«Oggi le esigenze delle aziende italiane in termini di cybersecurity si riassumono in tre parole: visibilità, integrazione e automazione». A sostenerlo è Paolo Cecchi, Regional Sales Director per l’Italia di SentinelOne, società che dal 2013 propone soluzioni per la protezione delle informazioni aziendali e che sin da subito ha puntato sulle tecnologie innovative di artificial intelligence e machine learning e sui sistemi di EDR (Endpoint Detection and Response) per cercare di contrastare più efficacemente gli attacchi.
Who's Who
Paolo Cecchi
Potrebbe essere più specifico? Cosa intende esattamente con visibilità, integrazione e automazione?
Visibilità perché la migrazione al cloud ha completamente diluito il perimetro aziendale e i team di security hanno perso un po’ di visibilità sugli asset, su chi può accedervi, che cosa può fare e quali sono i suoi privilegi.
Per quanto riguarda l’integrazione, da sempre le organizzazioni utilizzano più tool di sicurezza per difendersi meglio. E questo vale maggiormente oggi, con i nuovi perimetri che si sono creati. Tuttavia, aumentare il numero di tool di sicurezza non vuol dire aumentare l’efficacia della protezione. Secondo alcune recenti ricerche, ogni organizzazione usa circa 40 strumenti specifici per proteggere i dati aziendali. È impensabile gestirli tutti in maniera puntuale, è necessario integrarli all’interno di piattaforme.
L’integrazione diventa un punto fondamentale anche perché oggi è difficile trovare personale competente in ambito cyber. Tutto ciò rende il lavoro dei team di security operation estremamente difficile ed è quindi strategico poter integrare i tool all’interno di piattaforme complete che siano in grado di gestire al meglio tutte le informazioni.
La terza esigenza riguarda l’automazione, che diventa fondamentale per gestire con strumenti completamente autonomi l’attuale scenario sempre più complesso e sofisticato degli attacchi informatici e poter fornire risposte veloci e quanto più possibile complete al board o a chiunque abbia ne abbia la necessità.
Questo vale allo stesso modo sia per le imprese sia per la Pubblica amministrazione?
Le esigenze di sicurezza esistono anche per gli enti della Pubblica Amministrazione, ma il modo di rispondere è abbastanza diverso rispetto a un’azienda. La cybersecurity evolve velocemente e il processo di approvazione di una gara pubblica rischia di portare all’acquisto di qualcosa di inefficace perché nel frattempo le tecniche, le tattiche e le procedure di attacco si sono modificate.
C’è poi un problema legato alle competenze. Nella PA sono più difficili da attrarre rispetto al privato perché i budget sono meno idonei rispetto alle richieste attuali di mercato.
L’ACN sta dando delle linee guida che aiutano la Pubblica Amministrazione e la gestione delle infrastrutture critiche. Queste linee guida permettono di identificare i percorsi di maturazione in termini cyber che le organizzazioni devono seguire. Bisognerà però passare dal tema delle linee guida a quello relativo a una corretta execution per portare a conclusione il percorso.
In questo senso, quali vantaggi può portare il PNRR?
Il PNRR è sicuramente uno strumento utile, ma deve poi essere messo in pratica. Offre una valida possibilità però sta alle singole organizzazioni definire piani, strategie, procedure e processi, e di conseguenza tecnologie, affinché tale possibilità si trasformi in qualcosa di concreto. Questo dipende tantissimo dalle organizzazioni. Alcune sanno come rispondere velocemente e sonoin grado di sfruttare le possibilità offerte dal PNRR, altre purtroppo sono più lente e faticano a capire e definire esattamente cosa fare.
Quali sono i settori verticali che in Italia fanno maggiori investimenti nella security?
Sicuramente banking e finance. Quest’ultimo è un settore estremamente evoluto, perché ha la necessità di essere in linea con quanto previsto da normative e regolamentazioni a livello internazionale. Ci sono poi le imprese che devono proteggere infrastrutture critiche, compresi i settori energy e gas su cui oggi c’è molta attenzione, che per definizione pongono una particolare attenzione al tema cyber. Aggiungerei anche il manufacturing, che sta molto migliorando. Mentre il retail si muove più lentamente.
Come risponde SentinelOne alle esigenze di cybersecurity e con quali soluzioni?
SentinelOne nasce nel 2013. È stata la prima azienda a introdurre il concetto di next generation antivirus ed EDR avvalendosi delle più moderne e innovative tecnologie. Ci siamo poi mossi verso il mondo dei dispositivi mobile e i server tradizionali, ma già portati in cloud. Il next step è stato quello di soddisfare le esigenze delle aziende con i sistemi in cloud, intesi, per esempio, come microservizi impostati su cluster, kubernetes, container e docker. Oggi forniamo una protezione completa anche in questo ambito.
Tuttavia, l’enterprise non è fatta soltanto di endpoint, ma anche di altre superfici di attacco. In quest’ottica, attraverso alcune acquisizioni, come quella di Attivo Networks, abbiamo ampliato la nostra copertura al tema dell’identità secondo il concetto dell’Identity Treath Detection Response. In pratica, si tratta dell’analisi completa dell’ Active Directory e di verificare eventuali compromissioni delle identità sugli endpoint fino ad arrivare alla deception per creare percorsi ed esche all’interno dell’organizzazione dove l’attaccante è facilitato ad arrivare. In questo modo, è possibile capire cosa sta facendo l’attaccante, evitando che vada a colpire i sistemi di produzione, potendo eventualmente isolare la minaccia e guadagnare un po’ di tempo per proteggere l’organizzazione.
Il terzo step è stato quello di integrare tutte le protezioni in un ecosistema che permetta sia di aggregare diverse sorgenti sia di automatizzare le correlazioni fra le informazioni che riceviamo. Abbiamo così introdotto il concetto di XDR (extended detection and response), una piattaforma che non solo ci permette di raccogliere la telemetria che proviene dai sistemi, dagli endpoint o dagli agent SentinelOne, ma anche da sistemi esterni di sicurezza. Abbiamo molteplici integrazioni che permettono agli analisti di sicurezza e ai team di security operations di non dover saltare da una console all’altra per reperire le informazioni in maniera disgiunta e doverle poi correlare fra di loro. Questo compito è, infatti, demandato alla nostra piattaforma.
Le nostre soluzioni consentono di vedere di più (la detection è un nostro punto di forza), proteggere meglio (grazie a tutte le tecnologie che rendiamo disponibili in modo integrato) e risolvere più velocemente (attraverso l’analisi e ai nostri sistemi di artificial intelligence).
Dell’integrazione e dell’automazione di cui ha parlato non si dovrebbe occupare il SIEM?
In realtà il SIEM nasce per fare principalmente compliance e richiede un effort umano enorme perché l’automazione non è così spinta. Quindi devolvere la sicurezza a un SIEM è un lavoro estremamente complicato che consuma risorse sia umane sia economiche. Avere invece una soluzione che permette di automatizzare quanto più possibile queste attività è estremamente interessante. La nostra piattaforma si chiama Singularity ed è proprio orientata ad acquisire informazioni di sicurezza e a correlarle fra loro in maniera automatizzata.
Le aziende sono preparate per poter usare in modo adeguato le vostre soluzioni?
Vediamo una crescita enorme del modello MSSP, soprattutto sulla fascia dell’Smb o delle medie aziende italiane e questo a prescindere dalla tecnologia. Tutte le organizzazioni sotto determinate soglie (di dipendenti, di fatturato o di core business) fanno tanta fatica a gestire la sicurezza al loro interno. Per questo, si rivolgono sempre di più al mercato MSSP, che in ambito cybersecurity sta crescendo di più rispetto alla consulenza o alla vendita di prodotti specifici per determinati ambiti. In Italia, le organizzazioni più grandi e più strutturate sono in grado di gestire in autonomia le tecnologie SentinelOne. Invece, le imprese di piccole o medie dimensioni stanno adottando sempre di più un approccio che coinvolga provider di servizi di sicurezza.
Dal vostro punto vista, quali saranno i trend che caratterizzeranno la cybersecurity nel 2023?
Sicuramente il ransomware continuerà a essere uno dei principali elementi di attacco. Se la situazione geopolitica non migliorerà, proseguirà poi una serie di attacchi state sponsored: le aziende dovrebbero considerare soluzioni in grado di rilevare o comunque rispondere a questo tipo di attacchi in breve tempo.
La cybersecurity non è soltanto una questione di tecnologia ma anche di processi e persone, che di pari passo devono seguire l’evoluzione dello scenario globale ed essere implementate in maniera adeguata. Occorre dotarsi delle tecnologie giuste, associare processi adeguati e formare le persone affinché questo tipo di comportamento sia sempre più responsabile.