Le nuove frontiere della Sicurezza IT
Check Point per una security avanzata e centralizzata
Semplificare le complessità della sicurezza grazie a un processo di integrazione e consolidamento
Tendenzialmente le modalità di attacco rimangono sempre le stesse, più sofisticate magari, dice David Gubiani, Security Engineering Manager di Check Point Italia. C’è piuttosto un aumento per tutto ciò che riguarda il malware mobile, per gran parte proveniente dalle app scaricate dagli store e in grado di infettare il device.
Cosa significa tutto questo?
Molto semplicemente che la criminalità informatica ha un potenziale di attacco sempre più ampio, con un numero di dispositivi target che spazia dal desktop allo smartphone, con conseguente capacità di acquisire informazioni. Può esser codice dormiente, che entra in azione al momento opportuno, così come ripetutamente evidenziato dalla più recenti indagini.
Qual è l’effetto dell’estensione degli attacchi mobile?
La tipologia di attacchi, proprio per la diversa natura del dispositivo mobile, si moltiplica. Basti pensare al codice che permette di controllare audio e video, rendendo questi dispositivi una sorta di microspia. Sembra fantascienza, ma è una cosa molto, molto fattibile. Nella mira vi sono sia dispositivi iOS sia dispositivi Android, nessuno escluso. Per tutti coloro che trattano dati sensibili esiste perciò un pericolo più avanzato rispetto al passato. Sono riusciti a creare un ramsomware per Android, un virus Cryptolocker che ha il compito di criptare i dati della vittima richiedendo un pagamento per la decriptazione. La tendenza, come si vede, è cercare di usare minacce sempre più sconosciute, non riconoscibili dai sistemi tradizionali di detection, sfruttando vulnerabilità non ancora note sulle diverse piattaforme.
Come contrastare la nuova tipologia di attacchi?
Si devono, per esempio, utilizzare tecnologie sandboxing che vanno ad intercettare malware zero day. La soluzione per dispositivi mobili di Check Point è la Mobile Threat Prevention che verifica la bontà dell’app, ovvero che sia effettivamente l’app che si presenta con la propria identità, evitando che un codice infetto superi tutti controlli compromettendo il sistema operativo. Check Point investe ormai da tempo sulla parte APT. Threat Extraction, in particolare, identifica contenuti a rischio, sopprime i comportamenti malevoli e cerca anche di ricostituire, laddove possibile, il contenuto in modo inoffensivo.
Threat Emulation, invece, si occupa degli eseguibili, allocandoli in una sandbox, grazie all’impiego della tecnologia di Hyperwise. Nel settembre scorso, è poi arrivata SandBlast, una soluzione sotto la quale sono state integrate le componenti di offerta nel campo della gestione di file sospetti e malevoli, allo scopo di pacchettizzarla in diverse appliance.
Ulteriori evoluzioni di questo percorso?
CheckPoint ha fatto un nuovo passo avanti costruendo con SandBlast una soluzione che integra l’insieme della propria offerta di gestione dei file sospetti e malevoli. Questa proposta mette insieme le capacità di sandboxing con quelle di estrazione e gestione degli eseguibili, degli archivi e dei file Office, Pdf, Java e Flash per isolare le minacce indirizzate agli ambienti Windows. I nuovi pericoli eventualmente rilevati vanno poi ad alimentare il servizio ThreatCloud di aggiornamento online sulle minacce in circolazione. SandBlast è disponibile sotto forma di appliance dedicate, con quattro modelli che propongono un’ampiezza di banda da 150 Mb/s a 4 Gb/s o anche come moduli software per i clienti dei dispositivi di gestione unificata delle minacce di Check Point.
Come coniugare security ed efficienza operativa?
Mettere in sicurezza un’azienda non vuol dire ingessarla o rendere più lenti i processi. Succedeva una volta quando la capacità di elaborazione dei firewall non era ai livelli di quella odierna. La tecnologia è sempre più performante per garantire maggiore efficienza e al tempo stesso contrastare più efficacemente nuovi tipi di attacchi. Le ultime nostre appliance riescono per esempio a gestire al meglio tutta l’ispezione del traffico Https (le minacce al codice cifrato è uno dei recenti crescenti attacchi individuati). Le macchine riescono a velocizzare l’elaborazione consentendo ai clienti di mettere in sicurezza quella componente senza registrare alcun impatto dal punto di vista dell’operatività.
Ma le aziende stanno procedendo a una integrazione di nuovi sistemi avanzati per contrastare nuove tipologie di minacce?
Non ancora in modo diffuso. Da una parte esiste una mancanza di cultura, dall’altra manca una serie regolamentazione che obblighi le aziende ad essere allineate alle nuove minacce. Cosa che invece esiste in UK e in generale nei paesi anglosassoni. In Italia, ma vale per tutto il Sud Europa, siamo sempre un passo indietro. Si preferisce reagire piuttosto che prevenire. Si rifiuta un costo d’impresa in quanto non ci si sente realmente minacciati, finché non succede davvero. Un virus è come un fulmine a ciel sereno, occorre avere un parafulmine. Il danno può essere limitato, è vero, ma può anche essere molto, molto insidioso, interessando le risorse aziendali sia in estensione che in profondità. Non sempre, come ormai dimostrato da inchieste e report, ci si accorge di essere stati attaccati, si resta nella condizione di portatori sani finché il virus si manifesta dando il via ale attività di attacco prefissate.
Qual è il vero fattore competitivo?
La differenza vera nella competizione tra i vendor è nella capacità di creare una vera integrazione tra le diverse componenti di security rendendo disponibile una console che monitora e sintetizza la logica di sicurezza. Tutte le aziende che si occupano di sicurezza, sia che abbiano iniziato dall’antivirus, sia che abbiano iniziato dal firewall – approccio bottom-up o top-down - hanno oggi un portafoglio d’offerta esteso. Eppure non è più possibile andare in un’azienda per vendere il firewall: devo spiegare che servono cose proteggere e cose che ti danno la capacità e visibilità di gestione. Strumenti che fanno ciascuno la sua parte, che devono essere in qualche modo integrati, per fare un unico mestiere.
Come raggiungere obiettivi di riduzione dei costi?
Questo è un aspetto fondamentale per tutte le aziende. La logica che permette di soddisfare questo obiettivo è sicuramente riconducibile al consolidamento delle diverse tecnologie avviando una gestione centralizzata che permetta di ridurre costi di amministrazione e tempi di reazione. E poi è bene essere realisti. E’ impossibile non essere attaccati, occorre quindi avere il sistema che meglio gestisce le criticità.
Quali i limiti nel raggiungere una solida protezione?
Una situazione che limita la capacità di gestire al meglio le risorse di sicurezza è la frammentazione che esiste nelle aziende, tranne ovviamente che nelle PMI dove il riferimento è sempre una singola persona responsabile peraltro di tutta la parte IT. Nelle grandi organizzazioni esiste il responsabile della sicurezza perimetrale, chi segue l’antivirus, chi la protezione del web e così via. Se a questo si somma la possibile eterogeneità delle tecnologie è difficile riuscire ottenere una visibilità omogenea in grado di mettere il cliente nella condizione di attivare risposte rapide.
Perché?
Perché manca un flusso di lavoro preciso. La capacità di contrasto dipende quindi non solo dalla tecnologia ma da come è strutturata la security aziendale. Dal punto di vista dei costi, occorre inoltre tenere presente che più tecnologie significa dover aver persone competenti sui differenti sistemi. Questo non significa che all’interno delle aziende rimarrà un unico vendor, ma che senz’altro l’obiettivo di integrazione rimane prioritario per tutti. La disponibilità della nostro ultima versione del sistema di management, la R80, risolve molti di questi problemi permettendo inoltre di interagire con sistemi di terze parti.
Cosa significa tutto questo?
Molto semplicemente che la criminalità informatica ha un potenziale di attacco sempre più ampio, con un numero di dispositivi target che spazia dal desktop allo smartphone, con conseguente capacità di acquisire informazioni. Può esser codice dormiente, che entra in azione al momento opportuno, così come ripetutamente evidenziato dalla più recenti indagini.
Qual è l’effetto dell’estensione degli attacchi mobile?
La tipologia di attacchi, proprio per la diversa natura del dispositivo mobile, si moltiplica. Basti pensare al codice che permette di controllare audio e video, rendendo questi dispositivi una sorta di microspia. Sembra fantascienza, ma è una cosa molto, molto fattibile. Nella mira vi sono sia dispositivi iOS sia dispositivi Android, nessuno escluso. Per tutti coloro che trattano dati sensibili esiste perciò un pericolo più avanzato rispetto al passato. Sono riusciti a creare un ramsomware per Android, un virus Cryptolocker che ha il compito di criptare i dati della vittima richiedendo un pagamento per la decriptazione. La tendenza, come si vede, è cercare di usare minacce sempre più sconosciute, non riconoscibili dai sistemi tradizionali di detection, sfruttando vulnerabilità non ancora note sulle diverse piattaforme.
Come contrastare la nuova tipologia di attacchi?
Si devono, per esempio, utilizzare tecnologie sandboxing che vanno ad intercettare malware zero day. La soluzione per dispositivi mobili di Check Point è la Mobile Threat Prevention che verifica la bontà dell’app, ovvero che sia effettivamente l’app che si presenta con la propria identità, evitando che un codice infetto superi tutti controlli compromettendo il sistema operativo. Check Point investe ormai da tempo sulla parte APT. Threat Extraction, in particolare, identifica contenuti a rischio, sopprime i comportamenti malevoli e cerca anche di ricostituire, laddove possibile, il contenuto in modo inoffensivo.
Threat Emulation, invece, si occupa degli eseguibili, allocandoli in una sandbox, grazie all’impiego della tecnologia di Hyperwise. Nel settembre scorso, è poi arrivata SandBlast, una soluzione sotto la quale sono state integrate le componenti di offerta nel campo della gestione di file sospetti e malevoli, allo scopo di pacchettizzarla in diverse appliance.
Ulteriori evoluzioni di questo percorso?
CheckPoint ha fatto un nuovo passo avanti costruendo con SandBlast una soluzione che integra l’insieme della propria offerta di gestione dei file sospetti e malevoli. Questa proposta mette insieme le capacità di sandboxing con quelle di estrazione e gestione degli eseguibili, degli archivi e dei file Office, Pdf, Java e Flash per isolare le minacce indirizzate agli ambienti Windows. I nuovi pericoli eventualmente rilevati vanno poi ad alimentare il servizio ThreatCloud di aggiornamento online sulle minacce in circolazione. SandBlast è disponibile sotto forma di appliance dedicate, con quattro modelli che propongono un’ampiezza di banda da 150 Mb/s a 4 Gb/s o anche come moduli software per i clienti dei dispositivi di gestione unificata delle minacce di Check Point.
Come coniugare security ed efficienza operativa?
Mettere in sicurezza un’azienda non vuol dire ingessarla o rendere più lenti i processi. Succedeva una volta quando la capacità di elaborazione dei firewall non era ai livelli di quella odierna. La tecnologia è sempre più performante per garantire maggiore efficienza e al tempo stesso contrastare più efficacemente nuovi tipi di attacchi. Le ultime nostre appliance riescono per esempio a gestire al meglio tutta l’ispezione del traffico Https (le minacce al codice cifrato è uno dei recenti crescenti attacchi individuati). Le macchine riescono a velocizzare l’elaborazione consentendo ai clienti di mettere in sicurezza quella componente senza registrare alcun impatto dal punto di vista dell’operatività.
Ma le aziende stanno procedendo a una integrazione di nuovi sistemi avanzati per contrastare nuove tipologie di minacce?
Non ancora in modo diffuso. Da una parte esiste una mancanza di cultura, dall’altra manca una serie regolamentazione che obblighi le aziende ad essere allineate alle nuove minacce. Cosa che invece esiste in UK e in generale nei paesi anglosassoni. In Italia, ma vale per tutto il Sud Europa, siamo sempre un passo indietro. Si preferisce reagire piuttosto che prevenire. Si rifiuta un costo d’impresa in quanto non ci si sente realmente minacciati, finché non succede davvero. Un virus è come un fulmine a ciel sereno, occorre avere un parafulmine. Il danno può essere limitato, è vero, ma può anche essere molto, molto insidioso, interessando le risorse aziendali sia in estensione che in profondità. Non sempre, come ormai dimostrato da inchieste e report, ci si accorge di essere stati attaccati, si resta nella condizione di portatori sani finché il virus si manifesta dando il via ale attività di attacco prefissate.
Qual è il vero fattore competitivo?
La differenza vera nella competizione tra i vendor è nella capacità di creare una vera integrazione tra le diverse componenti di security rendendo disponibile una console che monitora e sintetizza la logica di sicurezza. Tutte le aziende che si occupano di sicurezza, sia che abbiano iniziato dall’antivirus, sia che abbiano iniziato dal firewall – approccio bottom-up o top-down - hanno oggi un portafoglio d’offerta esteso. Eppure non è più possibile andare in un’azienda per vendere il firewall: devo spiegare che servono cose proteggere e cose che ti danno la capacità e visibilità di gestione. Strumenti che fanno ciascuno la sua parte, che devono essere in qualche modo integrati, per fare un unico mestiere.
Come raggiungere obiettivi di riduzione dei costi?
Questo è un aspetto fondamentale per tutte le aziende. La logica che permette di soddisfare questo obiettivo è sicuramente riconducibile al consolidamento delle diverse tecnologie avviando una gestione centralizzata che permetta di ridurre costi di amministrazione e tempi di reazione. E poi è bene essere realisti. E’ impossibile non essere attaccati, occorre quindi avere il sistema che meglio gestisce le criticità.
Quali i limiti nel raggiungere una solida protezione?
Una situazione che limita la capacità di gestire al meglio le risorse di sicurezza è la frammentazione che esiste nelle aziende, tranne ovviamente che nelle PMI dove il riferimento è sempre una singola persona responsabile peraltro di tutta la parte IT. Nelle grandi organizzazioni esiste il responsabile della sicurezza perimetrale, chi segue l’antivirus, chi la protezione del web e così via. Se a questo si somma la possibile eterogeneità delle tecnologie è difficile riuscire ottenere una visibilità omogenea in grado di mettere il cliente nella condizione di attivare risposte rapide.
Perché?
Perché manca un flusso di lavoro preciso. La capacità di contrasto dipende quindi non solo dalla tecnologia ma da come è strutturata la security aziendale. Dal punto di vista dei costi, occorre inoltre tenere presente che più tecnologie significa dover aver persone competenti sui differenti sistemi. Questo non significa che all’interno delle aziende rimarrà un unico vendor, ma che senz’altro l’obiettivo di integrazione rimane prioritario per tutti. La disponibilità della nostro ultima versione del sistema di management, la R80, risolve molti di questi problemi permettendo inoltre di interagire con sistemi di terze parti.