Esperto di sicurezza informatica: cosa fa, professioni e certificazioni
Cosa fa un esperto di sicurezza informatica? Tale domanda è così generica che è come chiederlo ad un medico specialista cosa faccia senza saperne la specializzazione. La risposta giusta è: dipende dalle situazioni. Se parliamo delle sue specializzazioni, sicuramente ne avrà più d’una, ma tutti i medici hanno un percorso comune fatto di farmacologia, chirurgia e psicologia del paziente.
Al giorno d’oggi, l’esperto di sicurezza informatica è uno dei profili più richiesti sul mercato della cybersecurity. In questo articolo vedremo di cosa si occupa ed il percorso di studi per diventare un esperto di sicurezza informatica, soffermandoci sulle certificazioni necessarie per tale professione dell’IT security.
Esattamente come un medico che ha vari percorsi di specializzazione, lo stesso discorso può esser fatto per l’esperto di sicurezza che ha le sue aree di specializzazione, che sono, per grandi linee:
- infrastrutturale;
- difensiva;
- offensiva;
- hunting;
- forensics.
Esperto di sicurezza informatica: certificazioni
Prima di addentrarci nelle varie aree di specializzazione e scoprire le certificazioni specifiche per ciascuna di queste, ci teniamo a specificare che le certificazioni di sicurezza informatica possono essere:
- vendor oriented: preparate e rilasciate da un vendor e quindi orientate verso i suoi prodotti e la sua filosofia;
- vendor neutral: non collegate ad un vendor in particolare.
Esperto di sicurezza informatica infrastrutturale
La sicurezza infrastrutturale è quell’area relativa all’hardening (aumento della sicurezza intrinseca degli apparati), alle policy ed al controllo accessi. É una disciplina fondamentale per garantire ai sistemi un livello minimo di sicurezza, anche se spesso non basta per fronteggiare le minacce di nuova generazione.
Le certificazioni valide in questo campo sono:
- Security+ (CompTIA, vendor-neutral);
- Cisco CCNA, Security (Cisco Systems);
- RHCSA, RHCE (Red Hat).
Professionista della sicurezza informatica difensiva
L’aspetto difensivo riguarda il controllo attivo di ciò che accade sulla rete ed il respingimento delle minacce in maniera passivo-aggressiva. Le figure professionali specializzate in questo tipo di minacce utilizzano strumenti come l’IPS (Intrusion Prevention System) o i WAF (Web application firewall), oltre alla loro creatività.
Anche qui le certificazioni per gli esperti di cybersecurity sono spesso legate ai vendor:
- IWSA, IWSS (Imperva);
- ATD, NSP(McAfee);
- SnortCp (Snort, open-source).
Specialista di sicurezza informatica offensiva: il white hat hacker
Solitamente relegata ai film o alla criminalità, la sicurezza offensiva sta invece portando alla luce nuovi metodi e strategie per limitare il rischio di compromissione delle reti.
Paragoniamo, a titolo d’esempio, un’infrastruttura informatica ad un edificio, al quale vogliamo impedire gli accessi non consentiti. L’esperto di sicurezza offensiva (o White Hat hacker) cerca ogni tipo di inconsistenza, falla o situazione ambigua da sfruttare a suo vantaggio per poter sgattaiolare nell’edificio. Come farebbe un attaccante vero e proprio!
Alla fine del suo lavoro, però, invece di rubare dati sensibili, il White Hat hacker redige un rapporto dettagliato con tutte le vulnerabilità sfruttate o anche solo rilevate: documento prezioso per poter correggere in modo tempestivo e puntuale le eventuali falle di sicurezza emerse dall’analisi.
Le certificazioni tipiche in questo campo si allontanano dai vendor, dato che sono necessari una gran quantità di strumenti per operare, ma si concentrano sulle metodologie:
- OSCP (Offensive Security);
- CEH (Ec-Council);
- GPEN (GIAC).
Il threat hunter e l’evoluzione degli attacchi informatici
Le minacce informatiche continuano ad evolversi, superano i confini nazionali e coinvolgono attori sempre nuovi. Non solo il vecchio (cyber)crimine organizzato o gli smanettoni di professione, ma un numero sempre maggiore di Governi, Aziende, Enti ed Associazioni è costretto a prendere precauzioni per evitare compromissioni e conseguenti danni incalcolabili.
Il web è diventato un vero e proprio teatro di guerra (del resto USA, Israele, Cina e Russia lo considerano ormai tale), dove, però, non ci sono bandiere, confini o regole.
Chiunque usi un servizio online o detenga dei dati in cloud – praticamente tutti, in occidente – corre un certo rischio di compromissione o frode.
Non è sempre facile né immediato avere un’idea di cosa stia davvero succedendo ed il threat hunter ha l’arduo compito di individuare la sorgente delle minacce informatiche, le eventuali motivazioni e come proteggersi. L’esperto di sicurezza informatica, in questo caso, fa spesso uso di motori di ricerca specializzati e delle cosiddette OSINT (Open Source INTelligence: fonti di informazioni pubblicamente accessibili), consente al team di comprendere al meglio l’attaccante e preparare una risposta proattiva invece che reattiva.
In questo ambito le certificazioni più comuni sono:
● GCFA (GIAC);
● GCTI (GIAC).
L’IT Forensics
Ultimo, ma non per questo meno importante, è la gestione del post-incident (Forensics). Quando un attacco su un’infrastruttura di rete ha successo, sia che esso sia durato pochi secondi o mesi, una volta debellato è necessario ripercorrere (finché possibile) i passi dell’attaccante, studiarne il vettore d’ingresso, il comportamento ed individuare eventuali backdoor (“porte di servizio” lasciate aperte dall’attaccante per un più semplice e sicuro ritorno sulla rete attaccata). Questo lavoro è cruciale e può durare mesi, ma è l’unica disciplina che permette di avere visibilità completa di ciò che davvero è avvenuto sulla rete.
Tali informazioni sono disponibili nei registri di attività delle varie componenti della rete (log), ma qui sorge un problema: se la nostra rete è stata compromessa, chi ci dice che questi log non siano stati modificati per coprire le tracce dell’attaccante? Sembra fantascienza, ma è uno scenario perfettamente verosimile, nonché esattamente come si prefigura di agire un infiltrato nella rete.
Per poter ovviare a questo problema è necessario immagazzinare il traffico della rete (“dumpare il traffico”, in gergo) su un dispositivo di archiviazione, in modo da poterlo analizzare a posteriori. Chiaramente non è realistico copiare l’intero traffico di rete, ma solo di alcune sottoreti (per esempio quella dei server web), per giunta solo degli ultimi giorni. Analizzando questi dati siamo in grado di ricostruire cosa sia successo sulla rete, indipendentemente da quanti log l’attaccante possa aver alterato.
Esistono diverse certificazioni di digital forensics, nessuna legata ad un particolare vendor:
- CCFP (Isc2);
- GNFA, GCFA (GIAC).
Per quanto gli ambiti descritti sembrino ben distinti e segregati, nella realtà operativa spesso l’esperto di sicurezza informatica si ritrova a doverli applicare tutti, esattamente come accade nell’esempio del medico.
In conclusione, l’aspetto che rende estremamente affascinante vivere questi tempi nel campo della IT Security è l’elevato grado di pervasività dell’informatica nella nostra vita quotidiana, con tutte le sfide che ciò comporta a livello di sicurezza, privacy, stabilità economica e sociale.
Per approfondire, vi potrebbero interessare:
Lo standard e-CF e il mercato del lavoro: mappatura delle competenze digitali
La professione del Big Data Scientist in Italia
Security BootCamp: corso di formazione per esperti in sicurezza informatica
E se invece siete degli esperti di cybersecurity o di altre professioni dell’IT e cercate una nuova esperienza lavorativa, visitate le posizioni aperte in Consulthink, azienda di sicurezza informatica a Roma!
Redatto da Fabio Toscano, Stefano Elia e Lucia D’Adamo