Sicurezza (informatica) e gestione delle transizioni tempo-spazio

Le esperienze del tiro dinamico sportivo e del  tiro operativo forniscono utili spunti di riflessione sul modo di concepire una strategia di sicurezza informatica.

Nel tiro dinamico sportivo si studiano le “transizioni” – da carabina a pistola e vice versa – in funzione della distanza e del tempo necessari a colpire un bersaglio. In un ambito operativo – dove lo scopo non è colpire una sagoma di carta – la transizione bidirezionale si estende fino all’impiego del coltello e delle mani nude.

La filosofia che caratterizza le “transizioni” è quella di passare da una piattaforma d’arma all’altra (dalla carabina alla pistola semiautomatica, dalle mani nude al pugnale) in funzione della prossimità della minaccia.

Per esempio, è opinione condivisa che l’uso di un’arma lunga (come per esempio un M4) sia preferibile sino a una distanza di circa 25 metri. Al di sotto di questa distanza entra in gioco l’arma corta che, a sua volta, “soffre” – nei tempi necessari all’estrazione e al  cambio caricatore – distanze inferiori ai sette metri 1  Una volta arrivati a contatto, se la pistola è scarica, entra in gioco il coltello e poi – a cortissima distanza – il combattimento a mani nude.

All’accorciarsi della distanza, aumenta la velocità dell’azione e si riduce il tempo per pensare.

Per evidenti questioni legate alle dimensioni dell’arma e della buffetteria, il maneggio di una carabina è più lento di quello di una pistola, che è più lento di quello di un coltello che non è necessariamente più veloce delle mani.

Dunque, astraendoci dalle particolarità dell’uso delle armi da fuoco e pensando a una tassonomia della reazione a un attacco, possiamo individuare quattro distanze nelle quali si sviluppa una minaccia:  lunga, media, corta, cortissima a ciascuna delle quali corrispondono un tempo minimo di reazione progressivamente più breve e dunque una reazione più decisa.

Il contagio da ransomware esemplifica bene la declinazione pratica di questi concetti. Se si riesce a “veder arrivare” l’attacco verranno azionate le contromisure di perimetro (blocco del malware), ma essendo già pronti in caso di “sfondamento” ad isolare un troncone di rete e poi le singole macchine (e viceversa, in caso di necessità di bloccare la propagazione oramai iniziata).

Cosa significa questo in termini di gestione dei processi di sicurezza?

Significa accettare la natura dinamica della difesa da una minaccia.

Significa abbandonare l’approccio monadico – quello per cui ciascuna policy fa storia a sé.

Significa  progettare un sistema basato sulla transizione senza soluzione di continuità da una contromisura associata alla coppia tempo/spazio X a un’altra contromisura associata alla coppia tempo/spazio Y e via discorrendo.

Poi, come diceva il generale Von Moltke, “nessun piano resiste all’impatto con la battaglia”, ma non per questo bisogna dimenticare la regola delle cinque P (Proper Preparation Prevents Poor Performance) praticata dai SAS inglesi.

Se funziona per loro…

 

 

  1. Questa affermazione non è del tutto corretta perchè la pistola può essere utilizzata anche a cortissima distanza, ma, per le necessità dell’articolo rappresenta un’approssimazione sufficiente.

Possibly Related Posts: