sua capacità di ottenere un'alta qualità dei qubit, riducendo il rumore esterno, che è una delle principali sfide nella computazione quantistica. La società ha sviluppato un'architettura scalabile che permette di manipolare un numero crescente di qubit con precisione, rendendo possibile la realizzazione di calcoli complessi e l'esecuzione di algoritmi quantistici. Una delle innovazioni principali di IonQ è la piattaforma IonQ Cloud, che consente a ricercatori, aziende e sviluppatori di accedere a computer quantistici basati su ioni intrappolati tramite il cloud, rendendo la tecnologia quantistica più accessibile e facilitandone l'adozione nei settori più disparati.

Sebbene la tecnologia dei qubit ionici necessiti ancora di perfezionamenti per arrivare a una produzione di massa, IonQ ha fatto importanti progressi nella scalabilità e nella precisione, posizionandosi come una delle aziende di riferimento nel panorama del quantum computing. La società è impegnata nel rendere il quantum computing una tecnologia concreta e utilizzabile per applicazioni pratiche.

Il progetto Majorana 1 di Microsoft

Il progetto Majorana 1 si concentra sulla creazione di "qubit topologici", che sfruttano le proprietà dei fermioni di Majorana, particelle la cui esistenza fu teorizzata dal fisico Ettore Majorana. Questi qubit particolari sono progettati per sfruttare le proprietà dei materiali topologici, che sono considerati particolarmente promettenti per la costruzione di computer quantistici più stabili e scalabili. I qubit topologici, infatti, dovrebbero essere più resistenti ai disturbi ambientali, come la decoerenza, che rappresenta uno dei principali ostacoli per i computer quantistici attuali. Tuttavia, per funzionare correttamente, i qubit topologici richiedono temperature estremamente basse, prossime allo zero assoluto, per evitare interferenze ambientali. Per questo motivo, il processore Majorana 1 deve essere immerso in una scatola criogenica, che permette di mantenere la temperatura prossima allo zero assoluto. Questo progetto ambizioso potrebbe rappresentare una delle soluzioni più promettenti per superare i limiti delle attuali tecnologie quantistiche, ma richiede comunque avanzamenti significativi nella manipolazione di questi materiali e nella costruzione di computer quantistici scalabili. 

Le principali difficoltà nel progetto riguardano la manipolazione delle particelle di Majorana, che sono estremamente difficili da rilevare e controllare, e le implicazioni che ciò ha per la costruzione di computer quantistici pratici e scalabili. Nonostante i progressi, ci sono ancora sfide significative da superare prima che il Majorana 1 possa essere una tecnologia operativa e diffusa e raggiungere il promesso "un milione di qubit nel palmo della mano".

Qubit a temperatura ambiente

Mentre molti progetti di computer quantistici richiedono temperature criogeniche per garantire il funzionamento dei qubit, esistono anche iniziative che puntano a sviluppare qubit operativi a temperatura ambiente. La creazione di qubit che possano funzionare senza la necessità di raffreddamento estremo rappresenterebbe una svolta significativa per la realizzazione di computer quantistici pratici e scalabili. Diverse aziende e istituti di ricerca stanno lavorando su queste tecnologie alternative. Ad esempio, Google sta esplorando l'uso di qubit fotonici, che sfruttano la luce per rappresentare e manipolare l'informazione quantistica, con il vantaggio di poter operare a temperatura ambiente. Allo stesso modo, la startup Rigetti Computing sta lavorando su un approccio basato su qubit superconduttori, ma con l’obiettivo di ridurre le necessità di raffreddamento attraverso l'uso di nuove tecnologie di isolamenti termici e la progettazione di sistemi di gestione termica più efficienti. Inoltre, alcune ricerche nell’ambito della spintronica e dei materiali 2D stanno cercando di sfruttare le proprietà quantistiche di materiali come il grafene, che potrebbero consentire la manipolazione dei qubit a temperatura ambiente, riducendo notevolmente i costi e le complessità operative. Sebbene questi approcci siano ancora in fase di sviluppo, il potenziale di computer quantistici operativi a temperatura ambiente potrebbe aprire la strada a un futuro in cui la computazione quantistica sarà accessibile e praticabile su larga scala.

D-Wave: Quantum Annealing per l'ottimizzazione.

D-Wave è una delle aziende pionieristiche nel campo del quantum computing, e la sua tecnologia si distingue per l'approccio basato sul quantum annealing, che lo rende particolarmente adatto a risolvere problemi di ottimizzazione complessa. A differenza dei sistemi di calcolo quantistico "gate-based", come quelli sviluppati da IBM o Google, che sono progettati per eseguire una vasta gamma di operazioni su qubit in stato di sovrapposizione, i sistemi D-Wave sono ottimizzati per trovare soluzioni al minimo globale di un problema di ottimizzazione. Questo approccio è utile in scenari come il riconoscimento di pattern, la pianificazione, e la logistica, dove è necessario esplorare una vasta quantità di possibili soluzioni per trovare la migliore.

Un aspetto distintivo dei computer D-Wave è il loro uso di un numero molto elevato di qubit. La versione più recente del sistema, D-Wave Advantage, contiene oltre 5000 qubit, un numero notevolmente superiore rispetto ai computer quantistici "gate-based" attuali, che ne contano generalmente meno di 200. Tuttavia, la capacità di D-Wave di gestire un numero così grande di qubit non significa necessariamente che possieda la stessa flessibilità o potenza di calcolo universale dei sistemi gate-based. I qubit nel sistema D-Wave sono meno interconnessi e non possono essere manipolati con la stessa precisione dei qubit superconduttori o ionici utilizzati in altri approcci.

Nonostante le sue limitazioni in termini di versatilità, la tecnologia di D-Wave ha già delle applicazioni concrete, come il miglioramento di algoritmi di ottimizzazione, simulazioni complesse e risoluzioni di problemi in settori come la finanza, la chimica, e l'energia.

Quantum Computing e cybersecurity

Il quantum computing rappresenta una minaccia significativa per la sicurezza dei sistemi crittografici tradizionali, in particolare per i metodi basati su algoritmi di cifratura a chiave pubblica come RSA e Elliptic Curve Cryptography (ECC). Questi algoritmi sono fondamentali per la protezione delle comunicazioni su Internet e dei dati sensibili, inclusi i sistemi bancari, le transazioni online e la protezione delle informazioni personali. Tuttavia, grazie alla capacità dei computer quantistici di risolvere problemi matematici complessi in tempi molto brevi, l'efficacia di questi algoritmi è messa in discussione.

In particolare, l'algoritmo di Shor, sviluppato da Peter Shor nel 1994, dimostra come un computer quantistico possa risolvere rapidamente i problemi di fattorizzazione e logaritmo discreto, che sono alla base della sicurezza di RSA e ECC. Con l'impiego di algoritmi come Shor, un computer quantistico potrebbe rompere queste tecniche di crittografia, decifrando in tempi brevi le comunicazioni protette da tali metodi.

L'adozione di computer quantistici su larga scala potrebbe quindi compromettere la sicurezza delle informazioni, minacciando le fondamenta della sicurezza informatica moderna.
Per affrontare questa nuova realtà, la comunità scientifica e industriale ha iniziato a sviluppare algoritmi di crittografia post-quantistica. Questi algoritmi sono progettati per resistere agli attacchi da parte dei computer quantistici. La crittografia post-quantistica si basa su principi matematici che sono considerati sicuri anche contro i potenti calcolatori quantistici, e uno dei principali approcci in questo campo è la crittografia basata su lattice (lattice-based cryptography).

Altri approcci emergenti includono codici correttori di errore, hash-based cryptography e multivariate polynomial cryptography, tutti progettati per garantire la sicurezza a lungo termine in un mondo in cui la tecnologia quantistica sta diventando realtà.

Il NIST (National Institute of Standards and Technology), già dal 2016 ha avviato un processo per identificare e standardizzare algoritmi di crittografia post-quantistica. Il processo di selezione, che coinvolge una valutazione approfondita di vari algoritmi, ha lo scopo di definire soluzioni robuste che possano sostituire gli algoritmi vulnerabili quando i computer quantistici saranno abbastanza potenti da mettere a rischio la crittografia esistente.

Inoltre, enti internazionali, aziende tecnologiche e organizzazioni governative stanno investendo risorse significative nella sicurezza quantistica, esplorando nuovi approcci come la crittografia quantistica (che utilizza i principi della meccanica quantistica stessa per garantire la sicurezza) e sviluppando nuove infrastrutture sicure che possano sostenere la transizione verso un ambiente digitale protetto in un mondo con computer quantistici.

Prospettive Future e le Applicazioni Emergenti

Il futuro del quantum computing è entusiasmante e ricco di potenzialità, ma allo stesso tempo incerto e impegnativo. Mentre la tecnologia è ancora in fase di sviluppo e le sfide tecniche da superare sono notevoli, i progressi che stiamo vedendo oggi potrebbero aprire la strada a rivoluzioni in molteplici settori. Le applicazioni del quantum computing non si limitano alla sola crittografia o alla cybersicurezza, ma si estendono a campi che spaziano dalla medicina all'intelligenza artificiale, dalla simulazione chimica alla logistica avanzata.

Nel settore della medicina, i computer quantistici potrebbero accelerare enormemente la scoperta di nuovi farmaci e la comprensione di malattie complesse. La simulazione di molecole e reazioni chimiche a livello quantistico potrebbe, infatti, portare alla creazione di farmaci più efficaci, riducendo notevolmente i tempi e i costi della ricerca farmaceutica. Inoltre, la potenza computazionale offerta dal quantum computing potrebbe rivoluzionare la diagnostica medica, consentendo di elaborare grandi quantità di dati clinici con una velocità e precisione mai viste prima.

L'intelligenza artificiale e l'apprendimento automatico stanno diventando sempre più sofisticati, ma i calcolatori tradizionali, nonostante i loro enormi progressi, hanno dei limiti. Il Quantum Machine Learning (QML) potrebbe superare queste limitazioni, permettendo agli algoritmi di apprendimento automatico di trattare set di dati complessi con velocità e precisione incredibili. I modelli di apprendimento quantistici potrebbero rivoluzionare il modo in cui le macchine apprendono, migliorando significativamente la capacità di predire eventi, automatizzare processi e analizzare grandi volumi di dati non strutturati.

Un altro campo che potrebbe beneficiare enormemente del quantum computing è la simulazione chimica e la progettazione di materiali avanzati. Le simulazioni chimiche tradizionali sono limitate dalla capacità dei computer di elaborare le interazioni molecolari a livello atomico. I computer quantistici, grazie alla loro abilità di manipolare qubit in sovrapposizione e entanglement, possono affrontare simulazioni più complesse, aprendo la porta a scoperte scientifiche come materiali più resistenti, energie rinnovabili più efficienti e nuovi processi chimici.

L'ottimizzazione è un altro campo in cui il quantum computing promette di fare enormi passi avanti soprattutto nella risoluzione di problemi complessi, come la pianificazione delle risorse, la logistica e il miglioramento di algoritmi di ricerca. 

Infine, uno degli sviluppi più interessanti riguarda la creazione di un quantum internet. Questa nuova rete, basata sulla crittografia quantistica che sfrutta i principi della meccanica quantistica per migliorare la sicurezza, promette di garantire un elevato livello di sicurezza nelle comunicazioni online, sfruttando il principio dell'entanglement quantistico. La Quantum Key Distribution (QKD), inoltre, permette lo scambio di chiavi crittografiche sicure tramite entanglement quantistico e rappresenta la base di questa nuova infrastruttura. 

Eppure, nonostante le potenzialità, il quantum computing deve ancora superare importanti sfide. La decoerenza quantistica, come abbiamo visto in precedenza, è una delle principali difficoltà. Inoltre, la costruzione di computer quantistici scalabili, in grado di gestire grandi numeri di qubit senza errori, rimane una delle sfide tecniche più complesse. La ricerca continua a un ritmo molto sostenuto, vedremo dove ci porterà.

Infine, occorre considerare che come tutte le innovazioni, la transizione verso il quantum computing richiederà un significativo cambiamento nell'infrastruttura tecnologica, nella formazione delle risorse umane e nella gestione delle politiche governative e aziendali. 

Tutte cose che avranno un impatto profondo sulla nostra società. 

Alessandro Rugolo 

 

per approfondire:

- https://ilbolive.unipd.it/it/news/ioni-intrappolati-futuro-computer-quantistico

- https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/quantum-decade 

- https://www.rigetti.com/

- https://scitechdaily.com/google-quantum-ai-reveals-bound-states-of-photons-hold-strong-even-in-the-midst-of-chaos/

- https://oggiscienza.it/2017/06/05/materiale-miracoloso-spintronica-come-cambieranno-smartphone-pc/index.html

- https://www.technologynetworks.com/applied-sciences/news/graphene-stacking-discovery-could-herald-new-era-for-quantum-tech-394192

- https://www.dwavesys.com/resources/white-paper/the-d-wave-advantage-system-an-overview/

- https://bizzit.it/approfondimenti/algoritmo-di-shor-e-crittografia-quantistica/

 

Intervista a Carlo Mauceli: Il furto di credenziali, fattori di rischio e linee guida per la sicurezza delle aziende italiane

Oggi abbiamo l'opportunità di parlare di furto di credenziali con uno dei maggiori esperti di sicurezza informatica in Italia, Carlo Mauceli, Chief Technology Officer in Microsoft Italia.

Ing. Mauceli, oggigiorno si sente sempre più spesso parlare di cyber defense, cyber attack e cyberspace, non sempre con cognizione di causa. Ci fa molto piacere avere l'opportunità di parlare con lei a proposito di uno dei problemi che risulta essere sempre attuale nel nuovo dominio, il furto di credenziali.

Ci può dire, in poche parole, in cosa consiste il furto di credenziali e qual'è la situazione in Italia?

In un contesto in cui le minacce informatiche vanno crescendo col passare del tempo in frequenza, impatto e sofisticazione, il furto di credenziali rappresenta una categoria di attacchi estremamente rilevante e pericolosa, nella situazione sempre più frequente in cui le stesse credenziali vengono utilizzate per accedere a sistemi differenti per ruolo e importanza nella rete aziendale facendo leva su meccanismi di single sign-on.

L’estrema pericolosità risiede nel fatto che, a partire dalla compromissione di un singolo sistema (anche di poco valore come la postazione di un utente finale) tramite tecniche classiche di social engineering o di sfruttamento di vulnerabilità note, l’attaccante cattura le credenziali presenti sul sistema compromesso e le riutilizza per accedere a tutti i sistemi dove quelle credenziali sono valide (Lateral Movement), andando a rubare credenziali sempre più privilegiate fino ad ottenere per passi successivi il controllo totale dell’infrastruttura (Privilege Escalation).^{1 2} Queste attività risultano nella maggior parte dei casi inosservate per lungo tempo a causa delle difficoltà di individuazione e rilevamento di questa classe di attacchi che tipicamente danno luogo sulla rete ad attività del tutto analoghe al normale traffico di autenticazione.

In una situazione in cui il personale IT è numericamente limitato e sotto pressione rispetto alle mole di attività richiesta dal business, nel corso di centinaia di attività di security assessment svolti su aziende italiane negli ultimi 18 mesi abbiamo osservato pratiche di amministrazione che vanno esattamente nella direzione opposta rispetto a quanto sarebbe necessario realizzare, portando a uno scenario in cui tutte le aziende analizzate si sono dimostrate esposte significativamente al rischio di furto di credenziali.

Il grafico seguente mostra in modo qualitativo la percentuale di aziende esposte ai vari fattori di rischio.

Esposizione al rischio di furto di credenziali delle aziende italiane – Fonte: Microsoft Security Assessments 2014-2015

• Mancanza di postazioni di amministrazione dedicate: l’uso di Privileged Admin Workstations è pressoché nullo, il modello prevalente è quello che fa uso di sistemi ponte, che non comporta una riduzione del rischio di furto di credenziali.
• Segmentazione dei client limitata: raramente vengono limitate le possibilità di movimento laterale tramite la segmentazione di rete dei client.
• Numero eccessivo di amministratori: il numero di utenze amministrative è spesso sovradimensionato (decine e in taluni casi centinaia) rispetto alle reali esigenze, aumentando così drasticamente la superficie di attacco esposta al rischio di furto di credenziali privilegiate.
• Capacità di detection ridotte: gran parte delle aziende utilizza strumenti di audit e log collection per obiettivi di sola compliance alla normativa del Garante. È raro imbattersi in aziende che effettuano un’analisi proattiva e di correlazione degli eventi volta ad identificare tentativi di compromissione.
• Autenticazione debole: un notevole punto di debolezza è rappresentato dall’uso di protocolli di autenticazione deboli, unito all’uso molto limitato dell’autenticazione a due fattori, a volte anche per gli accessi di remoto.
• Hardening limitato: il numero di vulnerabilità derivanti da un’errata configurazione dei sistemi è molto elevato, nonostante la presenza di baseline di configurazione sicura pubbliche e validate da fonti autoritative (NIST, CIS).
• Credenziali condivise: I sistemi client presentano delle credenziali di amministrazione, definite in fase di installazione iniziale dei sistemi, identiche per tutti i client: la compromissione di un singolo client espone alla compromissione di tutti quelli dove quella credenziale è definita.
• Awareness: il livello di conoscenza e sensibilità rispetto a questa classe di attacchi è in crescita, ma manca la consapevolezza delle misure più efficaci alla prevenzione e alla detection, anche perché prevale una visione della sicurezza molto focalizzata sulle difese perimetrali e di rete quando, nella realtà che osserviamo quotidianamente il concetto stesso di perimetro è diventato labile: l’identità è divenuta il nuovo “perimetro”.
• Mancanza di un processo di Security Incident Response: il processo di gestione degli incidenti di sicurezza è spesso completamente assente o limitato al solo ripristino del servizio, mentre manca la definizione dei processi di comunicazione, di un team dedicato, così come l’analisi dei potenziali impatti dell’incidente.
• Account unici: Non è raro imbattersi in amministratori che, con la stessa utenza amministrano i sistemi, accedono a Internet, leggono la posta, svolgono cioè anche le attività che sono comuni agli utenti standard e che espongono le loro credenziali al rischio di compromissione. In uno scenario di questo tipo è sufficiente accedere ad un sito internet compromesso o aprire l’allegato di posta sbagliato per mettere a rischio l’intera infrastruttura aziendale.
• Patch management carente: gli aggiornamenti delle componenti applicative, spesso reso impossibile da vincoli di compatibilità con applicazioni Line of Business, così come l’aggiornamento dei sistemi server, risultano poco frequenti.
• Sistemi fuori supporto: in diverse realtà è ancora numerosa la presenza di sistemi obsoleti, non più aggiornabili, e le cui caratteristiche hardware bloccano la possibilità di passaggio a un sistema operativo più moderno e sicuro.

Secondo quanto ci dice il grafico la situazione non sembra delle migliori. Immagino che a seguito delle attività di assessment le aziende abbiano preso gli opportuni provvedimenti. Ma, a tal proposito, quali sono le attività più efficaci per ridurre il rischio di furto di credenziali? Com’è possibile limitare l’impatto di questo tipo di incidenti?

Esiste un principio che, se rispettato nell’ambito dei processi di amministrazione, aiuta a minimizzare questa tipologia di rischio: “evitare di esporre credenziali privilegiate su sistemi meno privilegiati e potenzialmente compromessi”.

In linea generale, sarebbe utile pensare ad una infrastruttura suddivisa in vari livelli (Tier) di privilegio, dove al livello più alto risiedono le utenze e i sistemi maggiormente critici o che contengono le informazioni business critical e al livello più basso le utenze e i sistemi meno privilegiati. In questo modello, un’utenza più privilegiata (livello 0) non deve mai essere usata per collegarsi a sistemi di un livello inferiore (1 o 2). Qualora la stessa persona fisica abbia la necessità di amministrare sistemi di livello differente, è necessario che sia dotata di più utenze, ognuna specifica per il livello da amministrare.

Una conseguenza del principio precedente è che un utente privilegiato dovrebbe evitare di compiere attività rischiose (come accedere ad Internet o leggere la posta elettronica) dalla stessa postazione che usa per fare attività di amministrazione, in quanto così facendo espone il sistema di amministrazione al rischio di compromissione e al potenziale furto di credenziali privilegiate.

Pertanto l’amministrazione viene svolta a partire da una macchina sicura, e possibilmente dedicata (Privileged Admin Workstation – PAW), ed eventuali attività rischiose sono svolte su un sistema secondario dove vengono esposte solamente credenziali non privilegiate.³

Un secondo principio importante è quello di evitare che sistemi meno privilegiati abbiamo la possibilità di effettuare modifiche su sistemi più privilegiati. Se ad esempio sono in presenza di un server di livello 0 (privilegio massimo), su cui sono in esecuzione dei servizi relativi a un sistema di monitoraggio di livello 1, che può eseguire delle attività di amministrazione sul server, sto a tutti gli effetti abbassando il livello di sicurezza del server da 0 a 1. Se sono in presenza di client su cui risultano in esecuzione dei servizi che utilizzano credenziali di livello 0, il livello di sicurezza della mia intera infrastruttura viene ridotto alla sicurezza del sistema più insicuro su cui sono esposte le credenziali di livello 0. È quindi fondamentale individuare i punti in cui le credenziali privilegiate vengono esposte e segmentare logicamente i sistemi tra loro sulla base del livello di privilegio delle credenziali su essi utilizzate.

Nell’implementazione di un’architettura più robusta come sopra descritto, devono essere considerati anche i seguenti strumenti e buone pratiche:

• strumenti che permettono di definire password casuali per le utenze built-in e di servizio (PIM)⁴;
• funzionalità di Just-In-Time-Administration per limitare nel tempo la validità delle credenziali di amministrazione⁵;
• strumenti e protocolli di amministrazione remota che non espongano le credenziali sul sistema amministrato;
• segmentare la rete e limitare gli accessi tra sistemi a diversa criticità, limitando così le possibilità di lateral movement;
• l’aggiornamento regolare delle componenti di sistema operativo e delle applicazioni, soprattutto di quelle maggiormente esposte ad attacchi;
• la riduzione al minimo del numero di amministratori di sistema e l’assegnazione dei privilegi minimi per effettuare attività di amministrazione;
• la profilazione corretta delle applicazioni “legacy” al fine di definire una roadmap evolutiva che elimini i vincoli sui sistemi hardware e software;
• l’utilizzo delle funzionalità presenti nelle versioni più recenti di sistema operativo (come l’isolamento delle credenziali in un ambiente virtuale sottostante il sistema operativo, la verifica dell’integrità del codice, la protezione delle macchine virtuali dal loro Host) per ridurre il rischio di furto di credenziali e di esecuzione di codice ostile;
• l’utilizzo di strumenti di detection mirati al riconoscimento del furto di credenziali⁶;
• l’uso dell’autenticazione multifattore⁷: è bene notare però come questa misura presenti un’efficacia limitata rispetto alla protezione dal furto di credenziali se non è accompagnata dalle misure precedenti e non deve essere vista come l’unica soluzione da adottare.

Tutto ciò ci aiuta a prevenire il furto di credenziali, ma chi non ha applicato le best practices da lei indicate potrebbe già trovarsi nei guai, magari soggetto ad un APT sofisticato. In un caso del genere l'azienda dovrebbe essere in grado di capire se è sotto attacco. Mi chiedo se è possibile capire se sono in corso attacchi di furto di credenziali di utenze privilegiate.

Il furto di credenziali è una tipologia di attacco di difficile individuazione poiché, in diverse fasi dell’attacco, vengono usati strumenti leciti e modalità di accesso del tutto equivalenti al normale processo di autenticazione, cosa che rende estremamente complessa la fase di Detection dell’attacco stesso.

In linea di principio si può affermare che l’individuazione di questi attacchi richiede l’analisi dei comportamenti seguiti durante le attività di autenticazione e di eventuali comportamenti anomali, come ad esempio, se una credenziale privilegiata viene utilizzata a partire da un sistema di un utente finale per fare amministrazione remota di un server sensibile.

Pertanto, oltre all’analisi tradizionale degli eventi di sicurezza, è necessario affiancare la definizione di una baseline di comportamento normale, e la rilevazione degli eventuali scostamenti tramite l’individuazione di particolari “punti di controllo”, che possono essere identificati mediante la seguente strategia:

• Identificare e dare priorità agli asset di maggior valore
• Ragionare come l’avversario
  • A quali sistemi voglio arrivare?
  • Chi ha accesso amministrativo a quei sistemi?
  • Attraverso la compromissione di quali sistemi posso catturare quelle credenziali?
• Identificare il comportamento normale su questi asset
• Approfondire gli scostamenti dal comportamento normale:
  • Dove è stata usata una credenziale
  • Quando è stata usata
  • Creazione di una nuova utenza
  • Esecuzione di software non atteso
  • Uso di diverse utenze privilegiate dalla stessa postazione, in un breve lasso di tempo, a partire dalla stessa sessione

Maggiore è il dettaglio della strategia definita, minore è la complessità del rilevamento: gli eventi di audit tracciati del sistema operativo⁸ possono pertanto essere impiegati in modo efficace per individuare la presenza di un attore malevolo che effettua attività di furto di credenziali, monitorando nello specifico gli eventi sopra descritti, anche riutilizzando strumenti già presenti in azienda, come SIEM (security incident & event management platform) e Log Collector.

È chiaro che, aumentando la complessità dell’ambiente, un’analisi di questo tipo richiede strumenti di automazione opportuni e di semplice utilizzo, che siano suscettibili il meno possibile a falsi positivi, e che siano in grado di evidenziare i comportamenti anomali attraverso l’aggregazione di dati relativi al comportamento normale e, tramite attività di machine learning e analytics, l’individuazione degli scostamenti dalla normalità. Sono nate in quest’ambito soluzioni, classificate come User and Entity Behavior Analytics (UEBA)⁹, che si prefiggono di:

• Minimizzare i tempi di analisi degli eventi di sicurezza
• Ridurre il volume di alert e assegnare la corretta priorità agli alert rimanenti
• Identificare gli attori malevoli

Questi obiettivi vengono raggiunti attraverso:

• Il monitoraggio delle utenze e di altre entità avvalendosi di varie sorgenti di dati
• La profilazione e l’individuazione di anomalie con tecniche di machine learning
• La valutazione delle attività delle utenze e di altre entità per individuare attacchi avanzati

È intuibile come l’introduzione di strumenti di questo tipo aumenti le capacità di detection delle aziende andando a ridurre in modo significativo il tempo che intercorre tra la compromissione del primo sistema e la rilevazione dell’attacco da parte dell’azienda; tempo che, allo stato attuale, secondo quanto riportato in diversi studi indipendenti, si aggira nell’ordine dei 250 giorni e, in diversi casi, è nell’ordine degli anni.

E' interessante l'idea del ricorso all'Intelligenza Artificiale per aiutare l'uomo, l'analista o l'esperto di sicurezza in quelle attività più dispendiose in termini di tempo anche se, a mio parere, ciò implica che l'analista o l'esperto di sicurezza deve essere più preparato rispetto a prima e non sempre ciò accade.

Cosa ne pensa invece della possibilità di usare il Cloud come strumento di mitigazione del rischio?

Premessa la necessità di mantenere on-premise¹⁰ diverse applicazioni, per tutti quei servizi che oggi rappresentano una “commodity” (SaaS¹¹), è possibile sfruttare il Cloud come fattore mitigante demandando a una terza parte (Service Provider) la responsabilità della gestione del servizio e, di conseguenza, la sicurezza.

Sulla base dei risultati degli assessment svolti sul panorama italiano, è evidente come le misure di sicurezza adottate nel cloud siano in grado di migliorare il livello medio di sicurezza di gran parte delle realtà italiane. Rispetto al Credential Theft, possono risultare utili le funzionalità di Multifactor Authentication, gli strumenti di detection degli attacchi e di correlazione di eventi tramite tecniche di Machine Learning, così come, nel caso di SaaS, la possibilità di demandare al provider l’esecuzione delle attività di aggiornamento dei sistemi. Tale attività è infatti la più pesante e richiede una attenzione costante ed una conoscenza che non sempre gli amministratori di rete locale possiedono. In generale ciò è alla base anche dell'accentramento dei servizi presso i data center centrali delle grosse organizzazioni, che impiega in questo modo il personale più esperto a favore di tutti.

In generale, la necessità per i service provider di assicurare standard di sicurezza elevati che siano in compliance con una varietà di standard e normative fa sì che il livello minimo di sicurezza fornito dai servizi Cloud sia molto più elevato di quello mediamente rilevabile in diverse infrastrutture IT del nostro Paese. In definitiva, il Cloud può rappresentare un’arma in più nell’arsenale del Security Officer per mitigare certe minacce che non vengono o non possono essere affrontate on-premise, anche per ragioni di costo.

Ingegner Mauceli, se dovessimo riassumere in poche parole le indicazioni che ci ha fornito, a favore di un CIO o di un CISO di una grande organizzazione, cosa direbbe?

In sintesi, la prevenzione e mitigazione del furto di credenziali privilegiate deve rientrare tra le priorità del Security Officer e del CIO.

È necessario agire per evitare che la compromissione di un sistema aziendale di valore limitato si traduca nel rischio di una compromissione completa dell’infrastruttura aziendale.

La pubblicazione di studi approfonditi sulle modalità di attacco e di linee guida sulle misure più efficaci di prevenzione, la revisione dell’architettura e l’introduzione di nuove tecnologie atte a mitigare il rischio e la disponibilità di soluzioni volte e migliorare il rilevamento degli attacchi, sono fattori che rendono immediatamente possibile l’attuazione di una strategia di mitigazione del rischio efficace, ciò significa che il personale del settore deve aggiornarsi di continuo e che gli investimenti devono essere adeguati al livello di sicurezza che si intende raggiungere.

Alessandro RUGOLO

(Carlo Mauceli è Chief Technology Officer – Microsoft Italia

Email:carlomau@microsoft.com

Twitter: @carlo_mauceli)

 Foto e immagini: Mauceli e internet.

L’intervista è basata su dati reperibili sul sito di CLUSIT e pubblicati sul Rapporto Clusit 2016, con il contributo di Andrea Piazza (Microsoft) e Carlo Mauceli (Microsoft) e Luca Bechelli (CLUSIT).

Note:

1 Mitigating Pass-the-Hash and Other Credential Theft v1 http://download.microsoft.com/download/7/7/a/77abc5bd-8320-41af-863c-6ecfb10cb4b9/mitigating%20pass-the-hash%20(pth)%20attacks%20and%20other%20credential%20theft%20techniques_english.pdf

2 Mitigating Pass-the-Hash and Other Credential Theft v2 http://download.microsoft.com/download/7/7/a/77abc5bd-8320-41af-863c-6ecfb10cb4b9/mitigating-pass-the-hash-attacks-and-other-credential-theft-version-2.pdf

3 http://aka.ms/cyberpaw

4 https://aka.ms/laps

5 http://aka.ms/PAM; http://aka.ms/azurepim; http://aka.ms/jea

6 http://aka.ms/ata

7 http://aka.ms/Passport

8 http://www.nsa.gov/ia/_files/app/Spotting_the_Adversary_with_Windows_Event_Log_Monitoring.pdf

9 http://www.gartner.com/technology/reprints.do?id=1-2NVC37H&ct=150928&st=sb

10 Per software on-premise si intende la installazione e gestione del software su macchine interne alla organizzazione.

11 L'acronimo SaaS significa Software as a Service.