“Il mondo reale è fragile ed è inquietante vedere come un virus possa impattare in maniera così profonda e significativa. Anche il mondo digitale lo è, come ci hanno dimostrato i recenti cyber attacchi. Non è un caso che alcuni dei termini che usiamo per descrivere le minacce alla sicurezza informatica siano tratti dal settore biologico, come ad esempio virus e infezioni. Le somiglianze sono notevoli. Come applicare quindi le lezioni della pandemia COVID-19 al mondo della sicurezza IT?”. Inizia così la riflessione su coronavirus e sicurezza informatica di John Kindervag, Field Chief Technology Officer di Palo Alto Networks.

Il coronavirus, come molti virus informatici, è stato un attacco zero day. Non c’è stato alcun preavviso, nessuna epidemia di minore entità che potesse essere contenuta prima di proliferare. Poi si è diffuso rapidamente, senza alcuna mitigazione, causando danni enormi. Si è propagato di nascosto, infettando molti individui prima di mostrare i sintomi. Il coronavirus viene trasmesso dai singoli quando interagiscono di persona, imitando la diffusione di virus informatici all’interno di una rete. Tutti attributi che rispecchiano alcune tipologie di malware.

Dopotutto i virus informatici scrivono nuovo codice in un altro file eseguibile e modificano il punto di ingresso per avviarne l’esecuzione e operano in modo quasi identico a un virus biologico che non può vivere da solo e deve attaccarsi a una cellula ospite per sopravvivere e riprodursi. Un’altra importante somiglianza è la necessità di un vaccino. Le classiche soluzioni antivirus funzionano in modo simile a quello in cui il nostro sistema immunitario respinge i virus. Contengono una piccola parte del virus e creano file per identificare quelli infetti da virus. Il sistema immunitario fa lo stesso, salvando una piccola parte del virus e usandolo per identificare le cellule infette e distruggerle.

coronavirus

Anche se probabilmente è più facile e veloce creare una mitigazione nel mondo cibernetico rispetto a quello biologico, un virus informatico può diffondersi molto più velocemente grazie alla connettività.

Prevenzione e risposta

Nel mondo reale tutti noi avremmo potuto essere meglio preparati, con attrezzature critiche adeguate come mascherine e ventilatori. Ma pochi Paesi erano disposti ad accettare un modello di rischio per qualcosa che sembrava così lontano e astratto. Una lezione che possiamo trarre però è che dobbiamo essere preparati per l’inimmaginabile in materia di sicurezza informatica nello stesso modo in cui avremmo dovuto essere preparati per questa pandemia.

Un’altra lezione è quella della mitigazione. L’adozione di un modello di sicurezza Zero Trust è la chiave per la prevenzione. Con un approccio di questo tipo si definisce ciò che è più critico da proteggere, come si farebbe con un virus. Nella cybersecurity è possibile utilizzare la segmentazione per stabilire dei controlli intorno alle risorse chiave e utilizzare politiche per limitare la capacità del malware o degli attacchi zero-day di entrare in quell’ambiente.

La segmentazione mantiene i dati sensibili e gli asset separati di modo che un’infezione non si diffonda. L’approccio è simile a quello che del distanziamento sociale e all’uso di mascherine per limitarne la diffusione. E proprio come nel mondo biologico, anche nel cyberspazio si può fare prevenzione bidirezionale, impedendo alle infezioni di entrare e uscire. La metafora si estende ancora di più. Con le metodologie Zero Trust fate i tamponi, isolate e mettete in quarantena le persone in tempo reale, prima che l’infezione entri nel sistema e infetti altri.