Alzi la mano chi di voi sa dire al volo cosa sia la "Positive Security". Io confesso di averlo appreso da pochissimo: anche se il suo significato è abbastanza intuibile, questo termine non sembra ancora molto diffuso (wikipedia non ha ancora una pagina dedicata...). In realtà non stiamo parlando di qualcosa di nuovo, ma di un nuovo nome dato ad un insieme di concetti di sicurezza ben noti a chi la sicurezza l'ha studiata sui libroni di scuola: un Positive Security Model è sostanzialmente un approccio alla gestione della sicurezza che, in estrema sintesi, permette l'esecuzione solo di quanto esplicitamente autorizzato e null'altro. In quanto tale esso ribalta il modello attualmente più diffuso nei sistemi distribuiti (che quindi viene denominato "Negative Security") in cui si mira ad individuare quanto possa causare dei problemi e a bloccarlo, isolarlo e/o eliminarlo. La parte preponderante di questi due approcci è rappresentata dalle rispettive tecniche di Whitelisting e Blacklisting: in un caso si tratta della lista di quanto è esplicitamente autorizzato, mentre l'altra è la lista di quanto va bloccato. Diversi spunti recenti mostrano che si sta riconsiderando la fattibilità di un approccio più Positive che Negative, ve ne riporto alcuni.

• L'articolo di InformationWeek, "Positive Security: Worth The Work?", un'ottima lettura per farsi un'idea sulla Positive Security.
• L'articolo correlato della stessa testata, "NIST Hash Lists Give A Boost To Positive Security On Windows" in cui si segnala del NIST National Software Reference Library (NSRL), il database in cui si stanno archiviando tutti gli hash dei diversi applicativi e dei file di sistema operativo oggi esistenti. Molto interessante anche il motore di ricerca dei file di sistema e applicativi sulla piattaforma Windows, FileAdvisor di Bit9, che conta oggi più di 6,5 miliardi di file archiviati!
• La recente intervista di Mark Russinovich che vi avevo segnalato in questo mio post è stata ripresa in questo articolo su eWeek di Larry Seltzer (che si dichiara fan del whitelisting), proprio per commentare la sezione in cui Mark segnala di preferire l'evoluzione della sicurezza verso un approccio di tipo Positive (si segnala, per esempio, che la prossima versione di Forefront Client Security avrà funzionalità di whitelisting).

Personalmente non riesco ancora a scommettere che il futuro vedrà la prevalenza della Positive Security, a meno che non si evolva decisamente in modo da diventare più dinamica e "intelligente": quella statica, che era già alla portata delle aziende, fino ad ora non è riuscita a decollare a causa dell'enorme costo gestionale. E se può dirsi una strada percorribile per la gestione della sicurezza in azienda, cosa dire della sua applicabilità in ambito utenti finali, in un mondo che mostra di volersi liberare di DRM e simili? Se vogliamo, anche la vision End to End Trust di cui mi sentite parlare spesso rappresenta un modello di Positive Security: in alcuni ambiti in cui la sicurezza va forzata in modo rigoroso, l'autenticazione è un must. Penso siano temi di cui si discuterà sempre di più (a tal punto da meritare un bel tag nella mia tag cloud ;-): voi cosa ne pensate?

Altri post/risorse correlate:

• Security News da Mark Russinovich
• Ricerca "Software Restriction Policy" in Technet
• Ricerca "Mandatory Integrity Control" in Technet

Share this post :