SGBox e Bitdefender, affinità elettive in nome della sicurezza

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

L’integrazione tra SGBox (SIEM) e Bitdefender evidenzia le potenzialità di un approccio che supera la logica attacco/risposta, offre visibilità profonda sugli eventi e un livello maturo di consapevolezza, come richiesto dai nuovi regolamenti

Denis Valter Cassinerio, Regional Sales Director per Bitdefender Italia, fa gli onori di casa: si tratta di presentare l’integrazione delle tecnologie della sua azienda, Bitdefender con SGBox, soluzione SIEM (Security Information and Event Management) modulare per la gestione dei log, in grado però di offrire anche un nuovo paradigma per il controllo delle minacce, quando è messa in condizioni di effettiva interoperabilità con le soluzioni di sicurezza sottostanti.

Denis Cassinerio_2
Denis Valter Cassinerio – Regional Sales Director per Bitdefender Italia

E’ quello che è accaduto nella partnership tecnologica (e non solo) tra le due aziende. A inizio anno Massimo Turchetto, CEO & Founder SGBox, e Cassinerio si sono incontrati e hanno pensato a “un’alleanza di valore sotto il profilo dei contenuti tecnologici”.

Così, conosciuta, utilizzata e apprezzata da Bitdefender nel corso degli anni, la soluzione SGBox ha ricevuto in cambio l’expertise di Bitdefender, per alcuni valori tecnologici intrinseci delle soluzioni di sicurezza del vendor rumeno, che avrebbero esaltato le potenzialità stesse del SIEM.

Da qui il connubio di integrazione che offre ulteriori vantaggi agli analisti di sicurezza e chiude il “cerchio magico” di ogni approccio virtuoso alle tematiche di cybersecurity e gestione del rischio, e cioè la capacità di prevenire, individuare, rispondere, recuperare.

Lo scenario Cybersecurity, come sfruttare meglio i SIEM

Lo scenario cybersecurity in cui sono chiamate a lavorare le tecnologie di entrambi i vendor richiama le aziende alla massima attenzione. Secondo il rapporto Clusit, il cybercrime vale circa 400 miliardi di dollari e rappresenta lo 0,8 del PIL mondiale, ed entro la fine dell’anno saranno 600 milioni i campioni unici di malware conosciuti (fonte AVTest), con una crescita da 3 a 5 nuove minacce al secondo (tra il 2013 e il 2016).

L’Italia è esposta per circa il 20 percento (ricerca Micron), il 39 percento degli attacchi nel Bel Paese va a buon fine, e attaccare una precisa identità non è per nulla difficile, il Web pullula di strumenti che espongono le vulnerabilità per farlo. Una delle prime conseguenze è proprio la necessità di supporto forense nel 50 percento delle aziende, ad ogni livello, anche basico.

Si parte anche solo dalla lettura di log dei sistemi, per capire da dove arriva l’attacco. Nell’era WannaCry, che ha rubato solo in parte la scena agli attacchi APT, la gestione del rischio va però ben oltre la semplice reazione e richiede la capacità di Monitoraggio, Alert, la Detection e le attività Ex Post (sia nel caso in cui si sia riusciti a fermare il Data Breach, sia quando il Data Breach è riuscito).

La differenza fondamentale rispetto al passato è però data dal quadro normativo, del tutto in fase di cambiamento con GDPR e AgID.  GDPR riguarda servizi, sistemi e dati, ma in merito al Data Breach illumina sullo spirito di fondo che Cassinerio evidenzia: “Accrescere la maturità in sicurezza dell’impresa con la scelta di un piano, e le capacità di controllo, gestione, di cui si deve essere in grado di rendere conto”.

La sicurezza della consapevolezza frutto dell'integrazione tra BitDefender e SGBox
La sicurezza della consapevolezza frutto dell’integrazione tra Bitdefender e SGBox


Sono fondamentali anche le indicazioni AgID in merito alle misure minime di sicurezza. Spiega Cassinerio: “Le amministrazioni entro il 31 dicembre del 2017 dovranno provvedere all’inventario dei dispositivi autorizzati e non, proteggere le configurazioni, inventariare oltre all’hardware anche i software autorizzati o meno, avere la tracciatura dei log verso gli asset”.  Soprattutto AgID richiede la valutazione e la correzione continua delle vulnerabilità (non una volta all’anno) aumenta l’attenzione sulla protezione dell’endpoint – nell’era in cui i confini non esistono più – e sottolinea come le soluzioni basate su firme servano ancora, ma non siano assolutamente sufficienti!

Arriviamo a bomba. Quando si gestisce un data breach da un parte bisogna adottare i sistemi di controllo anche tradizionali, soluzioni di protezione basate su machine learning, firewall, crittografia, ma bisogna monitorare anche le applicazioni in modalità “zero-trust” – lungo un continuum persistente – con l’utilizzo delle sandbox,  con i sistemi anti exploit, anche sui sistemi non “patchabili” e con le soluzioni di introspezione della memoria.
 Servono quindi poi strumenti che tengano in considerazione tutte le tematiche Data Breach e portino nuove possibilità di gestione ai responsabili della sicurezza, per un nuovo livello di controllo.

SGBox, SIEM integrato con Bitdefender

Qui entra in gioco il SIEM di SGBox, che permette di fare business intelligence sulla sicurezza, implementa di volta in volta gli aggiornamenti dettati dalle normative, e fornisce il reporting costante. L’integrazione tra la piattaforma SIEM e le soluzioni Bitdefender risponde a e assimila le richieste di governance della sicurezza. Con Bitdefender e SGBox si innesca quindi un meccanismo virtuoso autoimmune rispetto a un eventuale attacco. 

Nel caso di WannaCry le soluzioni Bitdefender avrebbero agito nell’ambito della gestione del Data Breach e prima ancora sfruttando le regole di riconoscimento implementate sulla modalità di attacco. In più l’azione informativa verso SGBox, fatta in modo significativo – con i dati corretti – accorcia il percorso di indagine, riducendo gli oneri dell’esposizione al rischio, grazie agli indicatori “atomici” sia a livello applicativo sia a livello di introspezione di memoria.

Massimo Turchetto Sales Manager SGBox
Massimo Turchetto CEO&Founder SGBox

L’idea importante e di fondo è che la gestione dell’incidente non si ferma né al suo rilevamento né alla remediation, ma contempla – dopo le fasi investigativa e risolutiva – anche tutte le operazioni di notifica interna ed entro 72 ore anche agli interessati, potendo già documentare tutto come richiesto da GDPR. Il SIEM in questo ambito rappresenta un cappello che se orchestrato nella maniera corretta, con i giusti controlli, e le giuste integrazioni renderà virtuosi questi passaggi.

Bitdefender con SGBox permette di lavorare a livello di end-point, come di data center, e nelle infrastrutture virtualizzate (con l’abbraccio a tutti gli hypervisor) agisce come un’unica entità collaborativa. Anche in presenza di attacchi dove non esistano tracce (file-less) Bitdefender è in grado di dare a SGBox informazioni significative sulle sorgenti di attacco per garantire la visibilità e l’utilizzo di controlli per bloccare gli zero-day attack.

L’abbinata rende disponibile un quadro di panorama sulle vulnerabilità, la situazione end-to-end, nel modo più completo possibile. L’integrazione avviene così: SGBox utilizza una serie di fonti dati (log, sistema, eventi) per definire scenari di rischio che poi possono essere applicati al contesto. Alcune delle informazioni che arrivano a SGBox possono essere generate da applicazioni di SGBox che eseguono test puntuali su determinate vulnerabilità, fanno l’analisi e la correlazione attiva con contromisure anche automatizzabili.

Con l’integrazione Bitdefender permette a SGBox di accedere a funzionalità particolari del suo prodotto GravityZone. Sono proprio le API rese disponibili da Bitdefender a consentire la profonda integrazione e attraverso il dialogo con un’APP dedicata tra Bitdefender e SGBox viene semplificato il processo di “reaction”.    

Obiettivi dell'integrazione delle soluzioni BitDefender con SGBox
Obiettivi dell’integrazione delle soluzioni Bitdefender con SGBox

Ecco allora come viene poi masticata l’informazione data in pasto a SGBox da  Bit Defender. Lo spiega Massimo Turchetto, CEO & Founder SGBox: “Si parte dalle funzionalità tipiche di un SIEM ma il nostro punto di forza è dato dalla possibilità di gestire in modo univoco tutte le informazioni aggregando tutte le funzionalità di Log management e Event Correlation con la parte di Vulnerability Management e il System Monitoring, in modo non solo da collezionare più informazioni, ma da poter raffinare il dato e intraprendere contromisure più efficaci perché non si basano su un singolo evento, ma su una correlazione di più eventi (informazioni dei Log e vulnerabilità correlate). L’integrazione con Bitdefender offre una trasparenza maggiore con il dato e quindi la possibilità di azioni certe”. 

SGBox indirizza quindi anche diverse richieste del mercato relative alla compliance (proprio per il Gdpr per esempio), ai progetti di IoT (integrazione tra firewall, device e aggregatore di informazioni), alle esigenze di auditing. Consente deployment su più livelli, per esempio mantenendo i dati all’interno dell’azienda, oppure erogando SGBox come servizio (multi-tenant), una richiesta tipica dei reseller più piccoli che hanno un’utenza di PMI e che consente ai clienti di ridurre i costi.

SGBox si rivolge al mercato in modo indiretto. Ha selezionato tre distributori in Italia Attiva Evolution, DonkeySoftware e Esprinet (V-Valley), e ha a portafoglio anche un distributore pan-arabo. Con una parziale sovrapposizione, quindi, con la distribuzione di Bit-Defender che è funzionale alla proposizione tecnologica.

Ovviamente l’integrazione di SGBox con Bitdefender non è esclusiva (SGBox lavora già con Check Point da tempo), ma Turchetto vuole sottolineare come l’interoperabilità sia virtuosa tanto più quanto più le informazioni cedute sono qualitativamente salienti, cosa che accade nel migliore dei modi con Bitdefender. E come proprio l’interoperabilità con Bitdefender sia un plus in più da portare ai partner. E’ indubbio: le strategie tra Bitdefender e SGBox si intrecciano su più piani e la comunanza di visioni si palpa con mano. E’ per questo intenzione replicare anche in Europa il modello virtuoso di collaborazione maturato con l’esperienza compiuta dai due vendor qui in Italia. 

Per saperne di più:
INCHIESTA SICUREZZA – Consapevolezza e GDPR, modelli di difesa e strategie