Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Mauro Montineri : 25 Maggio 2022 07:00
Autore: Mauro Montineri
Data Pubblicazione: 20/05/2022
Lo spostamento di parte della nostra vita e delle nostre interazioni sempre più verso il mondo digitale fa sì che il dato diventi sempre più pervasivo, si può pertanto senza alcun dubbio affermare che ormai il dato è tutto e tutto è dato.
Basti infatti pensare all’incremento di digitalizzazione che si è avuto nel quotidiano con la pandemia (smart working, didattica a distanza, maggiore uso delle piattaforme di intrattenimento, aumentata interazione con gli shop online) o a quello che si sta avendo con l’introduzione del 5G che permette, tra le altre cose, di gestire in un km2 fino ad 1 milione di dispositivi IoT in grado di raccogliere e gestire dati.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una conseguenza di tutto ciò è l’aumento delle dimensioni della nostra impronta digitale da intendersi non tanto, e non solo, nell’accezione classica di quantità di dati ma piuttosto come le dimensioni della nostra identità digitale – ossia delle rappresentazioni digitali di noi stessi – che possono essere molteplici e mutare nello spazio e nel tempo, a seconda del momento e del servizio che stiamo utilizzando.
Tutto questo si può sintetizzare introducendo il concetto di metaidentità, intesa come multidimensionalità dell’identità digitale.
Un perfetto esempio di questa multidimensionalità è la virtualità del metaverso, che diventerà sempre più parte della nostra quotidianità (giusto dei primi di aprile l’apertura a Milano del primo metabar del mondo[1], di inizio maggio la prima partita al mondo trasmessa da Lega Serie A nel metaverso), popolato dai nostri gemelli virtuali e da avatar, con tutte le implicazioni e le problematiche non solo di cybersecurity o safety ma anche di natura etica che stanno pian piano emergendo.
Questa nuova forma di multidimensionalità, prendendo in prestito il concetto di network slicing[2] dal 5G, potrebbe essere rappresentata graficamente associando ogni identità ad una slice spazio-temporale dinamica che muta nello spazio e nel tempo. La metaidentità di ciascun individuo è quindi da intendersi come l’unione di tutte le slice ad esso associate.
In questo scenario, accanto alla formazione, diventa sempre più importante la consapevolezza, che in un contesto di multidimensionalità dell’identità digitale può essere assimilato alla consapevolezza del sé di Platone, affinché si sia edotti sulle opportunità, i rischi e le possibili contromisure applicabili ad ogni dimensione del sé.
Con queste premesse diventa facile comprendere perché il dato è tutto e tutto è dato. Infatti, lato utente tutto è dato, perché ogni oggetto o servizio che viene acquistato o utilizzato genera dati collegati ad una o più dimensioni dell’identità digitale; lato fornitori di servizi il dato è tutto, in quanto è l’asset di maggior valore per un’azienda, correlato alle identità digitali dei propri clienti e, come tale, deve essere protetto.
Per proteggere questo asset, al momento ci vengono sicuramente in aiuto i vari standard o le linee guida che si occupano della gestione della sicurezza delle informazioni, come appunto quelli della famiglia ISO/IEC 27K nelle sue varie declinazioni [telco (27011), cloud (27017), energy (27019), medical device (27779)] o anche la ISO/IEC 22301 (strettamente connessa alla ISO 55000 per l’asset management).
Poiché al variare della nostra identità digitale nel tempo e nello spazio variano i profili di rischio associati ed associabili, quindi varia la superficie di attacco, diventa fondamentale valutare se e quanto questi standard siano sufficienti o sia forse necessario integrarli o definirne di nuovi per colmare eventuali gap e così indirizzare le contromisure di sicurezza sulle nuove dimensioni associate all’identità dell’utente.
Alla metaidentità sono associabili nuove minacce, nuovi profili di rischio che portano ad una multidimensionalità delle superfici di attacco.
Per essere più chiari, in una dimensione del metaverso potrei avere un mio gemello digitale che possiede il dato del mio patrimonio genetico e partecipa a sperimentazioni mediche, mentre in un’altra potrei avere un altro gemello digitale che frequenta coffee shop.
Di sicuro entrambi hanno un senso qui ed ora, ossia sono dimensioni della mia identità delle quali, nel momento in cui le creo, ho volontà e consapevolezza ma che, proprio per la loro natura multiforme, devono essere assolutamente separate e protette in quanto potrebbero comportare dei problemi qualora queste dimensioni dovessero collidere o ci fosse una violazione nello spazio e nel tempo presente e/o futuro.
In questo mutato contesto di riferimento la Compliance ha il compito di definire nuove politiche, regole e modelli e verificare la conformità dei processi e delle tecnologie rispetto alle norme applicabili. A tale scopo verrà in aiuto la nuova ISO/IEC 27002 che raccoglie l’esigenza delle organizzazioni pubbliche e private di disporre, in un unico testo, di tutti i controlli da mettere in atto in tre diverse aree di rischio: sicurezza delle informazioni, protezione dei dati personali e cybersecurity.
Nel dettaglio, rispetto alla versione precedente, si passa da una suddivisione in 14 capitoli a una categorizzazione dei controlli in 4 gruppi (controlli relativi alle persone, controlli di tipo fisico, controlli di tipo tecnologico, controlli organizzativi) con associati 5 attributi (Tipo di controllo[3], Proprietà di sicurezza delle informazioni[4], Concetti del framework di cybersecurity – ISO/IEC 27110[5], Capacità operative[6], Domini di sicurezza[7]) tramite i quali è possibile filtrare, ordinare e presentare i controlli da diversi punti di osservazione a seconda degli interlocutori interessati alla loro analisi.
Questo approccio è ovviamente applicabile a quelle che sono le dimensioni spazio-temporali della nostra identità digitale finora conosciute. Per quelle che verranno introdotte nel medio e lungo orizzonte temporale si potrebbe cercare di anticiparle, sia in termini di minacce sia di possibili contromisure, facendo ricorso alle metodologie di horizon scanning e di analisi dei segnali deboli, ossia quelle metodologie che – attraverso un esame sistematico delle potenziali minacce ed opportunità – hanno come scopo quello di identificare fattori di rischio ed aspetti che saranno strategici ed importanti nel futuro (cfr. BS 11204:2014, in particolare fase 4.4 “Anticipate and assess”).
[1]http://www.ansa.it/canale_terraegusto/notizie/postit/Heineken/2022/03/17/a-milano-inaugurato-primo-metabar-del-mondo_83325cf0-ec76-4628-90b0-b368b0a93c73.html
[2] Tecnica per segmentare la rete in sottoreti logicamente separate tra loro, indipendenti e con misure di protezione specifiche
[3] preventivo, di rilevazione, correttivo
[4] confidenzialità, integrità, disponibilità
[5] Identificare, Proteggere, Rilevare, Rispondere, Ripristinare
[6] Governo, Gestione degli asset, Protezione delle informazioni, Sicurezza nelle risorse umane, Sicurezza fisica, Sicurezza di reti e sistemi, Sicurezza delle applicazioni, Configurazione sicura, Gestione delle identità e degli accessi, Gestione di minacce e vulnerabilità, Continuità, Sicurezza nelle relazioni con fornitori, Legale e Conformità, Gestione degli eventi di sicurezza delle informazioni e Garantire la sicurezza delle informazioni
[7] Governo e Ecosistema, Protezione, Difesa e Resilienza
Mauro MontineriNel panorama dei forum underground esistono attori che operano in modo episodico, alla ricerca di un singolo colpo mediatico, e altri che costruiscono nel tempo una pipeline quasi industriale di comp...
Nel contesto odierno, proteggere una rete richiede molto più che impostare una password complessa. Un attacco informatico contro una rete wireless segue un percorso strutturato che evolve dal monitor...
Il DPO, ma anche il consulente privacy, interagisce in modo significativo con il mondo dell’IT. Purtroppo non sempre lo fa in modo corretto, soprattutto perché alcuni falsi miti provocano quel rumo...
Il post 462 del canale ufficiale di Durov ha attivato subito la “modalità urlo”: “Fine dell’internet libero. L’internet libero sta diventando uno strumento di controllo”. Niente auguri pe...
Il mercato clandestino del cybercrime continua a evolversi rapidamente, alimentato da gruppi specializzati che progettano e vendono strumenti per truffe digitali sempre più sofisticate. Tra questi, u...
