Denis Cassinerio di Bitdefender: la piattaforma Gravity Zone si basa sulll'early warning e sfrutta AI e machine learning.
Autore: Redazione SecurityOpenLab
Lo smart working e tutto quello che ne è seguito hanno modificato profondamente non solo il nostro modo di vivere e lavorare, ma anche le attività dei cyber criminali, che hanno cambiato obiettivo per andare a colpire in maniera diversa, e forse anche più efficace, le vittime.
Dal punto di vista temporale sono due i momenti caratterizzanti che si sono vissuti: la fase del lockdown e quella del new normal, che hanno determinato altrettante modalità di adeguamento. Nella fase di lockdown si è assistito a una diversificazione degli attacchi, con l'attenzione sugli elementi infrastrutturali, in particolare il dissolvimento del perimetro, e sulla conseguente estensione della superficie di attacco.
La fase new normal è invece stata caratterizzata dalla adozione dei principi di “early warning”. È atteso un incremento degli investimenti in cyber security e si è registrata un'impennata di interesse verso SOC e prodotti come EDR, servizi MDR e XDR.
La soluzione di Bitdefender
Bitdefender ha ampliato la piattaforma Gravity Zone per abilitare una sicurezza in chiave moderna. Ora tutti gli algoritmi di prodotti che fanno parte delle suite di protezione includono, già a livello di base, la possibilità di effettuare indagini forensi degli incidenti informatici.
Nel momento in cui Gravity Zone protegge un endpoint e l'infrastruttura nella quale è inserito, la piattaforma può tracciare il percorso completo a ritroso dell'evento rilevato sull'endpoint, perché integra in un'unica soluzione la protezione (EPP) e la componente di detection (EDR).
Questo consente un'ulteriore semplificazione dal punto di vista dell'utilizzo, che sopperisce allo skill gap sul mercato: l'impiego di questa piattaforma può essere fatto partendo dagli skill di base. Inoltre, permette di fare patrimonio delle informazioni forensi già nella fase di protezione. In questo modo si amplia la parte di detection con possibilità di iniziare il “threat hunting”, che costituirà un trend molto solido nei mesi a venire.
IoT e email
Sempre in merito al threat hunting, abbiamo incluso in alcune delle suite commerciali anche l'analisi del traffico di rete. La tecnologia alla base è quella assimilata con l'acquisizione di Red Socks due anni fa. L'analisi dei fenomeni di rete (e quindi degli indicatori di compromissione) consente di monitorare tutti quegli oggetti che non hanno la possibilità di essere protetti con un agente software, compresi quelli dell'universo IoT.
Un'altra novità importante riguarda la protezione della posta elettronica. Offriamo un gateway di posta specifico che lavora su tecnologie multilivello. Si tratta di una tecnologia mirata a diminuire il phishing e i fenomeni di email impersonation. Effettua controlli sfruttando l'Intelligenza Artificiale l'analisi comportamentale.
Ad esempio, una delle tecniche impiegate è quella di controllare se mittente e ricevete sono entrambi sull'active directory dell'azienda. Inoltre, opera controlli di contesto, cosa che le tecnologie obsolete non fanno perché si basano più sui controlli legati solo al comportamento del malware stesso. Queste tecniche oggi non sono più efficaci perché è entrata in gioco l'ingegneria sociale, che richiede controlli di nuova generazione. Infine, il gateway protegge anche le email ricevute nell'ambito della piattaforma cloud Microsoft 365.
SOC e MSSP
Un trend in forte accelerazione riguarda i servizi MDR che eroghiamo dal nostro Security Operation Center. Sono servizi che vanno a fornire skill e controllo degli alert per la ricerca degli indicatori di compromissione o di attacco. Svolgiamo questa attività sia a livello di endpoint che di rete, mettendo a disposizione tutte le nostre competenze. Si integra con i servizi già erogati dagli MSP e dai SOC, andando di fatto a creare un mercato verticale che sta crescendo in maniera enorme. Si parla di un segmento che secondo Gartner raggiungerà 4 - 4,6 miliardi nel 2026. Anche in Italia si comincia a vedere una ricerca di questi servizi, direttamente a sostegno della tecnologia di detection.
Da notare che la nostra threat intelligence è completamente integrata all'interno del data center del cliente. Il vantaggio che offriamo è che consente di ricevere informazioni da Bitdefender in merito a diversi elementi, dagli APT alla reputazione dei file, passando per i file collegati agli APT stessi e altri feed.
Gli MSP e MSSP sono una parte fondamentale per noi. Sono una realtà che sta appoggiando molto bene l'evoluzione delle nuove richieste nell'ambito della cyber security. Abbiamo dedicato dei team allo sviluppo della piattaforma GravityZone MSP, e tutte le tecnologie sono già disponibili per i partner che vogliono adottare la sicurezza in ambito servizi gestiti.
Una novità che abbiamo appena lanciato sul mercato è l'estensione dei nostri servizi di tipo MDR all'interno della piattaforma MSP. Oggi, diventando partner di Bitdefender si avrà a disposizione, oltre alla tecnologia, un servizio di monitoraggio diretto sugli endpoint che integra i servizi dell'MSP o dell'MSSP. In questo quadro Gravity Zone diventa una piattaforma con un unico punto di vista su tutte le tecnologie di cui abbiamo parlato, che abilita fortemente l'accelerazione dei partner nell'erogazione dei servizi si sicurezza al mercato.
Si tratta di un aspetto importante perché in Italia la maggior parte delle aziende è di piccole e medie dimensioni, non può permettersi un SOC interno. Tuttavia, occorre presentare correttamente questi servizi con una formula ROI (ritorno sui security investments) perché stiamo parlando di un servizio di supporto al business e come tale dev'essere compreso.
Vuoi rimanere sempre informato sulle notizie di SecurityOpenLab.it?