Sicurezza e lavoro ibrido: intervista a Marco Rottigni di SentinelOne

Le soluzioni SentinelOne rispondono alle nuove sfide di sicurezza emerse con l'esplosione del lavoro ibrido.

Lavoro ibrido - Marco Rottigni

Il lavoro ibrido è qui per restare. Porta con sé molti vantaggi, non ultimo il miglioramento della produttività, ma è anche una grossa sfida sotto l’aspetto della sicurezza. Ne abbiamo parlato con Marco Rottigni, Technical Director di SentinelOne.

– Negli ultimi due anni il lavoro ibrido è esploso. Le aziende, per quanto avete potuto constatare, ne hanno approfittato per migliorare processi e procedure o è stata una semplice rincorsa dettata dall’emergenza pandemica?

Anche prima della pandemia, in realtà, lo scenario era già tutt’altro che calmo. Molte aziende erano in piena trasformazione digitale ed erano in atto altri fenomeni importanti, come l’adozione del cloud o l’aumento della cosiddetta enterprise mobility, ovvero una modalità di lavoro basata più non solo su un unico dispositivo ma su una combinazione di dispositivi (laptop, tablet, smartphone…). Erano già cambiamenti che comportavano sfide notevoli per quanto riguarda la sicurezza.

La pandemia si è imposta come elemento di forte accelerazione di questi cambi epocali, perché le aziende si sono ritrovate quasi dal giorno alla notte a dover potenziare la loro infrastruttura per consentire l’utilizzo delle loro applicazioni praticamente da ovunque. Oggi si parla di borderless workplace: con questo termine non ci si riferisce più semplicemente al lavoro da casa, ma a una nuova realtà, destinata a durare, in cui la postazione operativa è virtualmente remotizzabile a piacere e in cui, soprattutto, l’ambito di sicurezza circonda l’utente. Si parlava tanto di perimetro aziendale che si fluidificava o addirittura scompariva; il perimetro oggi è tutto intorno all’utente. Nel momento in cui l’utente tocca il dato o interagisce con l’azienda, quello è il perimetro all’interno del quale bisogna garantire sia una sicurezza delle operazioni sia una protezione da attacchi che ormai vedono gli utenti molto più esposti.

Questa è una delle grandi sfide in atto, in primo luogo perché quando si parla di lavoro ibrido non sappiamo esattamente quali siano i dispositivi in uso. Lo possiamo presumere, ma non è più una popolazione di endpoint così “microsoftiana” come un tempo: con l’affermarsi del lavoro ibrido si sono aggiunti tantissimi Mac ma anche tantissimi tablet e smartphone (per giunta di due mondi distanti, ovvero iOS e Android). Si sono anche aggiunti sistemi nel cloud, che magari remotizzano il desktop fino a casa dell’utente. Oggi è necessario che la sicurezza sia pensata per abbracciare tutta questa varietà: non si può più solo dire all’utente “metto in sicurezza il tuo sistema Windows”, soprattutto perché i dirigenti dell’azienda magari hanno fatto un’altra scelta e non possono certo fare a meno di una protezione completa.

Serve dunque un sistema di sicurezza che abbracci tutti gli utenti, tutte le piattaforme e tutti i dispositivi, compresi quelli mobili. E, soprattutto, un sistema di sicurezza autonomo: l’autonomia è una parola chiave nella caratterizzazione delle misure che le aziende devono implementare presso l’utenza.

Mi spiego con un esempio. Gli attacchi crescono in modo esponenziale, ma soprattutto aumenta la velocità con cui vengono perpetrati e manifestano i loro effetti. Se un utente che lavora a distanza viene colpito da un ransomware, l’effetto si manifesta istantaneamente e l’azione di contrasto non può essere soltanto il blocco del processo quando si rileva che ha cominciato a cifrare e a cancellare file, perché sarebbe probabilmente troppo tardi, soprattutto quando la fase di reazione coinvolge le security operations aziendali, quindi esseri umani. Le security operations sono troppo lente per attacchi che si manifestano a “velocità macchina” e inevitabilmente non hanno personale a sufficienza, perché sono strutturate per affrontare attacchi molto sofisticati e non pandemie di ransomware o attacchi su vasta scala.

dipendenti

I rimedi tradizionali hanno un impatto molto negativo, perché l’utente spesso deve mandare la macchina al centro IT dell’azienda perché venga rigenerata. Nella migliore delle ipotesi è disponibile un sistema di backup, magari nel cloud, che può ripristinare lo stato dell’intera macchina a qualche giorno prima, e l’operazione di recupero dati dal cloud può richiedere un tempo molto lungo, specie nelle zone dove ancora vi è un forte digital divide. Il tutto comporta un fermo importante nella continuità operativa dell’utente.

Se invece, come ha cercato di fare SentinelOne, si innova profondamente la sicurezza sugli endpoint offrendo un sistema di XDR (eXtended Detection and Response) che sfrutta le ultime evoluzioni della tecnologia, in particolare l’intelligenza artificiale, l’endpoint diventa autonomo nel reagire anche agli attacchi più sofisticati senza richiedere un intervento umano e senza che l’utente debba fermarsi. L’intelligenza artificiale riesce non solo a classificare a velocità macchina l’attacco nel momento in cui si manifesta, ma anche a ripristinare la situazione precedente all’attacco, quindi può riportare gli artefatti digitali causati dall’infezione (archivi cifrati, file cancellati e così via) allo stato in cui si trovavano in precedenza.

Il vantaggio operativo è enorme, perché permette all’utente di lavorare in tutta tranquillità, nel citato borderless workplace¸ con una sicurezza autonoma e veloce nel garantire la resilienza in caso di attacco. Un vantaggio collaterale è il risparmio di tempo per le security operations aziendali, che potranno quindi concentrarsi sulle minacce più sofisticate e sull’implementazione delle policy di sicurezza, policy che devono essere continuamente revisionate..

– La vostra soluzione è funzionalmente identica sulle piattaforme per le quali è disponibile?

C’è una sostanziale parità funzionale, nel senso che su tutte le piattaforme (Windows, MacOS; Linux, Android e iOS) sono garantiti sia l’intervento a velocità macchina e l’autonomia della reazione (quindi non sono necessari né una connessione al cloud o alla rete né l’intervento delle security operations), sia l’analisi di quello che è variato sul sistema, per consentirne il ripristino allo stato originario.

Ci sono poi delle specificità legate alle caratteristiche delle singole piattaforme. Per esempio, siamo in grado di sfruttare il servizio di Shadow Copy, che è una parte integrante di Windows, per ripristinare “in maniera chirurgica” soltanto gli archivi eventualmente cifrati o danneggiati. Nel mondo mobile – Android e iOS – poi ci sono altri aspetti di cui tenere conto, per esempio la prevenzione del phishing o dello smishing, fenomeni che sui dispositivi portatili sono molto più rischiosi: lo schermo è piccolo, ed è più facile attivare involontariamente un collegamento malevolo – magari anche accorciato con un link shortener – sfiorandolo involontariamente.

Lavoro da remoto e in mobilità, il cloud aiuta le imprese

– Citava l’XDR: come si è passati dal tradizionale EDR all’XDR?

XDR è uno dei termini più inflazionati in questo momento. L’interpretazione che diamo di XDR è forse la più semplice, la più ancorata a terra. Se pensiamo al significato dell’acronimo EDR (Endpoint Detection and Response), stiamo parlando di due capacità sull’endpoint: detection, ovvero il rilevamento degli eventuali fenomeni anomali, e response, quindi una reazione attiva di contrasto.

La X di XDR sta per extended, e indica la capacità di utilizzare altre tecnologie e altre piattaforme, che magari esulano dall’endpoint, per potenziare e massimizzare le capacità sia di rilevamento sia di risposta. Ad esempio, se ho una protezione in tecnologia SentinelOne su un laptop, posso essere ragionevolmente certo che di fronte a un attacco ransomware – conosciuto o meno – l’intelligenza artificiale ne bloccherà gli effetti prima che il sistema venga danneggiato. Però il ransomware, prima che il danno principale si verifichi, può avere fatto altri danni, ad esempio aver carpito le credenziali dell’utente. Se il sistema endpoint è connesso in maniera automatica ad altre piattaforme, può usarle per arricchire il contesto.

Invece di segnalare semplicemente la presenza di un ransomware e magari esporre i vari passi della catena di compromissione che il ransomware ha percorso sull’endpoint, l’XDR può anche chiedere a Zscaler – per fare un esempio di tecnologia di protezione degli accessi – se quel tipo di attacco è già stato rilevato e se magari è arrivato da una Vpn dell’utente. E queste informazioni, che può dare solo Zscaler, vengono aggiunte alle note dell’incidente, in automatico. Poi è possibile richiedere, sempre senza intervento umano, a una piattaforma di threat intelligence come VirusTotal o Recorded Future se un certo file arrivato sulla macchina e bloccato dall’endpoint è effettivamente conosciuto. VirusTotal potrebbe rispondere che dei suoi 65 motori antivirus solo tre lo riconoscono, quindi si tratta di una minaccia rara, mentre Recorded Future potrebbe segnalare di averlo visto solo di recente come parte di una campagna di attacco. Sono contesti preziosi dal punto di vista dell’analisi dell’incidente e vengono aggiunti alle note.

Questo è l’XDR per quanto riguarda la detection. Poi c’è la parte di response. La nostra tecnologia può fermare un attacco terminandone il processo e poi ripristinando gli archivi che erano stati cifrati, però queste nuove capacità di interazione permettono di andare oltre: ad esempio, consentono di chiedere ad Active Directory, magari in Azure Cloud, di forzare un cambio password e al citato Zscaler di far atterrare l’utente in un’area di quarantena in cui avrà potenzialità limitate. Un altro esempio: si potrebbe collegare un sistema di protezione mail, ad esempio Mailcast, per verificare se un file infetto è arrivato tramite una mail e, in questo caso, richiedergli di mettere in quarantena i successivi gli allegati inviati all’utente colpito, perché evidentemente è il target di una campagna di malware.

Quindi l’XDR nell’accezione di SentinelOne connette più piattaforme per massimizzare sia la parte di detection sia quella di response. Le aziende oggi investono in una varietà di tecnologie di security; la sicurezza non è qualcosa che nasce e si esaurisce sull’endpoint, diventa quindi importante capitalizzare tutti questi investimenti e oggi è possibile farlo perché tantissime tecnologie e tantissime piattaforme espongono le loro funzionalità tramite API, ovvero interfacce di comunicazione da macchina a macchina.

Lo sforzo grosso che SentinelOne ha fatto e sta continuando a fare è quello di abbracciare un numero sempre più ampio di piattaforme, ma non rilasciando semplicemente linee guida che spieghino come configurarle e farle lavorare insieme, attività che potrebbero richiedere giorni di lavoro e potenzialmente la scrittura di codice. Con la nostra soluzione parliamo di connessioni semplificate, che si traducono in pochi clic: basta indicare la piattaforma alle quale ci si vuole agganciare, inserire l’opportuna chiave API e la connessione è fatta.

La differenza con i precedenti paradigmi di security – mi vengono in mente i SOAR (Security Orchestration, Automation and Response), i cosiddetti orchestratori di sicurezza – è che questi paradigmi richiedono una conoscenza dei processi molto accurata (che spesso non esiste lato utente) per poter creare i cosiddetti playbook, cioè i processi che vengono attivati in automatico in caso di un incidente di sicurezza. L’XDR è un approccio più immediato, perché in questo caso ogni piattaforma sa quello che l’altra piattaforma può fare in termini sia di arricchimento delle informazioni in fase di rilevamento sia di sfruttamento delle rispettive specificità in fase di risposta.

– Il lavoro ibrido ha la potenzialità di migliorare la performance dei dipendenti e dell’azienda. D’altro canto la polverizzazione del perimetro aziendale ha creato nuove sfide di sicurezza, che possono essere un ostacolo. Che cosa ne pensate?

Molto dipende dalla maturità della soluzione di sicurezza adottata. Parlavo di autonomia: l’autonomia della sicurezza non è uno slogan di marketing, ma una questione di ergonomia per l’utente. Chi opera in lavoro ibrido ha il suo laptop, il suo telefono, il suo tablet e “se stesso”. Non ha un firewall, non può contare su un sistema di intrusion detection, non può nemmeno contare sul controllo degli accessi fisici, che magari in azienda esiste. Solo una sicurezza autonoma, che interviene soltanto quando c’è un rischio e nel resto del tempo è del tutto trasparente, può non essere di disturbo.

È un aspetto importante per gli utenti normali, che usano i tipici applicativi per l’ufficio, e lo diventa ancora di più in altri contesti. Il primo è quello degli sviluppatori: oggi tantissimi sviluppatori lavorano a distanza, magari collaborando in un team geograficamente disperso, e hanno bisogno di una sicurezza che non blocchi il loro processo produttivo: in caso di un’infezione da malware, non possono fermarsi due giorni per il ripristino della macchina, la continuità operativa è fondamentale. A maggior ragione il discorso vale per altri due ambiti, quelli dell’integrazione “in cloud” e della supply chain, che per giunta sono estremamente complessi e nel caso della supply chain esulano dal semplice contesto aziendale ma riguardano l’interconnessione con i partner e con i fornitori.

C’è anche l’aspetto delle security operations aziendali, cioè di quelle persone che la sicurezza la gestiscono: analisti e ricercatori che fanno threat hunting. Quando emerge in azienda un segnale “tiepido”, che fa pensare a un possibile attacco, devono mettere insieme quantità di dati abnormi per trovare il fatidico ago nel pagliaio. Una tecnologia di security in grado di potenziare queste risorse deve anche agire sul modo di presentare le informazioni per renderne facile e veloce il reperimento.

Questa è un’attività dove c’è ancora molto da fare e SentinelOne ha investito tantissimo in questo ambito. Proprio lo scorso anno abbiamo acquisito Scalyr, che produce una tecnologia di data lake (un data lake è sostanzialmente un data warehouse per dati non strutturati, N.d.R). In appena dieci mesi siamo riusciti a sfruttarla per creare una piattaforma di gestione del dato di security che permette ai professionisti della sicurezza di fare ricerche con una velocità che è ordini di grandezza superiore non solo rispetto ai competitor ma anche rispetto alla nostra precedente soluzione. Velocizzare in questo modo le attività delle security operations permette di risparmiare così tanto tempo che la sensazione è che non ci sia più carenza di risorse.

Al recente Security Summit 2022 si è parlato di skill shortage, ma più di un CISO (Chief Information Security Officer) ha detto che il problema non è tanto la mancanza di risorse qualificate: le risorse si trovano, già formate o formabili in breve tempo. Il vero problema è riuscire a far lavorare le risorse già presenti alla velocità necessaria. Muoversi in un oceano di dati è difficile, muoversi con dati disconnessi e non presentati in maniera organica è sfruttabile è difficile, ed è una grossa sfida per chi gestisce la risposta agli incidenti.