Cloud security e AI sono un supporto fondamentale, ma è indispensabile la collaborazione delle aziende perché siano efficaci. L’esperto illustra le incognite di cui ci si dimentica spesso.
Autore: Redazione SecurityOpenLab
Cloud e Intelligenza Artificiale sono le due parole d’ordine del 2023 e sono state argomento di discussione con David Gubiani, Regional Director Sales Engineering di EMEA Southern & Israele di Check Point Software Technologies. Abbiamo spesso discusso del paradigma in chiaroscuro della trasformazione digitale, bilanciata fra vantaggi irrinunciabili e aumento del rischio cyber. Gubiani presenta un lato meno gettonato della questione: quello che è successo, contrapposto a quello che non è successo, ma avrebbe dovuto accadere.
“Una delle cose che è successa è stata l'adozione massiccia del cloud, una cosa che non è successa è che il cloud non è stato adottato completamente da tutte le aziende, permangono moltissime situazioni ibride. Un'altra cosa che è successa è che le aziende hanno iniziato a capire che quando si iniziano a spostare gli asset in cloud ci si ritrova ad avere problematiche di sicurezza duplici, quasi superiori a quelle che si avevano nella parte on-premise dove si era già provveduto alla sicurezza, e dove esisteva già un set di policy che sono un fattore strategico importante per garantire un determinato livello di sicurezza o perlomeno di chiudere la finestra di esposizione” esordisce Gubiani.
Il motivo per il quale con il cloud aumentano i problemi di sicurezza è la natura stessa del cloud, che è dinamico, per cui gli asset che implica sono in continuo mutamento. Gli asset aumentano, diminuiscono, ci sono flussi secondari. Quelle che una volta erano le virtual machine oggi sono microservizi, a volte presenti solamente per fare una determinata funzione in determinato momento. Questo implica che il primo problema che ci si ritrova ad affrontare è la configurazione del cloud, perché cambia in continuazione tutto l’asset.
Riuscire a stare al passo con i permessi, con le varie policy di Zero Trust e di accesso privilegiato ai vari sistemi, diventa complicatissimo da gestire. “Quindi – sottolinea Gubiani - è fondamentale quello che fa Check Point: avere nel proprio portafoglio non solo la parte di cybersecurity ma anche quella di management, che permette di fare una verifica di quelli che sono gli asset. Questo è un aspetto che ci differenzia dalla concorrenza perché non solo evidenziamo l’infrastruttura e le minacce in cui il cliente potrebbe incorrere, ma gli forniamo anche suggerimenti dinamici su che cosa dovrebbe fare per ridurre al minimo gli accessi illeciti a determinati asset”.
L’azione di Check Point va oltre, perché “andiamo a fare l’analisi rispetto alle minacce informatiche, quindi forniamo cyber intelligence mediante la nostra offerta Threat Cloud sia per la posture management sia per la threat prevention, così da bloccare le minacce che arrivano dall'esterno o dall'interno dell'azienda oppure lateralmente, perché se si usa un cloud condiviso con altre aziende, le istanze possono essere soggette agli attacchi laterali, che di solito sono devastanti. È questo il valore aggiunto di una soluzione completa che fornisce sia l’analisi dell’infrastruttura dal punto di vista dei permessi, degli accessi e delle policy, sia i suggerimenti e le direttive di quello che dovrebbe essere l'impostazione di accesso verso il cloud, sia di tutto ciò che sono le minacce informatiche” argomenta Gubiani.
Questa parte di detection e di prevention, arricchita con l’Intelligenza Artificiale, permette di impiegare modelli matematici per garantire che tutto ciò che è al limite tra il lecito e non lecito venga identificato in modo dinamico. Un concetto questo che si sposa con il recente annuncio di Check Point, in cui l’AI permea tutta la soluzione di cybersecurity dell’azienda. Gubiani rimarca tuttavia un problema: “L'Intelligenza Artificiale ormai è un po’ ovunque, dalla parte dei difensori così come da quella degli attaccanti, basta pensare all’esempio più semplice che è quello della email di phishing mirato” quindi non basta installare una soluzione con AI per essere al riparo dagli incidenti.
Un altro problema importante che presto dovremo affrontare riguarda la guerra. Gubiani ricorda che tutti gli sforzi che stanno facendo oggi le varie potenze in campo per avere la supremazia informatica nell’attuale condizione geopolitica stanno portando alla creazione di strumenti cyber letali. Strumenti che hanno permesso di oltrepassare i limiti, di alzare l'asticella degli attacchi cyber in modi precedentemente impensabili e imprevedibili. Strumenti creati durante una guerra, quando tutto è lecito, ma che resteranno attivi anche dopo e che diventeranno armi che i cyber criminali useranno contro di noi. Questo ci impone di essere sempre più attenti e di porci un passo avanti rispetto agli attaccanti.
Quello degli attacchi latenti che emergono solo dopo mesi o anni è un problema dovuto sia al fatto che sono sempre più sofisticati, sia che spesso sono creati da attori che sfruttano anche software leciti, basti pensare all’esempio di SolarWinds. In questo caso la difesa deve consistere nel fatto che chi crea il codice di qualunque prodotto, non solo di sicurezza informatica, lo verifichi. “Ci sono degli strumenti per condurre sia la verifica del codice sia per fare un'analisi del codice pre-produzione – sottolinea Gubiani – che vanno usati a maggior ragione quando si tratta di applicazioni per il cloud, perché lo spostamento di asset dall’on-premise al cloud a volte si riduce a poche e semplici linee di codice che vengono mandate in produzione e implementate senza avere attraversato tutta la filiera di security e di approvazione”. Al contrario, il ciclo CI/CD deve avere un certo livello di verifica e deve essere validato mediante soluzioni che permettano di controllare il codice, così da evitare di agevolare il successo degli attacchi cyber.
A tal proposito, prosegue Gubiani, “uno dei componenti di Cloud Guard riguarda proprio la protezione del codice. È una piccola parte della suite, ma ha il ruolo importante di consentire una verifica del codice di modo che, quando viene poi messo in produzione sul cloud, sia ragionevolmente sicuro”. L’aggettivo è d’obbligo perché soprattutto negli atti di spionaggio il primo obiettivo degli attaccanti è rimanere silenti in modo da ottenere il maggior numero di informazioni possibile. Per questo vengono messi in campo attacchi senza processi, senza procedure, senza alcuno strumento illecito, che creano due problemi importanti ai difensori.
Il primo è che i vendor di security come Check Point devono continuare a evolversi velocemente grazie allo sforzo notevole della ricerca e sviluppo. Sfruttando l’Intelligenza Artificiale è possibile analizzare la grande mole di informazioni raccolte dai clienti per comprendere le dinamiche di un attacco e quindi intercettarlo prima che faccia danni. Il grosso del problema è lato aziende: alcune mettono sul tavolo di discussione del business aziendale anche la sicurezza informatica, quindi nel momento in cui è necessario definire delle policy o stanziare degli investimenti basta poco tempo.
Altre aziende invece comprendono il problema della sicurezza, ma per implementarla e trovare l’extra budget necessario per un nuovo strumento di data protection si perdono in lungaggini che lasciano semplicemente aperta la finestra per nuovi attacchi. “In mezzo – nicchia Gubiani - ci siamo noi che cerchiamo di parare il colpo, che si può fare finché l’attacco arriva da fuori verso l'interno. Quando però l'attacco parte dall'interno per mancanza di strategie o di policy Zero Trust, diventa complicato”.
Il World Economic Forum ha messo l’accento sulla necessità di essere resilienti. Tuttavia, come fa notare Gubiani, “la resilienza costa, è inevitabile. Ma è indubbio che sia necessario essere resilienti, ossia riuscire ad essere adattabili rispetto a quello che accade là fuori”. Compito dei vendor e dei media è spiegare che cosa sta succedendo, ma è compito delle aziende individuare budget, procedure, policy per potersi adeguare rapidamente ai cambiamenti nel momento in cui viene rilevato qualcosa di nuovo che nessuno si aspettava, come per esempio un nuovo tipo di attacco.
Inoltre, per poter essere resilienti occorre disporre di processi di resilienza già operativi e processi di Disaster Recovery attivi e verificati. In altre parole occorrono policy di sicurezza all'interno dell'azienda che siano ben definite, ben rodate, ben studiate, ben implementate per far fronte a qualunque avvenimento.
Per comprendere il concetto facciamo un esempio banale: lo smartphone. “Tutti ci preoccupiamo tantissimo della sicurezza dei nostri cellulari, intesa come sicurezza fisica: compriamo sempre la custodia. Ma pochi di noi hanno sul proprio cellulare un sistema di cyber security. Eppure, portiamo sempre con noi un sistema che han un localizzatore GPS, tutta la nostra vita aziendale e privata, un registratore, sistemi di pagamento. Questo atteggiamento creerà prevedibilmente dei grossi problemi, a cui la maggior parte degli utenti non riuscirà a far fronte perché non disporrà di alcun processo di resilienza e di Disaster Recovery”.