Nelle smart city dispositivi e sensori interagiranno automaticamente con noi permettendo servizi personalizzati. Saremo sempre più integrati ai dispositivi che già ora indossiamo. Telefono e orologi possono certificare la nostra identità in base a caratteristiche biometriche avanzate, quali il modo di muoverci, e interagire automaticamente con altri dispositivi.
Proteggere la nostra identità sarà fondamentale: anche l’uomo comune capirà l’importanza della CyberSecurity. Ora siamo in una situazione di transizione in cui la CyberSecurity è chiaramente posta ai primi posti per importanza da parte della fascia di persone a cultura tecnologica più avanzata, ma i mezzi per capirne i principi non sono comunemente conosciuti. Spesso anche le aziende sembra si adeguino per motivi normativi più che per un reale convincimento che in un mondo sempre più virtuale solo la sicurezza Cyber può garantire l’essenza stessa del business.
Ma qual è la strategia migliore che dovrebbe adottare ora una azienda per la CyberSecurity? Analogamente, come massimizzare il ritorno a lungo tempo dall’investimento in CyberSecurity?
Questo va considerato in ambienti complessi in rapidissima evoluzione, con nuove minacce ora non prevedibili, legate agli strumenti e app che si utilizzeranno, con una difficoltà, per molti impossibilità, di essere aggiornati; con tempi dettati dal business, in cui i ritardi si possono pagare molto cari.
Viste queste caratteristiche la protezione, almeno operativamente, non potrà che essere sempre più affidata a partner specializzati affidabili o a servizi gestiti, che spazino dalla propria infrastruttura al cloud. Fondamentale avere processi e infrastruttura che permettano l’intercambiabilità del partner (o del proprio team) con impatti minimi.
Ma quanto mantenere in casa e che livello di controllo mantenere? Un punto importante: la strategia di protezione deve essere scelta dall’azienda in quanto un errore strategico nella security equivale a un errore simile nel proprio core business. Può portare l’azienda a diventare marginale.
Quali quindi le caratteristiche strategiche delle soluzioni di Cybersecurity da adottare?
Da un punto di vista infrastrutturale sicuramente è necessario puntare su automazione e semplificazione della gestione per ridurre al minimo la possibilità di errori. Quindi:
- Riduzione degli strumenti di gestione dell’infrastruttura di security;
- Riduzione dei dispositivi (sonde e attuatori) che interagiscono con la rete;
- Valutazione attenta dell’impatto operativo di ogni soluzione che si desidera inserire a protezione di specifiche funzioni.
Per capire il perché di questi punti pensiamo a come si è evoluta la CyberSecurity nel tempo. Inizialmente il firewall “stateful” dava tutta la protezione necessaria, poi le minacce si sono evolute e si sono create diverse soluzioni che controllavano maggiormente i dati in transito; quindi soluzioni di IPS, AV, Content filtering, URL filtering e quant’altro, con componenti dedicate e mancanza di interazione tra i diversi dispositivi con la complessità di gestione e mancanza di coordinazione tra l’intervento di queste diverse soluzioni (anche se magari sullo stesso device fisico).
Ora la situazione è analoga, i firewall fanno molto di più, capiscono le applicazioni e i dati, ma spesso le componenti che integrano non comunicano tra di loro. Inoltre nuove applicazioni e nuovi trend portano a nuove minacce e nuove soluzioni per fronteggiarle. Il cloud porta soluzioni CASB, il fatto che ci possano essere utenti compromessi internamente a soluzioni di behaviour analysis e così via, con il moltiplicarsi di soluzioni “best of breed” che rispondono perfettamente all’esigenza puntuale ma che poi non sono realmente efficaci nell’integrarsi con il resto dell’infrastruttura.
Prendiamo l’esempio sopracitato di behaviour analysis. Una nuova soluzione allo stato dell’arte deve prevedere un certo numero di sonde per intercettare le attività degli utenti in rete, deve poi metterci l’intelligenza per analizzare questi dati ed infine, se si vuole automazione, le sonde devono anche poter bloccare il traffico. Rimane l’esigenza di integrazione con il resto dell’infrastruttura di security. Spesso questa funzione viene lasciata all’uomo che però è strutturalmente non adatto ai ritmi richiesti dall’automazione. Per questo è utile il supporto di strumenti di correlazione da configurare opportunamente.
Quante inutili duplicazioni per avere comunque il fattore umano come elemento limitante.
Il vero valore in questo caso sta nell’intelligenza artificiale dell’analisi dei dati. I dati potrebbero però provenire dalle sonde già in rete anche agenti sul traffico: gli attuali firewall. Inoltre l’ideale sarebbe inserire questa funzione in una piattaforma di security esistente in modo da avere una integrazione automatica.
Attualmente molte delle soluzioni di sicurezza“sprecano”nell’infrastruttura (sonde, memorie di massa, server, …) le risorse economiche necessarie ad implementarle, lasciando una parte minoritaria dell’investimento del cliente (e anche degli investimenti del produttore stesso) ad occuparsi del problema principale per cui vengono acquisite. Inoltre richiedono molte altre risorse per la gestione e per l’integrazione delle stesse con l’esistente.
Il mercato si sta evolvendo in tal senso. Come esempio possiamo considerare Palo Alto Networks, l’azienda che ha introdotto il concetto di Next Generation Firewall e che è un riferimento tra le aziende principali in questo settore. I tre passi evolutivi fondamentali della proposta sono stati:
Introduzione del concetto di NGF, con firewall fisici e virtuali;
Introduzione della platform, insieme di soluzioni completamente gestite in casa che integra in una soluzione omogenea e consistente tutte le componenti di network security (incluse quelle avanzate come la DNS security e il controllo degli zero day), le componenti di Cloud Security (via API e di controllo dell’infrastruttura), di End Point security, di behaviour analysis e di Threat Intelligence. L’interazione tra tutte queste componenti permette una risposta immediata e automatica a tutte le nuove minacce;
Introduzione della possibilità per terze parti di sviluppare applicazioni di sicurezza per la propria piattaforma.
Proprio l’ultimo rappresenta un punto chiave nello sviluppo delle piattaforme di security: chiunque abbia nuovi algoritmi utili alla security di una singola azienda, di un intero settore o all’intero mercato non dovrà più preoccuparsi di costruire una infrastruttura e venderla al cliente per avere i dati su cui operare. Potrà sfruttare la piattaforma esistente e concentrarsi sulla propria soluzione di sicurezza addizionale.
Questo potrebbe portare nel mercato della security l’evoluzione che le app hanno portato agli smartphone. Forse prematuro dirlo ora, comunque sicuramente il fatto di avere una unica piattaforma con soluzioni allo stato dell’arte in ogni singolo componente è un fattore vincente. Fattore che però non può soddisfare tutte le esigenze degli utenti se non tramite lo sviluppo di app da parte di vendor più pronti nel fornire soluzioni specifiche. Vendor anche minori che, sfruttando la diffusione della piattaforma di Palo Alto
Networks, possono affermarsi senza la necessità di grossi investimenti.
L’affermazione delle app di security rappresenta ancora una scommessa, ma sicuramente il concetto di platform rappresenta lo stato dell’arte nell’ottica di massimizzare il ritorno dagli investimenti in CyberSecurity. Ritornando al tema: quanti tool di gestione sono necessari per una infrastruttura di security?
Non esiste una risposta. Molte cose sono inevitabilmente diversificate quindi difficilmente inglobabili. Tool di rete (switch, Wifi, accesso) e una soluzione di correlazione (che deve includere sorgenti completamente diverse) dovranno far parte della soluzione complessiva.
Restano molte altre soluzioni allo stato dell’arte non inglobate in una piattaforma che ad ora richiedono soluzioni puntuali. In futuro potrebbero essere semplicemente delle app.
Rimandiamo a futuri articoli un approfondimento su piattaforme nell’ottica della riduzione dei punti di management da integrare una strategia di security durevole.
