L’azienda israeliana presenta l’architettura SDP per le minacce di oggi e di domani e accelera sulla strada della trasformazione della protezione dal malware
Proprio non ci siamo. «La sicurezza dovrebbe essere tolta all’IT e collocata a diretto riporto del chief executive officer. Alcune aziende lo stanno già facendo. Perché è la sicurezza che deve fornire le linee guida e una strategia che proceda di pari passo con quella del business. Se non c’è qualcosa che le assomigli e che ti consenta di aggiungere un tassello dove serve o di tagliare qualche ramo secco, prima o poi una minaccia finirà per trovare un varco e penetrare il perimetro aziendale». Non fa sconti David Gubiani, technical manager Italy di Check Point Software Technologies quando delinea la sostanziale mancanza di una visione della security delle aziende del nostro Paese. E ne fa ancora di meno nei confronti di chi – per ragioni di responsabilità verso il business, gli azionisti e i clienti – dovrebbe assumere una posizione più incisiva. «Nelle grandi aziende, i capitoli di spesa relativi alla security sono gestiti da gruppi diversi, ognuno orientato al best of breed, teso cioè ad accaparrarsi la soluzione top per quel tipo di necessità».
Ma qual è il rovescio della medaglia? Possedere il know-how per ogni soluzione, anche per la gestione ordinaria della sicurezza, diventa la condizione necessaria. «Quando si verifica un problema, per esempio un’infezione – spiega Gubiani – si è costretti a ragionare su dieci sistemi diversi. In queste circostanze, diventa difficile riuscire a comprendere che cosa sta avvenendo, perché non c’è nulla che riesca a restituire il quadro complessivo della situazione». Sicurezza a strati e sistemi che non parlano tra loro. O che non lo fanno abbastanza. «Accade – continua Gubiani – che la stessa rilevazione assuma forme diverse a seconda dei sistemi, oppure che il livello di gravità rilevato non sia omogeneo. La frammentazione diventa un limite quando invece servirebbe un unico centro di coordinamento insieme a un cruscotto in grado di guidarmi esattamente nel punto in cui l’allarme ha avuto origine». E tutto sarebbe più semplice. O forse, un po’ meno complicato se consideriamo la natura degli attacchi, talvolta estremamente veloci.
Analisi delle minacce
Secondo quanto riporta l’annuale Security Report,condotto dal vendor israeliano, ogni minuto un host accede a un sito malevolo. Ogni nove minuti, è utilizzata un’applicazione ad alto rischio. Ogni dieci minuti, viene scaricato un malware noto, mentre ne bastano 27 per uno sconosciuto. E ogni 49 minuti, dati sensibili vengono inviati al di fuori dell’organizzazione. La velocità con cui il malware si propaga è uno degli aspetti sottolineati nel report, su cui riflettere. Elaborato su una base dati di oltre diecimila organizzazioni, il rapporto mette in evidenzia la frequenza, in continua crescita (+ 144% rispetto all’anno precedente) e l’intensità degli attacchi. In parallelo, cresce la finestra d’esposizione al codice infetto, fenomeno questo correlato alla creazione di malware ad hoc per settore e singolo target. «Ogni team delle singole country –
spiega Gubiani – analizza il traffico generato da clienti strategici che si rendono disponibili all’analisi. A questi dati si aggiungono quelli della threat cloud, un collettore di informazioni provenienti da svariate fonti, dalle quali attingiamo per disporre di dati sul malware: non solo feedback da parte dei nostri clienti sulle minacce, ma anche da parte di analisti che elaborano le info ed eventualmente rilasciano le firme a difesa dei sistemi».
Monitoraggio attivo
Il monitoraggio continuo è un servizio gratuito che dà diritto ai clienti di Check Pointdi accedere all’analisi del traffico effettuato e fornisce tutti gli strumenti di sicurezza. Questo servizio ha ricadute concrete sull’operatività delle aziende e permette, per esempio, di bloccare subito una macchina infetta prima che la minaccia si propaghi. «Analizziamo tutto ciò che è anomalo rispetto al traffico standard, a partire da quello in transito tra BOT e server command-and-control (C&C)» – afferma Gubiani. Anche a distanza di tempo: una macchina infetta potrebbe rimanere dormiente per molto tempo all’interno della rete aziendale. Almeno fino a quando qualcuno deciderà che proprio da quella botnet dovrà scaturire l’attacco. «Dal nostro report, emerge – in tutta la sua gravità – l’emorragia continua di dati che fuoriescono dal perimetro aziendale, spesso senza lasciare traccia. Lo prova il fatto che la maggior parte delle realtà monitorate (circa il 70%) risulta infetta. Potrebbe anche non trattarsi di un’infezione generalizzata, quanto di singole macchine virate, ma questo sarebbe più che sufficiente per innescare conseguenze gravi, come la complicità con chi sferra l’attacco» – dice Gubiani.
E dovrebbe bastare per aprirci gli occhi.
Investire di più e meglio
«Secondo alcune stime, l’ammontare conosciuto delle frodi su Internet raggiungerà presto l’iperbolica cifra di 300 miliardi di euro, molto superiore agli introiti derivanti dal traffico di stupefacenti della criminalità organizzata. Ora, sebbene non sia possibile stabilire la cifra esatta investita per scardinare la sicurezza, non è azzardato ipotizzare che superi di molto quella messa in campo dalla totalità di vendor di sicurezza e organizzazioni» – osserva Gubiani. E come minimo, il ritornello “si spende poco in sicurezza” andrebbe aggiornato. Perché qualche volta succede che non solo si investa poco ma anche male. «Per sbloccare questa situazione, l’offerta di Check Pointsi articola su due piani d’intervento» – spiega Roberto Pozzi, regional director Southern Europe di Check Point. «In primo luogo, fornire all’azienda un report con dati precisi e verificabili sulla sicurezza in modo da chiarire i rischi a quali è esposta. In seguito, ci attiviamo per iniziare insieme al cliente un percorso che porti a rivedere l’intera strategia di sicurezza». Il perno su cui ruota la strategia proposta è l’architettura di sicurezza Software defined protection.
«SDP è un framework articolato su tre livelli, enforcement, control e management, ideato per mettere a disposizione dei nostri clienti una metodologia pratica per implementare il modello di sicurezza prescelto. Il framework SDP – prosegue Pozzi – converte la threat intelligence in protezione immediata». La stessa che ha portato soluzioni come Check Point Threat Prevention a sbaragliare la concorrenza nei test di benchmark su un campione di malware sconosciuto con un tasso di rilevamento pari al 100%. «Oggi, l’apertura verso terze parti del framework SDP è piena. I clienti dispongono di una console aperta che permette l’integrazione (tramite API, web services…) di tutte le info raccolte dai nostri sistemi, sfruttando appieno l’infrastruttura esistente. È questo che intendiamo dire quando parliamo di ottimizzare l’investimento nella sicurezza» – afferma Pozzi. «Alla luce di questa proposta, ci aspettiamo che le aziende italiane di un certo peso e visibilità rispondano con investimenti commisurati ai rischi che corrono ogni giorno. D’altra parte, il mercato sta maturando velocemente e molte realtà hanno capito che una soluzione con un cruscotto unico è la scelta migliore» – dichiara Pozzi. E serve anche una vera scossa rigeneratrice, che smuova le acque stagnanti della security in Italia. Per certo, Check Point intende contribuire a promuoverla.
Foto di Gabriele Sandrini
