Se le minacce di cyber security corrono, la capacità di protezione deve galoppare.
Il tempo nella gestione della sicurezza informatica è un fattore cruciale e affinché sia ottimizzato nella prevenzione e risposta a incidenti è necessario che anche il personale e gli strumenti a disposizione siano organizzati e funzionali come un unico meccanismo che potremmo definire bio-tecnologico, in cui i cyberdefender e le loro capacità sono aumentate dalle tecnologie di intelligenza artificiale (IA) specializzata sulle operazioni di difesa.
Nella protezione dei perimetri digitali sempre più ibridi e in presenza di business iperconnessi l’analisi di rischio sulla superficie di attacco e le tattiche di prevenzione, protezione e risposta corrono contro il tempo.
Un tempo spesso ristretto dagli avversari che usano piattaforme di attacco automatizzate, specializzate e performanti, quel tanto da raggiungere un’efficacia globalizzata grazie alle capacità dei LLM (Large Language Models) malevoli coinvolti.
Le strategie di difesa, di conseguenza, devono poter contare su tattiche e misure di sicurezza coerenti fra loro e capaci di integrare tecnologie diverse in un unico ecosistema sicuro. Come? Durante la conferenza Check Point 2025 (CPX2025), svoltasi a Vienna il 4 e 5 febbraio scorsi, ne abbiamo parlato con alcuni esperti. Ecco cosa ci hanno detto.
Indice degli argomenti
La strategia di difesa centrata sulla Network security
Qualsiasi azione di difesa dovrebbe essere organizzata in anticipo ed essere allineata al business aziendale. Per questo motivo, delineare una strategia aiuta a individuare gli obiettivi e a pianificare gli interventi.
Oltre all’uso di nuove tecnologie abilitanti del business, si deve maturare l’apparentemente ovvio primo passo di volersi proteggere dalle minacce digitali presenti in rete, anche se esistono ancora imprenditori che non lo reputano prioritario.
E’ a loro che si rivolge Gil Shwed, fondatore e presidente esecutivo del consiglio di amministrazione di CPST: “Non c’è futuro senza tecnologie – spiega – e non possiamo immaginare noi stessi senza Internet, ma dobbiamo usarle in modo sicuro”.
Dal suo punto di vista la priorità nella strategia è una sola: “Tutti i buchi che lasci aperti ai cracker sono sfruttabili e quindi come difensore devi proteggere quanto più possibile. E il livello di rete è sempre un punto di partenza di base per la protezione. Il nostro impegno è farlo abbracciando tecnologie di AI come parte del futuro, senza dimenticare le persone con cui va costruita una relazione di fiducia durevole”.
Anche Nadav Zafrir, Chief Executive Officer CPST, contribuisce spiegando il suo punto di vista strategico “una buona giornata in ufficio è quando non succede niente di male. Ma può accadere e dietro le linee della sicurezza informatica, si assiste ad una competizione di apprendimento che può essere affrontata con alcuni principi guida: onestà con se stessi sui rischi, innovazione per essere un passo avanti, attenzione ai dettagli perché nella sicurezza fanno la differenza (sulle minacce e il modo per bloccarle), considerare la Cyber security come uno sport di squadra in cui è importante promuovere la fiducia digitale tra tutti”.
Minimizzare il fattore tempo nelle operazioni di cybersicurezza
Il fattore tempo nella difesa è diventato un elemento strategico. In particolare, nell’ambito dell’individuazione preventiva delle minacce nella gestione degli incidenti, quando la minaccia si materializza con tutte le sue conseguenze.
Una metrica di misura è il Tempo di Ripristino (Time To Recovery TTR) ossia il tempo pieno di un’interruzione, dal momento in cui il sistema si guasta, al momento in cui torna completamente funzionante.
Normalmente si considerano i temi medi, per cui la sigla MTTR rappresenta la media di tutti i tempi impiegati per il ripristino dai guasti di tutti componenti di un determinato sistema.
La sigla MTTR può indicare anche la fase di risposta, di riparazione (Mean time to respond, Mean time to repair).
Nonostante questa metrica sia considerata ‘la stella polare’ della gestione incidenti perché include tutto (dal rilevamento degli incidenti e allerte alle riparazioni e risoluzione), migliorarla non è banale perché è una metrica di altissimo livello che non fornisce informazioni su quale parte del processo richieda effettivamente più tempo.
Le attività di monitoraggio, prevenzione e intercettazione delle minacce per attuare azioni di blocco costituiscono momenti essenziali e gli strumenti di Ai possono rappresentare uan soluzione di gestione tempestiva dei tempi per ciascun processo operativo.
Proprio sul tema della preparazione e efficace e tempestiva Nadav Zafir suggerisce di “intervenire rafforzando le soluzioni che operano a livello di rete e potenziarle con l’AI perché è a quel livello molte minacce iniziano ad agire”.
Dalla strategia alla tattica e dal livello operativo al day-by-day
Consolidare le diverse soluzioni di sicurezza di rete nel proprio perimetro operativo in una unica o in un numero ridotto è da qualche tempo un approccio suggerito da diversi vendor di sicurezza che avvertono delle debolezze potenzialmente celate a livello di interfacce API fra le varie tecnologie, come anche di potenziali aree di shadow IT (cosiddette aree di IT in ombra n.d.r.) sfruttabili da avversari digitali.
Nataly Kremer, Chief Product Officer e responsabile della ricerca e sviluppo in CPT, in linea con questa tendenza suggerisce di “consolidare più strumenti e processi in un’unica piattaforma, passando da soluzioni isolate a un ecosistema centralizzato che offra una protezione unificata (unified management) e potenziata da AI, tale da interagire con i diversi ambienti: le porzioni in Cloud, gli ecosistemi on premise, i workplaces decentralizzati, le risorse di gestione della posta e garantire per l’accesso ciascuno di essi, una gestione di tipo Zero Trust degli accessi secondo il Secure Access Service Edge (SASE)”.
In questo tipo di architetture ibride spesso basate su reti mesh iperconnesse, spiega Paul Barbosa, general manager, Cloud Security, Check Point Software, “la prima dimensione è la visibilità e quindi avere consapevolezza della situazione significa comprendere la propria postura di sicurezza da un punto di vista tecnico; esistono strumenti specifici per farlo in cloud, nei data center on premises, sugli end point, e nella gestione delle applicazioni in rete, mediante l’auditing continuo delle risorse e una veloce reazione in caso di scoperta di una minaccia in corso o di una debolezza sfruttabile”.
Per quanto riguarda la funzionalità di controllo accessi implementata dal SASE per una rete mesh iperconnessa è Amit Bareket, VP, Secure Service Edge che osserva come la reingegnerizzazione delle funzioni di un SASE standard (che chiede per ogni accesso l’autorizzazione al centro di controllo in Cloud causando latenza nei collegamenti n.d.r.) ottimizzi le performance e quindi i costi del traffico. Utilizzare agent SASE in ogni ambito del perimetro abilita ad un controllo accessi ottimizzato in termini di tempo”.
Analizzare il rischio dall’esterno per guardare globalmente e agire localmente
Parallelamente ad una piattaforma che si faccia carico di presidiare e proteggere gli accessi e la connettività in entrata e in uscita è anche necessario effettuare un’analisi della superficie di attacco esterna (attack surface management) per guardare alla propria impronta digitale come farebbe un avversario digitale per avere coscienza di aree del perimetro scoperte, vulnerabili o semplicemente rese deboli da vulnerabilità nel codice dei prodotti implementati.
Su questo tema Yochai Corem, vicepresidente della gestione dei rischi esterni presso CPST, spiega che “la superficie di attacco di una azienda può ricomprendere non solo la propria infrastruttura in tutte le sue componenti ibride (porzioni in cloud, on premise, workplaces, flussi e-mail, traffico web etc), ma anche le catene di fornitura che si interfacciano con l’azienda”.
“Inoltre”, chiarisce l’esperto, “con l’avvento delle soluzioni di Intelligenza artificiale conversazionale disponibili gratuitamente in rete, i flussi di informazioni aziendali veicolati verso questi strumenti sono esposti a profilazione e a divulgazione non autorizzata di dati aziendali (shadow AI); tali flussi, potrebbero dover essere bloccati per limitare il rischio. Non ci sono approcci filosofici alla sicurezza”, conclude, “se vuoi proteggere un perimetro, devi vietare quello che non è consentito dalle policy aziendali per salvaguardare i dati: per ogni potenziale falla di sicurezza, si deve intervenire minimizzando il ritardo”.
Dello stesso parere anche David Gubiani, direttore regionale sales engineering EMEA Southern & Israel presso CPST, che osserva “l’esigenza di una integrazione molto stretta fra la soluzione di analisi del rischio esterno e il sistema di threat intelligence aggiornato e in tempo reale, che ottimizza i tempi fra la valutazione del rischio e le misure di mitigazione applicabili automaticamente (virtual patching) o in modo supervisionato dall’utente”.
