24 minute read
CYBERSECURITY
LE SFIDE DEL PRESENTE, TRA CYBERWAR E CLOUD
Foto di Joshua Woroniecki da Unsplash
La guerra digitale, ma anche la transizione della Pubblica Amministrazione sul cloud e la necessità di un modello “zero trust”: le opinioni dei maggiori rappresentanti italiani della cybersicurezza a confronto sui temi caldi del 2022.
Il conflitto russo-ucraino sta avendo importanti ripercussioni sui temi della sicurezza informatica, come emerso dai numerosi episodi che hanno riempito le cronache nell’ultimo mese, tra hackeraggi, ransomware, attacchi DDoS e campagne di phishing collegate al tema della guerra. Se ne è parlato anche lo scorso marzo, durante la decima edizione del “Cybersecurity Summit” organizzato da The Innovation Group. Il livello di allerta è elevato, a causa del protrarsi della continua crescita di attacchi e per il rischio di spillover, cioè di contaminazione generale, a partire dalle azioni delle armate cyber di Russia e Ucraina. Secondo Ivano Gabrielli, direttore del servizio di Polizia Postale e delle Comunicazioni, il momento è molto critico e si ha evidenza di attacchi intensi, iniziati anche prima del conflitto. “Al di là di quello che si legge su schieramenti di sigle già note, c’è una situazione non dichiarata che produce danni consistenti e che richiede una risposta molto attenta da parte di chi si occupa di sicurezza”, ha detto Gabrielli. “Servirà poi fare un’analisi approfondita per comprendere meglio uno scenario che in passato era stato solo teorizzato e che ora vediamo alla prova dei fatti. Uno scenario connotato dal fatto di avere poca ribalta pubblica e di puntare più alla sostanza che non ai proclami”. “Viviamo in tempi di guerra, e il dominio cibernetico è di estrema attualità”, ha dichiarato Giorgio Mulè, sottosegretario con delega alla sicurezza del Ministero della Difesa. “C’è una guerra parallela, che si sta combattendo non ai confini ma all’interno dei Paesi, con attacchi che viaggiano in tutte le direzioni, con gruppi che stanno dalla parte dei russi, degli ucraini o che si definiscono neutrali. Sono attacchi gravi quanto quelli fisici, che si nutrono di fake news e che hanno effetti dannosi confrontabili con quelli degli strumenti normali”.
Il percorso della PA
L’esigenza di una maggiore sicurezza dei dati e servizi della Pubblica Amministrazione italiana precede, però, gli eventi della cyberguerra in corso. Il Piano Nazionale di Ripresa e Resilienza prevede la creazione di un’infrastruttura sicura per abilitare e accelerare il processo di migrazione in cloud dei servizi e dei dati delle Pubblica Amministrazione centrale e locale, il cosiddetto Polo Strategico Nazionale. Uno tra i risultati da raggiungere è proprio quello elevare gli standard di sicurezza per il trattamento di dati e servizi critici e strategici per il Paese. “La trasformazione digitale nella Pubblica Amministrazione è tra i principali obiettivi del Pnrr”, ha spiegato Mulè. “Oggi abbiamo davanti a noi tre grandi sfide. La prima è quella di assicurare l’autonomia tecnologica, un sovranismo resiliente e tecnologico che deve fare da perimetro a ciò che costituisce lo Stato, cioè territorio, popolo e sovranità. Il secondo aspetto è la garanzia sul controllo dei dati, il terzo è l’aumento della resilienza dei servizi digitali. In coerenza con questi obiettivi, il Pnrr mette a disposizione 623 milioni di euro per la cybersecurity nelle Pubblica Amministrazione, e si ri-
volge a quel 75% delle PA che deve migrare appunto ad ambienti cloud sicuri”. Il sottosegretario ha anche sottolineato l’importanza di sviluppare una competenza sulla cybersicurezza, aspetto su cui l’Italia è ritardo, e le risorse del Pnrr andranno utilizzate anche in tal senso. “I fondi del Pnrr rischiano di essere una goccia nel mare di quello che serve nella Pubblica Amministrazione”, ha detto Giovanni Ciminari, head of cyber defence di Sogei, “ma in realtà potrebbero aiutare ad avviare programmi di grande valore: sono usciti i primi bandi per utilizzare questi fondi e come Sogei vediamo un forte interesse nelle PA”.
Le priorità del 2022
Dal dibattito è emersa l’importanza di “fare sistema” per elevare una resilienza che oggi non può più essere circoscritta alla singola organizzazione. “La cybersecurity non può essere un esercizio fine a sé stesso, della singola organizzazione”, ha detto Simone Pezzoli, group Ciso di Autostrade per l’Italia. “Non esiste un soggetto unico che possa risolvere tutti i problemi. C’è invece un ecosistema di interazioni e di partnership con vendor e società terze, con gli altri Ciso italiani, con organismi pubblici, che aiuta a impostare meccanismi virtuosi di scambio di informazioni tempestive, fondamentale per una corretta postura di sicurezza soprattutto in una situazione geopolitica molto critica”. Un fattore differenziante per le aziende è il poter disporre delle informazioni corrette in modo molto veloce. Lo ha ribadito Corradino Corradi, head of Ict security & fraud management di Vodafone: “Oggi servono iniziative di sistema per elevare la resilienza comune: con la Polizia Postale noi collaboriamo attivamente per contrastare e prevenire i crimini informatici che colpiscono reti e sistemi informativi”. Il secondo imperativo è oggi (per i responsabili della cybersecurity ma anche per tutti noi) quello di elevare la cultura della sicurezza. “Oggi è fondamentale colmare un divario digitale molto forte nel nostro Paese”, ha dichiarato Petra Chistè, responsabile sicurezza informatica & data protection di Volksbank. “Non ci stiamo preoccupando abbastanza di sottolineare, anche nell’educazione dei nostri figli, quali siano i rischi della sicurezza informatica. Noi come banca abbiamo lanciato l’iniziativa Capture the flag, una competizione aperta a ragazzi tra i 12 e i 20 anni, mirata a diffondere conoscenza sul tema delle identità digitali”. Resta valido, anzi è più che attuale, il dibattito sulla sicurezza del cloud. “Il paradigma oggi è cambiato, il multi-cloud è entrato nella vita di tutte le aziende”, ha detto Nicla Diomede, Ciso dell’Università degli Studi di Milano. “I servizi devono essere molto più dinamici e la sicurezza deve riuscire necessariamente a tenere il passo. La sfida principale è oggi governare la complessità e fluidità degli ambienti: varie soluzioni aiutano a individuare cattive configurazioni o problemi a livello di host o di rete, e a verificare la rispondenza a best practice e norme. Bisogna però anche riuscire anche a semplificare la vita di chi lavora nella security”. La semplificazione si ottiene con uno sforzo progettuale ex ante, nella ridefinizione delle architetture, nello standardizzare e automatizzare.
Architetture a “fiducia zero”
Un approccio che comincia a raccogliere consensi è quello definito “Zero Trust”, in cui vengono applicati maggiori controlli e la fiducia non viene più concessa di default. “Il modello parte dal principio che vadano difesi i singoli asset, non essendo più possibile elevare un muro difensivo esterno”, ha spiegato Daniele Catteddu, chief technology officer di Cloud Security Alliance. “Inoltre, fa riferimento al fatto che non ci si può più fidare di nessun utente o componente”. È poi fondamentale impiegare un modello di analisi dei rischi alimentato da un monitoraggio continuo, da informazioni provenienti da diverse fonti e dalla valutazione del contesto. “Lo Zero Trust punta a ridurre la superficie di attacco tramite un modello di segmentazione molto spinta”, ha proseguito Catteddu, “per ridurre problematiche come l’escalation di privilegi e i movimenti laterali. Fondamentale è dotarsi di un approccio di questo tipo anche per la compliance”.“Passare allo Zero Trust è una sfida complessa”, ha aggiunto Marcello Fausti, responsabile cybersecurity di Italiaonline. “Lo si capisce dal fatto che se ne sente parlare molto ma si vedono poche realizzazioni. Non si raggiunge lo Zero Trust con l’acquisto di una tecnologia ma serve molto lavoro da parte del Ciso e non basta rivolgersi a un fornitore esterno. Inoltre viviamo un periodo di passaggio, tutte le aziende sono in fase di migrazione al cloud, si adottano spesso modelli ibridi e questo complica molto la situazione”. Lo Zero Trust ha anche bisogno di un’infrastruttura aziendale adeguata e di sistemi di gestione delle identità e delle utenze privilegiate. “Incamminarsi in questa una strada equivale a fare grandi progetti di igiene digitale”, ha sottolineato Fausti, “progetti complessi che riguardano tutta l’azienda, dalla risorse umane alle linee del business. Senza la collaborazione di tutti non si procede nella cybersicurezza”.
Giorgio Mulè
Elena Vaciago
UN SISTEMA OLISTICO PER SUPERARE LA FRAMMENTAZIONE
Tecnologie capaci di evolversi e un approccio olistico come quello dell’Extended Detection and Response (Xdr). A collloquio con Giovanni Rizzo, Country Manager Italy di FireEye - Trellix.
Con il rebranding come Trellix che cosa è cambiato?
Trellix è un’azienda internazionale che ridefinisce il futuro della cybersecurity. Nasciamo dalla fusione di FireEye e McAfee Enterprise, una nuova realtà che riunisce la tecnologia e l’esperienza di due leader del settore per fornire un nuovo standard nelle operazioni di sicurezza e cybersecurity. Quando ci siamo imbarcati in questa nuova fase di crescita, volevamo un nome che catturasse il nostro desiderio di innovare e di aiutare i clienti a crescere. Trellix è un adattamento unico della parola "traliccio" (trellis in inglese), una struttura progettata per supportare la crescita di esseri viventi come piante e alberi. Vorremmo essere quel traliccio per la sicurezza delle aziende di tutto il mondo, fornendo loro il supporto di cui hanno bisogno per essere al sicuro mentre perseguono i loro obiettivi. Il nome riflette dunque la nostra mission: dare vita a organizzazioni resilienti e protette grazie a una “living security”: tecnologie che si evolvono e adattano per proteggere le attività di business e consentire ad aziende e organizzazioni di crescere. Il portafoglio Trellix è costruito attorno all’Extended Detection and Response (Xdr), un ecosistema olistico che consolida tutti i prodotti di sicurezza in una piattaforma interconnessa e in costante comunicazione, la quale impara e si adatta alle nuove minacce.
Quali sfide promettete di aiutare a vincere?
Oggi, la maggior parte degli executive non sa come o quando un incidente di sicurezza informatica influenzerà le proprie organizzazioni. Le aziende continuano a investire in soluzioni che gli attaccanti sembrano eludere con facilità. Possono essere proattive e aggiornate sulle minacce attuali, ma proteggersi dai prossimi attacchi continua ad essere un problema, perché molte aziende non hanno né le
Giovanni Rizzo competenze, né il personale, né le informazioni di intelligence necessarie. Un'altra sfida è il dover dipendere dai processi manuali per gestire l’infrastruttura di sicurezza. Per molte organizzazioni, la necessità di essere assolutamente certi che un avviso non sia un falso positivo prevede tanti livelli di revisione manuale. Di conseguenza si perde tempo prezioso, mentre gli alert restano in attesa della verifica manuale. E gli aggressori sanno che essere tempestivi è fondamentale. Molte organizzazioni credono di risparmiare denaro sviluppando soluzioni di sicurezza in-house o "fatte in casa", che però spesso si rivelano più costose rispetto a soluzioni già pronte all’uso. L'incapacità di aggiornare, la mancanza di competenze e altri problemi tendono a depotenziare le soluzioni interne, rendendole meno sicure e più onerose rispetto a una soluzione affermata e affidabile. Il mondo dinamico di oggi richiede pertanto un ecosistema di sicurezza olistico e integrato e un approccio basato sul cloud che consenta a tutti i prodotti di sicurezza di funzionare all'unisono. L'architettura Xdr di Trellix offre sensoristica avanzata, intelligence sulle minacce, automazione e analisi per aiutare le organizzazioni ad accelerare la prevenzione, il rilevamento, le indagini e la risposta delle minacce nell'ambiente di lavoro e nel cloud.
Oggi il focus è sull'Extended Detection and Response (Xdr) e non più sul semplice Edr. Qual è la differenza?
Il mondo dinamico di oggi richiede un ecosistema di sicurezza olistico e integrato e un approccio basato sul cloud che consenta a tutti i prodotti di funzionare all'unisono. La continua evoluzione delle minacce e la necessità dei team di sicurezza di orientarsi tra una moltitudine di prodotti hanno portato alla creazione della tecnologia Xdr. L’obiettivo è mettere insieme in una soluzione unica la telemetria delle diverse tecnologie di business e di sicurezza, come l’Edr, l'analisi e la visibilità della rete, la posta elettronica, il Siem (security information and event management), il Soar (security orchestration, automation and response), la sicurezza nel cloud e altro ancora. L'architettura Xdr di Trellix offre sensoristica avanzata, intelligence sulle minacce, automazione e analisi per accelerare la prevenzione, il rilevamento, le indagini e la risposta alle minacce. Mettendo in relazione i dati sugli incidenti e usando l’intelligence e gli analytics siamo in grado di rilevare le minacce, attribuire le priorità e rispondere rapidamente agli attacchi. Trellix Xdr offre anche competenze analitiche di alto livello, aiuta i clienti ad applicare le best practices e le conoscenze acquisite nel panorama delle minacce globali, a ridurre il rischio e l’impatto degli incidenti. Inoltre migliora l'efficienza del centro operativo di sicurezza (Soc) correlando eventi e attribuendo priorità alle investigazioni.
TRE DOMANDE PER PREPARASI AD AFFRONTARE I RANSOMWARE
Per contrastare le attività di RansomOps è fondamentale essere veloci e non limitarsi alla protezione degli endpoint. Ecco come non farsi cogliere di sorpresa.
Negli ultimi anni le operazioni di ransomware, o RansomOps, si sono evolute fino a diventare un vero e proprio modello di business che continua a innovarsi e ad acquisire sofisticazione tecnica. Con RansomOps intendiamo le sequenze di attacchi mirati e complessi che assomigliano alle operazioni furtive condotte dagli attori di minacce sponsorizzati da Stati nazionali. Sono tendenzialmente attacchi low and slow, in cui la minaccia impiega settimane o addirittura mesi per diffondersi silenziosamente attraverso il network della vittima prima di arrivare a eseguire il ransomware payload. Quando si tratta di far fronte a minacce sofisticate come le RansomOps, sono tre le domande chiave che le organizzazioni dovrebbero porre al team di sicurezza informatica.
Siamo in grado di rilevare gli attacchi ransomware oltre l'endpoint?
Le soluzioni di rilevamento e risposta negli endpoint (Edr) forniscono una maggiore visibilità sui dispositivi rispetto alle soluzioni antivirus e antimalware tradizionali, ma ignorano il fatto che molti dei più complessi attacchi RansomOps non iniziano necessariamente a livello dell’endpoint. Per far fronte a queste minacce avanzate, le aziende dovrebbero considerare le limitazioni degli strumenti tradizionali e ampliare le loro capacità di rilevamento all’intero environment.
Quanto velocemente siamo in grado di rispondere?
Molte organizzazioni pensano, erroneamente, che un piano di risposta e una soluzione Edr siano sufficienti a garantire un’azione immediata ed efficace per fermare gli attacchi. In realtà, gli attacchi sofisticati di oggi richiedono strumenti di incident response uniti all’analisi forense (Digital Forensic and Incident Response, DIFR) che permettano di avere immediatamente informazioni complete e contestualizzate, anche quando la minaccia non è mai stata osservata prima. Nel caso di una RansomOps, la velocità di risposta è tutto. I security team devono poter investigare l’attacco nel suo insieme appena questo viene identificato. Avendo compreso la natura e la portata dell’incidente, la risposta può essere automatizzata per permettere di contenere l’incidente prima che sia troppo tardi. In teoria, le soluzioni Siem e Soar avrebbero dovuto risolvere questo problema, ma non sono mai state in grado di farlo in maniera efficace. Al contrario, i nuovi strumenti DIFR offrono contesto e William Udovich
correlazioni attivabili che velocizzano l’azione dei difensori e permettono di contenere la minaccia prima che si estenda all’intera rete.
Abbiamo bloccato tutta l'operazione malevola o solo una delle attività?
Bloccare il ransomware su un endpoint non risolve problemi come le credenziali compromesse o la persistenza sulla rete, e non garantisce che gli attaccanti non si stiano comunque nascondendo all’interno del network o non stiano commettendo attacchi in-memory. È qui che le soluzioni di rilevamento e risposta estesi (Xdr) possono fare la differenza. Una soluzione Xdr guidata dall'intelligenza artificiale può assimilare e correlare rapidamente la telemetria da più risorse di rete per rivelare l'intera sequenza dell'attacco. Rilevando attività potenzialmente dannose sulla base di indicatori di comportamento consente di far fronte a tutte le attività associate a una RansomOps, indipendentemente dal fatto che questi comportamenti siano già stati osservati o che si mimetizzino come normali attività di rete.
Una risposta centrata sulle operazioni
Le soluzioni Xdr guidate dall’intelligenza artificiale permettono una maggiore visibilità attraverso le risorse di rete in silo, per produrre correlazioni ricche di contesto basate sui comportamenti concatenati degli attaccanti. Solo con un approccio centrato sulle operazioni i difensori possono prevedere, rilevare e rispondere non solo alle RansomOps, ma a tutte le tipologie di cyberattacchi nella rete aziendale.
LA FIDUCIA È AL CENTRO DELLA SICUREZZA
Con lo smart working e con l’evoluzione delle infrastrutture IT, anche la cybersicurezza è cambiata. L’opinione di Fabrizio Zarri, cybersecurity master solution engineer di Oracle Italia.
Il tradizionale e sempre dinamico panorama delle minacce che affligge i sistemi informativi delle aziende si è ulteriormente complicato a causa degli effetti generati dalla pandemia negli ultimi due anni. L'ampliamento del perimetro aziendale, dovuto alla diffusione del lavoro remoto, si è innestato su un'evoluzione naturale verso il cloud, creando le premesse per una logica di protezione che dai dispositivi deve necessariamente trasferirsi ai dati, ovunque essi risiedano. Oracle si trova nella posizione privilegiata di player di riferimento, tanto nel campo delle infrastrutture quanto in quello del data management. Fabrizio Zarri, cybersecurity master solution engineer di Oracle Italia, ci aiuta a riflettere sulle evoluzioni in corso e sulle complessità emergenti.
Quali elementi oggi influenzano la cybersecurity?
In un mondo che si sta facendo inevitabilmente digitale, al centro dell'attenzione si pone oggi il concetto di fiducia. L'accesso ai dati aziendali avviene in modalità più differenziata e il perimetro da controllare si è inevitabilmente allargato. Le modalità di attacco si sono differenziate di pari passo e non è più possibile, oggi, non tener conto delle modalità di provenienza delle richieste di accesso. Questo porta alla diffusione del concetto di “zero trust”, che richiede l'autenticazione di ogni utente al momento dell'accesso, convalidandone l'identità e associando i corretti diritti di collegamento alle risorse aziendali.
Fabrizio Zarri
Oracle non è un classico vendor di sicurezza. Come vi collocate nello scenario attuale?
In realtà abbiamo una storia più che decennale su questo fronte, tant’è vero che in Italia nel 2008 Oracle ha fondato la Oracle Community for Security, confluita nel 2019 nella Clusit Community for Security. Oggi siamo in grado di offrire soluzioni affidabili grazie all'integrazione by design (ossia fin dalla progettazione) della sicurezza nel nostro database e grazie alla capacità di garantire una migrazione protetta dei dati verso il cloud, tramite le più aggiornate tecnologie di cifratura. Per rassicurare ulteriormente le aziende che intendono sfruttare appieno il potenziale del cloud abbiamo, poi, integrato strumenti a valore aggiunto, senza aggravio di costi, per l'analisi comportamentale e l'automazione del processo di risoluzione del problema di security, grazie all'utilizzo dell'intelligenza artificiale.
Nella gestione dei dati c'è il cuore della vostra esperienza storica. Come la declinate nella cybersicurezza?
Il nostro database ha integrato la security by design e questo è ormai un elemento imprescindibile. La cifratura dei dati, però, non avviene solo all'interno del database ma in tutte le fasi di trattamento e transito del dato, quindi ad esempio anche nelle procedure di backup. Agli amministratori, poi, offriamo un monitoraggio intelligente garantito dalle nostre tecnologie di machine learning. Possiamo anche aggiungere Oracle Data Safe, un centro di controllo unificato che aiuta a valutare i rischi per i dati e la sicurezza degli utenti, mascherando le informazioni più sensibili e allineandosi ai requisiti di compliance.
Come promuovere meglio il tema dell'identità digitale, ancora non diffuso tra le aziende?
Noi mettiamo a disposizione non solamente strumenti, ma anche corsi per far evolvere le aziende nel modo più adeguato. Certamente occorre cambiare l'approccio, ma diverse realtà lo stanno già facendo. il modello di responsabilità condivisa si sta affermando, a differenza di quanto accadeva qualche anno fa, e anche il ruolo del Ciso sta evolvendo, da semplice controllore ad advisor aziendale all’interno dei processi organizzativi.
COME SCEGLIERE IL GIUSTO MANAGED SERVICE PROVIDER
Denis Cassinerio, regional sales director Southern Europe di Acronis, spiega perché per le aziende è importante affidarsi a un Msp che sappia garantire resilienza.
Le aziende si affidano sempre più spesso ai Managed Service Provider (Msp), società di servizi IT gestiti che da remoto supervisionano il corretto funzionamento delle infrastrutture e del software dei clienti. Queste terze parti garantiscono quindi la stessa resilienza delle imprese: come far sì che adottino una postura di sicurezza elevata? Che cosa deve fare il responsabile della cybersicurezza aziendale per assicurarsi che i partner Msp rispondano ad elevati requisiti di sicurezza? “La migrazione verso il cloud è oggi una premessa imprescindibile del percorso di evoluzione e trasformazione digitale di imprese, governi e cittadini”, ha detto Denis Cassinerio, regional sales director Southern Europe di Acronis. “L’adozione del cloud richiede però una focalizzazione sul principio della responsabilità condivisa con i provider (shared responsibility model) e sulla necessità di cambiare il governo della security, oltre che sull’esigenza di mettere al centro il valore del dato da proteggere”. I rischi legati alla supply chain sono oggi molto evidenti, dopo una serie di attacchi andati a segno nell’ultimo anno con riferimento ai Managed Service Provider. Eventi infausti, che una volta avuto successo possono impattare su moltissimi clienti dei servizi IT. “Oggi gli Msp sono particolarmente presi di mira”, ha confermato Cassinerio, “ed è importante quindi che adottino piattaforme solide di orchestrazione della sicurezza dei propri clienti. Sta ai clienti, invece, scegliere il proprio fornitore di servizi gestiti in base a precise garanzie sulla capacità di offrire continuità operativa, oltre che in base a capacità e skill necessari per il rilevamento di vulnerabilità e minacce e per la loro prevenzione e mitigazione”. Come va quindi ridefinito il concetto della sicurezza? “Bisogna concentrarsi sui vettori che determinano questa protezione”, ha spiegato Cassinerio, “ossia sui concetti riassunti nell’acronimo Sapas. La sicurezza: una copia affidabile dei dati deve essere sempre disponibile. L’accessibilità: i dati devono essere disponibili ovunque e in qualsiasi momento. La privacy: controllare chi ha accesso ai dati dell’azienda. L’autenticità: serve una replica esatta dell'originale. E infine la sicurezza: proteggere dati, applicazioni e sistemi dalle minacce. Solo in questo modo sarà possibile gestire i dati critici del business secondo standard ed esigenze aziendali recenti. Per farlo, i proprietari dei dati si confrontano con tre sfide: complessità dei dati, sicurezza dei dati e costi di archiviazione. Data protection e sicurezza IT da sole non sono in grado di rispondere a tutti questi problemi, serve Denis Cassinerio
una risposta univoca e omnicomprensiva”. A tutto questo si somma il fatto che oggi diventa sempre più importante focalizzarsi sulla resilienza, sulla continuità operativa del business. “Le minacce incombono e l’asimmetria dell’attacco è evidente, le capacità degli attaccanti sono sempre più avanzate e l’industria del crimine digitale è fiorente”, ha concluso Cassinerio. “L’aggressione inoltre è sempre più mirata e sempre meno casuale, motivo per cui focalizzarsi sulla continuità del business sta diventando l’aspetto più importante. Per farlo serve quindi un disaster recovery integrato con i processi di protezione cyber, possibilmente con un costo alla portata della singola azienda. Stiamo andando verso uno scenario in cui concetti come Rto ed Rpo vicini allo zero vanno assicurati anche alle piccole e medie imprese, che su queste garanzie si confronteranno sempre di più con i propri service provider”.
AUTONOMIA E VELOCITÀ PER COMBATTERE LE MINACCE
L’intelligenza artificiale, combinata all’approccio Xdr, sta trasformando le attività di rilevamento e di risposta agli attacchi. Intervista a Marco Rottigni, Technical Director Italia di SentinelOne.
Come è cambiato lo scenario della cybersicurezza negli ultimi anni?
La pandemia, la dissoluzione dei perimetri e la trasformazione digitale hanno amplificato i rischi di uno scenario degli attacchi informatici già preoccupante. Attacchi che oggi crescono secondo “tre V”: in volume, in velocità e in varianza. Al pari di chi li contrasta, anche gli attaccanti hanno a disposizione tecnologie di intelligenza artificiale che stanno consentendo un incremento esponenziale del volume e della velocità delle minacce, oltre a una varianza che le rende difficili da rilevare. Intanto, nelle aziende le risorse destinate a occuparsi della cybersicurezza non crescono nella stessa misura. La priorità delle aziende dovrebbe essere oggi quella di investire in una “macchina del tempo”, cioè in una macchina tecnologica che permetta di risparmiare e di liberare tempo per le risorse interne, in modo che possano smettere di occuparsi di attività ripetitive e a basso valore aggiunto, per dedicarsi solo agli attacchi sofisticati.
E come è possibile ottenere tutto questo?
La cybersicurezza deve diventare autonoma e veloce, ovvero non deve più aver bisogno dell’essere umano per essere messa in moto ma deve saper identificare le minacce in autonomia e a velocità macchina (la stessa con cui agiscono i cyberattacchi). In SentinelOne abbiamo investito per sviluppare una tecnologia capace di aumentare la velocità di reazione e di amplificare il potere d’azione dei professionisti della sicurezza. Grazie all’intelligenza artificiale, la tecnologia alla base della nostra piattaforma Singularity riesce a rilevare gli attacchi e a contrastare l’infezione. Minacce come i ransomware oggi preoccupano molto ma seguono schemi d’azione tutto sommato semplici, che possono essere facilmente identificati dall’intelligenza artificiale senza scomodare gli esseri umani. Le persone possono, così, concentrare l’attenzione solo sugli attacchi sofisticati e dedicarsi ad attività di investigazione. Inoltre è fondamentale l’aspetto della velocità: l’intelligenza artificiale ha tempi di reazione paragonabili a quelli degli attacchi e molto più rapidi di quelli delle persone. Parliamo di manciate di secondi, contro ore o addirittura giorni. Singularity, inoltre, sfruttando funzionalità del sistema operativo può riparare i danni causati da un attacco, come la cancellazione o la crittografia dei dati. Non si tratta di riportare la macchina allo stato di un certo momento precedente all'infezione, bensì di operare un ripristino "chirurgico", intervenendo solo sugli elementi danneggiati.
L’Endpoint Detection and Response (Edr) è stato per molto tempo un pilastro delle strategie di sicurezza aziendali. Oggi è ancora così?
La capacità di rilevare la presenza di un attacco su un endpoint e di contrastarlo è ancora cruciale. Ma le aziende sono anche dotate di firewall, Vpn (virtual private network), sistemi di gestione delle identità e altre tecnologie che possono essere usate anche per arricchire l’attività di detection con ulteriori dati, preziosi per rilevare gli attacchi. La capacità di mettere tutte queste tecnologie insieme per farle dialogare con l’Edr si chiama Extended Detection and Response, cioè Xdr, e SentinelOne è oggi uno dei principali interpreti di questo approccio alla sicurezza informatica. Siamo anche in grado di far colloquiare la nostra piattaforma con altre tecnologie, in modo da estendere sia la capacità di detection sia quella di risposta. L’Xdr consente alle aziende di massimizzare sia la resilienza sia gli investimenti tecnologici fatti in passato.
Marco Rottigni
IL MADE IN ITALY D’ECCELLENZA NELLA PROTEZIONE DEL WEB
La società torinese Ermes impiega tecnologia di intelligenza artificiale all’avanguardia e distintive, come racconta il Chief Business Officer, Andrea Marini.
Ermes nasce da un progetto di ricerca portato avanti tra Italia e Stati Uniti sul fenomeno dell’estrema profilazione degli utenti durante la loro vita online. Navigando online e seminando indizi sul loro comportamento, le persone non si espongono soltanto a milioni di occhi indiscreti. Le informazioni disseminate online sono utilizzate dai cybercriminali per costruire attacchi sempre più personalizzati sulle singole persone e sempre più efficaci. “Il nostro focus è sulla necessità di dare una protezione concreta ai dipendenti mentre navigano online”, spiega Andrea Marini, Chief Business Officer di Ermes, “e lo facciamo attraverso l’utilizzo dell’intelligenza artificiale. A oggi oltre cento clienti, tra cui Carrefour, BonelliErede e Kpmg,hanno creduto in questo approccio e la società di consulenza Gartner ci ha inserito tra le cento aziende più innovative al mondo che utilizzano l’intelligenza artificiale in ambito cybersecurity”. In una situazione che vede l’anello debole della catena nell’essere umano e in cui le persone mediamente trascorrono oltre il 40% del proprio tempo online, oggi c’è una crescita esponenziale di attacchi veicolati via Web. Questa è l’area di difesa del perimetro aziendale meno evoluta, come dimostrato dagli ultimi due anni di pandemia. In uno scenario post covid in cui la pratica del lavoro agile rimarrà in gran parte consolidata, gli attacchi moderni saranno sempre più “cuciti su misura” dell’utente: questo significa che l’attaccante esperto sa perfettamente chi, dove, quando e come colpire. Inoltre, le ultime tendenze evidenziano anche che la “vita” di questi attacchi sarà sempre più breve: ormai, nella maggior parte dei casi, anche solo qualche ora. Essendo il loro ciclo di vita così veloce, risulta estremamente difficile per i sistemi di sicurezza tradizionali riuscire ad individuarli. Proprio per questo, nella cybersicurezza l’adozione dell’intelligenza artificiale è essenziale per poter individuare tali minacce nel giro di minuti e per evolvere costantemente le capacità grazie a un machine e deep learning molto rapido e costante. “La nostra tecnologia”, sottolinea Marini, “è molto apprezzata dagli analisti di Gartner proprio perché gli algoritmi di AI di nostra proprietà riescono a identificare le nuove minacce Web in soli due minuti. Un risultato straordinario, se si pensa che le stesse soluzioni dei principali vendor mondiali non riescono ad individuare neanche dopo giorni questi rischi. La nostra tecnologia, infatti, non si limita a valutare la reputazione dei siti Web ma ne analizza in real time il comportamento, smascherando Andrea Marini
tutti gli eventuali pericoli nascosti, e risultando efficace anche contro gli attacchi dal ciclo di vita brevissimo”. Per spiegarlo con un esempio, è come se durante dei controlli in aeroporto, oltre a esaminare il passaporto dei servizi Web (quindi la reputazione), Ermes li guardasse attraverso il metal detector per decidere quali servizi far passare, in base al comportamento in tempo reale e a prescindere dalla reputazione. Per essere sempre all’avanguardia è importante investire in competenze e talenti, ed è questo che la società torinese sta facendo negli ultimi anni. L’Italia è una fucina di talenti in attesa di avere l’opportunità di essere valorizzati, una fucina che nulla ha da invidiare a contesti tanto conclamati come quelli della Silicon Valley o Israele. “È fondamentale investire nel sistema Italia”, conclude Marini, “da un lato per permettere al nostro Paese di realizzare il potenziale inespresso e dall’altro perché scegliere i prodotti italiani garantirebbe l'indipendenza dagli altri Paesi e da situazioni complicate e difficilmente prevedibili, come anche dimostrato dal triste periodo che stiamo vivendo”.
