Di Michelle Burrows, CMO di Splashtop
Jerry Hsieh è stato in prima linea nella valutazione dei rischi IT e della sicurezza per oltre venti anni di carriera. Più recentemente, è stato direttore senior della Sicurezza e conformità di Splashtop, dove, negli ultimi dieci anni, ha svolto diversi ruoli IT e relativi alla sicurezza. Non molto tempo fa, ha parlato con Michelle Burrows, CMO di Splashtop, di ciò che ha alimentato il suo interesse iniziale per la sicurezza e di come pensa di mantenere i sistemi sicuri, in particolare considerando l'aumento delle violazioni della sicurezza che sono state molto propagandate negli ultimi mesi.
Michelle Burrows: Jerry, grazie per esserti unito a noi. Nonostante la sicurezza sia balzata agli onori della cronaca degli ultimi tempi, in passato tendeva quasi a passare in secondo piano. Come è nato il tuo interesse per il tema della sicurezza?
Jerry Hsieh: Hai proprio ragione. Mi sono concentrato sulla sicurezza per molto tempo e molti anni fa le aziende erano portate a non considerarla più di tanto. Ho avuto un'esperienza inquietante nel 2003, ed è stata quella che ha consolidato il mio interesse per la sicurezza e la valutazione dei rischi.
Michelle Burrows: Sembra una cosa davvero negativa, raccontami di più.
Jerry Hsieh: La società per cui lavoravo è stata una delle vittime di un attacco DDoS SMTP che ha messo fuori uso i servizi di posta elettronica aziendali, comprese le grandi aziende e quella con cui collaboravo all'epoca. Ricordo così chiaramente il periodo perché coincideva con il mio matrimonio ed era il motivo per cui non potevo divertirmi come volevo a causa dei problemi che si stavano verificando in ufficio.
Inoltre, mi ha fatto vedere in prima persona l'impatto di una cosa del genere. Avevamo lavorato con un'azienda che si occupava di filtraggio delle email al fine di proteggere società come la mia e altre da un attacco come questo e alla fine sono state costrette a chiudere a causa di questo attacco.
Ho assistito in prima persona anche a un altro incidente, che si è verificato quando il file di un prodotto è stato classificato come virus, dopo che il fornitore di AV aveva aggiornato la definizione. Il reparto IT e il team di ingegneri trascorsero un numero incalcolabile di notti a cercare di risolvere l'incidente, dal momento che ogni singolo sistema era stato colpito e avevamo un sacco di lavoro da fare per ripulire i file, collaborare con il nostro fornitore di antivirus e correggere le definizioni relative a quello che era stato definito come un attacco.
Michelle Burrows: Accidenti, immagino che un matrimonio rovinato sia un modo indimenticabile per capire tutte le cose da non fare nell'ambito della sicurezza. Parlami di altre precedenti esperienze che hai avuto con la sicurezza.
Jerry Hsieh: Ho lavorato come ingegnere della sicurezza con un'altra azienda nel settore dei semiconduttori. A quel tempo, abbiamo lavorato sulla sicurezza principalmente per fermare la violazione dei brevetti. L'azienda assunse molti addetti alla sicurezza perché costavamo meno di una sala piena di avvocati. Questa esperienza mi ha fatto vedere la sicurezza come un modo per proteggere la proprietà intellettuale di un'azienda.
Michelle Burrows: Attualmente, pare che si senta parlare di violazioni della sicurezza o di attacchi ransomware quasi ogni giorno. Cosa possono fare le aziende per proteggersi?
Jerry Hsieh: Mi viene chiesto e ci penso spesso. Secondo me, l'anello più debole è di solito l'utente finale. La maggior parte delle violazioni sono causate da un semplice errore: un dipendente che fa clic su un link potenzialmente dannoso, salva un file pericoloso, usa una password debole o inoltra qualcosa. Un singolo utente può quindi compromettere l'intero sistema.
Michelle Burrows: È piuttosto curioso che un singolo impiegato possa accidentalmente causare un sacco di danni. Credo che molte persone pensino di non essere vulnerabili a incidenti del genere solo perché dispongono di un firewall. Può esprimere un giudizio su questo?
Jerry Hsieh: Spesso, un firewall dà alle persone un falso senso di sicurezza. Sento dire, ad esempio: "Non sarò preda di un attacco perché ho un firewall". Quello che non si prende in considerazione è che mentre si può predisporre ogni sorta di protezione intorno alla propria rete, una delle più grandi minacce può in realtà essere interna. Un firewall non risolve i problemi di sicurezza, specialmente dal momento che gli hacker stanno diventando sempre più creativi per indurre i dipendenti a cliccare su qualcosa per entrare nel nostro sistema.
Michelle Burrows: Se il firewall da solo non risolve il problema delle violazioni della sicurezza, cosa consiglia?
Jerry Hsieh: Consiglio di prestare attenzione a tre aree:
Formazione e sensibilizzazione degli utenti finali - Per me questo è uno degli aspetti più importanti su cui concentrarsi e da quando sono entrato in Splashtop, invio continuamente promemoria sui rischi per la sicurezza. Mi assicuro che tutti vedano il messaggio e che tutti i dipendenti sappiano quanto sia importante essere vigili. È utile che il nostro CEO, Mark Lee, segua la nostra azienda con messaggi che sottolineano l'importanza della sicurezza e che è responsabilità di tutti. Quando le persone sanno che si tratta di qualcosa di importante per il CEO, tendono a prestare maggiore attenzione.
Politiche di sicurezza - Molte aziende hanno delle politiche di sicurezza, ma dovrebbero avere delle pratiche in atto per monitorarle e testarle costantemente. Avere una politica è un buon primo passo, ma farla rispettare è ancora più importante.
Test di penetrazione continui - L'integrazione continua e la consegna/dispensazione continua (CI/CD) sono state adottate da molte aziende. È importante "testare" costantemente la rete e le applicazioni per verificare se vengono create vulnerabilità durante il ciclo di vita dello sviluppo del software (SDLC).
Michelle Burrows: Sicuramente, quando racconti alle persone di cosa ti occupi per vivere, qualcuno potrebbe provare il desiderio di "confessare" la propria cattiva condotta. Qual è la condotta più discutibile che ti fa riflettere o preoccupare di più?
Jerry Hsieh: In genere, nessuno mi parla di quello che fa, il che può essere o non essere una buona abitudine. Ho scoperto che la maggior parte delle persone non ha idea di cosa sia concretamente la sicurezza informatica. La vedono in TV o in un film e assistono al modo in cui un "cattivo", con un singolo comando, tira giù un intero sistema. E poi magari pensano anche di essere al sicuro da tutto questo grazie al loro firewall. Non capiscono che il "cattivo" potrebbe essere un singolo utente della loro azienda. Alcuni episodi di violazione dei dati sono provocati da dipendenti che diventano disonesti. Quello che le aziende devono davvero adottare è la filosofia del "non fidarti di nessuno". Questa filosofia rappresenta uno dei principi cardine di Zero Trust Access (ZTA) e lo vedo sempre più ampiamente adottato.
Una delle altre idee sbagliate che alcune persone hanno sulla sicurezza informatica consiste nel fatto che sia qualcosa che può essere portata a termine, conclusa. La sicurezza informatica non è mai "finita" e bisogna sempre intervenire per cercare di migliorarla.
Michelle Burrows: Attualmente, la sicurezza è oggetto di grande attenzione: a partire dalla dirigenza, passando per gli investitori, fino ad arrivare ai consigli di amministrazione. Di cosa dovrebbero preoccuparsi maggiormente le aziende?
Jerry Hsieh: Le aziende devono preoccuparsi di diverse aree.
È necessario che effettuino una valutazione dei rischi approfondita e onesta. Quando si attacca un'azienda, si danneggia il marchio e si compromette la fiducia dei clienti, dei dipendenti e anche del consiglio di amministrazione. Bisogna valutare il rischio in modo regolare.
È necessario monitorare ogni frammento di software, fornitore di servizi e hardware presenti nella rete. Molti dipartimenti si contendono spesso le risorse IT e vogliono adottare gli strumenti "più recenti e migliori" per qualsiasi cosa: dalle indagini sui clienti al marketing, dallo sviluppo agile al monitoraggio delle spese. Tuttavia, ogni fornitore, frammento di software o elemento di hardware potrebbe essere vulnerabile a un attacco. È necessario monitorare costantemente le vulnerabilità e assicurarsi che i dipendenti stiano aggiornando il loro software e/o che il team IT provveda proattivamente a creare delle patch inviando gli aggiornamenti in modo preventivo.
Effettuate delle ricerche. Attualmente esistono milioni di prodotti e stare al passo con ognuno di questi prodotti e con i bug che potrebbero introdurre nel vostro sistema è un lavoro incessante. Il team che si occupa di sicurezza deve costantemente vigilare e ricercare le vulnerabilità.
Sappiate che il vettore di attacco è cambiato. Nel corso degli anni, gli hacker sono diventati molto più intelligenti e hanno cambiato le loro modalità di attacco. Se fino a pochi anni fa un'e-mail pericolosa poteva essere ben riconoscibile, oggi queste e-mail sono personalizzate in modo da aumentare le probabilità che qualcuno possa farvi clic. È necessario controllare costantemente i propri dipendenti in modo che la sicurezza sia sempre al primo posto.
Michelle Burrows: Di recente è stata diffusa la notizia che le VPN sono un punto di accesso per gli attacchi. Secondo te, perché le VPN (Virtual Private Network) sono particolarmente vulnerabili?
Jerry Hsieh: Sì, negli ultimi tempi le VPN sono diventate un punto di accesso per gli attacchi ai sistemi.
A mio avviso, le VPN vengono utilizzate con maggiore frequenza per gli attacchi ransomware per alcuni motivi:
Le VPN sono di vecchia tecnologia e sono state lanciate alla fine degli anni novanta. Se una particolare tecnologia è in circolazione da così tanto tempo, è più probabile che sia presente un difetto di progettazione o un bug critico del software specifico del fornitore, dato che a quel tempo non sapevamo tutto quello che comprendiamo attualmente. Per esempio, ho creato la mia prima VPN nel 1999, affidandomi esclusivamente ai comandi e usando interfacce utente (UI) piuttosto semplici. Se ripenso a quell'esperienza, non è cambiato molto e una configurazione non corretta da parte di qualcuno è molto probabile.
Una VPN presuppone che il vostro dipartimento IT la configuri correttamente. Spesso noto che le VPN vengono sfruttate perché non esiste una modalità predefinita per configurarle, farle funzionare e ripartire l'accesso. Ogni dipartimento IT le configura nella maniera che ritiene più sensata e ciò comporta dei rischi.
Gli home computer sono utilizzati su una VPN. Se un dipendente lavora da casa e deve accedere ai file in ufficio, non esiste un modo semplice per impedirgli di usare un sistema non aziendale per stabilire un accesso VPN. Esistono strumenti in grado di risolvere questo problema, ma sono spesso molto costosi e richiedono parecchie risorse.
È possibile ovviare alla questione di cui sopra con una politica che spieghi agli impiegati di utilizzare solo il loro computer di lavoro per accedere alla VPN. Tutto ciò porta a un'altra area di rischio: le reti pubbliche. Se qualcuno è in viaggio e si collega con una VPN mediante una rete di accesso pubblica, è intrinsecamente soggetto ad attacchi.
Michelle Burrows: Quali alternative possono utilizzare le aziende al posto di una VPN? Esiste qualche svantaggio derivante da tali alternative?
Jerry Hsieh: So che può sembrare estremamente autopromozionale, ma la migliore alternativa è quella di sfruttare una soluzione di accesso remoto. E, ovviamente, tale soluzione include Splashtop. Splashtop aiuta a mitigare i rischi inerenti alle VPN perché consente di trasmettere solo il proprio desktop. In questo modo, i dati presenti nella propria rete aziendale sono protetti in quanto è possibile solo visualizzarli. Tutti i dati sono ancora all'interno della rete aziendale.
Per contro, quando mi appoggio a una VPN, posso scaricare tutto quello che voglio, il che significa che gli hacker possono fare lo stesso. Quando uso uno strumento come Splashtop, posso visualizzare e operare o utilizzare il file, ma non posso scaricarlo. Posso configurarlo in modo che solo i computer locali possano accedervi.
Inoltre, dal momento che si parla di sicurezza, Splashtop offre molte altre funzioni di sicurezza, come l'autenticazione dei dispositivi, l'autenticazione a due fattori (2FA), il single sign-on (SSO) e altre ancora. Tutte queste opzioni di sicurezza aggiuntive sono caratteristiche che una VPN non può offrire.
Mi hai chiesto quali potrebbero essere gli svantaggi legati alla tecnologia di accesso remoto. L'unico aspetto negativo consiste nella curva di apprendimento che bisogna affrontare quando si adottano tali soluzioni. Tuttavia, poiché Splashtop è stato progettato originariamente per il mercato consumer, il tempo necessario per impararlo è davvero esiguo. E per esiguo intendo in pochi minuti, per l'utente medio.
Michelle Burrows: Dimmi di più su una VPN vs. Splashtop ?
Jerry Hsieh: Nel momento in cui si confrontano i prezzi di una VPN e di Splashtop, a volte sento dire che qualche differenza potrebbe essere rappresentata da un investimento fisso, rispetto al modello di abbonamento proposto da Splashtop. Una VPN è un investimento a lungo termine che alcune persone possono fare una volta sola. Tuttavia, dimenticano che i gateway VPN spesso non funzionano e investire in un gateway di backup risulta piuttosto costoso. Inoltre, una VPN richiede manutenzione per gli aggiornamenti relativi alla vulnerabilità e per le patch. Splashtop si occupa della manutenzione e della sicurezza, non richiede manutenzione ed è disponibile ventiquattro ore al giorno, sette giorni su sette.
Michelle Burrows: Quando non sei ossessionata dalla sicurezza, cosa fai per divertirti?
Jerry Hsieh: Credo si sia capito che non ho molto tempo libero. Quando ne ho, mi piace giocare a golf. Mia moglie potrebbe non andare pazza per il mio ruolo, ma mi piace stare al passo con le tendenze della sicurezza e adoro il lavoro che faccio ogni giorno.