IsacaRoma: Buongiorno dott. Cremonini e grazie per la collaborazione. Vuole presentarsi brevemente?
Marco Cremonini: Sono Ricercatore presso il Dipartimento di Tecnologie dell'Informazione dell'Università di Milano [1], con sede a Crema. Prima di arrivare all'Università di Milano, alla fine del 2002, ho lavorato diversi anni a Bologna, la mia città di origine, dove mi occupavo di gestione di progetti per il Comune. Tra questi, interessante è stato partecipare verso la fine degli anni '90 a molte delle iniziative che allora come oggi chiamo “le illusioni della firma digitale”: hanno portato a poco ma sono state parecchio istruttive. Poi, tra Dottorato di Ricerca in Ingegneria Elettronica ed Informatica presso l'Università di Bologna e lavoro sono stato un anno negli USA come Associate Researcher presso l'Institute for Security Technology Studies (ISTS [2]) del Dartmouth College, New Hampshire.
Venendo a oggi, mi occupo principalmente di sicurezza delle reti, controllo degli accessi, testing e monitoraggio, privacy e aspetti economici legati all'uso delle tecnologie per la sicurezza IT. Svolgo anche un'attività editoriale di recensione di libri e, con alcuni studenti, da un paio di anni eseguiamo test e recensioni di sistemi commerciali per la sicurezza IT per conto di una rivista (Internet.Pro [3], a breve l'edizione on-line).
IR: Lei insegna “Sicurezza nelle Reti [4]” all'Università degli Studi di Milano. Può presentarci brevemente questo corso? A chi è rivolto?
MC: “Sicurezza nelle Reti” è uno degli corsi obbligatori della Laurea triennale in Sicurezza dei sistemi e delle reti informatiche, sia nell'edizione tradizionale [5], in presenza, che in quella ONLINE [6]. É un corso “classico” dei piani degli studi dedicati alla sicurezza IT. Nella prima parte si analizza il contesto generale della network security e le categorie di vulnerabilità più rilevanti. Nella seconda vengono considerate le tecnologie dei firewall, da quelle tradizionali alle più evolute, insieme agli aspetti architetturali e alla gestione di politiche distribuite. Infine qualche accenno ai sistemi di Intrusion Detection. C'è anche una parte di laboratorio dove gli studenti si esercitano nell'analisi del traffico di rete, nella configurazione e nel testing di una politica di un firewall. L'aspetto meno tradizionale del corso, che spiazza un po' gli studenti ma che ho visto essere stato apprezzato, è che insisto molto sull'andare oltre i meri aspetti tecnici e il tipico libro di testo del corso. In sostanza, cerco di convincere gli studenti che se si limitano a imparare qualche tecnologia e a leggere solo documentazione scolastica italiana (o ancora peggio attingono informazioni dalle molte pubblicazioni pseudo-tecniche che sono comparse negli ultimi anni), il risultato sarà una comprensione molto scarsa di cosa è la network security. Per questo tutto il materiale che devono studiare è in inglese (tranne le mie lezioni) e parte fondamentale del corso è rappresentata dalla lettura e discussione di un buon numero di pubblicazioni, come i survey del CSI/FBI [7], analisi tecniche (Ranum [8] e Bellovin [9] sono tra i miei preferiti), articoli scientifici. é un carico di lavoro piuttosto grosso, ma alla fine la maggioranza degli studenti è sembrata soddisfatta.
Il prossimo autunno il corso verrà erogato anche agli studenti della laurea ONLINE, i quali sono persone che già lavorano e con un'età media sopra i 30 anni. Penso che questa impostazione del corso sia adatta anche per loro. Mi aspetto che stimoli la discussione degli aspetti che vengono trattati anche più di quanto è accaduto con gli studenti tradizionali i quali essendo molto giovani e professionalmente meno esperti a volte faticano a comprendere le considerazioni riguardanti i contesti aziendali.
Dal prossimo anno poi terrò un secondo corso, "Prevenzione e controllo delle intrusioni" nel quale vorrei approfondire alcuni degli aspetti interessanti toccati in "Sicurezza nelle reti". L'idea è di puntare molto sul concetto di “Managed Security”, attualmente ancora quanto mai vago, ma che credo rappresenti una delle direzioni più interessanti di sviluppo. Farò fare molto lavoro sulle tecniche di monitoraggio e testing, cercando di organizzare progetti a gruppi da svolgere in laboratorio. Per questo motivo devo menzionare una collaborazione con il dott. Rottigni di Stonesoft Italia [10] il quale mi ha fornito un ottimo ambiente di test virtuale progettato dal loro centro di Ricerca e Sviluppo e che conto rappresenti uno strumento didattico prezioso.
Quando sento parlare di rapporti tra Università e imprese, mi viene da pensare che al di la dei proclami, un buon passo in avanti lo si farebbe se ce ne fossero molte di più di persone aperte a collaborazioni come il dott. Rottigni e il dott. Hiidenheimodi, CEO di Stonesoft, azienda, forse non a caso, finlandese.
IR: Come si è avvicinato alla sicurezza informatica? Sono state importanti le esperienze internazionali?
MC: Il mio primo incontro con la sicurezza informatica è avvenuto circa una decina di anni fa, all'inizio del dottorato di ricerca quando lessi “Applied Cryptography [11]” di Bruce Schneier [12] e dopo poco assistetti a un seminario sulle PKI del Prof. Lioy [13] del Politecnico di Torino [14]. L'interesse per la quantità di correlazioni, diramazioni e aspetti eterogenei verso i quali la sicurezza informatica si allarga fu fulminante insieme alla curiosità di conoscere ambiti informatici diversi e ad analizzarli sotto la lente della sicurezza. Da li tutto il resto, fino all'ultima passione per l'analisi economica delle tecnologie per la sicurezza IT. La mia esperienza presso l'ISTS del Dartmouth College è stata importantissima, non tanto per le competenze che posso avere acquisito in quel periodo, ma per allargare la visione al di fuori dell'ambito italiano che è inevitabilmente molto (troppo) periferico e spesso auto-referenziale. Con questo non intendo affermare che lavorare o studiare almeno per un periodo all'estero sia indispensabile. Non è così, anche se aiuta certamente ad allargare la propria percezione. Ciò che credo sia fondamentale è la curiosità intellettuale e il desiderio di conoscenza. Se questi sono forti allora necessariamente ci si trova costretti a uscire dagli ambiti nazionali per scoprire cosa si fa la dove si producono i risultati migliori e cosa pensano coloro che affrontano gli stessi problemi tecnologici partendo da background diversi dal proprio. Tra le discipline informatiche, la sicurezza è un'ottima scelta per chi ha questi obiettivi. Purtroppo però la mia impressione è che spesso, vedendo gli studenti più giovani, non solo manchi questa curiosità (sono sempre in tempo per farsela venire) ma che manchino stimoli affinché questo accada.
Un esempio banale: la lettura di documenti in inglese è ancora per diversi studenti non solo uno scoglio difficile da superare ma soprattutto appare loro una imposizione ingiustificata. Chiunque si occupi di informatica e ancora di più chi si occupa di sicurezza sa perfettamente che limitarsi a testi in italiano significa accedere a una frazione - e spesso non di grande qualità - delle conoscenze disponibili. Altro esempio: la sicurezza informatica è una disciplina prettamente applicata, non esiste (se non in qualche nicchia) la “sicurezza per se”, esiste la sicurezza delle reti, dei sistemi operativi, delle basi di dati ecc. É necessario essere un buon informatico prima di essere un buon esperto di sicurezza. A volte mi pare che qualcuno tenda a dimenticarsi di questo requisito indispensabile, che impone parecchia fatica e lavoro, e si accontenti delle molte frivolezze che ci hanno propinato come sicurezza informatica. Le possibilità e gli strumenti sono a disposizione di tutti (anche se certo molto migliorabili, pensando all'Università italiana), occorre metterci determinazione.
Conosco alcuni studenti che sono ammirevoli in questo.
IR: Passiamo a Weis 2006 [15]. Il prof Anderson [16] ci ha presentato l'iniziativa in generale. Vuole aggiungere qualcosa? Lei è uno dei pochi italiani presenti con una relazione all'evento. È un tema di ricerca nuovo per il nostro paese?
MC: Sì, effettivamente, a parte Alessandro Acquisti [17] che però lavora alla Carnegie Mellon [18], sono l'unico rappresentante di un'Università italiana a partecipare, per il secondo anno. Il motivo esatto non lo so, visto invece l'interesse che anche un'associazione importante come l'ISACA dimostra per il tema. Certo è che si tratta di un ambito di ricerca nuovo in generale, non solo per il nostro paese, e ancora poco esplorato. In più, ha una collocazione borderline tra informatica ed economia, il che rende complicato avviare delle ricerche perché difficilmente in uno stesso dipartimento universitario esistono competenze su entrambe le discipline e quindi occorre cercare collaborazioni esterne, cosa non facile. Poi, dal punto di vista accademico è ancora un ambito poco strutturato, non esistono corsi e non esistono pubblicazioni dedicate specificamente al tema. Se escludiamo WEIS, i lavori vengono presentati a conferenze internazionali o su riviste scientifiche di economia o di computer science, all'interno delle quali sono però sempre fuori dal mainstream.
Tuttavia, WEIS, nonostante sia formalmente solo un workshop, ha un comitato di programma composto da persone di primissimo piano sia della sicurezza informatica che dell'economia - da Ross Anderson [19] a Bruce Schneier [20], Lawrence Gordon [21], Martin Loeb [22] e Hal Varian [23] - il che testimonia quanto promettente sia il tema e rappresenta un'occasione unica di conoscere e parlare con ricercatori di questo calibro.
Il tema oggetto di WEIS è fondamentale a mio parere per chi si occupa di sicurezza informatica perché è ormai un dato di fatto accettato che la progettazione di architetture e soluzioni di sicurezza IT debba essere allo stesso modo guidata da considerazioni tecnologiche ed economiche. I due aspetti non sono più scindibili, è finito il tempo del cosiddetto FUD (fear, uncertainty and doubt), quando le tecnologie di sicurezza venivano scelte sulla base di proclami terrorizzanti circa le conseguenze disastrose del non acquistare l'ultimo e più costoso prodotto messo in commercio. Chi ancora segue questo approccio senza considerare l'evoluzione della percezione e del livello di analisi della sicurezza IT è rimasto a un'epoca che oggi appare da dilettanti.
Quindi, per elevare il livello di analisi occorre mettere in dubbio molte delle convinzioni che, da tecnologi, ci eravamo costruiti negli anni riguardo il criterio di scelta migliore e le strategie di investimento più appropriate. Alcuni lavori, di economisti soprattutto, hanno messo in crisi dati che credevamo assodati circa il rapporto tra perdite stimate e livello degli investimenti, uso del budget a fronte di un'analisi del rischio, il timing migliore per l'applicazione di patch o addirittura
l'utilità della condivisione di informazioni.
Un dubbio che può venire a noi informatici è: ma questi, non sono temi strettamente da economisti?
Per rispondere occorre sapere che anche gli economisti dicono: sicurezza informatica? Ma non è roba da informatici?
La risposta è che occorre il contributo di entrambi ed occorre una collaborazione stretta perché un economista manca delle conoscenze e della familiarità con gli aspetti meno banali delle tecnologie, mentre gli informatici raramente vanno oltre nozioni economiche di base.
Da noi a Crema, così come in altre Università italiane, esistono ottime competenze di sicurezza informatica. Economisti validi non mancano in Italia. Manca solo una dimostrazione di interesse reciproca se vogliamo che anche in Italia si sviluppino competenze ad alto livello in questo ambito. Ne approfitto di questo spazio per esprimere l'augurio che qualcuno si faccia avanti.
IR: Il suo intervento a WEIS ha il seguente titolo “Understanding and Influencing Attackers' Decisions: Implications for Security Investment Strategies” (pdf [24], 281 K). Di che si tratta? Può farci una breve sintesi?
MC: Come prima cosa devo ringraziare Dmitri Nizovtsev [25], ricercatore della School of Business [26] presso la Washburn University (USA), insieme al quale abbiamo sviluppato l'analisi che presenteremo a WEIS06. La collaborazione, splendida per l'incontro di punti di vista talvolta completamente differenti ma spesso sorprendentemente comuni, è nata durante l'edizione scorsa di WEIS, quando abbiamo iniziato a discutere di uno strano fenomeno che da un po' di tempo accade: molti produttori di soluzioni per la sicurezza IT tentano di dimostrare la convenienza delle loro proposte annunciando favolosi ROI (Return On Investment) che verrebbero garantiti. Alcuni forniscono anche delle specie di calcolatori a questo scopo. La domanda che ci siamo posti è
stata semplice: che senso ha, in termini sia economici che tecnici, valutare la convenienza di una tecnologia sulla base di questi indici? La risposta fu che di senso ce ne era poco. Da lì la considerazione che, se i responsabili della sicurezza IT aziendale devono competere con altre funzioni per l'allocazione del budget sulla base di business case comprovati, come oggi si afferma, gli strumenti di analisi che hanno a disposizione sono scarsi, spesso superficiali e privi di quell'insieme di esperienze che permettono di delineare con precisione i benefici attesi di un investimento tecnologico. La nostra analisi parte quindi dall'idea che l'investimento in una tecnologia per la sicurezza IT debba disporre di misure quantitative e che un'analisi del rischio dovrebbe sfruttare un modello del comportamento degli attaccanti rispetto le decisioni di investimento prese da un'azienda. In più, raramente un'azienda è un target unico e specifico, di solito è solo uno dei possibili target tra molti equivalenti. Per questo occorre comprendere anche il rapporto che c'è tra le decisioni di investimento di un'azienda e la popolazione di aziende che rappresentano target equivalenti. Questa è in sintesi l'idea su cui abbiamo lavorato e che si potrebbe riassumere con uno slogan: occorre conoscere con precisione sia il contesto generale che il proprio stato prima di decidere cosa fare.
L'analisi è stata sviluppata con tecniche classiche di modellazione usate sia in econometria che in discipline IT come la dependability. In particolare, sono stati proposti due modelli, il primo sviluppato con l'analisi di eventi stocastici e il secondo con un'analisi bayesiana.
Il punto critico consiste naturalmente nell'intangibilità dei benefici delle misure di sicurezza, i quali sono di difficile misurazione e per i quali l'uso di serie storiche può facilmente portare a risultati incongruenti. Da qui l'inevitabile elevato grado di incertezza da considerare.
Le conclusioni del nostro lavoro, ancora preliminare, che proponiamo per la discussione a WEIS06 si riassumono in due punti essenziali:
- l'adozione di soluzioni che innalzano il livello di sicurezza aziendale non hanno solo un effetto oggettivo/tecnologico (es. rendere più difficile tecnicamente compiere un'intrusione) ma anche un effetto soggettivo/comportementale sugli attaccanti i quali tenderanno più facilmente a desistere dal tentativo di intrusione e passare a un diverso target. In presenza di questo effetto soggettivo, non essere in grado di valutarlo porta a considerare l'efficacia di una soluzione in maniera errata e pertanto a decisioni di investimento non del tutto fondate;
- l'entità dell'effetto soggettivo dipende in larga parte dalla capacità di un attaccante di percepire correttamente e facilmente il livello di sicurezza del target. Un'azienda che disponga di un livello di sicurezza elevato dovrebbe quindi rendere l'accesso a tale informazione semplice.
Queste considerazioni potrebbero sembrare controintuitive, nel senso che è normale ritenere che qualunque informazione circa le soluzioni di sicurezza debba essere nascosta ad un intrusore. Tuttavia, potrebbe non essere sempre così e ciò aprirebbe scenari interessanti sulla progettazione delle architetture di sicurezza. Ad esempio, rispetto al noto concetto di "defense-in-depth", le aziende virtuose (nel senso di grado di sicurezza sopra la media) potrebbero trovare conveniente concentrare gli investimenti sui livelli più interni della rete aziendale rispetto al classico perimetro se ciò garantisce un aumento dell'effetto soggettivo.
Ovviamente siamo solo a livello di ipotesi e di spunti per ulteriori analisi, del tutto privi di qualunque riscontro sperimentale. Tuttavia, la contaminazione tra sicurezza informatica ed economia è promettente e può farci compiere un passo in avanti significativo nella comprensione di queste problematiche.
IR: Grazie e a presto
MC: Grazie a voi e un saluto a tutti soci di ISACA.
Chi è Marco Cremonini?
Ricercatore presso il Dipartimento di Tecnologie dell'Informazione (DTI) dell'Università di Milano - Campus di Crema. È stato Associate Researcher presso l'Institute for Security Technology Studies (ISTS) del Dartmouth College, New Hampshire, USA.I suoi principali interessi di ricerca riguardano la sicurezza delle reti, il controllo degli accessi, il testing e monitoraggio, la privacy e gli aspetti economici legati all'uso delle tecnologie per la sicurezza IT. Può essere contattato attraverso il sito web [27] dell’Università degli Studi di Milano.
Link
Pagine di IsacaRoma Newsletter dedicate a WEIS2006 [28]Pagine di IsacaRoma Newsletter dedicate alla privacy [29]