Vectra fa il punto della situazione cyber in Italia e dà visibilità a un caso d’uso molto rappresentativo delle necessità di cybersecurity che hanno oggi le aziende.
Autore: Redazione SecurityOpenLab
Vectra AI chiuderà il 2023 con una crescita superiore al 100% rispetto al 2022. Merito di una tecnologia basata sull’Intelligenza Artificiale che ha trovato terreno fertile nella forte diffusione degli ambienti ibridi e cloud, dov’è difficile avere una visibilità completa dell’infrastruttura, ma che sono fra i territori di caccia preferiti dai cyber criminali. A fare il quadro aggiornato della situazione è Massimiliano Galvagna, Country Manager di Vectra per l’Italia, in un incontro con la stampa in cui era affiancato da Andrea Licciardi, Cybersecurity Manager di Maire.
L’analisi dei dati evidenziata da Vectra suggerisce un forte incremento degli attacchi, soprattutto negli ambienti ibridi; come ha spiegato Galvagna, infatti, “gli attaccanti puntano su aziende con parte dell’infrastruttura in cloud e parte on-premise, perché questa dualità genera complessità per la parte di security anche se il business aziendale ne guadagna”. Il secondo dato interessante è la maggiore concentrazione di attacchi diretti contro le identità, che fanno uso di social engineering e vulnerabilità anche di tipo zero day. Per gli attaccanti entrare in possesso di identità valide è il modo migliore per avviare movimenti laterali e portare avanti le attività dannose. Galvagna ha peraltro ricordato che quando si parla di identità ormai non s’intende più solo la credenziale legata a un utente in carne e ossa, ma anche quelle (di numero molto maggiore) legate ai servizi.
Altri elementi emersi dall’analisi sono la crescita del ransomware e i problemi legati agli insider: Galvagna spiega che “sono sempre di più i dipendenti contattati dai criminali informatici per portare fuori dall’azienda informazioni sensibili. Si tratta di un problema molto complesso perché un utente interno è già in possesso delle credenziali valide per accedere alle informazioni, quindi la complessità di una difesa aumenta notevolmente, considerata anche la diffusione del lavoro da casa”.
La tecnologia Vectra rileva attacchi in corso subito dopo la prima compromissione. È da sempre basata sulla AI, che consente di accelerare notevolmente l’analisi di una mole di informazioni estremamente ampia, tanto da arrivare a identificare una attività sospetta di un utente in un tempo definito “near real time”, che va da qualche secondo a qualche minuto. Come ha spiegato Licciardi successivamente, è un passo avanti notevole rispetto all’arco temporale di qualche giorno che era necessario con soluzioni alternative.
La velocità di detection è la stessa in un ambiente cloud così come in uno on-premise o ibrido e complesso e la tecnica funziona a prescindere che il problema sia una attività sospetta di un utente o una attività malevola compiuta da un ransomware. Questo successo è dovuto ad alcune peculiarità che distinguono Vectra dai competitor e che sono emerse nel corso dell’evento stampa. La prima è proprio la tecnologia pensata per lavorare in ambienti molto complessi e distribuiti, come per esempio le aziende con molti uffici remoti e ambienti ibridi, che consente di centralizzare comunque l’analisi.
La seconda è la copertura di tutti gli asset aziendali che vengono usati come vettori d’attacco contro le aziende. Infatti, una delle peculiarità della soluzione è la capacità di integrarsi con quello che il cliente ha già in uso, a partire dal SIEM per arrivare all’EDR, al firewall e a tutto lo stack applicativo. L’interfaccia con i prodotti di terze parti è bidirezionale, il che consente sia di raccogliere informazioni sia di inviare comandi in un tempo, appunto, near real time. Ciò significa, per esempio, che l’appliance Vectra può identificare un problema su un endpoint e inviare un comando per isolarlo velocemente così da circoscrivere i danni: è una possibilità che l’amministratore può definire a sua discrezione se lo reputa utile.
Galvagna ha anticipato che l’integrazione con soluzioni di terze parti è in fase di espansione e presto riguarderà anche piattaforme diverse da quelle menzionate sopra, per abbracciare anche tutta una serie di prodotti di security sia tradizionali che innovativi.
Ultimo elemento degno di nota è il fatto che la soluzione Vectra è in grado di rilevare anomalie che nel traffico cifrato senza farne la decription, consentendo così al cliente un forte aumento di visibilità senza incorrere in problemi di privacy o di violazione delle normative.
Fra i clienti attivi di Vectra, Galvagna indica aziende dalle PMI alla large enterprise, sia pubbliche che private, nei settori telco, finance, farmaceutica, enti pubblici, fra cui la Difesa, trasporti e altro. Un altro settore ampiamente coperto è quello delle infrastrutture critiche, in virtù del fatto che la piattaforma lavora in modo trasversale su IT, OT e IoT, indirizzando anche normative come la NIS2.
L’accento sulla Difesa, ha spiegato Galvagna, è dovuto a un’altra peculiarità di Vectra: il fatto che “la tecnologia Vectra può lavorare al 100% in modalità on-premise, completamente scollegata da Internet, che è un aspetto interessante per la Difesa. Ed è un vantaggio competitivo per Vectra, considerato che oggi la maggior parte delle soluzioni di cybersecurity necessita di una connessione al web per lavorare”. La tecnologia Vectra, al contrario, non perde alcun tipo di capacità di analisi, detection e response in assenza di connessione. Peraltro, la tecnologia non richiede nemmeno importanti risorse di elaborazione: va bene anche una macchina virtuale. Proprio l’interesse da parte della Difesa, sia Oltreoceano che in Europa, ha stimolato la volontà dell’azienda di potenziare lo sviluppo della componente on-premise, in particolare in connessione all’analisi del traffico cifrato.
Andrea Licciardi ha presenziato all’evento stampa per testimoniare l’esperienza di Maire con la soluzione Vectra. Per chi non conoscesse questa importante realtà produttiva, Maire è una multinazionale ingegneristica presente nei cinque continenti, che sviluppa e implementa tecnologie innovative per la transizione energetica. Licciardi la definisce una azienda cloud-oriented che favorisce lo smart working da ben prima della pandemia, e che considera la cybersecurity un elemento abilitante per le attività di business.
Pare evidente che si tratti quindi di una realtà strutturata, con budget elevati e una dotazione tecnologica di alto livello. Proprio a questo proposito, Licciardi ha decritto le esigenze che riscontrava e i vantaggi della soluzione adottata. Quanto alle esigenze, la testimonianza è rappresentativa di tutte le aziende italiane di qualsiasi dimensione e settore: nonostante gli investimenti in cybersecurity, il numero di incidenti di sicurezza e di violazioni dei dati era andato costantemente aumentando. Inoltre, il tempo medio richiesto per identificare e contenere una violazione di sicurezza era di svariati giorni. Sintetizzando al massimo, occorreva ridurre il rischio cyber.
L’azienda ha cambiato l’approccio passando da quello reattivo a quello di nuova concezione proattivo, e ha creato il Cyber Fusion Cener, un centro operativo avanzato in cui vengono raccolti, analizzati e gestiti i dati relativi alla sicurezza informatica di tutta l’azienda. Qui operano e collaborano componenti di orchestrazione, automation, AI, threat intelligence e altro.
Nonostante l’alta dotazione tecnologica, Licciardi denuncia che “mancavano elementi capaci di identificare alcuni tipi di attacco. Questo era motivo di grande preoccupazione, perché mancava piena visibilità di tutte le minacce che potevano entrare nel nostro contesto aziendale”. È a questo punto che Maire ha deciso di valutare l’adozione di una soluzione NDR (Network Detection & Response) che avesse capacità di integrarsi in pieno con lo stack tecnologico e creare valore riducendo l’impatto sulle attività.
Sono stati condotti vari test paralleli di soluzioni NDR, alla fine si è optato per la tecnologia Vectra, che si era messa in risalto per le tempistiche di rilevamento, per i vantaggi dovuti alla integrazione tecnologica, e per la velocità e la capacità di identificare le minacce. “La messa in opera della componente Vectra, inoltre, ha consentito una ottimizzazione significativa delle risorse dovuta alla forte riduzione di falsi positivi”, oltre ad assicurare una risposta agli incidenti più efficace e una protezione dati migliorata. “Siamo passati – sottolinea Licciardi - da identificare minacce in giorni a identificarle in ore/minuti, incluse le attività di contestualizzazione dell’incidente e di contenimento”.
L’allentamento del carico di lavoro degli analisti che questo cambiamento ha portato ha consentito di ottenere un maggiore focus sugli incidenti che richiedevano effettivamente il contributo umano per la soluzione, un risparmio economico e conseguenti reinvestimenti in altre attività.