Protezione delle operazioni digitali con Identity Assurance: intervista a Basil Philipsz

CASQUE è una tecnologia di prossima generazione che fornisce Assicurazione identità per persone e cose e presenta vantaggi significativi rispetto ai prodotti esistenti in termini di sicurezza, resilienza e usabilità, inclusa la difesa dagli attacchi interni. Data la crescente dipendenza dalle piattaforme di collaborazione e lavoro remoto grazie a COVID-19, ho invitato l’amministratore delegato di Casque Basil Philipsz a discutere su come le organizzazioni possono rafforzare le proprie difese e proteggere le proprie risorse online.

Descrivi lo sfondo di CASQUE e la sua evoluzione finora. 

Abbiamo iniziato come una società di software facendo piccoli progetti sulla sicurezza. L’idea è nata quando abbiamo ottenuto un grosso contratto dal porto di Dover, per garantire l’accesso al porto. Il porto di Dover è un porto molto frequentato con circa 10.000 persone che svolgono varie funzioni: dogana, spedizione merci, leasing, deposito e così via. Quindi il nostro progetto era di scrivere un software che garantisse la protezione dell’accesso fisico, e lo abbiamo fatto con barriere e tornelli fisici che richiedevano ai dipendenti di utilizzare una scheda magnetica per entrare e fungere anche da identificatore.

Questo è stato l’inizio di noi pensando all’accesso alle risorse di dati sui computer piuttosto che all’accesso fisico agli edifici per uffici. Questo ci ha fatto pensare al problema generale dell’autenticazione che ci ha portato a esaminare ciò che era disponibile. Era chiaro che ognuna delle soluzioni disponibili presentava qualche debolezza.

Il motivo per cui i prodotti erano fondamentalmente vulnerabili è che, osservando attentamente ciascun metodo di autenticazione, si affidavano al mantenimento di un segreto fisso. Quello ovvio è una password, ma potrebbe anche essere un modello biologico o potrebbe essere la chiave incorporata in un token SecurID. Potrebbe essere la chiave privata in un’infrastruttura PKI. Il problema con tutti questi metodi è che se qualcuno scopre il segreto fisso, allora la sicurezza è fallita.

Quindi abbiamo pensato, come possiamo progettare un sistema in cui possiamo continuare a cambiare le chiavi cruciali in modo dinamico e istantaneo, in modo trasparente? Questa è stata la sfida che ci poniamo. Ci è voluto molto tempo per risolvere questa sfida e abbiamo scoperto perché le persone usavano solo chiavi fisse!.

Per spiegarlo in termini molto semplici, ci sono tre ragioni per cui cambiare dinamicamente le chiavi è molto difficile ed è per questo che le persone non lo fanno.

  1.   La prima e più cruciale difficoltà è che se invii un’istruzione per cambiare una chiave e non ricevi risposta, rimani con uno stato indeterminato. Non sai se le chiavi sono state cambiate o meno.
  2.   Il secondo problema è quando sei in una finestra di dialogo per cambiare le chiavi e per verificare che siano state fatte. Se durante quel dialogo una delle parti ha un errore o un timeout, come si ripristina e si ripristina? Questo è un classico problema di aggiornamenti dinamici.
  3.   La terza categoria di problemi riguarda un’opportunità di minaccia. Supponiamo quindi che un utente malintenzionato stia guardando ciò che sta accadendo mentre si stava svolgendo questo dialogo e dobbiamo copiare le istruzioni per cambiare la chiave. Quello che succede è che, in una data futura, quell’attaccante si interporrà tra il server e il client e riprodurrà quel vecchio comando registrato. L’intera cosa non sarebbe sincronizzata, quindi avresti una negazione del servizio.

Per risolvere questi problemi, avevamo bisogno di quattro invenzioni separate. Una di queste invenzioni ha concesso brevetti negli Stati Uniti e nell’UE. Ciò significa che la metodologia di base è protetta da brevetti. Ma le altre tre invenzioni manteniamo come know-how privato. Qualcuno che sta leggendo il brevetto potrebbe avere una comprensione della metodologia, ma non saprà come implementarlo. 

Inoltre, al fine di dimostrare alle persone che avevamo una soluzione credibile, abbiamo attraversato un processo di certificazione con il GCHQ del Regno Unito, gli esperti di sicurezza del governo del Regno Unito, per ottenere il nostro prodotto, CASQUE, certificato per l’uso di Secret. Di conseguenza, abbiamo implementato vari progetti su misura nel Ministero della Difesa del Regno Unito che utilizzano le capacità CASQUE.

La fase successiva è stata quella di abbandonare questo tipo di lavoro su misura e fabbricare un prodotto commerciale che i clienti potevano usare “out of the box”. Ciò ha richiesto integrazioni con i principali produttori di Network Gateway. CASQUE ha dimostrato interfacce con CISCO ASA, Fortinet Fortigate, Pulse Connect.

L’integrazione più recente che abbiamo fatto è la piattaforma Identity open source prodotta da WSO2. Di recente sono stati elogiati positivamente da KuppingerCole, che ha valutato la piattaforma di identità WSO2 come uno dei leader in questo segmento di mercato.

Ecco una rapida anteprima del funzionamento di Casque:

In che modo un’azienda o un’organizzazione possono applicare la tua tecnologia per proteggere i loro beni?

La tecnologia ha componenti software e hardware. Quindi, in termini di software, forniamo due licenze. Il primo prodotto software consente al cliente di popolare inizialmente i nostri token con un set di chiavi. Questi token sono l’elemento hardware. Li forniamo in modo efficace “vuoto” in modo che il cliente possa impostare le proprie chiavi e, pertanto, come produttore non abbiamo mai nulla a che fare con le chiavi, il che significa che non esiste alcun rischio di terze parti. Il token contiene un chip sicuro e può essere realizzato sotto forma di una smartcard senza contatto.

L’altro prodotto software che forniamo è il server di autenticazione. Questo software funziona su una piattaforma Windows o Linux e, naturalmente, può essere eseguito su una macchina virtuale in un’impostazione cloud. 

Oltre alla connessione con gateway specifici, CASQUE può anche essere inserito in un framework Open ID Connect. Open ID Connect è un modo di gestire l’identità su base federata. La cosa bella è che i servizi Web di Amazon, Google Cloud, Microsoft Azure hanno adottato Open ID Connect come interfaccia per l’estensione dell’autenticazione a più fattori. Quindi sostanzialmente ciò che accade è:

  • Cerchi di accedere a una risorsa che si trova su Amazon Web Services.
  • Contrassegni determinate credenziali come necessitando di un’autenticazione Identity speciale.
  • Amazon Web Services quindi ci trasmette la richiesta.
  • Prendiamo il controllo del browser e parliamo con il cliente.
  • Dopo la finestra di dialogo CASQUE, se va bene, diciamo ad Amazon che questo utente dovrebbe essere autorizzato nella risorsa richiesta.
  • Inoltre, possiamo anche fornire ulteriori informazioni sull’autorizzazione per consentire un accesso più accurato.

In termini di casi d’uso, è chiaro che questo recente Coronavirus ha indotto le persone a intraprendere più lavori domestici. È bello fare i compiti, ti dà flessibilità, aiuta a posizionare meglio le vite sociali private delle persone con le loro vite lavorative. Ma con tutti questi vantaggi, ci sono rischi associati di abuso e attacco.

Tali attacchi continuano a verificarsi. Ad esempio, le ultime statistiche indicano che nel marzo 2020 sono stati violati oltre 800 milioni di record di dati in tutto il mondo. Questo è un problema attuale e in corso. Il problema sarà perché stanno riscontrando violazioni dei dati? Ci sono alcune risposte ovvie. Uno di questi è che queste tecniche di autenticazione a cui ho fatto riferimento sono vulnerabili. A causa della vulnerabilità intrinseca, incoraggia gli aggressori, come abbiamo scoperto di recente nel caso dei token soft RSA cinesi di hacking. È stata individuata una serie ben nota di violazioni che una consulenza informatica olandese ha identificato e ne ho scritto nei miei post su LinkedIn.

La vulnerabilità intrinseca di questi metodi di autenticazione ha un altro rischio indiretto perché ciò che accade è che gli addetti ai lavori si sentono sicuri nel perdere informazioni perché possono sempre incolpare qualcun altro. Poiché il nostro prodotto CASQUE non ha chiavi fisse, non c’è nulla che un hacker possa scoprire o che un Insider possa rivelare. Quindi abbiamo un grande deterrente, rimuoviamo la scusa per negare e ripudiare l’accesso.

Supponiamo che un marchio o un’azienda voglia pianificare la propria strategia di sicurezza informatica. Quali sono alcune cose che dovrebbero considerare?

Pensiamo che una buona strategia sia innanzitutto determinare quali sono le risorse di dati cruciali di proprietà dell’azienda. Non è una domanda semplice. Non si può semplicemente dire, oh, beh, è ​​tutto finanziario o è tutto il nostro IP perché non si sta davvero cercando di capire quali sono gli asset cruciali della tua azienda. La domanda è: se non hai avuto accesso a una particolare risorsa di dati, qual è il rischio al ribasso? C’è un rischio per la reputazione? Esiste un rischio per le difficoltà operative e la continuità? Quanto velocemente può essere recuperato? Queste sono le domande da porre e stabilire le priorità. Se poni queste domande abbastanza duramente, scoprirai presto esattamente quali dati ti danno più dolore se vengono persi.

Per darvi un esempio del perché questo non è ovvio, abbiamo parlato con un dirigente della suite C in una grande azienda farmaceutica. Ci ha detto che quando ha fatto questo esercizio, si è scoperto che c’era solo un piccolo sottoinsieme di dati che ritenevano rilevanti perché tutti i loro farmaci erano in brevetti e protetti o in brevetto e generici. L’unica cosa di cui erano paranoici erano i risultati dei test delle loro attuali prove farmacologiche perché se fossero trapelate, i concorrenti lo avrebbero saputo e avrebbero cercato di superare. Quindi immediatamente hanno potuto dire che queste sono le risorse che hanno bisogno di protezione e che dobbiamo ottenere la massima protezione su di esse.

È inoltre necessario determinare chi dovrebbe accedere ai Data Crown Jewels. Potrebbe sembrare una domanda ovvia, ma ha davvero bisogno di essere guardato. Perché in molti casi, non sono i singoli dati che contano o che hanno accesso a quei singoli dati, ciò che conta è l’accesso ai dati aggregati, perché è lì che sta il valore reale.

Una volta stabilite queste cose, puoi iniziare a cercare le soluzioni appropriate. Quindi non dovresti limitarti a dire che andremo con una misura di sicurezza in tutta l’organizzazione, perché come ho appena spiegato, risorse diverse e persone diverse hanno bisogno di diversi livelli di protezione. Ma ciò che ti obbliga a fare è determinare quale metodo di sicurezza è appropriato per quale classe di utenti. E questo ti consente di rivedere la tua struttura IT esistente e i privilegi operativi. È possibile che l’architettura IT esistente debba essere rivista.

Come pensi che COVID-19 influenzerà il tuo settore?

Sebbene sia difficile prevedere il futuro, penso che l’attuale crisi cambierà in definitiva il modo in cui le persone lavorano perché è diventato chiaro che gran parte del lavoro può essere svolto in modo flessibile in momenti diversi ea casa. Pertanto i dipendenti potrebbero sentirsi in grado di tornare dai loro datori di lavoro e dire, guarda, ha funzionato bene quando abbiamo avuto questa pandemia, perché non possiamo avere alcune regole per permetterci di lavorare in un modo più flessibile. Quindi penso che ci sarà un impulso più grande per il lavoro flessibile e remoto a seguito di questa crisi.

Il modo in cui ai datori di lavoro viene data risposta è una questione diversa. Potrebbero dire che abbiamo davvero bisogno di riaverti, lavorando in orari adeguati, perché altrimenti non possiamo davvero gestire le cose. Oppure potrebbero dire, ok, si è dimostrato utile. Potremmo costruire una struttura o un insieme di pratiche lavorative diverse.

Quindi penso che ci sarà un effetto e richiederà una maggiore revisione delle misure di sicurezza. Come ho già detto, lavorare in modo flessibile comporta dei rischi. Il maggiore utilizzo del software, sia esso software di collaborazione o software di lavoro remoto, fornirà maggiori aree di attacco per le persone che vogliono ottenere il furto di proprietà intellettuale.

 Quali sono alcune tendenze o tecnologie interessanti che ti aspetti di vedere di più nei prossimi anni?

Bene, penso che ci siano gli ovvi fattori che ho citato, che hanno a che fare con la gestione dell’identità e i problemi di ciò che è adatto e ciò che è veramente sicuro. Ed è qui che possiamo offrire soluzioni.

Penso che uno dei maggiori rischi sia che le persone potrebbero sentirsi incoraggiate a lavorare peer to peer, quindi se vuoi parlare con i tuoi colleghi, puoi semplicemente entrare e fare una sessione direttamente con loro. Ora, questo è un pericolo per l’organizzazione, perché se l’organizzazione ha molti di questi scambi peer to peer, l’organizzazione stessa ha perso il controllo perché non sa cosa sta succedendo. E se non sa cosa sta succedendo, non può controllarlo. Quindi potrebbe esserci questo principio che dice che se si tratta di dati aziendali su cui si sta lavorando, è necessario passare attraverso i server dell’azienda. Non puoi semplicemente comunicare peer to peer perché non sappiamo cosa stai facendo. Non abbiamo un record. In caso di controversie non saremo in grado di rispondere facilmente.

Quindi, una volta determinato quale sia quel sottoinsieme di dati cruciali, dovranno pensare a gestirlo attraverso il data center aziendale. Quindi la prossima serie di domande sarà: quale piattaforma utilizziamo? Esistono molte piattaforme di collaborazione e piattaforme di gestione dei progetti, e recentemente sono cresciute. Il problema con queste piattaforme è che hanno la tendenza a intrappolarti nel loro spazio proprietario perché una volta che ti sei registrato, tutti devono registrarsi per quella particolare piattaforma software scelta. Pertanto, la capacità di introdurre la catena di approvvigionamento potrebbe rivelarsi difficile.

Pertanto potrebbe essere necessario un modo condiviso più generico di lavorare con API e formati di dati compatibili per consentire all’utente di estendere tali piattaforme all’esterno dell’azienda, ad esempio attraverso i canali della catena di fornitura primaria. È importante sottolineare che è necessario controllare come autorizzare e identificare i partecipanti; riteniamo che la nostra capacità di identità indipendente e federata dovrebbe aiutare in questo settore.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author