Security managementSicurezza

INCHIESTA SICUREZZA – Consapevolezza e GDPR, modelli di difesa e strategie

security-feat-2

Abbiamo raccolto le tre puntate dell’Inchiesta di Silicon in un dossier. Consapevolezza e GDPR, modelli di difesa e strategie. Il parere di BitDefender, FireEye, Forcepoint, Fortinet, F-Secure, Kasperksy, Symantec e Trend Micro

Il tema della sicurezza informatica è antico quanto l’IT stessa. Dalle architetture client/server al cloud computing, fino a oggi, che stiamo per entrare nell’era IoT, l’argomento ha accompagnato qualsiasi evoluzione tecnologica. Il malware ha saputo sempre trovare la via per fare danni, mentre a differenza delle origini, parlare di attacchi ‘etici’ è oggi abbastanza ridicolo: siamo nell’era Cyber War, il caso WikiLeaks Vault 7 è il fiore all’occhiello di un sistema di processi di Cyber Intelligence per troppi aspetti ancora sconosciuti. Anche solo limitandoci all’analisi delle problematiche sul malware generato dai cyber criminali, però, gli stessi report sia di agenzie indipendenti sia dei vendor riportano cifre impressionanti.

Nel recente rapporto Clusit 2017 (relativo al 2016)  viene proprio evidenziato come il 72 percento degli attacchi sia di matrice criminale, e come vengano presi di mira comparti come la sanità (in testa alla classifica), la Gdo (70 percento) e ovviamente Banking e Finance (nel 64 percento dei casi). 

Nel 2016 oltre un miliardo di ransomware ha colpito a livello globale, e l’Italia da sola ha subito il 2,40 percento di questi attacchi (fonte Trend Micro), mentre il Bel Paese si è distinto anche tra quelli che hanno scaricato il maggior numero di app con malware: oltre due milioni di applicazioni.

Cifre che rappresentano solo le punte di iceberg molto più grandi e per questo ai piedi dell’articolo troverete report, e fonti per collezionare l’istantanea di un panorama che fa riflettere.

Quello che però è interessante notare è che se ‘parlare di sicurezza‘ già si fa e l’argomento scala tavoli di discussione in azienda sempre più importanti, con CIO, CSO e CEO che finalmente dialogano tra loro, anche Gartner sottolinea come parlare prima e spendere poi per la sicurezza, non siano necessariamente indicatori di maturità, di una vera cultura della sicurezza.

Molte aziende non conoscono il loro vero budget, sul tema, perché gli investimenti in questo senso non sono sempre correlati in modo chiaro, è poi facile caricare sui CISO tutte le responsabilità di quel che accade (lo fa circa un’azienda su due oramai), ma senza permettere loro di avere una visione oggettivamente completa di scenario, mentre gli attaccanti hanno quasi sempre tempi di reazione più veloce rispetto a chi si deve difendere.

Ecco, spendere in sicurezza… Forse oggi, più che in altri tempi,  il tema – giustamente  – allarma e ci sono le condizioni per investire con buonsenso. Secondo IDC il mercato della spesa per la sicurezza IT crescerà in modo quasi esponenziale. Valeva oltre 73 miliardi di dollari nel 2016, varrà oltre 100 miliardi di dollari nel 2020. La consapevolezza che ci sia da lavorare e non poco vale un CAGR con un valore più che doppio rispetto al mercato IT generico.

Banche, manifatturiero e Pubblica amministrazione i comparti più sensibili, ma in proporzione crescerà di più la spesa nel settore sanitario (abbiamo visto quanto sia alta l’esposizione agli attacchi) e in quello delle telecomunicazioni.

PARTE PRIMA – La formazione come miglior difesa 

Ecco allora che in questo scenario le risposte dei nostri lettori sul tema pare fotografino quasi ‘in altissima risoluzione‘ il momento di consapevolezza, ma anche di incertezza e verrebbe da dire quasi di parziale inadeguatezza.

Sicurezza IT - Come difendersi
Sicurezza IT – Come difendersi

La minaccia che più di tutte preoccupa, e allo stesso tempo focalizza l’attenzione dei lettori, è il Ransomware, nel 60 percento dei casi, forse anche in relazione al clamore mediatico, tanto più se questa percentuale viene rapportata con l’ultima voce della classifica, quella relativa agli attacchi DDos che pure nel 2016 sono stati devastanti (con un’intensità di punta – fonte Arbor Networks – di 800 Gigabit al secondo, in grado di creare problemi gravissimi anche a un’azienda di grandi dimensioni).

Sicurezza IT - Quali sono le minacce che temete di più?
Sicurezza IT – Quali sono le minacce che temete di più?

Forse perché l’attacco DDos solo in ultima analisi impatta sul “proprio device”? Sì, ma solo in parte -perché i dispositivi IoT cambieranno lo scenario in questa tipologia di attacchi – anche se luci e ombre arrivano da altri quesiti.

Da un lato, per esempio, è comune nei lettori la cultura della protezione del dato ( per il 43 percento è l’asset da difendere) e ben il 48 percento pensa che la formazione sia la migliore delle difese possibili, allo stesso tempo però, quando si tratta di “fare” – per esempio sul tema GDPR – i nodi vengono al pettine e sono nodi grossi se oltre il 40 percento dei lettori che hanno risposto alla nostra poll dice di non avere ancora una strategia, con un altro 44 percento che dichiara di essere in ‘fase di organizzazione’ e appena il 15 percento che si sente pronto.

GDPR - Siete pronti?
GDPR – Siete pronti?

E’ vero che è proprio del costume italiano ‘fare’ all’ultimo, e poi magari stupire. Se è vero che circa un lettore su cinque dichiara che la propria azienda si è affidata semplicemente al fornitore da cui è stato aiutato nell’emergenza ed è ancora il 20 percento ad affidarsi a un unico vendor. Uno su due invece ha preferito valutare e poi scegliere una strategia di difesa cercando il confronto con diversi fornitori e consulenti.

Sicurezza A chi vi affidate
Sicurezza IT – A chi vi affidate?

Le aziende consapevoli si muovono

Ma un buon segnale c’è. E’ sentire comune dei vendor come le aziende, soprattutto le grandi, si stiano muovendo sul tema della sicurezza in modo più coerente rispetto al passato.

Morten Lehn - General Manager Italy di Kaspersky Lab
Morten Lehn – General Manager Italy di Kaspersky Lab

Morten Lehn, General Manager Italy di Kaspersky Lab, porta cifre importanti per argomentare: i dati di un’indagine del vendor russo dicono che il 70 percento delle aziende italiane prevede un aumento nei prossimi tre anni del proprio budget per la sicurezza IT, con il 13 percento che stima un aumento di oltre il 30 percento, mentre la ragione più condivisa di questi investimenti è la necessità di rispondere ai requisiti normativi.

Stime allineate a quelle di FireEye. Marco Rottigni, Consulting System Engineer: “Tre anni fa i budget aziendali quasi non consideravano allocazioni per difesa da attacchi avanzati e la maggior parte delle aziende puntava a rafforzare le barriere tradizionali sul perimetro e sugli endpoint con misure puntuali di difesa dalle minacce note, ora è tutto diverso”

Marco Rottigni
Marco Rottigni – Consulting System Engineer FireEye

David Gubiani, Security Engineering Manager di Check Point Software Technology, va oltre ed evidenzia:“l’istituzione di veri e propri SOC (Security Operations Centers) e la creazione di ruoli specifici nell’ambito dell’IT rappresentano un processo avvenuto in alcuni casi a seguito di necessità legate a norme e regolamenti, in altri alla consapevolezza del rischio in termini di business, di un incidente di sicurezza informatico”.

David Gubiani
David Gubiani – Security Engineering Manager di Check Point Software Technology

Maggiore invece è la fatica per le piccole e medie aziende che, secondo Gubiani“vedono ancora la sicurezza informatica come una parentesi tra le varie soluzioni che “devono” avere per garantire un minimo di controllo, motivo per il quale molte sono bersaglio facile per attacchi informatici di qualunque tipo”.

La problematica “dimensionale” delle aziende è a fattore comune anche nell’intervento di Denis Valter Cassinerio Regional Sales Director di BitDefender che spiega: “Quelle strutturate e con relazione internazionale hanno un livello di maturità superiore, soprattutto grazie alla necessità di adeguamento agli standard previsti dai vari fornitori clienti, più abituati e soggetti a stringenti norme di compliance”.

Luca Mairani - Sr Sales Engineering Forcepoint
Luca Mairani – Sr Sales Engineering Forcepoint

Non solo, secondo Luca Mairani Sr. Sales Engineer ForcePoint: “Nelle prime (le grandi) esiste un livello di consapevolezza superiore rispetto ai rischi ma tradurre i temi della cybersecurity nel linguaggio del top management che è responsabile dell’approvazione del budget non è facile (e torna il discorso di un dialogo tra le figure aziendali iniziato, ma solo in parte maturo).

Nella maggioranza delle seconde (le piccole), invece, le minacce avanzate sono spesso state ritenute qualcosa di estraneo all’azienda e limitato alla realtà americana. Per queste ultime il ransomware avrebbe rappresentato una sorta di campanello di sveglia, perché il furto dei dati, senza compromettere l’operatività quotidiana erroneamente sembra più indolore. 

Cambiano di conseguenza anche i modelli economici relativi. Secondo Trend Micro da un lato la sicurezza è diventata un “costo fisso”.  Non in senso negativo, piuttosto con la sensibilità per cui non sia più possibile una strategia “una tantum”,  e la percezione che nel tempo l’investimento ben indirizzato possa invece addirittura rappresentare un abilitatore tecnologico, un driver per la valorizzazione degli asset.

Vittorio-Bitteleri-Symantec
Vittorio Bitteleri, Head of Sales Enterprise Security Italia di Symantec

Abilitatore tecnologico che sarà sempre più sotto attenzione critica, e infatti, Vittorio Bitteleri, Head of Sales Enterprise Security Italia di Symantec, cerca una prospettiva di lettura per i prossimi anni – la stessa con cui abbiamo aperto l’inchiesta – e sottolinea: “Oggi le aziende ci sembrano più consapevoli dei rischi che potrebbe portare l’affermarsi di Internet of Things o la realtà virtuale anche in ambito lavorativo, con minacce legate all’evoluzione degli uffici, all’avvento di altri dispositivi indossabili o a dispositivi in precedenza sicuri, come ad esempio le auto. Abbiamo quindi visto alcuni miglioramenti, ma c’è ancora molto da fare”.

Aziende più consapevoli quindi, ma non senza criticità. Se ne è accorta Fortinet che nell’analisi di Filippo Monticelli, Regional Director dell’azienda, evidenzia come soprattutto le grandi aziende abbiano inserito sì la sicurezza come elemento importante della strategia complessiva di business, abbiano saputo legare assieme i concetti di business e sicurezza – anche per la dipendenza di tutte le attività dalla disponibilità di dati e applicazioni – ma allo stesso tempo non sempre poi abbiano rimodellato in questa direzione i processi interni, passaggio importante da compiere.

Antonio Pusceddu
Antonio Pusceddu – Country Sales Manager, Corporate Sales di F-Secure

Non si gioca a carte scoperte, per cui la sicurezza è un obiettivo sicuro, perché – e lo spiega Antonio Pusceddu, Country Sales Manager, Corporate Sales di F-Secure – gli attaccanti godono sempre di un primo vantaggio tecnologico, e se decidono un obiettivo è plausibile che prima o poi lo raggiungano. Proprio per questo però, dichiara Pusceddu:“è urgente che tutti noi come comparto (vendors, canale, terze parti) si dimostri più coraggio nel guidare il mondo delle imprese verso le scelte migliori da fare”. 

GDPR, campanello di allarme

Il ransomware, come minaccia assolutamente tangibile e visibile, ha marcato almeno una nota positiva nell’evoluzione della percezione della sicurezza perché, per i suoi effetti, non è possibile fare finta che non ci sia. Non è stato così per anni quando invece le minacce e gli attacchi hanno riguardato furto di identità, credenziali, informazioni e dati, senza intaccare l’operatività quotidiana. In alcune situazioni le aziende attaccate hanno fatto finta di non vedere, in altri casi se ne sono accorte dopo troppo tempo; sono tantissimi i casi di aziende che hanno perso il controllo su informazioni e dati e si sono comportate un po’ come i nani all’arrivo di Biancaneve, nascondendo il problema sotto il tappeto.

Carla Targa
Carla Targa – Sr Marketing e Communication Manager Trend Micro Italia

L’entrata in vigore del GDPR (Regolamento Generale sulla Protezione dei Dati) a Maggio del 2018 dovrebbe spazzare via tutta una serie di ‘cecità’, e allo stesso tempo espone ad altissimi rischi diverse figure all’interno dell’azienda che dovessero permettersi comportamenti di questo tipo, in uno scenario che, secondo le risposte dei nostri lettori, è al momento un poco preoccupante con la metà (quasi) del campione che al problema di adeguamento al “ci sta pensando” e l’altra che “non ha ancora una strategia”.

Tra le altre regole il GDPR richiede la raccolta esclusivamente di dati minimi per l’utilizzo di un servizio, l’informazione per gli utenti dei loro diritti e della possibilità di esercitarli, e l’obbligo della figura di un Data Protection Officer.  

L’Italia è in ritardo: per Symantec le nostre aziende dovranno muoversi a tutta velocità per rispettare i parametri. Il 4 percento di multe sul giro di affari, o 20 milioni di euro a seconda di quale sia il valore maggiore è però uno spauracchio che viviamo ancora secondo i nostri  pigri costumi. Vittorio Bitteleri ci confida come non sia ancora palpabile nelle aziende una piena consapevolezza di cosa questo significhi nell’ambito degli investimenti in tecnologia, in personale specializzato nell’IT e nei processi, così come anche per Fortinet sarà facile prevedere una corsa a mettersi in regola all’ultimo momento.

Filippo Monticelli
Filippo Monticelli – Regional Director Fortinet Italia

Proprio i processi aziendali sono il punto critico. GDPR non è da sottovalutare perché necessariamente sconvolge i processi interni e chi ha iniziato a rivederli sistematicamente si ritroverà avvantaggiato. Monticelli (Fortinet): “Più la sicurezza sarà intrinseca, più sarà facile mettersi in regola, senza contare i vantaggi altrettanto evidenti a livello di protezione, gestione e visibilità”. “Sì il clima è un po’ quello della corsa ai ripari – conferma nella nostra indagine Denis Valter Cassinerio (BitDefender) – corsa anche per introdurre finalmente un diffuso approccio di tipo “Risk Based”.”

Non ci si illuda, ci saranno i ritardatari, e a vincere questa palma sembra esserci (poca sorpresa) la Pubblica Amministrazione con il suo “costante atteggiamento di inadeguatezza rispetto i temi di cui sopra, sintomo di una concreta necessità di maggiore attenzione ed impiego di una più matura governance nella sicurezza delle informazioni”. Insieme ai ritardatari per FireEye ci saranno anche realtà che abbracceranno l’occasione del GDPR per azioni ancora di più ampio respiro, a coprire e modificare aspetti organizzativi finora solo pensati con progetti rimasti sulla carta. 

Vittorio Denis Cassinerio
Denis Valter Cassinerio Regional Sales Director di BitDefender

Sarà interessante vedere l’evoluzione del nuovo decreto emanato dal governo Gentiloni in funzione dell’allineamento con la direttiva NIS, una significativa presa di coscienza per un necessario e forte intervento per la sicurezza cibernetica nazionale. Si intenda, non mancano aree di eccellenza, ma è ancora una volta una questione di processi per cui, secondo Cassinerio, “la struttura stessa della PA rende obbligatorio uno sguardo approfondito ed un vero cambiamento per auspicare un miglioramento evidente nel prossimo futuro a tutti i livelli delle istituzioni”. 

Per i vendor, GDPR resta prima di tutto una buona occasione per allineare tutti gli attori agli stessi nastri di una partenza, con regole, non più minimaliste, chiare ed europee. Mariani di Forcepoint: “Il GDPR ha in primis l’indubbio vantaggio di consentire ai responsabili della sicurezza di implementare sistemi di protezione attivi ed avanzati, superando il concetto di misure minime tanto caro alla legislazione italiana”.

 Gubiani per Checkpoint valuta come le norme e gli adempimenti obbligatori siano formulati in modo da non lasciare margini di incertezza sul fatto che la sicurezza di tutto il ciclo di vita del dato richieda un’attenzione di primo livello, non solo per i tecnici, ma da parte di tutto il management.

Non solo, secondo Gastone Nencini e la responsabile marketing Carla Targa di Trend Micro “La General Data Protection Regulation concorre a sviluppare ulteriormente la richiesta di una maggiore sicurezza, anche e soprattutto in ottica di protezione dei big data”, in un certo senso con una prontezza quasi inattesa rispetto sviluppo delle tecnologie IT. 

SECONDA PARTE – I modelli di difesa

Sicurezza IT, come difendersi? L’abbiamo chiesto ai nostri lettori e poi ai vendor. A fattor comune c’è almeno un punto su cui è facile trovare l’incontro di tutti e vi sono poi altri elementi invece su cui c’è una significativa convergenza condivisa.
Prima di tutto: nessuno può promettere a nessuno l’invulnerabilità al 100 percento delle proprie infrastrutture e la certezza di poter proteggere i dati al cento percento. Significa che quando si parla di sicurezza si deve riconoscere che ci si muove in un ambito con la variabile fissa e costante di un antagonista in azione, il cybercrime, che investe denaro e tempo per trovare una breccia e sferrare il suo attacco. Non è quindi possibile promettere percentuali bulgare di efficacia, come per esempio avviene quando si garantiscono le performance dei sistemi di cloud computing.

Sicurezza IT - Come difendersi
Sicurezza IT – Come difendersi

Oltre il fortino, la protezione dei dati e la formazione

Un altro aspetto ampiamente condiviso riguarda la fine di un modello di difesa, quello perimetrale, quello del fortino che contiene il tesoro da proteggere. L’evoluzione IT, con la contaminazione (quando non l’abbandono) delle architetture rigorosamente on-premise, e l’integrazione dei servizi, di più servizi, in cloud, ha spostato l’attenzione sul dato. Ma questo ha fatto anche registrare un aumento di attacchi in cloud e su end point on-premise o virtualizzati in aumento anno su anno (del 32 percento secondo il rapporto Clusit). 

Un terzo aspetto riguarda la formazione, la capacità cioè di fare in modo che sia patrimonio aziendale di ogni singolo elemento sapersi porre delle domande prima di agire nel trattamento delle informazioni, a partire da quelle che transitano in qualche modo dalla posta elettronica, oggi più che in altri momenti, non fine ultimo dell’attacco ma mezzo particolarmente interessante per aprire brecce pericolose.

Gastone Nencini - Country Manager Trend Micro italia
Gastone Nencini – Country Manager Trend Micro italia

Ne parla nel modo più chiaro Trend Micro che evidenzia come la sicurezza al 100 percento non esiste perché l’ultimo e finale antivirus a entrare in azione è il cervello umano e questo può essere ingannato. I cybercriminali oggi lanciano attacchi contro ogni settore e funzione aziendale, non solo contro i reparti IT che potrebbe essere maggiormente preparati. Utilizzando tecniche di ingegneria sociale, gli hacker possono risalire alle abitudini e ai posti frequentati dalle potenziali vittime che possono essere indotte all’errore più facilmente.

Fioccano gli esempi, tra cui le finte comunicazioni, per esempio da hotel recentemente visitati che possono indurre ad abbassare la guardia e cliccare, dando il via libera a un attacco. Ecco perché oltre a una preparazione tecnologica che è imprescindibile, secondo Trend Micro bisogna supportare il personale formandolo ed educandolo in continuazione sulle nuove minacce. E fa eco a Trend Micro (Gastone Nencini, country manager e Carla Targa – Sr Marketing e Communication Manager) proprio Symantec con Vittorio Bitteleri, Head of Sales Enterprise Security per l’Italia che afferma: “Un elemento fondamentale è proprio la formazione del personale in materia: la sicurezza dipende da persone, processi e tecnologie”. Si parte dalla scelta delle password, da non replicare, ma si deve arrivare alla cultura dell’aggiornamento delle applicazioni, come minimo. Un software non aggiornato è di suo già minaccioso.

Vittorio-Bitteleri-Symantec
Vittorio Bitteleri, Head of Sales Enterprise Security Symantec Italia

I nostri lettori hanno dato risposte chiare: ben il 42 percento del campione riconosce la centralità e l’importanza della protezione delle informazioni, e una percentuale ancora più elevata (48 percento) addirittura intravvede nella formazione una forma di difesa efficace. Con appena il 10 percento di chi ha risposto al sondaggio a rimanere focalizzato sulla difesa dell’endpoint.

Prospettiva condivisa nella sua interezza da Forcepoint, con Luca Mairani Sr. Sales Engineer, che conferma “l’avanzata trasformazione delle architetture IT e sottolinea la letterale dissoluzione del perimetro aziendale a favore della mobilità e del Byod, come fattori di  rischio nel complicare non poco le politiche di protezione”. Si aggiunge l’elemento cloud computing che rende disponibili i dati ovunque, da qualunque dispositivo, legando l’utente, il dato, e le azioni dell’utente su di esso in un unico paradigma. Per questo, secondo Forcepoint, l’azione di protezione a partire dall’utente finale, è fondamentale. 

Luca Mairani - Sr Sales Engineering Forcepoint
Luca Mairani – Sr Sales Engineering Forcepoint

Lo scenario attuale prevede che l’operatività di chi tratta le informazioni non sia legata né al luogo, né al tempo, ma alla persona in azione su una determinata informazione. Questa persona, nel momento del bisogno, agisce in alcuni casi sfruttando device del tutto controllati dall’azienda, ma sempre più spesso anche con device personali, atteggiamento che aumenta la produttività ma espone a maggiori rischi. Un dato che emerge anche dal recente rapporto Ponemon, con le azioni involontarie dei dipendenti sotto ‘processo’ perché tra le principali cause di violazioni.

Per Forcepoint a fianco di soluzioni specifiche di Data Loss Prevention, si rivela per questo motivo indispensabile uno strumento di analisi comportamentale, per abilitare una sorta di baseline comportamentale che permette di identificare i comportamenti (e gli utenti) più a rischio.

Quando il bersaglio è in cloud

Sul fronte, solo in senso figurato, opposto, se si eleva l’attenzione verso la sfida comportamentale, proprio le nuove architetture hanno chiamato i vendor a sviluppare sistemi di protezione data center ‘centrici’.

Denis Valter Cassinerio Regional Sales Director di BitDefender
Denis Valter Cassinerio Regional Sales Director di BitDefender

Per esempio Bitdefender ha sviluppato soluzioni mirate nell’ambito Data Center security e per la protezione del dato in Cloud aiutando le aziende nell’implementazione sicura della virtualizzazione in modalità Hypervisor Agnostic, rispettando così l’eterogeneità di scelta nel percorso di fruizione dei dati da e verso il Cloud. Denis Valter Cassinerio Regional Sales Director di BitDefender specifica: “Si sono introdotte nelle soluzioni diversi livelli tecnologici di difesa, sostenuti fortemente da tecnologie basate sul Machine Learning, che BitDefender usa attivamente dal 2009 per coniugare una maggiore efficienza con logiche  Next Generation e migliorare sia la Difesa che la Detection dei segnali di attacco”. 

Dal punto di vista tecnologico, per esempio, Bitdefender Hypervisor Introspection introduce un nuovo paradigma nelle tecnologie per combattere gli APT Advanced Persistent Threats e gli attacchi mirati di nuova generazione che tendono a non lasciare tracce ed offuscarsi alle tecnologie di difesa tradizionali. Esso lavora a livello di Raw Memory, una condizione ritenuta quasi impossibile da raggiungere per la complessità di lettura ed estrazione della sintassi delle informazioni da analizzare.

Morten Lehn - General Manager Italy di Kaspersky Lab
Morten Lehn – General Manager Italy di Kaspersky Lab

La protezione dell’architettura cloud ha in parte spostato l’attenzione anche dei vendor tradizionalmente affermatisi sul nostro mercato a partire dalle soluzioni di protezione dell’endpoint dell’utente finale, per poi aprirsi alla realtà di impresa. Tra questi Kaspersky. Spiega Morten Lehn, General Manager Italy di Kaspersky Lab: “Con Kaspersky Endpoint Security for Business e Kaspersky Small Office Security senza abbandonare la protezione dell’endpoint abbiamo esteso la protezione multi-livello contro le minacce conosciute ed emergenti integrando tecnologie preventive, euristiche e cloud”. 

Lato Cloud, l’attenzione per le realtà del nostro tessuto produttivo ha portato Kaspersky a fornire una soluzione Saas con Kaspersky Endpoint Security declinato come servizio nella nuvola. Infine il riconoscimento dell’anello debole relativo alle lacune formative ha invogliato il vendor russo alla proposta di un programma di formazione articolato, che è possibile seguire sia on line sia con lezioni in aula.

Oltre la logica di prodotto

Quasi tutti i vendor in un certo senso sentono la necessità di andare ben oltre la logica di prodotto. E’ il punto di partenza, della già citata Trend Micro per esempio, che lavora non sulle release ma a progetto ricreando e proteggendo l’infrastruttura vera e propria di un cliente facendo “esplodere” le minacce in un ambiente che è quindi reale e protetto allo stesso tempo. 

L’approccio che preveda la replica, o l’emulazione, o comunque l’osservazione protetta del comportamento delle minacce è riconosciuto come valido da punto di vista tattico da più di un vendor. Per esempio Check Point con SandBlast prevede prima di analizzare i file in arrivo dai vari canali (Mail, Web ..) poi emula i comportamenti in “protetti e sicuri” prima che gli stessi file finiscano sulla postazione dell’utente finale.

CP_Security_TourDavid
David Gubiani, Security Engineering Manager di Check Point Software Technology

E comunque senza dimenticare l’endpoint con David Gubiani, Security Engineering Manager di Check Point Software Technology a ricordare: “E’ di vitale importanza proteggere tutto ciò che è collegato ad Internet o ad una rete, i dispositivi mobili ne sono un esempio lampante, li utilizziamo tutti, li proteggono in pochi…”. 
Prima la strategia quindi, che non prescinde dai fondamentali, poi l’indispensabile introduzione di strumenti innovativi, pescando anche dalle tecnologie più promettenti: machine learning, analisi euristiche, intelligenza artificiale.

A questo proposito Marco Rottigni, Consulting System Engineer per FireEye riporta al centro dell’attenzione una parola che nessuno ancora aveva evidenziato in questa inchiesta sicurezza, termine che indica un atteggiamento non solo filosoficamente corretto. Rottigni parla di resilienza: “Assumere di essere vulnerabile, accettare di essere colpiti minimizzando i danni, realizzare un livello di resilienza sufficiente per garantire la continuità del business: questi rappresentano punti di partenza per elaborare una strategia cyber che parta dalla definizione e misurazione del rischio”.

Marco Rottigni
Marco Rottigni, Consulting System Engineer per FireEye

Proviamo a mettere in ordine le idee già emerse con il contributo di Fortinet e di Filippo Monticelli, Regional Director dell’azienda che sembra quasi snocciolare i passaggi per una buona procedura valutativa sulle problematiche di sicurezza: valutazione del rischio, capacità adaptive, elaborazione della strategia, la valutazione delle regole di competenza e di intelligence, quindi le policy e poi il dispiegamento di risorse tecnologiche, sono tutti ingredienti irrinunciabili, ancora una volta con l’attenzione per le tecnologie più conosciute ed emergenti (anche il cloud) in grado di concorrere. Monticelli aggiunge l’idea dell’approccio esteso, capace di coordinare tecnologie differenti, eventualmente provenienti da vendor diversi. E’la Security Fabric di Fortinet, in grado di correlare tra loro strumenti differenti per garantire una sicurezza “gestibile”.

L’idea di ‘visione ampia’ emerge infine anche dall’approccio di F-Secure, declinato da Antonio Pusceddu, Country Sales Manager e Corporate Sales: “La nuova sfida sono le superfici estese”. F-Secure indica con questo termine tutta la sfera che comprende Internet delle Cose e dispositivi mobile come superfici attaccabili. Il vendor propone Radar, uno strumento di vulnerability management che mappa tutti gli IP address della rete aziendale, proprio in una logica IoT, e non solo i client tradizionali.

Antonio Pusceddu
Antonio Pusceddu, Country Sales Manager e Corporate Sales F-Secure

Quindi comprende: lettori di bar-code, telecamere di sorveglianza, dispositivi di lettura badge, printer scanner e qualsiasi strumento collegato alla rete aziendale. Radar diagnostica le vulnerabilità, suggerendo il fixing di ciascuna di esse, e infine guidando l’IT manager (o più frequentemente il partner nel suo ruolo di consulente) fino alla soluzione.

Ultimo, ma non per questo meno importante, abbiamo letto tra le righe degli interventi il riconoscimento del valore della condivisione delle informazioni ecco, chiudiamo proprio così: forse sono questi i primi anni in cui più si sente – sentiamo – i vendor pronti a far fronte comune rispetto alle sfide che attendono tutti. Le minacce sono globali, impegnative per qualsiasi realtà.

TERZA PARTE – Per una strategia della sicurezza

Siamo arrivati così all’ultima parte della nostra inchiesta sulla sicurezza. Consapevolezza, ansia da preparazione per il GDPR in scadenza, nuovi modelli di difesa dettati anche dalle tecnologie emergenti IoT e Big Data… Abbiamo tutto passato al ‘setaccio’ ascoltando i lettori e i vendor. Con il nostro ultimo appuntamento arriviamo all’approccio strategico. I lettori in questo ambito hanno espresso una posizione molto interessante. In un’analisi più approfondita potremmo quasi definirla all’italiana. Vince il confronto. E l’approccio non necessariamente eterogeneo (nel senso negativo del termine), quanto piuttosto attento allo studio della soluzione migliore, da chi offre il meglio in un determinato comparto.    

A chi vi affidate per la sicurezza in azienda?
A chi vi affidate per la sicurezza in azienda?

Spieghiamo così quest’ultima infografica del nostro sondaggio: i lettori hanno superato il modello di protezione esclusivamente su client (abbiamo inserito questa domanda in parte provocatoria, pensando proprio alla nostra piccola e media azienda) e – verrebbe da dire fortunatamente – anche l’approccio basato sull’emergenza, per cui vince il fornitore che arriva ‘nel momento del bisogno’. Praticamente metà del campione si affida a consulenti e vendor diversi, e un quarto sceglie un unico fornitore. Sentiamo allora i vendor.

A ciascuno il suo… Principi comuni, ma soluzioni specifiche

Per la nostra ultima domanda: Se doveste definire una strategia di approccio alla sicurezza, quali sarebbero i vostri consigli? Una prima traccia importante è proposta da Check Point, in modo molto stringato ma efficace. Secondo David Gubiani, Security Engineering Manager di Check Point Software Technology, non è possibile definire una tattica valida sempre, perché l’attività dell’azienda, gli strumenti utilizzati per sviluppare il business, possono rivelarsi determinanti nella scelta del percorso da intraprendere.

David Gubiani
David Gubiani, Security Engineering Manager di Check Point Software Technology Italia

Per questo, con il cliente, è importante fotografare con precisione un punto di partenza, procedere attraverso un assessment strutturale e di analisi delle minacce e poi scegliere una via. L’approccio specifico di Check Point è l’offerta di un Security Checkup, l’attività svolta dagli specialisti presso il cliente finale per capire quali minacce sono in corso nella loro rete e come proteggersi ed eventualmente ridisegnare la sicurezza insieme.

La fotografia del punto di partenza è fotografia anche dell’infrastruttura IT (hardware/software), lo specifica Trend Micro che evidenzia come siano da considerare geolocalizzazione e numero di postazioni, gli asset fondamentali da proteggere le specificità del settore merceologico. Di recente Trend Micro ha utilizzato questo approccio con Telethon, che aveva la necessità di omogeneizzare in un unico punto di controllo tutto ciò che è relativo alla gestione della sicurezza, tutelando quei sistemi non più supportati come Windows Server 2003 e mettendosi al sicuro da possibili attacchi mirati, frequenti nel settore dove questa organizzazione opera. Lo si è fatto con Deep Security e Deep Discovery.

Gastone Nencini - Country Manager Trend Micro italia
Gastone Nencini – Country Manager Trend Micro italia

Teniamo di questo approccio il primo valore comune: quello di evitare le formule predefinite, una ricetta sempre valida, le rigidità. A questo FireEye aggiunge il concetto di maturità interna all’azienda. Un approccio interessante declinato anche dall’infrografica che alleghiamo.

Cyber Program Maturity
FireEye Cyber Program Maturity

Questa valutazione secondo Marco Rottigni, Consulting System Engineer per FireEye, permette di capire la validità e l’efficacia di quanto sia già implementato in azienda, verificare le aree di scopertura e eventuali lacune della protezione esistente. Diventa quindi possibile pianificare la propria strategia di maturazione cyber lavorando di pari passo su tre ambiti:
(a) il miglioramento degli strumenti con soluzioni che aumentino le capacità di visibilità, analisi e risposta sia di minacce note che non;

Marco Rottigni, Consulting System Engineer per FireEye
Marco Rottigni, Consulting System Engineer per FireEye

(b) l’aumento delle competenze interne per contrastare le nuove forme di minaccia e i rischi che pongono verso il business e il patrimonio di proprietà intellettuali e dati aziendali;
(c) l’adozione di forme di Cyber Threat Intelligence, strutturate per essere consumate al meglio dal punto di vista tattico (con indicatori di compromissione), operativo (tramite tecniche e strumenti di attacco) e strategico (con la classificazione degli attaccanti e profili di rischio). 

Anche BitDefender, propone un approccio tattico/strategico che tenga conto prima di tutto delle nozioni base di awareness e consapevolezza. Al centro le valutazioni sullo stato di rischio, Risk Based, il confronto con gli standard riconosciuti come riferimento nella costruzione dei programmi di sicurezza (per esempio il Framework Nazionale per la Cybersecurity che è stato sviluppato sulle best practice del NIST) e poi l’investimento in programmi interni di Security Awarness per la forza lavoro. 

Vittorio Denis Cassinerio
Vittorio Denis Cassinerio Regional Sales Director di BitDefender Italia

Siamo un pochino alla chiusura del cerchio, rispetto alla prima puntata. Così, secondo  Denis Valter Cassinerio Regional Sales Director di BitDefender“la tecnologia di per se non può sostituirsi al comportamento inidoneo dell’individuo, che ha necessità di maggiore consapevolezza dei rischi che corre nel non adottare un’adeguata attenzione alla gestione delle informazioni ed all’utilizzo degli strumenti”.

Cosa NON bisogna fare

Come ci si muove, allora: (a) prima di tutto l’atteggiamento da ‘testa sotto la sabbia’ non porta a nulla e costringe a riemergere e prendere atto dei disastri quando la situazione è del tutto compromessa. Prima si considerano le cose meglio è. In secondo luogo (b) la valutazione dell’impatto sul business non può prescindere dalla stesura di un piano di continuità operativa, e tanto richiede le simulazioni del caso. BitDefender indica come siano essenzialmente preferibili le tecnologie di tipo “layered” per ridurre lo stato di rischio degli asset e l’esposizione agli attacchi, e allo stesso tempo come da dimenticare quelle di difesa statica. 

Filippo Monticelli, Regional Director per l'Italia
Filippo Monticelli, Regional Director per l’Italia

Il paradigma di difesa però si modellerà sulle soluzioni di memory introspection che, insieme alla strategia volta a diventare ‘obiettivi mobili’, e non bersagli fissi, può mettere in difficoltà sempre maggiori l’attaccante.
Fortinet, con Filippo Monticelli, Regional Director per l’Italia torna sul concetto dei livelli, per parlare dell’integrazione della sicurezza non come ‘strato‘ sopra i processi, ma per veicolare l’idea di integrazione la security in fase di progettazione dei processi, quindi non tanto affidandosi a mere soluzioni hardware/software ma pensando piuttosto a una strategia complessiva prima ancora che alle tecnologie presenti in azienda, per poi scendere nell’implementazione puntuale senza sacrificare l’interoperabilità. 

Arriviamo a un ulteriore passaggio: la completezza. Morten Lehn, General Manager Italy di Kaspersky Lab“Si cade anche perché dopo aver pensato a un approccio strategico globale, si finisce con il prestare meno attenzione a tutti i dispositivi. ]…[ Bisogna inoltre dotarsi di servizi di intelligence sulla sicurezza da parte di fornitori autorevoli, che aiutino a prevedere, riconoscere e rispondere alle minacce più avanzate in tempo reale”.

Morten Lehn
Morten Lehn, General Manager Italy di Kaspersky Lab Italia

La cultura interna sulla sicurezza non è solo consapevolezza, ma molto concretamente anche solo l’utilizzo inappropriato delle risorse IT da parte di impiegati disinformati o disattenti, può causare danni significativi.

Di pari passo però, come evidenzia Forcepoint, la cultura da sola aiuta a tenere gli occhi aperti, ma non basta. Luca Mairani Sr. Sales Engineer ForcePoint: “Di fronte a un’email (su cui l’utente magari dimostra almeno di essersi posto qualche domanda), c’è una bella differenza tra soluzioni che si limitano a trattarla come spam e a cancellarla o a metterla in quarantena, e soluzioni che “disarmano” tutti i link contenuti facendoli puntare a una pagina educativa aziendale (Forcepoint propone Insider Threat)”.

Luca Mairani Sr. Sales Engineer ForcePoint
Luca Mairani Sr. Sales Engineer ForcePoint

Nel momento in cui l’utente dovesse cadere nella trappola e cliccare sul link si ritroverebbe a consultare un contenuto educativo mirato ad informare ed educare l’utente a riconoscere email potenzialmente malevole. 

Mantenere il controllo è quasi un obiettivo

Abbiamo aggiunto diversi tasselli valutativi: la fotografia della situazione, l’analisi dei processi, l’attenzione per gli endpoint, l’integrazione delle soluzioni nei processi e la formazione interna, per tornare infine al nocciolo del dato. Per Symantec e Vittorio Bitteleri, Head of Sales Enterprise Security Italia, così come “è giusto non ‘distogliere l’attenzione’ dagli oggetti, allo stesso modo la centralità di informazioni, accessi e identità resta”.

Vittorio Bitteleri, Head of Sales Enterprise Security Symantec Italia
Vittorio Bitteleri, Head of Sales Enterprise Security Symantec Italia

Per questo, ancora prima che nei piani di maintenance, rientrano nella sfera security, oggi, anche backup, ripristino, procedure di autenticazione allo stato dell’arte, uso esteso della crittografia, adozione di livelli di sicurezza sui dati a due livelli: la prevenzione e il contenimento (che funziona meglio tramite le tecnologie di contenimento euristiche, come Sonar e Sapient).

Conoscere della propria realtà le possibili vulnerabilità, mantenere il controllo della situazione, e anche solo sapere cosa fare, quando si è sotto attacco, è già aver affrontato la parte più difficile, aver raccolto la sfida nella direzione corretta. Vogliamo chiudere con una sollecitazione, raccogliendo il suggerimento di F-SecureAntonio Pusceddu Country Sales Manager, Corporate Sales: “E’ necessario fare divulgazione: ed è un compito che spetta principalmente a tutti noi vendor. Un canale formato, e una azienda informata, sono il punto di partenza di una strategia seria, e di lungo periodo”.

Antonio Pusceddu Country Sales Manager, Corporate Sales
Antonio Pusceddu Country Sales Manager, Corporate Sales

Bisognerà affrontare le resistenze iniziali, incoraggiare chi ha già compreso come l’investimento suggerito in cyber security sia una frazione irrilevante rispetto al possibile danno di un blocco della propria attività produttiva o di servizio. Sollecitare gli altri. E’ certo questo un momento in cui l’unione fa la forza. L’idea, anche la nostra è proprio che non esista una sola tecnologia e non esista un solo vendor capace di coprire il 100 percento delle necessità di sicurezza aziendale. Era anche il parere dei nostri lettori. 

Per saperne di più