In un’epoca in cui le minacce alla sicurezza informatica si evolvono di giorno in giorno, la realizzazione di prodotti sicuri richiede ben più che semplici patch correttive. Richiede un approccio proattivo e sistematico, fin dalle prime fasi di sviluppo.
Per me, la sicurezza dei prodotti non consiste nell’aggiungere uno strato protettivo all’ultimo momento. Si tratta piuttosto di comprendere come si comporta un sistema, in che modo potrebbe fallire e come potrebbe essere utilizzato in modo improprio prima ancora di decidere come realizzarlo. Nelle nostre soluzioni di videosorveglianza e analisi dei dati, questo aspetto è ancora più importante perché proteggono ambienti sensibili, dati operativi e prove su cui i nostri clienti fanno affidamento ogni giorno.
Il mio ruolo in March Networks al crocevia tra sicurezza dei prodotti, architettura e gestione pratica dei rischi. Lavoro a stretto contatto con i nostri team di ricerca e sviluppo per garantire che le decisioni in materia di sicurezza non solo siano tecnicamente valide, ma anche in linea con le modalità di implementazione e utilizzo delle nostre soluzioni nel mondo reale.
Nel corso dell’ultimo anno, March Networks avviato una collaborazione con Security Pattern per definire un processo completo di modellizzazione delle minacce e analisi dei rischi. Questa collaborazione ci ha aiutato a passare da una concezione della sicurezza intesa come attività di verifica a una intesa come disciplina ingegneristica, integrata direttamente nel modo in cui progettiamo e sviluppiamo le nostre soluzioni di videosorveglianza.
Scopri le nostre soluzioni per la sicurezza informatica.
Che cos’è la modellazione delle minacce?
La modellazione delle minacce è una metodologia strutturata che identifica, valuta e classifica per priorità le potenziali minacce alla sicurezza nelle prime fasi del ciclo di vita dello sviluppo del prodotto. Anziché individuare le vulnerabilità dopo la distribuzione, quando le correzioni risultano costose e causano interruzioni, la modellazione delle minacce getta solide basi per lo sviluppo di dispositivi sicuri, individuando i rischi prima che si trasformino in problemi.
«La coscienza è la nostra bussola magnetica; la ragione, la nostra carta nautica.» — Joseph Cook
Questa citazione coglie perfettamente l'essenza del nostro quadro di riferimento. La nostra metodologia di modellizzazione delle minacce si basa su due pilastri complementari che operano in sinergia proprio come la coscienza e la ragione:
La bussola: identificare sistematicamente le minacce con STRIDE e CIA. Proprio come la coscienza ci guida senza tralasciare nulla, STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service ed Elevation of Privilege) funge da nostra bussola morale per l’identificazione delle minacce. Ci garantisce di affrontare ogni sistema con rigore e completezza, senza mai trascurare alcuna categoria di rischio. Abbinando STRIDE a CIA (Confidentiality, Integrity, and Availability) riusciamo a mappare sia le potenziali minacce sia le capacità di sicurezza già presenti nelle nostre soluzioni. Insieme, questi modelli offrono una prospettiva esaustiva e scrupolosa attraverso la quale nessuna categoria di minaccia rimane inesaminata.
Il grafico: gli indicatori come mappa rigorosa per la valutazione del rischio. Una volta identificate le minacce, subentra la ragione. Un insieme ben definito di metriche, che misurano sia l’impatto che la fattibilità di ciascuna minaccia, fornisce la carta nautica che guida le nostre decisioni. Queste metriche consentono ai team di classificare oggettivamente i rischi, stabilire le priorità delle contromisure e monitorare i miglioramenti nel tempo. Senza questa mappa di valutazione strutturata, la sola identificazione delle minacce lascerebbe i team alla deriva; le metriche trasformano un elenco di preoccupazioni in una roadmap attuabile e gerarchizzata per gli investimenti nella sicurezza.
La combinazione di questi due elementi è stata perfezionata grazie alla collaborazione tra March Networks Security Pattern, adattando approcci originariamente concepiti per lo sviluppo di nuovi prodotti anche all’analisi delle soluzioni esistenti. Questo duplice quadro di riferimento ha consentito ai team di sviluppo di progettare nuove funzionalità e implementare contromisure adeguate come parti integranti dell’architettura complessiva del sistema, dimostrandosi inoltre un potente motore di innovazione nel campo della sicurezza.
Perché la modellizzazione delle minacce è importante
Gli approcci tradizionali alla sicurezza spesso considerano la sicurezza informatica come una voce di una lista di controllo da affrontare solo nelle fasi finali dello sviluppo. Questo approccio reattivo porta a trascurare alcune funzionalità, a implementazioni superflue e a vulnerabilità la cui risoluzione comporta costi elevati. La modellazione delle minacce ribalta questo paradigma, rendendo la sicurezza un principio fondamentale di progettazione anziché un elemento secondario.
In base alla mia esperienza, il valore della modellazione delle minacce non risiede solo nell'elenco finale delle minacce. Il vero valore sta nelle discussioni che essa genera. Riunisce product owner, architetti, sviluppatori, addetti al controllo qualità e specialisti della sicurezza in un unico dibattito con sufficiente anticipo per influenzare le decisioni di progettazione. È proprio lì che si realizzano miglioramenti significativi in materia di sicurezza.
Comprendendo le minacce prima di attuare le contromisure, le organizzazioni possono:
- Ridurre i costi di sviluppo evitando costose correzioni successive all'implementazione
- Migliorare la qualità del prodotto attraverso l’identificazione sistematica delle vulnerabilità
- Conquistare la fiducia dei clienti con impegni concreti in materia di sicurezza
- Garantire la conformità con gli standard e le normative del settore in continua evoluzione
Il nostro percorso: miglioramenti misurabili in materia di sicurezza
Da quando abbiamo implementato il nostro processo di modellazione delle minacce con Security Pattern, March Networks applicato questa metodologia a tutte le versioni March Networks . Il processo copre i prodotti che vanno dal software Command Enterprise e dalle relative applicazioni ai server di registrazione Command e ai registratori integrati R6, compreso un modello per i dispositivi periferici configurati sui registratori, come telecamere e codificatori. I risultati parlano da soli.
Miglioramento progressivo tra le diverse versioni
Comunicato MN.2025.0.0
Implementazione iniziale, con un’analisi approfondita delle soluzioni esistenti e delle relative funzionalità di sicurezza già implementate.
- 178 minacce individuate e valutate
- 46 funzionalità di sicurezza implementate
- Copertura delle minacce raggiunta all'87%
Versione MN.2025.1.0
Approfondimenti sull'analisi e ulteriori miglioramenti.
- 183 minacce individuate (+5 nuove minacce analizzate)
- 51 funzionalità di sicurezza implementate (+5 nuove funzionalità)
- Copertura delle minacce dell'88% (miglioramento dell'1%)
- Novità principali: integrazione SIEM, opzioni di autenticazione HTTP/S potenziate
Versione MN.2025.2.0
Ulteriori perfezionamenti e miglioramenti.
- 184 minacce individuate (+1 minaccia aggiuntiva analizzata)
- 52 funzionalità di sicurezza implementate (+1 nuova funzionalità)
- Copertura delle minacce all'89% (miglioramento dell'1%)
- Novità principali: supporto SNMPv3, integrazione con CyberArk per la rotazione delle credenziali
Comunicato MN.2026.0.0
Ulteriori perfezionamenti e miglioramenti.
- 185 minacce individuate (+1 minaccia aggiuntiva analizzata)
- 53 funzionalità di sicurezza implementate (+1 nuova funzionalità)
- Copertura delle minacce all'89% (miglioramento dell'1%)
- Novità principali: aggiunte raccomandazioni sulle migliori pratiche
Cosa significano davvero i numeri
L’aumento del numero di minacce individuate — da 178 a 185 — non è indice di un aumento delle vulnerabilità. Dimostra piuttosto il nostro impegno verso il miglioramento continuo e un’analisi più approfondita della sicurezza. Man mano che i nostri team acquisiscono maggiore competenza nella modellazione delle minacce, cerchiamo di individuare nuovi potenziali rischi che potrebbero non essere stati presi in considerazione nelle precedenti revisioni di sicurezza o che sono legati a nuovi casi limite derivanti dalle richieste dei clienti o dall’implementazione di nuove funzionalità.
Allo stesso tempo, le nostre capacità di sicurezza sono passate da 46 a 53, affrontando direttamente le minacce che abbiamo individuato. Ancora più importante, la classificazione complessiva del rischio delle minacce è diminuita, con un numero maggiore di minacce che sono passate alle categorie “molto basso” e “basso” man mano che implementiamo contromisure mirate. Ciò dimostra che non ci limitiamo a individuare i problemi, ma li risolviamo in modo sistematico.
Il costante miglioramento della copertura delle minacce, dall'87% all'89%, riflette il nostro impegno costante a garantire una sicurezza completa. Ogni punto percentuale rappresenta un reale miglioramento della sicurezza a tutela delle infrastrutture critiche dei nostri clienti.
Scopri il nostro approccio alla sicurezza informatica.
Sicurezza fin dalla progettazione: un impegno costante
La "sicurezza fin dalla progettazione" non è solo uno slogan. Ciò che rende il nostro approccio davvero efficace è la consapevolezza che la modellazione delle minacce non è un’attività una tantum, bensì un processo continuo integrato nel nostro ciclo di vita dello sviluppo. Ad ogni nuova versione:
- Affinare i nostri modelli di minaccia sulla base di nuove informazioni e dell'evoluzione del panorama delle minacce
- Implementare nuove funzionalità di sicurezza per far fronte ai rischi individuati
- Verificare l'efficacia dei controlli esistenti per garantirne l'efficacia nel tempo
- Condividere la responsabilità con i clienti attraverso chiare linee guida operative
Questo approccio iterativo incarna il vero concetto di "sicurezza fin dalla progettazione", in cui le considerazioni relative alla sicurezza guidano le decisioni architetturali sin dalle prime fasi dello sviluppo.
Per March Networks, questo aspetto è particolarmente importante poiché le nostre soluzioni operano spesso in ambienti complessi, dai sistemi aziendali ai dispositivi periferici, e dalle implementazioni on-premise alle architetture cloud.
Miglioramenti alla sicurezza nel mondo reale
Il nostro processo di modellizzazione delle minacce ha portato a miglioramenti concreti in termini di sicurezza in tutto il nostro portafoglio di prodotti. Tra questi:
- Meccanismi di autenticazione potenziati che impediscono gli attacchi di enumerazione degli utenti
- Integrazione SIEM per il monitoraggio della sicurezza a livello aziendale
- Supporto SNMPv3 per il provisioning sicuro della rete
- Integrazione con CyberArk per la rotazione automatica delle credenziali
- Crittografia end-to-end per i flussi multimediali
- Controllo degli accessi basato sui ruoli con autenticazione a più fattori
- Aggiornamenti del firmware firmati per impedire manomissioni
Ciascuna funzionalità risponde direttamente alle minacce specifiche individuate attraverso la nostra analisi sistematica, garantendo che gli investimenti nella sicurezza producano il massimo valore.
Guardando al futuro
La nostra collaborazione con Security Pattern ha dimostrato che la modellazione sistematica delle minacce non è solo un esercizio di conformità, ma rappresenta un vantaggio competitivo. Individuando e affrontando tempestivamente i rischi per la sicurezza, siamo in grado di fornire prodotti più sicuri, ridurre i costi di sviluppo e rafforzare la fiducia dei clienti.
Mentre le minacce informatiche continuano ad evolversi, il nostro impegno a favore della “sicurezza fin dalla progettazione” garantisce che le soluzioni March Networksrimangano resilienti, affidabili e pronte a proteggere le risorse critiche dei nostri clienti. Non ci limitiamo a rispondere alle minacce di oggi, ma anticipiamo le sfide di domani.
Informazioni sulla collaborazione
March Networks Security Pattern hanno stretto una partnership per portare competenze di livello mondiale nella modellizzazione delle minacce alle soluzioni di videosorveglianza e di analisi integrata dei dati. Questa collaborazione unisce la profonda competenza settoriale March Networksalle metodologie collaudate di Security Pattern per garantire l'eccellenza in materia di sicurezza durante l'intero ciclo di vita del prodotto.
Per le organizzazioni che intendono rafforzare il proprio livello di sicurezza attraverso una modellizzazione sistematica delle minacce, sia March Networks Security Pattern offrono servizi di consulenza, formazione e assistenza per aiutarvi a integrare la sicurezza nei vostri prodotti sin dal primo giorno.
Vincenzo Bono è Principal Product Security & Technology Advisor presso March Networks, dove da oltre 20 anni contribuisce a definire l’architettura software, la strategia di prodotto e l’innovazione incentrata sulla sicurezza dell’azienda. Grazie alla sua profonda esperienza nel campo dei sistemi video IP, della progettazione di sistemi e della gestione dei rischi legati alla sicurezza informatica, lavora a stretto contatto con team interfunzionali per supportare soluzioni sicure e scalabili per i clienti di tutto il mondo.
Informazioni su March Networks
March Networks® è leader mondiale nelle soluzioni video intelligenti e aiuta le grandi aziende e le piccole e medie imprese a trasformare i video in informazioni utili. Con oltre 25 anni di esperienza, serviamo più di 1.700 istituti finanziari, oltre 670 rivenditori e più di 735 marchi commerciali e industriali. Le nostre tecnologie cloud combinano la videosorveglianza con l’analisi basata sull’intelligenza artificiale (AI), i sistemi POS, l’IoT e l’integrazione con gli sportelli automatici (ATM) per migliorare la sicurezza, l’efficienza e l’esperienza del cliente. Grazie a una rete globale di partner certificati, supportiamo i clienti in oltre 75 paesi con soluzioni flessibili, scalabili e basate su piattaforme aperte. Con sede a Ottawa, in Canada, e di proprietà di Delta, leader mondiale nella gestione dell’alimentazione e della termica, March Networks come parte dello Smart Security Solutions Group all’interno di Delta Intelligent Building Technologies ed è un partner affidabile e un innovatore nel campo della videosorveglianza cloud e alimentata dall’intelligenza artificiale.
March Networks il March Networks sono marchi registrati di Delta Intelligent Building Technologies (International) Corporation.
Per rimanere aggiornato sulle March Networks e gli aggiornamenti di March Networks , iscriviti alla nostra Blog sul video IP intelligente e resta connesso seguendo March Networks LinkedIn.
Informazioni su Security Pattern
Security Pattern aiuta i creatori di dispositivi intelligenti connessi a progettare, implementare e gestire i propri sistemi con un livello di sicurezza sostenibile.
La nostra attenzione è rivolta al sistema, che può essere un singolo dispositivo, un'apparecchiatura composta da diversi dispositivi interconnessi oppure un ecosistema che comprende dispositivi integrati, app mobili e cloud .
Riteniamo che una sicurezza efficace richieda la giusta combinazione di hardware, software e processi operativi. Grazie alla nostra comprovata esperienza nei settori della crittografia, della sicurezza informatica e dei sistemi embedded, aiutiamo i produttori di dispositivi a raggiungere i propri obiettivi di sicurezza e di business attraverso:
- Consulenza in materia di sicurezza informatica: I nostri progetti sono incentrati sull'analisi dei requisiti di prodotto e di processo, nonché su entrambi. Tra gli esempi figurano la modellizzazione delle minacce e la valutazione dei rischi, l'analisi delle lacune, i test di penetrazione e la conformità alle normative RED/CRA
- Formazione aziendale: Moduli in presenza o a distanza sulla sicurezza informatica per i sistemi embedded
- Piattaforma ARIANNA: Gestione delle vulnerabilità per i produttori di dispositivi
