I dati dell’Osservatorio Cyber Security & Data Protection del Politecnico di Milano emerge che Cloud e Big Data hanno maggiormente influenzato la gestione della sicurezza.
Quali strumenti e strategie sono necessari oggi per proteggere i dati? Dagli ultimi dati dell’Osservatorio Cyber Security & Data Protection del Politecnico di Milano emerge che Cloud e Big Data hanno maggiormente influenzato la gestione della sicurezza.
di Mario Galli
Sono il cloud e i big data gli elementi che maggiormente influenzano la gestione della sicurezza negli ultimi dodici mesi: lo evidenzia l’Osservatorio Cyber Security & Data Protection del Politecnico di Milano, ma sono evidenziati anche l’accelerazione della spesa destinata alla sicurezza in ambito Operational Technology, e cioè i sistemi hardware e software deputati al controllo dei sistemi industriali (come ICS, SCADA e PLC), e la grande attenzione riposta nell’intelligenza artificiale, utilizzata in ambito Cyber Security dal 47% delle aziende. Ecco il punto di vista di alcuni esperti sulla fornitura di soluzioni tecnologiche per un’efficace sicurezza digitale.
PROTEZIONE AVANZATA GRAZIE ALL’AI
La trasformazione digitale ha impresso un’accelerazione dal punto di vista tecnologico per molte aziende, in quanto queste hanno dovuto affrontare nuove sfide durante la pandemia. Di conseguenza, molti hanno trasferito sempre più servizi nel Cloud, portando a una creazione di utenti e metadati ancora maggiore e a una più ampia dispersione di informazioni e dati anche sensibili su diverse infrastrutture. Un recente sondaggio condotto da Acronis ha mostrato che il 92,3% delle aziende di tutto il mondo intervistate ha dovuto adottare nuove tecnologie dopo il passaggio al lavoro da remoto e allo smart working.
Di pari passo, gli hacker sono sempre più attenti e sanno come monitorare i dati concentrando sempre più la loro attenzione su ambiti di archiviazione non protetti nel Cloud. Soprattutto perché i neofiti del Cloud spesso si trovano alle prese con la complessità di tale tecnologia, e registrano configurazioni non efficaci per le piattaforme AWS S3 e Kubernetes (quest’ultima open source).
È quindi importante avere una visione consolidata incentrata sui dati in tutta l’infrastruttura IT. Non basta solo immettere i file di log del Cloud in una posizione centrale e arricchirli, ma bisogna analizzare automaticamente il comportamento degli utenti e reagire a qualsiasi anomalia. La protezione informatica “olistica” richiede di sapere dove si trovano i dati, chi vi accede e per quale scopo. Al fine di elaborare in modo efficiente la grande quantità di dati che vengono costantemente aggregati, gli algoritmi dell'Intelligenza Artificiale possono aiutare a identificare rapidamente i casi sospetti e a reagire automaticamente in modo appropriato. Questa strategia richiede l’integrazione tra i diversi silos di dati e la messa in sicurezza dell’intero ciclo: dalla prevenzione, fino all’eventuale ricorso all’informatica forense. (Candid Wüest, www.acronis.com)
Candid Wüest, VP Cyber Protection Research di Acronis.
APPROCCIO PERSONALIZZATO
Il mondo della sicurezza informatica è in rapida evoluzione e registra una crescita degli attacchi hacker non solo quantitativa ma soprattutto qualitativa. Le minacce che devono fronteggiare le aziende, infatti, sono sempre più mirate e ritagliate su misura degli utenti che si vogliono colpire. Anche le soluzioni che le devono fronteggiare vanno quindi costruite con la stessa attenzione “sartoriale”. In questo senso, Cloud, Big Data e Intelligenza Artificiale fanno certamente parte del bagaglio tecnologico a disposizione dei CISO, che devono prima di tutto creare il miglior ecosistema per proteggere i dati sensibili delle imprese e mantenerne la piena operatività. Anche i sistemi SCADA sono, sulla carta, una soluzione in grado di assicurare la massima tranquillità a chi opera nell’Operation Technology. Tutto questo però non è sufficiente.
Occorre un cambio di prospettiva che metta al centro l’unica variabile che può vanificare l’efficacia di ognuna di queste tecnologie: l’elemento umano. Le persone, infatti, non ragionano come i sistemi informatici e proteggerle richiede necessariamente un approccio proattivo. La sfida che devono raccogliere oggi le imprese è quindi garantire la sicurezza dei dipendenti anche al di fuori da quel perimetro che si ritiene inviolabile. Confidare sull’efficacia di sistemi chiusi è impensabile.
La realtà ci dice che i pericoli arrivano sempre più spesso da nuove modalità di lavoro che mettono al centro la navigazione su Internet, tanto che l’80% dei dati persi dalle aziende sono frutto di attacchi che arrivano dal web. È quella la porta che va presidiata, con soluzioni di volta in volta personalizzate, in grado di prevenire ogni possibile infezione. (Hassan Metwalley, www.ermes.company)
Hassan Metwalley, CEO di Ermes Cyber Security.
LA TUTELA DEGLI ENDPOINT
Oggi non basta più una singola tecnologia per proteggere i dati. È necessario implementare un sistema di sicurezza che, sfruttando le tecnologie di ultima generazione, possa garantire la protezione dei singoli dispositivi, anche di quelli utilizzati negli ambienti industriali e dei dati in essi contenuti. Attraverso l’intera gamma di soluzioni software che consentono di proteggere imprese, infrastrutture strategiche e utenti in tutto il mondo da minacce digitali sempre più sofisticate, ESET si concentra direttamente sulla protezione dell’Endpoint dove i dati vengono elaborati e gestiti, ed è proprio lì che vengono protetti, a prescindere che si tratti di client, di server o di smartphone.
Le soluzioni di Endpoint Protection gestite di ESET si affiancano a soluzioni di Sandboxing in Cloud, di cifratura, di doppia autenticazione e di DLP (Data Loss Prevention), solo per fare alcuni esempi che, agendo in modo coordinato, possono aumentare notevolmente la protezione dei nostri dati e quindi di tutta l’infrastruttura informatica.
Certamente l’Intelligenza Artificiale ha dato una spinta notevole alla capacità di reagire velocemente ed efficacemente ad attacchi malware e agli incidenti di sicurezza sempre più complessi, ma ESET ha iniziato già nel lontano 1997 a sfruttare questo approccio, che l’ha portata ad avere oggi un prodotto all’avanguardia, in grado di utilizzare le funzionalità del Machine Learning e del Deep Learning sia nel Cloud che direttamente sull’Endpoint. Grazie alle nuove tecnologie presenti nelle soluzioni di ESET, è possibile operare anche in realtà più complesse, assicurando una maggiore visibilità su quanto accade all’interno dell’infrastruttura, riuscendo ad arginare DataBreach altrimenti disastrosi. Anche in quest’ambito, la soluzione EDR (Endpoint Detection and Response) di ESET, insieme alle varie tecnologie di Endpoint Protection, aiuta nella realizzazione di questo difficile compito. (Samuele Zaniboni, www.eset.com)
Samuele Zaniboni, Presales Engineer Manager di ESET Italia.
A SALVAGUARDIA DEL BUSINESS
“Sicurezza digitale efficace” è sinonimo di una piattaforma tecnologica in grado di proteggere una superficie d’attacco in continua espansione e sempre più eterogenea: dall’Endpoint, al Datacenter, al Cloud, all’universo OT e IoT. In questo contesto, gli attacchi si fanno sempre più sofisticati e si riescono a contrastare solo applicando motori di Intelligenza Artificiale a sistemi di sicurezza fortemente integrati con le infrastrutture di rete.
Questi sistemi sono in grado di accelerare le applicazioni mission-critical ottimizzandone la fruibilità con tecniche di SD-WAN, indipendentemente da dove siano erogate, filtrandone l’accesso e i contenuti con un approccio “zero trust”.
Si tratta di soluzioni in grado di essere adattate in funzione dell’ambito di applicazione, che facilitano la gestione e il monitoraggio garantendo uniformità e armonia nell’applicazione delle policy dell’intero sistema di sicurezza, tenendo conto della “biodiversità” che Internet garantisce sempre più.
Visibilità, efficacia nella protezione, semplicità di gestione e fruibilità in sicurezza dei servizi sono i concetti di base che consentono di mettere a fattor comune diverse tecnologie e di farle comunicare tra loro per massimizzare il livello di sicurezza. Il Next Generation Firewall che dialoga, ad esempio, con Sandbox, NAC, Switch, Access Point, XDR e tutti gli altri elementi, anche di terze parti; il Siem che facilita l’individuazione dei vari incident e il SOAR che automatizza la remediation. Tutti elementi caratterizzanti di Fortinet Security Fabric. (Antonio Madoglio, www.fortinet.com)
Antonio Madoglio, Director Systems Engineering per l’Italia e Malta di Fortinet.
COMBINAZIONE DI TECNOLOGIE DIVERSE
I dipendenti che passano in massa allo smart working hanno causato ciò che i team IT temevano maggiormente: un picco di problemi di sicurezza dovuto all’aumento dell’utilizzo di dispositivi eterogenei, caratterizzati da diversi livelli di conformità ai protocolli di sicurezza. I dipartimenti IT che prima funzionavano correttamente, grazie alla visibilità degli asset e alle regolari patch del software, sono ora esposti a minacce esterne e interne a causa di dispositivi e applicazioni che non sono controllati adeguatamente per l’uso nella rete aziendale.
Ivanti, fornitore di tecnologie integrate per l’automazione e la sicurezza delle attività IT, offre una piattaforma di automazione che rende ogni connessione IT più intelligente e sicura tra i dispositivi, le infrastrutture e le persone che operano negli ambienti industriali. Gli strumenti di iperautomazione di Ivanti possono risolvere fino all’80% dei problemi, anticipando la segnalazione dell’utente, ottenendo maggiori informazioni sui tipi di minacce che l’impresa deve affrontare e sui relativi modelli comportamentali da adottare.
Questa combinazione di diverse tecnologie può aiutare l’IT a gestire più efficacemente la sicurezza di un’ambiente remoto nei seguenti modi: analisi avanzata delle minacce (analizzando vulnerabilità e monitorando ogni cambiamento nell'uso o nel comportamento dei dispositivi in uso); visibilità migliore nell’Edge (l’IT può interrogare tutti i dispositivi Edge utilizzando l’elaborazione del linguaggio naturale, NLP, in tutta l’azienda e in pochi secondi); rimedio proattivo (il monitoraggio dei dispositivi e delle applicazioni può identificare le vulnerabilità, assegnare le priorità al rischio e rimediare quelle che rappresentano la minaccia più vicina, in maniera totalmente automatizzata). Il tutto evitando errori umani e soprattutto ritardi nella gestione di eventuali rischi, due fattori che in ambito di sicurezza non possono, e non devono esistere. (Marco Cellamare, www.ivanti.it)
Marco Cellamare, Regional Sales Director, Mediterranean di Ivanti.
FOCUS SULLA TRASPARENZA DEI PROCESSI
La trasformazione digitale ha coinvolto aziende di ogni settore e dimensione, seguita dall’emergenza pandemica che ha ulteriormente modificato paradigmi e flussi operativi, amplificando sfide esistenti e ponendone di nuove. L’evoluzione del comparto industriale aggiunge ulteriori complicanze a questa “biodiversità digitale”, elevando la criticità di un universo parallelo definito come Operational Technology, fatto di sistemi ICS, SCADA, medicali, IIoT. Universo che si differenzia enormemente da schemi e paradigmi operativi adottati per l’IT tradizionale e per quelli derivanti dalla trasformazione digitale quali Cloud (IaaS, PaaS, SaaS), Application Container, e così via.
In questo turbinio digitale che cambia ed evolve a velocità mai vista in precedenza, il punto fermo resta la necessità di una security che presenti le stesse caratteristiche di agilità, flessibilità e rapidità operativa ma con l’aggiunta di una trasparenza nei confronti dei processi che abbraccia, per evitare di essere percepita come un ostacolo da aggirare.
Qualys ha raffinato, in oltre due decadi, una piattaforma Cloud che permette di potenziare capacità fondamentali che rispondono a queste sfide, aumentando l’efficacia operativa. Base fondante è la costruzione di un inventario digitale, grazie a sensori specializzati per tutti gli ambienti di cui questa biodiversità si compone. La telemetria raccolta da questi sensori viene processata dalla piattaforma Qualys Cloud che normalizza, indicizza e arricchisce il dato grezzo, trasformandolo in informazione raffinata. Qualys Cloud Platform fornisce oltre venti applicazioni specializzate per consumare questa informazione, tutte solidamente ancorate all’inventario digitale, perfettamente integrate per garantire efficacia ed efficienza nella gestione di security, verifica di compliance, rilevamento e risposta agli attacchi. Partendo dalla verifica della superficie vulnerabile, attraverso la prioritizzazione del rimedio, alla verifica della conformità di configurazione fino alla risposta ad eventi anomali...Il tutto abbracciando l’intera biodiversità digitale. (Marco Rottigni, www.qualys.com)
Marco Rottigni, Chief Technical Security Officer area EMEA di Qualys.
INTEGRAZIONE TRA EDR E EPP
Dal nostro punto di osservazione confermiamo che l’impresa moderna, pur considerando l’ampia diffusione dei dispositivi IoT, è sempre più orientata all’adozione di soluzioni che possano mixare Intelligenza Artificiale per prevenire e rispondere ai più sofisticati attacchi. SentinelOne, fornitore di una piattaforma di Cyber Security basata sull’Intelligenza Artificiale per la protezione di Endpoint, Container, Cloud Workload e dispositivi IoT, assicura una protezione evoluta.
La nostra Singularity Endpoint Security Platform è una soluzione basata su automazione e AI sia statica sia comportamentale, che lavora su tutte le fasi dell’attacco: l’agent unico fa protezione preventiva, rilevamento e risposta in tempo reale, nonché bonifica. Il tutto mettendo in quarantena la “macchina” attaccata, fino a quando il sistema non viene automaticamente “rimediato”. Inoltre, la funzione di Roll Back consente di ristabilire le condizioni pre-attacco. Si tratta di una soluzione erogabile in Cloud, on Premise oppure in modalità ibrida. La maggior parte dei nostri clienti, 85% circa, sceglie la modalità Cloud, essendo garantito il massimo livello di privacy. La soluzione opera solo con i metadati mentre i dati restano sull’Endpoint. La soluzione è poi in grado di neutralizzare gli attacchi grazie alla tecnologia EDR (Endpoint Detection & Response), che riduce i costi e i tempi necessari per conferire valore alla complessa e abbondante quantità di dati forniti dagli strumenti passivi di rilevamento e risposta degli Endpoint. L’agente autonomo con tecnologia Artificial Intelligence funziona come un analista SOC (Security Operations Center) su ciascuno degli Endpoint: processa enormi quantità di dati e incrementa gli allarmi con priorità di alta qualità quando viene rilevato il comportamento tipico delle minacce o anomalo.
Il nostro punto di forza è l’integrazione tra EDR e EPP, Endpoint Protection Platform, con monitoraggio in tempo reale, visibilità completa su tutti gli Endpoint da un unico cruscotto, assicurando elevati vantaggi anche sul fronte costi. (Paolo Ardemagni, www.sentinelone.com)
Paolo Ardemagni, Regional Sales Director di Italia, Francia e Iberia di SentinelOne.
CONIUGARE APERTURA, INTERCONNESSIONE E SICUREZZA
Le reti OT possono rappresentare il “ventre molle” dei sistemi informativi aziendali se non vengono adottate adeguate misure di protezione da potenziali e sempre più probabili “incidenti” informatici. Al di là delle perdite economiche legate al furto di proprietà intellettuale, violazioni delle reti possono mettere a repentaglio anche la company reputation e, cosa più rilevante, la salute umana (pensiamo alle aziende farmaceutiche, alimentari o alle infrastrutture critiche).
Insomma, il cuore degli impianti, come il cuore umano, deve essere protetto con tecnologie specifiche e dedicate: le aziende se ne sono accorte e si stanno mettendo in moto ma è necessario proseguire in questo percorso ricco di ostacoli, anche culturali.
Cosa fare per coniugare apertura, interconnessione e sicurezza? Innanzitutto, firewall ed altre tecnologie di confine devono essere “OT compliant”, cioè create fin dalla fase progettuale e realizzativa per lavorare come bridge tra campo e Cloud.
Gli OT firewall rappresentano l’ultima linea di difesa (proprio come la porta blindata della cabina di pilotaggio) e devono sempre essere presenti per proteggere i sistemi di controllo della produzione: sono infatti gli unici strumenti in grado di ispezionare in maniera approfondita i pacchetti dati che viaggiano sulle reti industriali, bloccando le possibili minacce senza avere ripercussioni a livello di performance o gestione stessa del processo produttivo. (Francesco Tieghi, www.servitecno.it)
Francesco Tieghi, Marketing Manager di ServiTecno.
DIFENDERE L’INTERA ORGANIZZAZIONE
Oggi la sfida principale è rendere possibile la Business Continuity. Come ha dimostrato il 2020, operare in contesti diversi dal solito, come ad esempio da remoto, è critico per il successo del business. Così come la gestione delle possibili interruzioni della produzione. In ambito Industry 4.0 l’interconnessione delle reti di automazione con le infrastrutture IT aumenta la superficie della propria organizzazione esposta al rischio di attacchi informatici. Sempre più aziende infatti si stanno attivando per mettere al sicuro le proprie infrastrutture e preservare così la continuità del business. Questo è un percorso che deve tenere in considerazione diversi snodi cruciali, perché proteggersi male potrebbe far subire all’azienda danni ancora peggiori. Per proteggersi al meglio, è bene agire simultaneamente sia da un punto di vista culturale che tecnico. Da un punto di vista tecnico è necessario introdurre specifiche soluzioni dedicate proprio alle parti produttive e integrate con l’intera strategia di security. Da un punto di vista culturale, invece, i responsabili della security degli impianti di produzione devono essere consapevoli dei nuovi rischi e di come questi riguardino le proprietà intellettuali, gli asset strategici, la reputazione dell’organizzazione in caso di furti di dati, ma anche la possibilità di danni fisici a cose o persone, sia all’interno degli impianti che all’esterno. Attraverso indagini dei nostri laboratori abbiamo infatti scoperto vulnerabilità nei protocolli IoT industriali, nelle interfacce uomo-macchina degli impianti idroelettrici, nei radio controlli dei cantieri che pilotano gru e macchinari, e nei robot delle catene di produzione. La cybersecurity è ormai un asset strategico e fondamentale in ambito Industry 4.0.
Le nostre soluzioni includono da diversi anni sempre più tecnologie avanzate di Machine Learning e Intelligenza Artificiale. In particolar modo il nostro primo prodotto a utilizzare algoritmi di AI è stato quello per la posta elettronica, per la verifica dello SPAM e successivamente dell’e-mail BEC (Business E-mail Compromise o CEO e-mail).
Per quando riguarda la protezione dei processi industriali si deve pensare a una strategia di security che metta in sicurezza l’intera organizzazione. L’infrastruttura va protetta a tutti i suoi livelli, a partire da tutti gli Endpoint e passando anche per le reti, server... Per quanto riguarda soluzioni specifiche in ambito Industry 4.0, Trend Micro, con la sua divisione TxOne, propone soluzioni di protezione a bordo macchina e network.
Come dicevo, è bene però non limitarsi a implementare solo soluzioni specifiche per proteggere questa tipologia di impianti, ma anche soluzioni di più ampio respiro, che abilitino una strategia completa, come Trend Micro Deep Discovery, soluzione completa per rilevare attacchi mirati e movimenti laterali sulla rete in tempo reale. (Salvatore Marcis, www.trendmicro.com) ©ÈUREKA!
Salvatore Marcis, Technical Director di Trend Micro Italia.