Marco D’Elia, Country Manager di Sophos Italia, fa il punto sulle ultime novità dell’azienda in tema di cybersecurity
Sophos ha chiuso il suo anno fiscale a marzo, portando a casa un +17% di crescita, a livello EMEA e italiano. «Siamo un’azienda che, nonostante il Covid-19 è riuscita a ottenere risultati soddisfacenti. Anzi, oramai lo sappiamo, proprio il ricorso massiccio al lavoro da remoto ha richiesto alle imprese di consolidare meglio la loro posizione di sicurezza informatica» ci dice Marco D’Elia, Country Manager di Sophos Italia. A dimostrazione di tale trend, negli ultimi 18 mesi Sophos ha finalizzato alcuni casi d’uso importanti, come quelli con ButanGas per la gestione dei propri dati e Padania Acque. La pandemia, parallelamente al boom di prodotti e soluzioni digitali, ha visto un aumento importante degli attacchi, veicolati oggi più che mai su vettori differenti e da profili molto organizzati. Questo si evince anche dal più recente “Active Adversary Playbook 2021”, il report periodico dei laboratori di Sophos di cui D’Elia ci parla più avanti.
Nuovo slancio alla security
La presenza di Sophos nel segmento della sicurezza, soprattutto in Italia, non si limita ad una sola categoria ma si spalma un po’ ovunque, dalle realtà enterprise alle PMI. Uno dei mantra nella strategia, concreta, del gruppo, è quello di voler far “parlare” la sicurezza con l’infrastruttura, con l’ecosistema nel quale il cliente opera. «Che si tratti di mobile, IoT, dispositivi aziendali, è sempre stato importante per noi mettere in comunione le varie soluzioni di difesa offerte. Siamo passati dal claim “sicurezza sincronizzata” allo sviluppo di una piattaforma fortemente permeata di machine learning e intelligenza artificiale» prosegue il manager.
Quello a cui D’Elia si riferisce è ACE, ossia Adaptive Cybersecurity Ecosystem, vero punto di forza di Sophos. «Il sistema è, a tutti gli effetti, una architettura esperta, che sposta la classica offerta di prodotto alla proposizione di un pacchetto decisamente più completo e finalizzato a interpretare i contesti attuali». Sophos ACE sfrutta le potenzialità dell’automazione e degli analytics, oltre agli input ricevuti dalle varie soluzioni Sophos, dai partner, dai clienti, dagli sviluppatori e dagli altri player del mercato della security, al fine di generare un circolo virtuoso di protezione in costante miglioramento ed evoluzione. Sophos ACE si basa sul data lake, correlando gli insight provenienti dalle soluzioni e dai Servizi Sophos alla threat intelligence fornita dai SophosLabs, all’IA Sophos e al suo team di Managed Threat Response. Bisogna pensare ad ACE come ad un contenitore a cui aggiungere, in base al proprio business e capacità, le varie opzioni di difesa.
Il concetto di ACE, che ha origine nel 2015 con l’approccio basato sulla sicurezza sincronizzata, si è evoluto sostanzialmente negli anni successivi, dal punto di vista tecnico, merito delle soluzioni in esso integrabili. «Abbiamo lavorato per innalzare il livello dei nostri prodotti. Basti pensare ai firewall di fascia alta, XGS, frutto di acquisizioni effettuate nel passato. Si tratta di prodotti assolutamente premium, ristrutturati nell’hardware, nel modo in cui la macchina processa le informazioni, tale da moltiplicare di cinque volte la velocità dell’analisi dei pacchetti in entrata». Altri elementi di novità, nel presente e nel futuro di Sophos, sono le migliore alle componenti di EDR, XDR, MTR ed MTR Essential.
Scudi di difesa imprescindibili
L’Endpoint Detection and Response è un sistema progettato per gli analisti di sicurezza e amministratori IT. Una soluzione per operazioni di security e threat hunting, dotata degli strumenti necessari a formulare domande specifiche, garantendo allo stesso tempo l’individuazione proattiva delle minacce e il potenziamento dello stato generale delle security operations. Il secondo punto, la parte di XDR, Extended Detection and Response «non si ferma agli endpoint e ai server, ma va oltre, raccogliendo dati da firewall, e-mail e altre origini. Il risultato è una visione olistica dello stato di cybersecurity complessivo dell’organizzazione, con la possibilità di approfondire le analisi, laddove richiesto». Poi MTR, con cui si può contare sul supporto di un team formato nell’individuazione e nella risposta alle minacce, in grado di intraprendere azioni mirate per neutralizzare anche le attività più sofisticate. «Dal mio punto di vista, un carattere distintivo con la concorrenza è MTR Essential, che va ad analizzare, proteggere e rispondere alle minacce che interessano anche i sistemi non Sophos. Con Essential, lasciamo al partner o al cliente la remediation. Tecnicamente non cambia nulla rispetto all’MTR classico, semplicemente con Essential offriamo le nostre tecnologie per la difesa e la risoluzione a 360 gradi, anche fuori dal mondo Sophos» sottolinea D’Elia.
Vale la pena ricordare che Sophos gode di un team di risorse, specifico, dedicato alla risposta operativa, chiamato Rapid Response. «Lo consideriamo un po’ come un servizio di emergenza, sempre disponibile, che deve “spegnere l’incendio” in corso presso i nostri clienti. Offriamo un servizio del genere non solo al cliente ma anche al partner, che così può dare maggior valore alla sua proposta».
Il report Active Adversary Playbook 2021
Tornando al report Active Adversary Playbook 2021, il country manager ci fornisce una visione estesa di quello che i lab di Sophos hanno visto nell’ultimo anno e i trend per quello in corso. Le minacce a livello globale crescono in maniera rapida, soprattutto a seguito della pandemia. «Lo studio è frutto del lavoro di telemetria di Sophos e dell’analisi di 81 incidenti di sicurezza, oltre ai dati forniti dal team di Managed Threat Response (MTR) e dagli esperti del citato team Rapid Response. Quanto emerso dimostra che le tecnologie che offriamo oggi rispondono in maniera puntuale alle tendenze dei cyberattacchi, e soprattutto lo fanno in maniera veloce, vero elemento a cui guardare quando si parla di violazioni. Il report mostra che il tempo medio di permanenza dell’autore di un attacco nella rete presa di mira è stato di 11 giorni (264 ore) mentre il tempo più lungo durante il quale un’intrusione è andata avanti inosservata è stato pari a 15 mesi. Il ransomware è stato protagonista dell’81% degli incidenti di sicurezza e del 69% degli attacchi sferrati, sfruttando il Remote Desktop Protocol (RDP) per muoversi lateralmente nella rete. Lo scenario sta sicuramente diventando più complesso, con attacchi sferrati da avversari dotati di software avanzati ma non di skill elevate ma anche da esperti, sostenuti da certe nazioni. Questo può rendere la vita difficile ai responsabili della sicurezza IT. Fondamentale è allora basare la difesa del proprio business su un ecosistema completo, predittivo e proattivo, che unisce le innovazioni della tecnica alla capacità di comprensione dell’uomo».
