Un nuovo EDR che coniuga la data protection con la cyber security, l’esordiente Advanced Automation, l’XDR e l’MDR di prossima uscita: presente e futuro di Acronis, raccontati dal General Manager South Europe Denis Cassinerio.
Autore: Redazione SecurityOpenLab
L’analisi del panorama attuale delle minacce porta a importanti riflessioni sulle soluzioni che è necessario adottare per la protezione dei sistemi e delle reti aziendali. Ne parliamo con Denis Cassinerio, General Manager South Europe e Senior Director Global Distribution di Acronis, che mette l’accento su tre elementi: l’Intelligenza Artificiale, la necessità di un EDR di ultima generazione e l’anticipazione sull’imminente esordio di un XDR a marchio Acronis.
Partiamo proprio dall’AI: Cassinerio sottolinea che l'utilizzo della AI nei suoi più svariati elementi di applicazione sta oggettivamente modificando sia le modalità di attacco che quelle di difesa. È innegabile che l’AI ha concorso e sta concorrendo al miglioramento dei processi di difesa. Basti pensare all'analisi dei processi che avvengono durante gli attacchi, in cui alcuni sono addirittura trusted: in precedenza individuarli richiedeva molto tempo, oggi non è più così. Anzi, è possibile svelare con estrema rapidità ed efficienza la concatenazione di passaggi che caratterizzano un attacco.
Quello che Cassinerio garantisce è che “siamo ancora lontani da macchine senzienti che agiscono autonomamente o hanno anche solo la capacità di elaborare autonomamente informazioni”: l’AI è da interpretare come un supporto. Per intenderci, Cassinerio pone l’esempio dell’LLM al momento più celebre, che è ChatGPT: “chi attacca non sta andando nella direzione di usare tout court ChatGPT per la realizzazione di un attacco - anche perché i filtri applicati da chi detiene la tecnologia non permettono questa applicazione diretta. Quello che invece permette di fare un LLM è per esempio analizzare un singolo processo e decontestualizzarlo rispetto a un processo intero di generazione di un malware piuttosto che di un attacco, per aggirare le protezioni. Saranno successivamente gli attaccanti a rielaborare i pezzetti singoli e ricostruire il processo per intero. Ancora, nel caso di spear phishing, un LLM può aiutare a creare più velocemente un messaggio più preciso e mirato o a tradurlo in diversi linguaggi”.
Il supporto dell’AI al cybercrime consiste quindi nell’accelerare gli attacchi e renderli più efficaci: non è un caso che secondo il report Mid-Year Cyberthreats Report 2023 di Acronis gli attacchi via email siano aumentati del 464% nei primi sei mesi del 2023. Un altro fenomeno che fa comprendere come l'utilizzo dell’AI possa aiutare gli attaccanti è l'aumento delle email BEC, cresciute di circa 7 volte e mezzo rispetto allo stesso periodo dell’anno precedente. Quest’ultimo tipo di attacco va direttamente a intervenire sui processi aziendali, facendo anche uso di deep fake per volgere a proprio vantaggio i trasferimenti di denaro.
All’interno di un contesto estremamente complesso come quello attuale ci sono principalmente due obiettivi che Acronis sta perseguendo nello sviluppo della propria piattaforma. Da una parte è necessaria l'ottimizzazione delle risorse e la drastica riduzione dei costi per ottenere la resilienza. Dall’altra occorre sfruttare gli skill già presenti. Sul primo punto Cassinerio sottolinea che oggi in ambito cyber la protezione è l'elemento chiave per ottenere resilienza, ma è sempre più una questione di natura economica: per fare che una potenziale vittima diventi antieconomica agli occhi degli attaccanti (ovvero sia talmente costosa da attaccare da non valere la pena farlo) bisogna di fatto trasferire risorse. È quello che stanno facendo i service provider, mettendo in campo svariate soluzioni in modalità silos.
Questo approccio, tuttavia, comporta un incremento dei costi e una impennata del meccanismo di correlazione di queste soluzioni. L’alternativa che Acronis ha deciso di percorrere è “formulare una soluzione integrata che dia la possibilità, con un unico agent, di coprire più workload possibili e con più controlli di sicurezza possibili” sottolinea Cassinerio. Tale soluzione ha il vantaggio di essere economicamente più conveniente, di essere di facile applicazione e di sfruttare – come detto sopra – le skill già presenti.
Così facendo si ottiene una soluzione più efficace, soprattutto considerando che nella stragrande maggioranza dei casi, quando iniziano le indagini l’attaccante è già presente all'interno dei sistemi: con Advanced Security + Endpoint Detection & Response (EDR) Acronis include il modulo di Detection and Response direttamente all'interno della piattaforma, compiendo di fatto “una evoluzione verso il processo di semplificazione ma anche verso l’obiettivo dell’aumento della visibilità sulle attività degli attaccanti” rimarca Cassinerio, che prosegue: “nello sviluppo di questa soluzione sono stati mantenuti alcuni principi fondamentali: il primo è che la soluzione si integra completamente con il resto degli elementi di protezione della piattaforma, quindi andiamo a garantire sicurezza sia lato protezione sia lato ad esempio backup. Pertanto, nell'ambito della resilienza possiamo rimediare ai danni causati dall’attacco riprendendo le informazioni precedentemente protette, anche con soluzioni di storage immutabile che impediscono la modifica dei dati”. Oltre alla resilienza c’è poi l’applicazione degli elementi di protezione, quindi la componente anti-malware con Intelligenza Artificiale e machine learning.
Il modulo di EDR va invece ad analizzare i processi all'interno degli endpoint e fornisce la piena visibilità del percorso dell'attaccante all'interno dei workload, anche per quanto riguarda i pattern di attacco dei processi trusted, a riguardo dei quali Cassinero evidenzia la quantità di brevetti registrati da Acronis negli ultimi due anni. L’analista ha sempre come riferimento le correlazioni con il MITRE per verificare quali sono i processi oggetto di indagine e a che punto è la risoluzione dell'attacco. DI conseguenza, anche quando l'attacco è ancora in corso, Acronis è di enorme supporto per la riduzione del dwell time e l’attivazione di tutti i meccanismi di ripristino dei processi e di remediation che possono permettere di isolare e mitigare l'attacco, oltre che bonificare i processi che sono stati modificati dall'attaccante. Tutto questo di fatto è immediatamente disponibile come estensione della piattaforma.
Cassinerio rilascia una importante anticipazione: in roadmap è già prevista l’evoluzione dell’EDR. Entro fine 2023 Acronis amplierà la visibilità all'interno del workload con un XDR, che comporterà una maturazione dei servizi con l’inclusione di servizi Managed detection and Response, per aiutare concretamente i service provider – sempre mediante la piattaforma Acronis - che insieme ad Acronis intraprenderanno un percorso di maturità nell'ambito cyber e offrendo al mercato qualcosa che oggi non sta offrendo, ossia il livello di resilienza che coniuga la data protection con la cyber security, in maniera molto più veloce e con una qualità molto più elevata.
La piattaforma così ampliata è destinata a supportare al meglio i partner di Acronis, grazie a quello che Cassinerio definisce “un approccio strategico che ci vede da tempo convogliare importanti risorse verso il canale e i service provider, aumentando di trimestre in trimestre il numero di realtà supportate”. La piattaforma stessa di Acronis è totalmente sviluppata per i service provider e rappresenta un modello di resilienza che – puntualizza Cassinerio – è unico sul mercato perché associa i controlli di natura cyber e i controlli di Data Protection, che è qualcosa che nessun altro concorrente fa”.
Sul fronte della natura di piattaforma XDR, Acronis partirà con l'evoluzione sulla propria piattaforma ed eventualmente l’opzione open interesserà una fase successiva. Cassinerio evidenzia che “il primo elemento di visibilità consiste nel concentrarsi sulla semplicità nell'utilizzo. Nel momento in cui io riesco a portare meccanismi di intelligenza agli elementi di base faccio già un lavoro di visibilità enorme. Fatto questo, il futuro ci dirà quale saranno poi le evoluzioni dell’XDR. Comunque, Acronis è un’azienda che ha attive più di 150 integrazioni - non necessariamente nell'ambito XDR”.
Oltre alle menzionate capability di controllo di sicurezza e di data protection, la piattaforma permette anche la gestione remota del servizio e - con il rilascio dei moduli di automazione –è un efficace strumento per aiutare i partner nella fatturazione automatica dei servizi, nella gestione multitenant e altro. Non ultimo, permette di avere un CRM e un sistema di PSA per l'erogazione ticket dei servizi. “È la coniugazione di tutti questi elementi – conclude Cassinerio – a costituire un tratto distintivo di Acronis e il miglior business planner per chi oggi vuole diventare un service provider”.
A proposito di valore aggiunto è mandatorio ricordare la formazione. La piattaforma Acronis vanta una spiccata semplicità d’uso, ma “Acronis continua a lavorare con il canale proponendo una Academy formativa con persone dedicate che erogano contenuti e corsi per i partner, che possono così tenersi costantemente aggiornati e possono qualificare le proprie competenze verso il mercato aggiungendo livelli di certificazione nel proprio portfolio” ricorda Cassinerio. Questo approccio al canale è premiante perché, stando ai dati ufficiali, presso i partner Acronis che seguono la Academy è stato possibile aumentare del 25% circa il numero di workload per system engineer rispetto a coloro che non seguono i corsi di aggiornamento. Sono questi i motivi che spingono Cassinerio a definire la tecnologia di Acronis “un punto fortissimo di riferimento nell'industria dei service provider e un punto di riferimento su come diventare service provider e migliorare i propri servizi erogati”.
Un altro fronte su cui Acronis si sta impegnando è poi la necessità di diminuire i falsi positivi, per evitare di sovraccaricare gli analisti con alert inutili. Con un enorme sforzo progettuale (più di 400 brevetti attivi e altri in approvazione) Acronis ha reso la piattaforma capace di distinguere le azioni importanti e quelle urgenti dal rumore di fondo, nell'ambito dell'analisi dei processi all'interno del modulo EDR, non solo per agevolare gli analisti, ma anche per permettere un'investigazione rapida e veloce. L'altro tema centrale è la semplificazione dell'indagine della piattaforma, che aiuta a fare rescaling delle risorse presenti in azienda fornendo indicazioni immediate sui processi che devono essere seguiti per l'identificazione di un eventuale attacco.
Fin qui la parte tecnologica. C’è poi quella organizzativa, che passa per l'aumento della qualità del servizio mediante la messa a disposizione di skill che il partner potrebbe non avere o che potrebbero comportare costi eccessivi per essere acquisiti. Questo è un tassello di una “roadmap futura” nell'ambito MDR e fa riferimento al caso in cui l'indagine dovesse diventare più seria e richiederebbe un livello di competenze ed esperienza di cui il service provider non dispone. Anziché perdere tempo prezioso cercando risorse esterne con gli skill adeguati, il partner potrà appoggiarsi ai futuri servizi MDR di Acronis, che permetteranno di erogare un servizio migliore a un costo sostenibile. Questo è quello che il mercato sta chiedendo e che Acronis si sta attrezzando per offrire nel prossimo futuro.
Cassinerio chiude offrendo un interessante punto di riflessione: chi fa sicurezza oggi è dipendente dagli skill e dall'integrazione di migliaia di soluzioni. Dato che quello della security è un settore in continua e veloce soluzione, in un brevissimo arco di tempo queste stesse realtà potrebbero essere coinvolte in un problema legato al mantenimento delle skill e alla loro evoluzione - soprattutto quando le parti devono rispondere ad un'evoluzione di AI e ML che devono essere riviste e ripriorizzate all'interno della struttura di erogazione dei servizi. Al contrario, chi adotta una soluzione integrata ha già coinvolto questi elementi di ottimizzazione, e se la piattaforma include anche la parte appunto di backup ottimizza ulteriormente costi e benefici.