CyberwarSicurezza

FireEye, mercato più sensibile alle tematiche di sicurezza

Direttore responsabile di Silicon, ITespresso, ChannelBiz e Ubergizmo dalla nascita, ama analizzare le dinamiche del mercato IT e le strategie dei vendor. Scrive da più di vent'anni di tecnologie, acquisizioni, hardware e software. Modera convegni e seminari. In passato ha diretto Techweekeurope, Gizmodo, Vnunet, PC Magazine e PC Dealer, iniziando il percorso professionale a Computerworld Italia dopo la laurea.

Secondo il rapporto annuale M-Trends di FireEye intercorrono in media 99 giorni da quanto le aziende scoprono di essere state attaccate. Anche se il dweel time si sta riducendo c’è ancora molto da fare. Il punto con Marco Riboli, Vice President Southern Europe di FireEye

Marco Riboli, da tre anni in FireEye e oggi Vice President Southern Europe, segue una Region che in questo lasso di tempo ha alzato il livello di attenzione sul mondo della security.  “Si faceva fatica parlare di Apt tre anni fa, oggi è un argomento di interesse generale – esordisce Riboli in un chiacchierata presso gli uffici di Milano -. Non ci sono grosse differenze di approccio tra i diversi paesi della mia Region, la sensibilità delle aziende e la risposta agli attacchi sono simili a quello che succede nelle aziende italiane”.

Marco Riboli, Vice President Southern Region di FireEye
Marco Riboli, Vice President Southern Region di FireEye

Dopo cinque anni dall’apertura nel nostro paese, oggi FireEye conta circa 100 clienti di grandi dimensioni, di cui ben 36 acquisiti nel corso del 2016. E’ cambiata la sensibilità del mercato verso le tematiche della sicurezza e presso i clienti noi lavoriamo molto bene con il canale dei system integrator, sia locali sia internazionali, per portare avanti progetti gestiti” precisa il manager.

Il fatturato di FireEye nel 2016 è cresciuto del 140 anno su anno, con aspettative più contenute per l’anno in corso. In Italia, un team di dodici persone e una decina di Managed Partner con competenze progettuali si indirizzano a esigenze di nicchia delle grandi aziende, cercando però di allargare la penetrazione sul mercato nella fascia della piccola e  media impresa, grazie in particolare agli accordi con i due distributori Arrow e Exclusive Networks, che gestiscono un centinaio di partner e che punteranno sul prodotto Helix annunciato solo poche settimane fa.
La Helix Platform lavora su tre livelli, consulenza, detection più veloce, protezione dell’ambiente e ci permetterà di aggredire il mid market – precisa Riboli -. I clienti piccoli, che non hanno fatto pesanti investimenti in sicurezza fino ad ora, potranno con Helix analizzare il loro stato di sicurezza, proteggersi nel modo corretto e, nel caso di attacchi, fare remediation in tempi veloci. La nostra ambizione è quella di approcciare il mercato della media azienda con un pacchetto chiuso, nello stesso tempo scalabile, modulare, che possa interagire con le soluzioni già esistenti in azienda o proporsi come soluzione completa. In questo modo la pmi dovrebbe riuscire a valutare l’investimento da fare”.

I system integrator oggi certificati sono Security Reply, Puntoit, R1, Sorint, Innovery, Leonardo, CY4GATE, 7Layers, Lutech, Business E, Var Group. “Manteniamo una rete di partner locali attivi con i  quali siamo congiunti nella gestione del cliente e stiamo costruendo dei consorzi per rispondere alle esigenze dei clienti. Uno di questi è per l’area del Triveneto, un altro è in ambito heathcare”  precisa Riboli. 

Attaccante sotto tiro

Se si guarda il trend italiano, che ha visto incrementate del 30% le attività di cyber attack nel 2016 , si capisce che gli attaccanti “non devono impegnarsi molto per entrare in azienda”: con il phishing, che fa leva sul fattore umano, riescono a penetrare nel 70% delle realtà. “Per questo motivo noi spingiamo sulla valutazione dell’attaccante più che del sistema attaccato: cerchiamo di ragionare come gli attaccanti, di essere loro vicini, per anticipare il più possibile le loro mosse” precisa Riboli.

Lo scorso anno le perdite delle aziende italiane, generate dai cyber attack, sono ammontate a 9 miliardi di euro, raccolti in diversi ambiti dal mondo finance, fino ai settori healthcare o gdo. “Il Gpdr sarà un driver per le minacce – precisa Riboli –  perché il 4% di multa sul totale del fatturato dell’azienda per gli inadempienti è un elemento che i manager non possono trascurare, alzando di conseguenza l’attenzione su questo argomento che verrà utilizzato dagli hacker per entrare nelle reti”.

Nonostante la scadenza che il Gdpr impone (maggio 2018), un terzo delle pmi italiane ritiene di non dovere investire ancora nel mercato della sicurezza. Solo il 6% crede di non essere a rischio, una dato migliore rispetto al 25% di un anno fa, che denota una sensibilità maggiore alla tematica. “La prevenzione non è più sufficiente – incalza Riboli -. Se prima solo il 10% delle aziende investiva in detection, ci si aspetta che almeno il 60% investirà entro il 2020”.

Cyber, zona di guerra

Un problema dal quale nessuno è immune. “La minaccia è trasversale anche  se i maggiori attacchi avvengono nel government e nel finance – incalza Marco Rottigni, consulting SE di FireEye  -. Quando un vertical raggiunge una presenza interessante per numero clienti o per proprietà intellettuale diventa obiettivo di attacchi. Terra, Mare, Aria, Spazio sono gli ambiti delle guerre tradizionali. A queste si deve aggiungere anche il Cyber World, che la stessa Nato sta definendo come un dominio di guerra, molto più esteso degli altri quattro domini”.

Marco Rottigni, consulting SE di FireEye
Marco Rottigni, consulting SE di FireEye

Secondo il rapporto annuale M-Trends di FireEye, realizzato nel 2016 per misurare la capacità di risposta agli incidenti di una azienda, intercorrono 99 giorni (un anno fa questo valore era di una volta e mezza) da quanto le aziende scoprono di essere state attaccate: un lasso di tempo notevole, di tre mesi su scala globale, che pur variando a seconda dei paesi (in Emea la media è di 106  giorni, in Usa di 35)  mostra come gli attaccanti siano presenti nelle reti delle organizzazioni molto tempo prima di essere scoperti. “Il tempo di scoperta è in miglioramento, se lo vediamo su scala progressiva il dwell time è in discesa dal 2011, dove era drammaticamente alto, pari a 469 giorni prima di scoprire che l’azienda era stata compromessa. Il 2011 era davvero il far west. Oggi, 99 giorni denotano una presa di coscienza del problema, ma si tratta ancora di troppo tempo perché stando ai  nostri studi gli esperti di FireEye possono essere in grado di aver accesso alle credenziali del dominio attaccante entro tre giorni” . Dal 2012 si è cominciato a parlare di  intelligence della sicurezza  e a prendere coscienza che serviva il monitoraggio dello stato della rete: non era più sufficiente un approccio che mettesse solo patch di sicurezza quando si presentava il problema. Da qui la svolta.

“Prima del 2013 gli attacchi avevano una bassa sofisticazione, era quasi dei mordi e fuggi, di durata breve, per fare cassa – spiega Rottigni -. Nel 2013 si constata la crescita del livello di sofisticazione degli attacchi, della capacità dell’attaccante di organizzarsi da un punto di vista strategico, operativo e tattico, con un dipartimento di ricerca e sviluppo a supporto e un’organizzazione sofisticata con infrastrutture molto grandi, strutturate, server farm vere e proprie, non più il server a noleggio. Inoltre l’attaccante si rivela molto abile a coprire le proprie tracce e anche le tecniche di machine learning fanno molto fatica a scovarlo”.

“Bisogna cambiare mentalità perché le brecce sono inevitabili – conclude Riboli -. Gli attaccanti sono sempre più umani e strategicamente organizzati”.  
La fotografia dal report è chiara: il  dweel time si sta riducendo ma è ancora da migliorare; l’attribuzione dell’attacco è molto difficoltosa, per cui servono strumenti di intelligence non solo basati sul machine learning;  le brecce alla sicurezza sono inevitabili e bisogna considerarle, con una logica chiara: “Accetto di essere colpito ma non di rimanere ferito” conclude Rottigni.