Marco Rottigni, Technical Director per l’Italia di SentinelOne, mette in evidenza le opportunità, le modalità di accesso e gli aspetti della cloud security.
– Disponibilità continua e pervasiva dei dati e dei servizi: oggi è una aspettativa in forte crescita per le imprese. Quali trend registrate più di frequente? Quali le problematiche da valicare per rendere più fluida e sicura l’infrastruttura IT dei clienti?
Riassumerei il trend principale con la espressione latina hic et nunc, che ben combina le ragioni per cui tale disponibilità è data oramai per scontata pressoché in tutti i settori e soprattutto in quelli più critici come ad esempio la cybersecurity. A fronte di un’anomalia di sicurezza – per esempio – diventa fondamentale contare su dati pronti, quanto più possibile recenti e disponibili immediatamente. Questo sia nel caso che l’anomalia rappresenti una infezione distruttiva, che si tratti di un sospetto da investigare oppure che sia accaduto qualcosa che è già stato mitigato nel rischio più immediato ma si richieda un’analisi di tipo forense per capire cause scatenanti ed evoluzioni.
Cloud security e digital transformation
I nuovi paradigmi operativi generati dalla combinazione di cloud computing, digital transformation, emergenza pandemica ed altri macrofenomeni hanno determinato l’esigenza di avere dati e fruibilità degli stessi ovunque, in sicurezza, proteggendo autenticazione e identità di chi deve consultare questi dati. Ciliegina sulla torta, meglio se trasformati in informazioni e dotati di contesto proveniente da più fonti – armonizzate. A livello di infrastruttura IT dei clienti, fruizione di dati e servizi in cloud si traduce – essenzialmente – in una smaterializzazione dei perimetri, in un’espansione dei datacenter – rilocati in cloud – e in una reingegnerizzazione di applicazioni secondo paradigmi Platform-as-a-Service o PaaS.
Non cambiano le esigenze di protezione autonoma di questi endpoint, da unirsi a verifiche di tipo posturale (CSPM) soprattutto per le implementazioni PaaS come da raccomandazioni di CSA.
Si assiste anche ad esigenze di protezione specifica per i nuovi ambienti containerizzati o orchestrati tramite Kubernetes, che devono essere calibrati per le tipicità di queste nuove piattaforme di microservizi.
– Come migliorare l’esperienza d’uso delle piattaforme IT senza aumentarne la complessità? Come valicare la logica a silos, oggi ancora molto diffusa?
Uno dei concetti recenti più interessanti è il paradigma XDR. Acronimo di eXtended Detection and Response, punta a un’integrazione trasparente e con configurazioni minime di piattaforme diverse – ognuna con una propria specializzazione: ad esempio endpoint protection, identity and access management, SASE, email gateway ed altre. Questa integrazione si concentra su funzionalità ben definite, che vengono utilizzate insieme in modo armonico in base a flussi di lavoro ben precisi.
Ad esempio, se una piattaforma come SentinelOne rilevasse una compromissione di un endpoint a causa di un ransomware, potrebbe automaticamente comunicare un rischio a Microsoft Azure Active Directory affinché policy condizionali possano forzare l’utente dell’endpoint compromesso a cambiare la password; quindi informare il mail gateway dell’infezione in modo da bloccare temporaneamente la mailbox dell’utente, al fine di limitare la propagazione fino alla mitigazione del rischio.
Protezione dati e cloud security
Grazie sempre all’XDR sarebbe possibile chiedere a piattaforme di threat intelligence quanto conoscono del malware identificato, al fine di arricchire il contesto per gli analisti di security. E via dicendo, aumentando efficacia e velocità operativa delle risorse del SOC e agevolando l’interazione con altri reparti aziendali come IT o Compliance, con evidente ritorno degli investimenti ed ottimizzazione dei costi.
– Data privacy e data security, quali le differenze e le peculiarità?
La prima affronta questioni di riservatezza, la seconda mantiene l’integrità e la proprietà dei dati al sicuro. Sono certamente temi molto interconnessi, spesso parte della stessa strategia di difesa. È importante però non confondere gli ambiti: ad esempio, in caso di un attacco informatico con compromissione di sistemi che gestiscano dati sensibili si potrebbe verificare violazione della data security; tuttavia, l’attacco potrebbe essere mitigato prima di un furto dei dati gestiti, evitando conseguenze e multe relative alla data privacy.
Spesso l’elaborazione della strategia di difesa di entrambi questi ambiti richiede la collaborazione di esperti di più discipline, così come approcci olistici con selezione di tecnologie combinabili ma specializzate nelle due aree.
– Quali soluzioni proponete per difendere gli asset e il cloud dei clienti?
Proponiamo una piattaforma in grado di garantire una difesa efficace di superfici endpoint, cloud e identity – affrontando in modo specializzato le specificità di ognuno di questi ambiti. Utilizziamo tecnologie innovative basate su Machine Learning e Intelligenza Artificiale, in modo da garantire un’elevata autonomia di rilevamento e mitigazione direttamente sul dispositivo utente, anche in assenza di rete.
Garantiamo ai SOC una visibilità completa e contestualizzata degli eventi, ad esempio mappando tutti gli accadimenti sula framework MITRE ATT&CK; questo minimizzare gli impatti sulle risorse specializzate, spesso scarse e messe a dura prova da una quantità di informazioni troppo elevata o troppo grezza. Permettiamo ai nostri clienti di utilizzare strategie di deception o inganno dell’attaccante, che garantiscono l’unica protezione efficace per le minacce alle identità.
Forniamo una interpretazione del concetto XDR aperta a piattaforme e tecnologie diverse, con cui capitalizzare gli investimenti fatti dalle aziende in modo olistico ed efficace per ampliare in modo pragmatico il raggio di azione di tutte le tecnologie in azienda. Questo si rivela un enorme vantaggio nella modernizzazione della difesa, oltre che un valore tangibile e persistente nella elaborazione della policy di cybersecurity da parte delle aziende.