Proteggere un sistema e difendere un sistema sono due concetti molto differenti ma allo stesso tempo molto coesi nel campo della CyberSecurity. E’ molto importante comprenderne la differenza che intercorre tra di essi per poter agire nel minore tempo possibile sia sfruttando i mezzi giusti sia attuando le adeguate procedure al fine di garantire un elevato livello di sicurezza agli utilizzatori del sistema digitale. Proteggere un sistema significa “avere cura” del sistema stesso. Per esempio considerando una bicicletta da corsa, proteggerla significa ricordarsi di chiuderla con un lucchetto prima di lasciarla parcheggiata in città, oppure ricordarsi di coprirla se le previsioni meteo confermano pioggia o ancora ricordarsi di effettuare la giusta manutenzione per evitare usura elevata. In questo esempio le minacce dalle quali proteggersi sono evidentemente: "ladri di biciclette", “intemperie" ed "usura del tempo". Il protettore, in questo specifico esempio, conoscendo a priori (a seguito di una enumerazione) tutte le minacce può adottare le protezioni specifiche per assicurare lo stato della propria bicicletta.
Sfortunatamente nel sistema digitale (sistema formato da tecnologie interconnesse e da esseri umani) l’enumerazione delle minacce non è così semplice. Azi, ad oggi, non è proprio plausibile avere la certezza di conoscere a priori tutte le minacce, se così non fosse non esisterebbe la minaccia “Cyber” (minaccia cibernetica) e tutti i sistemi sarebbero considerati al sicuro. Non potendo usufruire di Protezione come possiamo “mettere al sicuro” i nostri sistemi digitali ? E’ necessario cambiare il paradigma: da Protezione a Difesa.
Difendere un sistema significa assumere che l’attacco vada a buon fine. Per esempio significa assumere che il “ladro di biciclette” riesca a rubare la bicicletta nonostante il lucchetto oppure che le previsioni meteo non siano affidabili e che la bicicletta resti “non coperta” sotto una tempesta di neve. Partendo da questa assunzione il difensore può realizzare una serie di piani e/o azioni al fine di riprendere il controllo del sistema attaccato. Per esempio, continuando con la metafora della “bella bicicletta da corsa”, il ciclista potrebbe dotarsi di un modulo GPS per tracciare lo spostamento di quest’ultima e potrebbe mantenere “oliate” le parti meccaniche al fine di evitare il consumo da intemperie.
Tale forma mentis non è ancora diffusa nell’ambiente digitale ove si preferisce il paradigma di protezione che vede il tipico utilizzo esclusivo di sistemi come (ma non limitato a): Firewall, Antivirus, Proxy Filtering, Intrusion Prevention Systems, SSL Inspectors, Tapping, SandBox, etc. Tale paradigma è più semplice da realizzare e resta comunque fondamentale per ogni sistema digitale ma sfortunatamente non è piu sufficiente a porre al riparo la vittima da attacchi digitali. Proprio come la tecnologia di protezione si è evoluta con il trascorrere del tempo, cosi anche le tecnologie di attacco si sono evolute diventando sempre più sofisticate. Gli attuali sistemi utilizzati da attaccanti per compromettere organizzazioni e/o privati hanno codificato stati di consapevolezza al loro interno. Questo stato di consapevolezza viene denominato tecnicamente: “tecnologia di evasione”. Tale tecnologia riesce a comprendere dove avviene la detonazione (o esecuzione) del sistema stesso ed in funzione di tale comprensione il sistema attaccante decide il suo comportamento futuro. Per esempio se un sistema di attacco viene creato dall’attaccante per intervenire solo sugli utenti che hanno una determinata caratteristica (come per esempio: uno specifico software, una specifica immagine e uno specifico file nel proprio HD) esso interverrà solo su specifici utenti mantenendo un comportamento “benevolo” con ogni vittima che non mostra tali caratteristiche.
Quindi se il vettore di attacco di attacco viene eseguito su una specifica piattaforma oppure su una generica macchina virtuale l’attaccante può decidere di attuare un comportamento piuttosto che un altro. Tali sistemi riescono (genericamente parlando) ad eludere i sistemi perimetrali penetrando nella rete aziendale. Proprio come questa tecnica esistono numerosa altre tecniche per eludere i sistemi perimetrali. Nonostante i classici sistemi di protezione (come quelli precedentemente indicati) restano fondamentali per bloccare minacce opportunistiche e/o conosciute, prevedere un sistema di difesa aziendale ad oggi ad innalzare notevolmente la sicurezza nel digitale.