Intervistiamo William Udovich, Vice President Southern Europe and Africa di Cybereason, che ci illustra la vision e gli scenari della sicurezza informatica.
L’azienda è attiva nello sviluppo di soluzioni di protezione degli endpoint, con pacchetti che includono rilevamento e risposta alle minacce, antivirus di nuova generazione e servizi di monitoraggio e IR gestiti. Cybereason offre alle imprese un vantaggio tecnologico derivante dalla avanzata architettura proprietaria, che include un motore automatizzato di analisi approfondita. Tale sistema rileva i modelli comportamentali in ogni endpoint ed evidenzia le potenziali operazioni dannose attraverso una interfaccia intuitiva e moderna.
Cybereason nasce nel 2012. I tre founder hanno come radice comune lo sviluppo software e la profonda conoscenza dei parametri di intelligence in ambito governativo.
Forti di queste competenze verticali, sono stati in grado di mettere a punto una piattaforma capace di imparare continuamente (continuous learning) e di contrastare attivamente attività criminale e minacce.
Proprio la capacità di reazione e l’uso di schemi proattivi di analisi e intervento differenziano la proposta Cybereason. Se, da un lato, i criminali si stanno specializzando per bloccare il business e chiedere riscatti con ransomware e APT, dall’altro è oggi ancora più importante avere a disposizione sistemi capaci di rispondere, colpo su colpo.
Il consueto modello di sicurezza informatica che include protezione firewall-antivirus appare oggi sempre più obsoleto e inefficace. Il perimetro aziendale è ormai polverizzato e i lavoratori operano in mobilità, da casa e in smart working. Occorre dunque una soluzione integrata, facile da gestire e altamente reattiva, capace di contrastare il codice malevolo più complesso e le minacce scritte ad hoc dagli attaccanti e capaci di colpire il mondo enterprise, così come le PMI.
Monitoraggio e AI
Il costante monitoraggio è la chiave per interpretare rapidamente i primi segnali di un potenziale attacco ed eventuali anomalie di sicurezza. Il controllo dell’infrastruttura informatica consente di decidere, istante per istante, cosa è legittimo e cosa non lo è. L’architettura proposta lavora sulla base di regole precostituite e acquisendo dati e conoscenza di ciò che accade, per potersi adattare nel tempo. L’adozione di schemi AI e machine learning consente una evoluzione costante dei meccanismi di difesa, svincolando parzialmente il team IT dalle operazioni ripetitive e assicurando tempi di risposta ridottissimi, impossibili da ottenere solo attraverso “personale umano”.
Velocità di reazione
In questi contesti, la discriminante principe è rappresentata dalla velocità di reazione. Prima sarà possibile individuare una compromissione o un breach e minori saranno i danni per le imprese.
Il tempo di permanenza durante il quale un attaccante ha accesso non rilevato a una rete, finché non viene completamente individuato e rimosso è definito Dwell time.
Secondo le analisi più recenti, questo tempo si è mediamente ridotto negli anni, passando “da molti mesi” (circa 10 anni fa), a poche settimane, a giorni.
Questo, proprio grazie al consistente miglioramento delle capacità di rilevamento degli attacchi direttamente dall’interno della rete target.
La sicurezza, oggi, deve essere pervasiva e deve poter contare su un supporto costante che include una piattaforma di controllo, sensori di rilevamento installati in rete e l’appoggio di un SOC con personale debitamente formato.
L’approccio di business di Cybereason persegue queste direttrici e si basa su una forte componente di automazione e integrazione, anche in funzione delle esigenze e delle dimensioni del cliente.
Il canale
L’azienda adotta una strategia “100% canale” e non si rivolge direttamente ai clienti. L’operatività sul territorio è demandata ai partner, con i quali Cybereason lavoro in modo bidirezionale e con grande soddisfazione.
Attualmente, conferma Udovich, la società non ha sviluppato la parte distributiva sul territorio italiano e sta valutando con quali distributori avviare una collaborazione.
L’avvio della distribuzione consentirà all’azienda di servire al meglio la piccola e media imprese e di scalare opportunamente ed espandersi sul canale, secondo un modello Tier Two.