Il 2020 sarà ricordato in generale come un anno negativo, segnato dalla pandemia. Ma per le aziende che operano nella cyber security il boom del digitale causato dai lockdown è stato quantomeno un elemento di sensibilizzazione anche per le aziende tradizionalmente meno attente alla loro protezione. E, di conseguenza, uno scenario che ha permesso di far crescere il proprio business. È successo anche per Sophos, che proprio a marzo 2020 ha ufficialmente iniziato la sua "nuova vita" sotto l'ala di Thoma Bravo e che da allora ha fatto segnare risultati in crescita. Tra cui di recente un +17% nell'area EMEA, come spiega Marco D’Elia, Country Manager, Sophos Italy.

Colpisce, nella storia recente di Sophos, soprattutto una catena di acquisizioni che promette bene per l'ampliamento delle funzioni che le piattaforme dell'azienda possono offrire. Solo nella seconda metà del 2021 si sono registrate le acquisizioni di Capsule8 in campo container security, Braintrace per la parte detection-response, Refactr per le sue funzioni di orchestrazione ed automazione della sicurezza. Più opzioni di sicurezza fanno certamente comodo sempre, ma - sottolinea D'Elia - il punto da tenere presente oggi è che "Il mercato della cyber security sta cambiando perché cambiano i tipi di attacco. Così oggi la cosa più importante è avere la capacità di accorgersi di essere sotto attacco quando tutto sembra andare bene".

L'approccio reattivo insomma non basta. È vero da tempo ma la cronaca della cyber security lo ha reso palese, con i casi di grandi aziende messe fuori gioco per giorni a causa di banali attacchi ransomware. Che di per sé non sono una novità, lo è semmai - nella visione di Sophos - il fatto che gli attacchi siano in generale molto più organizzati, mirati e articolati che in passato. "Oggi mediamente ci vogliono 11 giorni - spiega D'Elia - prima di rilevare un attacco in corso. Ma in effetti bisogna parlare di un insieme di attacchi, a partire dalle azioni spesso messe in atto dai criminali per identificare i comparti e i dipendenti delle parti dell'azienda più interessanti, da cui poter esfiltrare informazioni strategiche".
Di fronte a minacce ed attacchi così articolati si possono mettere in atto diverse forme di difesa, ma soprattutto è necessario avere implementato tecnologie per eseguire analisi all'interno della rete, in modo da rilevare il prima possibile qualsiasi azione sospetta. È il tema delle varie sigle che finiscono in DR (Detection and Response), ma Marco D’Elia in questo senso avvisa: bene parlare di detection e response, per metterle in atto direttamente servono però skill e tempo che non tutte le aziende hanno. Ecco perché l'attenzione si sta spostando dai prodotti ai servizi complementari. Se l'azienda utente non ha tutto ciò che le servirebbe per fare da sola, anche se magari lo vorrebbe, va affiancata in vari modi.

"Non è più una questione di prodotto - avvisa D'Elia - perché le aziende che vengono colpite sicuramente hanno fatto le loro scelte motivate in tal senso. Ma sono state comunque attaccate e hanno subito danni". La parte detection-response assume quindi due aspetti. Da un lato le piattaforme XDR che un'azienda decide di adottare, dall'altro servizi gestiti di DR in cui team esterni di esperti analizzano costantemente il contesto dell'azienda stessa per individuare il prima possibile se è sotto attacco e, comunque, dove può migliorare la sua infrastruttura di security.

Una delle principali evoluzioni che la cyber security sta vivendo riguarda proprio questo aspetto. Volontariamente o per necessità, le aziende sono ormai consapevoli dell'importanza della cyber security. Ora molte devono scegliere quanto metterla in atto in proprio, acquistando tecnologia e sviluppando le competenze necessarie, e quanto rivolgersi all'esterno, dotandosi di servizi gestiti. Le due opzioni non si escludono a vicenda e per questo "prevarranno i vendor - spiega D'Elia - capaci di supportarle entrambe, mentre i fornitori solo di prodotto tenderanno a diventare di nicchia".
Sophos Managed Threat Response (MTR) è l'offerta di servizi gestiti che Sophos ha realizzato seguendo questa visione. Che per Sophos è davvero perseguibile solo se si è scelto storicamente un approccio di integrazione fra le proprie soluzioni. Per questo l'azienda ritiene di avere un vantaggio competitivo sulla concorrenza: "È dal 2013 che seguiamo una strategia di cyber security integrata - sottolinea D'Elia - e dal 2017 abbiamo lanciato il concetto di sicurezza sincronizzata, che è alla base della architettura attuale".

La Synchronized Security di Sophos è, in estrema sintesi, la capacità che le sue soluzioni hanno di operare in sinergia, condividendo informazioni e potendo tra l'altro essere gestite da una unica console di management. La condivisione dei dati rilevati in rete permette anche di applicare trasversalmente a tutto il sistema di sicurezza funzioni di machine learning mirate. Queste aiutano ovviamente a individuare velocemente minacce ed attacchi, ma soprattutto fanno sì che l'architettura di cyber security si adatti dinamicamente alla specifica infrastruttura e modalità operativa dell'azienda utente. Aumentando così il suo livello di efficacia. "La stessa combinazione di prodotti Sophos potrebbe operare in maniera diversa in una infrastruttura differente", spiega D'Elia. Sottolinenando poi che il grado di automazione della piattaforma è ampiamente personalizzabile.

Adattabilità per Sophos è anche capacità di integrare prodotti di vendor differenti. Un elemento indispensabile per l'ormai elevato numero di strumenti diversi che le aziende si trovano ad avere nella propria rete. "La modularità è un vantaggio per noi, per i clienti e per i partner di canale: dotarsi della nostra piattaforma non significa necessariamente fare un investimento globale o una grande migrazione. Si può partire con un particolare componente e crescere in maniera graduale. Si acquista comunque un prodotto che è integrato in una architettura più ampia che può crescere nel tempo, in relazione alle proprie necessità e disponibilità", sottolinea D'Elia.