Serviva la paura per far capire al mercato che
la cyber security è una priorità. Il COVID-19 ha dato una spinta determinante: ormai è chiaro che cosa bisogna fare e di chi sono le responsabilità. Tutte le fasce di utenza, dalla grande banca al lavoratore da casa, hanno compreso l'importanza della sicurezza informatica.
In questo momento più che mai
la sicurezza è diventata la premessa per fare qualsiasi cosa. I clienti hanno finalmente compreso che è doveroso proteggere i dati anche in una situazione di emergenza come quella che abbiamo vissuto.
A dirlo è Morten Lehn, General Mananger di Kasperky Italia, facendo il punto sulla situazione della cyber security in Italia dopo l'emergenza sanitaria. Emergenza che
poche aziende hanno saputo gestire nel modo corretto, perché non erano attrezzate per farlo.
Mancavano le infrastrutture e le procedure. Implementarle frettolosamente ha lasciato scoperti molti aspetti della sicurezza. Alcuni canali si sono fermati al primo giorno di lockdown, poi molti si sono spostati online, ma senza avere idee chiare del comportamento de dovevano tenere.
È qui che sono entrati in gioco i produttori di soluzioni per la cyber security, che hanno messo a segno un
semestre d'oro. Lehn conferma che tutti i prodotti SMB e consumer di Kaspersky sono cresciuti in maniera importante. Hanno beneficiato del momento anche i partner MSSP, che hanno avuto molto da fare per "coprire i buchi" di sicurezza creatisi con lo
smart working forzato.
La crescita non è terminata, continua ancora. Ci sono progetti che non hanno potuto essere realizzati nell'immediato perché richiedono una presenza fisica, e che saranno portati avanti dopo l'estate. Ora, confessa Lehn, "tutto quello che facciamo diventa sempre più rilevante".
È in questo quadro che l'azienda russa ha annunciato l'ampliamento del portafoglio prodotti e dei servizi gestiti. Il mercato sta rispondendo bene,
ci sono tanti spazi di crescita e ovviamente l'obbiettivo di Kaspersky (come di tutti i concorrenti) è sfruttarli il più possibile.
La difesa degli endpoint
In questo momento il mercato chiede soluzioni efficaci per
identificare le minacce nascoste ed evasive, ed evitare l'impatto maggiore degli attacchi (i danni economici e d'immagine). Oggi chi sta scegliendo le soluzioni per la sicurezza e chi sta pianificando le modifiche alla propria infrastruttura mira a ottenere una strategia di sicurezza efficace, adatta allo scenario contemporaneo.
Come sottolinea Fabio Sammartino, Head of Pre-Sales Kaspersky, per la cyber security l'azienda russa punta prima di tutto sugli endpoint. Perché i cyber criminali prendono
sempre più di mira gli endpoint per attaccare l'infrastruttura. E perché sono di fatto i sistemi aziendali meno protetti e più difficili da proteggere.
La parola d'ordine è
prevenzione. Le soluzioni tradizionali non sono più sufficienti in uno scenario in cui la necessità è quella di estendere la visibilità sugli endpoint per identificare le minacce più complesse e rispondere tempestivamente a una situazione critica.
Inoltre, si chiede ai software EDR (Endpont Detection and Response) la semplicità d'uso, per agevolare gli addetti in azienda che a volte non hanno le skill adeguate per fronteggiare le minacce, e non riescono a rispondere in maniera adeguata.
Su questi due elementi si articola il portafoglio Kaspersky. Che propone soluzioni non solo in funzione delle tecnologie inserite al loro interno, ma anche della strategia di cyber security decisa dall'azienda.
La base su cui tutto si regge sono le Security Foundations, ossia tutte quelle soluzioni indirizzate agli endpoint che oggi sono possono mancare. Comprendono la protezione per le applicazioni legacy, per quelle in cloud e per le email, al centro della maggior parte delle
campagne di attacco. Sembrano le "stesse cose di sempre", in realtà c'è una novità trasversale a tutti questi prodotti:
l'automatizzazione nella risposta.
Tutte le soluzioni per gli endpoint sono progettate non solo per individuare le minacce in modo automatico, ma per rispondere in modo automatico per estendere le capacità di difesa.
Optimum Framework
Al livello superiore c'è l'Optimum Framework. Si tratta di un EDR che soddisfa la necessità di IT manager e security manager di "guardare più a fondo" e capire se una minaccia è in effetti la detection singola che è stata bloccata dall'endpoint, o se dietro c'è una criticità di alto livello che richiede una visione più ampia dell'incidente.
Per comprendere questo punto facciamo un esempio. Le difese informatiche bloccano un trojan su un computer. Può essere un semplice trojan fine a sé stesso. Come spesso capita di recente, può essere il
primo tassello di un attacco che mira all'installazione di un ransomware nella rete aziendale. Se l'EDR si limitasse a liquidare il trojan come un attacco isolato, lascerebbe esposta la rete aziendale a un potenziale
ransomware.
EDR Optimum garantisce la possibilità di cercare la causa principale dell'attacco tramite analisi in dettaglio dei processi. Individua le azioni svolte dall'intruso nel computer in cui è stata identificata la minaccia, quali oggetti ha modificato e altre informazioni. Cerca relazioni fra altri incidenti simili rilevati. Alla fine comprende se l'elemento di detection fa parte o meno di uno schema più complesso. Inoltre, identifica potenziali diffusioni all'interno degli altri modi della rete.
L'aspetto importante è che l'analista può essere svolta in maniera
automatica o semi automatica. E nello stesso modo genera una regola di blocco preventivo della minaccia, estende la ricerca sugli altri nodi e contiene immediatamente il potenziale rischio.
In Optimum c'è anche la
Kaspersky Sandbox, che analizza alcuni formati di file con l'obiettivo di riconoscere minacce che non sarebbero rilevabili dal solo endopoint. Optimum e Sandbox lavorando di concerto per la mitigazione.
Kaspersky Managed Detect and Responce
Sopra abbiamo accennato alla mancanza di skill nelle aziende. Non tutte hanno un team di security dedicato o con skill sufficienti per svolgere analisi avanzate. Per questo una delle tendenze che si sta affermando è quella di
esternalizzare il servizio di cyber security affidandolo a MSSP o usando servizi terzi, come Kaspersky Managed Detect and Responce.
Sono entrambe soluzioni che aiutano a identificare le minacce più avanzate e complesse. Senza arrivare all'Expert Framework che contiene soluzioni per esperti (per i SOC o i team specializzati), Kaspersky Managed Detect and Responce fornisce analisi avanzate.
Nel caso di minacce complesse, espande le analisi di rilevamento e avanzate anche mancanza di expertise. È un servizio che alleggerisce di molto i costi.
Managed Detection and Responce è un SOC che analizza i metadati raccolti dagli endpoint. Una volta raccolte, le telemetrie analizzate dal SOC vengono sottoposte a strategie di detection che fanno riferimento ai principali threat detector. Il vantaggio di questo tipo di metodologia di ricerca degli attacchi è che fornisce un servizio che in genere è appannaggio esclusivo dei SOC di terzo livello. Consente di identificare un potenziale attacco, anche complesso, ai suoi primi stadi evolutivi, quindi intervenire tempestivamente per la mitigazione.
Nel caso in cui venga identificata una potenziale compromissione, risponde automaticamente, nell'ambito di un piano d'azione concordato con il cliente. Questo strumento aumenta la capacità di detection laddove il team di security non è in grado di farlo, e offre risposta immediata all'eventuale criticità.
Molti MSSP usano questo servizio per erogare a loro volta i propri servizi di sicurezza e per aumentare le capacità di rilevamento dei propri SOC.