C’è la difficoltà a stare al passo con la crescita, sia quantitativa sia qualitativa degli attacchi. Questa va sommata alle fluttuazioni imprevedibili e rapide dei mercati, in balia da un giorno all’altro, di un numero crescente di scenari di guerra. Non possiamo farci poi mancare la continua minaccia di variare o cancellare le regole che da sempre guidano gli scambi commerciali a livello internazionale e l’atavico metabolismo lento dei mercati. Tutto insieme, tutto nello stesso momento. Ecco, questo è quella che Certego, vendor di cybersecurity, parte del Gruppo Vem, chiama la tempesta perfetta.
Non proprio un bel periodo, insomma, dal quale la effettiva gravità insieme allo scoramento che genera, rende difficile intravvedere una via d’uscita. Ma Certego una strada la indica, ed è quella di allearsi: vendor, partner, mondo accademico e anche i clienti, uniti, ognuno con le proprie competenze e specificità, per affrontare i momenti difficili ma anche per valorizzare idee, tecnologie, e strategie che facciano bene all’intero Paese. Ed è proprio intorno al senso e alla potenza dell’alleanza che il vendor ha organizzato di recente, presso la Darsena del Sale di Cervia, la seconda edizione di PanoptiCon, un momento per ragionare e confrontarsi insieme a clienti e partner, su come prepararci ad affrontare un futuro colmo di incertezze.
La complessità che aumenta i rischi
Dal punto di vista tecnologico, il quadro è chiaro anche se ancora irrisolto. La trasformazione digitale introduce architetture sempre più complesse, aprendo nuovi varchi nascosti agli attacchi informatici, trasformandosi così, suo malgrado, in un fattore di rischio crescente.
Per garantire flessibilità, velocità e, con l’ingresso dell’AI, automazione, le soluzioni digitali richiedono grande potenza di calcolo e infrastrutture molto performanti e sicure, che però si sommano ai sistemi già presenti in azienda, stratificati negli anni e poco integrati. Il risultato è un’architettura talmente articolata che aumenta la probabilità che un attacco vada a segno.
Di fronte a questa complessità, né i clienti né i fornitori di tecnologia possono pensare di farcela da soli.
“Oggi difendersi dalla complessità tecnologica e dai suoi effetti non è più una questione di strumenti, ma di alleanze – ha esordito Bernardino Grignaffini Gregorio, CEO di Certego -. Bisogna creare un ecosistema dove vendor, università, partner e clienti possono portare idee su come affrontare la situazione attuale e il futuro. Serve cooperazione, perchè la situazione attuale nella cybersecurity somiglia davvero una tempesta perfetta. E le aziende ci sono dentro, spesso senza riuscire a prevederla. Ma dobbiamo imparare a guardare oltre la tempesta, non per rimuoverla, ma per attraversarla e uscirne più forti, attraverso nuove tecnologie e alleanze reali che ci porteremo nel futuro”.
La forza dell’alleanza
È un’alleanza intesa come legame stretto tra venditori e clienti, tra aziende e partner tecnologici, ed è stato il tema portante dell’intera giornata. Non uno slogan, ma una chiave di lettura strategica di un contesto in cui nessun attore, per quanto competente o innovativo, può agire da solo.
“È solo lavorando e pensando insieme che possiamo davvero garantire la sicurezza dei dati, la continuità del business e, in definitiva, la sopravvivenza stessa delle aziende. Ma serve un modo nuovo di proteggere, che tenga conto della complessità crescente delle infrastrutture e dei sistemi in uso».
Tre piattaforme Certego e le nuove logiche di protezione
Dal canto suo, Certego ha lavorato molto nell’ultimo anno su quanto mettere sul piatto dell’alleanza, investendo nell’arricchimento e aggiornamento delle proprie soluzioni di sicurezza. Il risultato più recente è Halo, piattaforma proprietaria progettata per analizzare i dati prodotti dai sistemi EDR (Endpoint Detection and Response), progettata per andare oltre i limiti delle soluzioni native e applicare in tempo reale e con maggiore efficacia le logiche di detection e gli indicatori di compromissione. Halo si affianca alla già referenziata Panoptikon, una Unified Security Operations Platform (SOAR + data-lake) che raccoglie e arricchisce log, telemetria e feed TI, orchestra la risposta e veicola i ticket verso il SOC/IRT. Un’offerta, questa di Certego che si è arricchita anche dell’anima AI portata in casa da Refero, realtà da poco entrata nel perimetro di Certego che ha soluzioni per supportare gli analisti di sicurezza attraverso l’intelligenza artificiale, sollevandoli dalla fatica operativa dell’analisi giornaliera di un’enorme mole di dati.
Infine, il contributo di Torq, partner tecnologico del vendor che sta arricchendo Panoptikon di funzionalità di iperattivazione della sicurezza e di SOAR.
Certego Halo in dettaglio
Andando più nel dettaglio, Halo si configura come il nuovo motore di telemetria EDR, nato dall’esperienza diretta del SOC su centinaia di incidenti avanzati e progettato per eliminare i punti ciechi nella rilevazione degli attacchi. “Gli EDR tradizionali hanno semplificato l’uso e ridotto i costi a scapito di visibilità, tuning e rapidità – spiega Gabriele Pippi, threat research lead engineer di Certego -. Se manca anche un solo evento della kill-chain, l’analista resta al buio”.
Halo interviene proprio qui. Acquisisce i dati a livello kernel tramite driver dedicati, li normalizza, li arricchisce con intelligence interna ed esterna e li rende interrogabili in pochi secondi, senza limiti di query o di indicatori. Halo lavora secondo una logica anti-tamper. “Quando la telemetria smette di arrivare entro la finestra attesa, il sistema incrocia segnali di rete per verificare se l’host è realmente offline o se l’agente è stato disattivato da un attaccante. In caso di anomalia, un allarme prioritario raggiunge subito il SOC” dettaglia Pippi.
Il tutto mantenendo un’architettura “analyst-first”. Restituisce il tracciato completo dei processi, collega file, registri e connessioni di rete, e permette di scrivere regole di detection specifiche per ciascun cliente, con un livello di granularità impossibile nei prodotti generalisti. Infine, l’integrazione con Panoptikon 3.0 e con piattaforme come Trend Vision One di Trend Micro consente di automatizzare threat-hunting e azioni di remediation orchestrate.
Insieme si fanno grandi cose. Anche fermare le frodi
Strumenti che, come ha poi dimostrato Simone Berni, threat intelligence engineer di Certego, ottengono risultati potenziati se si lavora “in alleanza”, sia tra le diverse piattaforme, sia con attori esterni. E nel caso, per esempio, delle frodi, quando vendor di sicurezza e istituti di credito agiscono come un’unica squadra, si riesce a fare fronte anche quelle più sofisticate. Halo, il motore EDR che cattura la telemetria grezza e segnala in tempo reale qualsiasi tentativo di manomissione, offre la base tecnica, cui si aggiunge la piattaforma, Fraud Intelligence di Octopus, sempre di Certego, che trasforma IBAN, IP e domini sospetti in indicatori condivisi con le banche. Il collante è Panoptikon 3.0, la console che incrocia gli alert di Halo con le black-list di Octopus e fa scattare blocchi automatici su bonifici e carte.
Ma il risultato, un calo netto delle frodi e tempi di risposta da giorni a minuti, non dipende solo dagli strumenti. “Quando banche e SOC lavorano in alleanza, ogni dato utile passa di mano senza attriti. È questo che chiude davvero il rubinetto del denaro prima che finisca in tasca ai criminali”, spiega Berni. In altre parole, l’innovazione funziona solo se è condivisa: la minaccia corre veloce, ma un ecosistema coeso corre più veloce di lei. E ritorna il tema dell’alleanza.
«L’alleanza, dal latino allegare, unire, non è un’intesa di comodo, ma un patto di fiducia che mette vendor, system integrator e aziende schiena contro schiena: ciascuno copre il punto cieco dell’altro, scambiando in tempo reale idee, dati e competenze. Così come in natura la cooperazione eleva le probabilità di sopravvivenza, nel mercato trasforma la cybersecurity in vantaggio competitivo, rende possibile ricalibrare le strategie mentre le minacce mutano e fonde profitto e valore sociale in un unico motore di progresso», è il sunto del pensiero di Maria Russo, senior lecturer in moral philosophy all’Università San Raffaele.
Un pensiero cui si allineano gli sforzi delle Università e l’esperienza dei giovani, di cui iniziative virtuose di challenge fanno esaltare le capacità e renderle visibili a un ecosistema affamatissimo di talenti e competenze specifiche. E infatti PanoptiCon diventa vetrina per Lorenzo Rossi e Luca Montagnani, i due giovani portati a esempio da Mauro Andreolini,
I due talenti sono emersi dal duro percorso di CyberChallenge.IT e affrontano infrastrutture cloud, container che si moltiplicano e AI capace di scrivere, e bucare, codice, puntando tutto su rapidità, ruoli definiti e comunicazione di squadra. Progetti che nascono in un vivaio dove i migliori vengono subito contesi dalle aziende partner e molti finiranno in Team Italy, la nazionale che difende i colori del Paese nei campionati europei di cybersecurity. “Il nostro premio non è una coppa – dichiarano i due – ma la fiducia di chi ci affiderà in futuro reti reali da proteggere”. E l’alleanza si allarga.
