Livrieri: "Cybersecurity diventa human centric con Machine learning e AI"

CYBERSECURITY

Livrieri: “La sicurezza diventa ‘human centric’ con Machine learning e AI”

Il manager sales engineer per Italia e Spagna di Forcepoint: “Ormai l’80% degli attacchi è causato dal furto delle credenziali degli utenti. Per proteggere le aziende serve un approccio dinamico e proattivo basato sull’automatizzazione. E’ la ‘risk adaptive security'”

09 Ott 2018

Antonello Salerno

“Ormai la maggior parte degli attacchi informatici utilizza tecniche di impersonificazione degli utenti e dei dipendenti. E’ il concetto degli insider: ormai la maggior parte delle offensive, oltre l’80%, è causato dal furto delle credenziali degli utenti. Questa percentuale ci fa dire che i targeted attacks siano principalmente dovuti al fatto che gli utenti trattano in modo superficiale le proprie credenziali d’accesso ad applicazioni aziendali. Per questo serve un approccio dinamico e predittivo, proattivo invece che reattivo, con l’intelligenza artificiale e il machine learning che sono embedded in questo genere di soluzioni”. Lo dice in un’intervista a CorCom Luca Nilo Livrieri, Manager sales engineer Italy & Iberia di Forcepoint, azienda specializzata nella “Human centric cybersecurity”.

Livrieri, qual è il senso di questo approccio predittivo basato sui comportamenti dei singoli?  

Forcepoint pone al centro del suo paradigma di sicurezza l’utente. Passiamo da un modello in cui il focus è sulle minacce a un modello in cui il focus è sull’utente come elemento critico. La costante, in un mondo in cui il perimetro delle reti si sta dissolvendo, con network differenti e diversi livelli di trust – dal cloud all’on premise alla mobilità – deve essere l’utente; lavorare sull’unico elemento costante significa comprendere l’intersezione fra utenti, dati e reti. Forcepoint chiama questo punto lo human point. Si tratta di capire come gli utenti interagiscono con i dati in diversi momenti e in diverse modalità e chiaramente in reti con diversi livelli di trust. La sicurezza diventa così un abilitatore di business. Una strategia “uno a uno” in grado di capire in maniera dinamica come ogni utente si comporta, per come tratta i propri dati o per come usa gli strumenti. Il nostro paradigma è la comprensione del contesto e del comportamento dell’utente, un approccio che portiamo a 360 gradi in tutte le nostre soluzioni.

Fino a che punto parliamo di prevenzione e fino a che punto di limitazione massima del danno?

La sicurezza adattativa, o “risk adaptive security”, deve arrivare alla prevenzione di data breach o di furti di dati, anche grazie al riconoscimento degli insider. Non si tratta per forza di utenti che volontariamente mirano al dolo o al furto, ma anche di utenti compromessi, o che fanno un processo di business errato o utilizzano uno strumento in modalità inappropriata. Prima che un utente diventi un insider renderà visibili degli indicatori di rischio che avvertiranno della possibilità di comportamenti malevoli o breach. Prevenire vuol dire identificare questi comportamenti, segnalarli in maniera opportuna e fare in modo che questi alert abbiamo visibilità all’interno dell’azienda, fino ad arrivare al blocco dell’utente da cui potrebbe a breve partire un’attività sospetta. E’ il principio di chiudere il cancello prima che i buoi siano scappati, rendendosi conto che hanno iniziato a correre verso l’uscita. E’ possibile farlo interpretando tutti gli indicatori di rischio e dare loro un contesto, evitando il security noise, l’affollarsi di allarmi dei quali non si capisce quali siano effettivamente fondati e quali contribuiscano soltanto a fare rumore. 

Come è possibile definire gli alert, su quali principi si basa il sistema?

C’è una componente di comprensione dei comportamenti, della modalità “normale” di lavoro dei singoli. Se per un utente è normale lavorare dalle tre alle quattro di notte, ad esempio, questo non causerà alcun alert. Ma se avviene per un dipendente che non ha mai lavorato in quella fascia oraria questa è un’indicazione di rischio. A guidare la politica di sicurezza non è più l’azione binaria, quindi se sia possibile o no far viaggiare dei dati tramite una chiavetta Usb, ma il rischio, che può essere calcolato a 360 gradi su come l’utente si comporta non solo digitalmente ma anche in maniera fisica, grazie ad esempio alla connessione con i sistemi di timbratura. Se mi loggo a un’applicazione a Roma ma il sistema di badge mi dice che quel giorno sono in trasferta in Spagna, correlando queste informazioni che vengono da diverse fonti creiamo un indice di rischio. Stessa cosa con il Cloud: se mi collego a un’applicazione da un IP pubblico che è ucraino ma quel giorno la mia matricola risulta in uso a Roma basta correlare queste informazioni per evidenziare un rischio fondato. 

Quanto state investendo su questo settore?

WHITEPAPER
Quali sono stati i casi di cybercrime più aggressivi degli ultimi anni? Scoprilo nel white paper
Cybersecurity

L’ultima azienda che abbiamo acquisito un anno e mezzo fa, Red Owl, va proprio in questo senso. Stiamo investendo molto, e stiamo portando quest’approccio in tutte le soluzioni del nostro portafoglio, perché abbiamo capito che la reazione manuale è sempre tardiva, e ci vogliono sistemi e processi automatizzati che aiutino gli amministratori da un lato a non caricarsi della gestione di falsi positivi, e dall’altro a non inseguire sempre l’incidente, ma cercare di essere più veloci possibile nella reazione. 

Quali sono i vostri clienti di riferimento, le aree di business su cui puntate di più?

Il nostro è un mercato enterprise molto interessante per diversi vertical, come il finance, le telecomunicazioni o il manifatturiero, dove si conta su una numerica molto elevata di utenze e con diversi livelli di specializzazione all’interno dell’azienda e una grande eterogeneità di tipologia di lavoratori.

E la pubblica amministrazione?

Nella PA il livello di awareness è generalmente più basso, e grazie a una human centric security si può arrivare a conoscere il livello di preparazione dei dipendenti e la loro consapevolezza dei comportamenti a rischio, senza controlli invasivi sulle attività specifiche dei singoli, legando le singole soluzioni anche a obiettivi particolare come il rispetto della Gdpr e quindi a un trattamento consapevole e corretto dei dati, per fare in modo che l’operatività non sia boccata da vincoli troppo stringenti. 

Qual è la risposta del mercato a questo genere di soluzioni? Chi sta dimostrando più interesse e dove c’è da lavorare di più?

Le aziende tecnologicamente più avanzate, quelle che fanno dello strumento internet il oro core business, sono certamente più sensibili. Parliamo di finance, banking, retail, e-commerce. Chi usa già questi strumenti capisce che, dal momento che gli utenti devono lavorare in maniera molto aperta sulle piattaforme, hanno bisogno di un modello di protezione che non ostacoli le loro attività ma intervenga soltanto dove e quando è necessario. Sarebbe utile portare questo approccio anche in ambienti storicamente più conservatori, come il manifatturiero e più in generale gli ambienti produttivi, dove ancora ci viene risposto che gli utenti sanno di non poter utilizzare Internet o le Usb al lavoro. Nell’era della digital transformation, sposare questo nuovo tipo di approccio potrebbe essere molto utile.  

@RIPRODUZIONE RISERVATA
Antonello Salerno

Professionista dal 2000, dopo la laurea in Filologia italiana e il biennio 1998-2000 all'Ifg di Urbino. Ho iniziato a Italia Radio (gruppo Espresso-La Repubblica). Poi a ilNuovo.it, tra i primi quotidiani online nati in Italia, e a seguire da caposervizio in un'agenzia di stampa romana. Dopo 10 anni da ufficio stampa istituzionale sono tornato a scrivere, su CorCom, nel 2013. Mi muovo su tutti i campi dell'economia digitale, con un occhio di riguardo per cybersecurity, copyright-pirateria online e industria 4.0.