A10 Networks ha recentemente pubblicato lo studio Enterprise Perspectives 2022, da cui emerge che il 95% delle aziende è preoccupato della propria resilienza digitale. Il 32% ha adottato il modello “zero trust” nell’ultimo anno e il 13% ha intenzione di farlo entro i prossimi 12 mesi. In quest’intervista a CorCom Roberto Lucarelli, Senior System Engineer della multinazionale statunitense specializzata nell’application networking e security, che ha recentemente rafforzato la propria presenza sul mercato italiano, analizza la situazione e le nuove priorità.
Lucarelli, che conclusioni si possono trarre dalla ricerca?
Tra le preoccupazioni delle imprese, oltre alla perdita di dati, c’è quella di dover affrontare tempi di inattività o blocco a causa di attacchi Ddos. Perché questo genere di offensive è così difficile da bloccare?
Resilienza digitale vuol dire assicurare la disponibilità dei servizi di business e della loro erogazione senza interruzioni: ma non esistono soluzioni semplici a questo problema. Proteggere un servizio vuol dire avere visibilità di tutti i passaggi necessari per la sua erogazione: dal dipendente – ovunque operi – fino ai server, attraversando Internet, le reti di trasporto, il cloud. Chi eroga il servizio non ha mai un controllo del 100% di tutti i livelli, ma per ognuno deve essere chiaro quali sono i requisiti di sicurezza e di disponibilità. La prima risposta è nella visione d’insieme: se un attacco Ddos ha l’obiettivo di interrompere un servizio, bisogna mettere in campo ogni strategia per consentire ai server di continuare a rispondere, dimensionandolo correttamente, proteggendolo con firewall e con una protezione Ddos applicativa. E’ Quindi fondamentale contare su più livelli di protezione, con visibilità end-to-end, mentre processi automatizzati e addetti ai lavori possono monitorare in tempo reale cosa succede. In A10 Networks raccomandiamo una protezione applicativa dal Ddos che risieda dove sono le applicazioni: on premise, in cloud, in un cloud privato, perché per proteggere è essenziale essere vicini al luogo in cui si verifica il problema.
Quali sono dal vostro punto di vista le strategie più efficaci per contrastare i ransomware?
L’approccio di A10 Networks è stato sviluppato nel tempo ascoltando i clienti e si basa su automazione, integrazione e intelligenza artificiale. Automazione perché la soluzione deve essere capace di osservare il traffico e di apprendere in tempo reale da quello che succede, applicando contromisure dinamiche prima che le anomalie trasformino in fenomeni ingestibili che bloccano i sistemi. Il valore aggiunto dell’approccio integrato è poi di mettere a disposizione dei clienti una soluzione aperta, a più livelli, che può agire come elemento di mitigation a supporto di un sistema esterno che fa detection, o può essere utilizzata come hub da cui vengono controllati altri sistemi esterni. La logica è di favorire l’evoluzione devops e secops, senza chiuderci nella nostra piattaforma. E infine l’intelligenza artificiale integrata è l’elemento che consente di riconoscere e bloccare i nuovi attacchi in tempo reale.
Come si fa a distinguere il traffico “cattivo” da quello “buono”?
L’obiettivo di chi attacca è di bloccare il servizio aggiungendo traffico malevolo a quello lecito, con due modalità: saturando i collegamenti, oppure generando una reazione sbagliata in chi si difende, che vada a bloccare anche il traffico lecito. La risposta più efficace è di implementare una logica dinamica di analisi del traffico, supportata dal machine learning, che “impari” dall’esperienza. L’obiettivo sarebbe garantire il servizio anche quando ci si trova sotto attacco, riducendo al minimo i “falsi positivi”. E’ possibile grazie a sistemi di score che indicano il livello di probabilità che un traffico sia malevolo: a fronte del superamento delle soglie si passa da un livello all’altro, con le contromisure che crescono di pari passo con la probabilità che si tratti di un attacco.
Come cambiamo le esigenze di sicurezza informatica con il diffondersi del cloud e dello smart working?
Lo smart working è ormai una realtà, e proseguirà in modalità ibrida anche in futuro, e il passaggio al cloud è ormai una strada obbligata. Le organizzazioni, ovviamente, sono preoccupate per le complicazioni di sicurezza che ne derivano. E la soluzione è anche in questo caso che la sicurezza diventi sempre più uniforme e integrata: sarà necessaria, ad esempio, la multifactor authetication per tutti, a prescindere se ci si colleghi ai sistemi aziendali da casa o dall’ufficio. Lo stesso discorso vale per i server, per i quali serve una strategia uniforme pensata per la sicurezza sia dell’on premise sia del cloud. Quando si parla di strategie di disaster recovery o per la business continuity, la protezione deve essere uniforme in ogni scenario, senza zone grigie di cui chi attacca possa approfittare.
Automazione e intelligenza artificiale sono le uniche possibilità per prevedere, contrastare e minimizzare l’impatto degli attacchi informatici?
L’intelligenza artificiale è una tecnologia trasversale, che può essere utilizzata in diversi contesti all’interno dell’azienda e che ha proprio nell’integrazione con i diversi processi uno dei suoi punti di forza. Ma non è fine a sé stessa, va pensata all’interno di un framework integrato, a supporto di una piattaforma che automatizza i processi, che sfrutta il machine learning insieme alle informazioni prodotte dai sistemi e dal monitoraggio. Ognuna delle tecnologie che abbiamo citato ha bisogno – per funzionare al meglio – di essere calata in una visione più ampia, entrando nella logica del devops e del secops, per consentire ai servizi e ai sistemi di protezione di cambiare dinamicamente a seconda degli scenari d’attacco.
