La clamorosa ondata di attacchi che ha preso di mira l’ambiente Microsoft SharePoint ha scosso alle fondamenta il mondo della cyber security.

La comparsa di una vulnerabilità zero-day come ToolShell, però, non può essere considerata semplicemente come un “cigno nero”.

L’emersione di bug e nuove tecniche di attacco in grado di violare i sistemi critici dell’azienda deve sempre essere considerata come una possibilità.

“Per garantire l’inviolabilità dei dati non basta utilizzare strumenti orientati alla prevenzione e al contrasto degli attacchi informatici” spiega Marco Iannuci, CEO di Boolebox. “L’unica strategia che offre la certezza di rendere inaccessibili i dati ai cyber criminali è quella che prevede un’efficace protezione crittografica dei dati”.

L’ultimo baluardo nella protezione dei dati

Il ragionamento del CEO di Boolebox, azienda milanese specializzata nello sviluppo e gestione di soluzioni di crittografia, si colloca in un contesto in cui gli esperti di sicurezza si trovano a fronteggiare un volume di attacchi inedito, sia sotto il profilo quantitativo, sia sotto quello qualitativo. In questo scenario è inevitabile partire dall’assunto che qualcuno, prima o poi, riuscirà a fare breccia nei sistemi.

“La protezione tramite crittografia è la migliore garanzia di impedire l’accesso ai dati nel caso di un incidente di sicurezza” sottolinea Iannucci. “Anche se i cyber criminali dovessero ottenere l’accesso ai documenti, infatti, si troverebbero tra le mani informazioni che non sarebbero in grado di decodificare”.

Se la protezione crittografica dei dati è considerata ormai una misura standard nella maggior parte degli ambienti software, il manager di Boolebox sottolinea come l’adozione di strumenti specifici permetta di alzare l’asticella e complicare notevolmente la vita ai cyber criminali.

“L’implementazione di una soluzione come Boolebox attraverso plugin specifici, permette di applicare un livello di protezione elevato in qualsiasi ambiente, come Windows, Outlook, Gmail, OneDrive e SharePoint, senza stravolgere l’esperienza utente” spiega Iannucci.

Come aumentare il livello di sicurezza

Sotto un profilo squisitamente tecnologico, l’adozione di sistemi di crittografia dei documenti deve per prima cosa attenersi a quello che è lo stato dell’arte del settore. “In Boolebox utilizziamo un livello di crittografia ‘militare’, basato sull’affidabile algoritmo AES-256, tra i più solidi e diffusi” spiega Iannucci. “L’aspetto tecnico, per quanto importante, non è però l’unico che incide sui sistemi di protezione basati su crittografia”.

I fattori che incidono sull’equazione della sicurezza crittografica, in realtà, sono molti. Primo tra tutti quello della gestione delle chiavi. La strategia caldeggiata da Iannucci prevede che la loro gestione sia sempre affidata direttamente all’organizzazione, sui propri server nella modalità on premises, sui server del fornitore di servizio in caso di adozione di una soluzione cloud. Le chiavi, infine, devono essere conservate all’interno di “cassetti” a loro volta protetti da crittografia.

“Uno degli aspetti fondamentali è quello di compartimentare la gestione dei documenti protetti, offrendo per esempio la possibilità che ogni singolo utente possa creare chiavi crittografiche personali, addirittura prevedendone di diverse per ogni singolo documento protetto” prosegue Iannucci.

Può sembrare una complicazione dal punto di vista logistico, ma il livello di sicurezza garantito dall’adozione di chiavi personali è incomparabile rispetto all’uso di un sistema di protezione “generalista”. Differenziando il più possibile le chiavi crittografiche utilizzate per proteggere i documenti, se gli eventuali attaccanti volessero provare a violarne la protezione si troverebbero infatti di fronte a un compito immane.

Un aspetto ulteriore legato alla compartimentazione è quello di evitare che nell’ecosistema ci siano punti deboli, impedendo per esempio che gli amministratori IT abbiano ‘mani libere’ su qualsiasi tipo di operazione. In caso contrario, la compromissione dell’account (o del dispositivo) di un admin potrebbe avere conseguenze devastanti.

“La nostra piattaforma prevede che gli amministratori non possano avere accesso ai documenti” sottolinea Iannucci. “Nel caso in cui un utente perda le credenziali per l’accesso, è previsto l’avvio di una procedura di recupero che, in ogni caso, non allarga le maglie del sistema”.

Il ruolo delle policy

Se l’implementazione di una piattaforma per la protezione crittografica dei documenti rappresenta un fattore che incide notevolmente sulla postura di sicurezza, un ruolo di primo piano è riservato alle modalità adottate nel suo utilizzo, a partire dalle policy.

“Sulla nostra piattaforma consentiamo di graduare le impostazioni di sicurezza a seconda della classificazione dei documenti protetti” spiega Iannucci. “Per esempio, è possibile utilizzare sistemi di autenticazione multi-fattore (MFA) che possono arrivare a coinvolgere 4 diversi strumenti. Il vero nodo, in questo caso, è la capacità delle organizzazioni di prevedere policy specifiche che permettano di sfruttare questa opportunità”.

In altre parole, il tema non riguarda tanto la disponibilità di funzionalità, quanto la capacità della singola azienda o ente pubblico di prevedere regole e processi che permettano di metterle a valore. Qualcosa che è parte di una “cultura della sicurezza” che si sta affermando sempre di più, soprattutto in settori particolarmente sensibili. “L’adozione della nostra soluzione da parte di soggetti come la Commissione Europea, il Servizio Europeo per l’Azione Esterna (EEAS) e addirittura l’Agenzia per la Cybersicurezza Nazionale è la dimostrazione del fatto che la strategia della protezione crittografica ‘forte’ è considerata ormai una best practice in tema di sicurezza”.

Contributo editoriale sviluppato in collaborazione con Boolebox