Profilo dell'esperto: Justin Turner

Justin Turner ha iniziato la sua carriera creando reti di comunicazione e penetrando al loro interno per l'esercito degli Stati Uniti. Ciò gli ha permesso di viaggiare per il mondo e lavorare in luoghi come Iraq, Bahrein e Kuwait. Finita la sua avventura con il servizio attivo, Justin è tornato alla vita da civile in Florida nel 2006. Il lavoro era simile: creare, violare ed entrare nei sistemi, ma questa volta era con la MITRE Corporation.

Nel 2011, ha ricevuto una chiamata da un ex comandante dell'esercito per un ruolo presso SecureWorks incentrato esclusivamente sul lato commerciale della cybersecurity.

Il suo ruolo iniziale era nella produzione dell'intelligence sulle minacce: esaminava i set di dati dei clienti e rispondeva a domande su file dannosi o malware. Ciò includeva l'analisi e la ricerca delle campagne di minacce attive.

"All'epoca prevalevano i trojan bancari. Qualcuno si ricorderà del trojan bancario Zeus. Molti strumenti di accesso remoto sono diventati davvero rilevanti in quel periodo. Un paio d'anni dopo, mi è stato chiesto di collaborare allo sviluppo di una procedura di ricerca delle minacce per l'azienda. Questo accadeva prima che la ricerca delle minacce esistesse sul mercato come servizio come avviene adesso".

Quando Microsoft ha deciso di lanciare Defender Experts for Hunting, Justin ha ricevuto un'altra chiamata da un ex collega e amico che gli ha detto: "Stiamo lanciando un nuovo servizio per Microsoft Security, non mi viene in mente nessuno più adatto di te per questo ruolo".

"In generale, le configurazioni errate rappresentano un problema enorme. Il nostro ambiente di rete è cambiato radicalmente: prima avevamo gli ambienti server mainframe, che avevano perimetri thin client, mentre ora tutti possiedono un personal computer. Oggi ci sono innumerevoli dispositivi connessi in rete, dalla domotica agli ambienti di produzione, passando per i dispositivi personali. Mantenere una baseline sicura è una sfida e il mantenimento dei livelli di patch aggiunge un'ulteriore difficoltà".

Man mano che aumentano la complessità e le dimensioni delle reti, aumenta anche il numero delle vulnerabilità, spiega Justin.

"I nostri clienti con ambienti misti in espansione cercano di tenere il passo con l'applicazione di patch. Per noi è facile dire "basta solo applicare patch", ma è un problema davvero difficile che richiede molto tempo e investimenti continui".

La terza sfida è la visibilità. Justin afferma che molte delle conversazioni con i clienti sono incentrate su un problema che si è verificato perché il cliente non sapeva che nella sua rete era in esecuzione un sistema vulnerabile esposto su Internet.

"Di recente, durante una conferenza, ho fatto riferimento a un'intrusione di decenni fa per poi parlare di una risalente a una settimana fa. Ho affiancato i due eventi e ho chiesto: 'Quale di questi è accaduto nel 1986 e quale la settimana scorsa?'

Nessuno ha saputo rispondere perché sembravano davvero simili. L'attacco era una vulnerabilità del software di cui nessuno sapeva l'esistenza. Si è trattato di una configurazione errata del server, di controlli e registrazione inadeguati e con una gestione delle patch scarsa o nulla. I dettagli tecnici dei problemi ora sono diversi, ma i principi fondamentali sono gli stessi: non puoi difendere qualcosa che non vedi o non capisci".