Il crescente interesse delle aziende verso le tecnologie wireless e a larga banda porta con sé problematiche inevitabilmente destinate a finire sotto il mirino della sicurezza. Ne parliamo con Marius Nacht, cofondatore e vicepresidente della specialista CheckPoint.
Di sicurezza si continua a parlare e in particolare l’attenzione si sposta ora sui nuovi dispositivi, in particolare wireless e sui protocolli associati tanto a questi quanto alle nuove applicazioni che dovrebbero spingerne l’adozione. A questo si aggiunge il tema della larga banda che, pur con qualche difficoltà, sta conoscendo una certa diffusione, sia in ambiente domestico che in ambito Pmi, ma che nasconde alcuni pericoli anche per le reti aziendali. Gli sforzi delle aziende che operano nel settore della security continuano e si intensificano per essere in grado di dare risposte adeguate alle nuove esigenze. La corsa verso il continuo aggiornamento delle policy di sicurezza sembra ormai inarrestabile e sono in tanti a chiedersi cosa stia accadendo e cosa ci prospetta il prossimo futuro.
Per cercare alcune risposte, LineaEdp ha rivolto alcune domande a chi di queste tematiche si è sempre occupato, sia a livello aziendale che personale. Si tratta di Marius Nacht, cofondatore e vice presidente del Consiglio di Amministrazione di CheckPoint Software Technologies, che opera come Vice Presidente Senior dell’azienda dal 1° gennaio 1999. Nacht è stato Vice Presidente Responsabile per le Operazioni Internazionali di CheckPoint, dal settembre 1995 al dicembre 1998, mentre ha ricoperto il ruolo di Vice Presidente dal luglio 1993 fino al settembre 1995. Nacht, inoltre, è direttore di CheckPoint fin dalla fondazione, nel luglio 1993.
Su cosa si stanno concentrando i vostri sforzi in questo momento caratterizzato da rapidi cambiamenti?
Siamo un’azienda che produce da sempre software per la sicurezza, in particolare su Internet. Siamo sul mercato da oltre 10 anni e i nostri clienti tipici sono le aziende di dimensione enterprise e i service provider, ma anche le piccole realtà e il mondo consumer. Siamo quotati al Nasdaq e abbiamo 700 ingegneri che si occupano di sviluppare il software per la sicurezza. Da due anni e mezzo circa stiamo lavorando per ridisegnare l’architettura interna del nostro software Next Generation. Questo ci ha permesso di adeguarlo alle nuove esigenze, introducendo un elevato numero di nuove funzionalità, con particolare attenzione ai nuovi protocolli che stanno proliferando sulla scia delle nuove potenzialità e conseguenti esigenze.
I diversi dispositivi wireless che si stanno affacciando sul mercato in questo momento e in particolare e la famiglia di protocolli 802.11, che sono sicuramente i più diffusi, introducono nuovi elementi di criticità sul fronte della sicurezza. Come è possibile affrontare questo tipo di problematica?
Ci sono essenzialmente due modi per approcciare il problema della sicurezza nelle comunicazioni wireless. Il primo consiste nell’agire con meccanismi di encryption tra la wireless card e l’access point. Questa soluzione non è, dal mio punto di vista, quella ideale, in quanto richiede che tutti i dispositivi provengano da un unico fornitore, mentre il discorso delle wireless Lan si sta sempre di più dimensionando a livello enterprise, richiedendo, di conseguenza, la possibilità di poter lavorare in contesti multivendor. Inoltre il mio device mobile deve poter funzionare non solo in azienda, ma ovunque sia presente un servizio di connessione wireless (casa, aeroporto, hotel …). E, inoltre, gli attacchi possono arrivare non solo attraverso la mia rete aziendale, ma anche, e forse soprattutto dal mondo Internet e usare il mio device come accesso alla rete. Per questo il secondo approccio, quello che abbiamo sposato, è quello di pensare a un meccanismo di sicurezza in grado di garantire non solo a livello di wireless lan ma anche da connessioni pubbliche, come il Gprs e l’Umts. Per questa ragione abbiamo optato per prodotti in grado di difendere allo stesso modo personal computer, un Pda, uno smart phone, in poche parole qualsiasi tipo di dispositivo in grado di connettersi a una rete pubblica e privata, facendo in modo che questi possano venire monitorati, configurati e aggiornati a livello centralizzato.
Questo in altre parole significa che Voi avete sviluppato i vostri prodotti per diversi tipi di piattaforme?
Certo, abbiamo versioni per vari dispositivi mobili, per diversi sistemi operativi incluso Linux, per diverse piattaforme. Per la massima trasportabilità e compattezza, abbiamo sviluppato il nostro software utilizzando principalmente il C e, per piccole componenti, il C++.
Due parole sul tema caldo del momento: il Gprs…
SI tratta di una questione piuttosto delicata per quanto riguarda il tema della sicurezza. Trattandosi di un nuovo protocollo è lecito aspettarsi alcuni elementi di vulnerabilità. Chi fornisce questo servizio deve essere connesso a Internet, alla connessione radio, talvolta all’enterprise, alla rete del provider. Per questi motivi abbiamo recentemente realizzato un altro prodotto CheckPoint GX orientato agli operatori del mondo Gprs. Anche in questo caso vale la regola che con l’aumentare del numero delle applicazioni i nuovi dispositivi mobili rendono significative, aumenta inevitabilmente il livello di vulnerabilità della rete a cui questi si connettono.
Ma qual è la reale dimensione di questi attacchi? Con che frequenza si presentano? Che livello di sicurezza siete in grado di fornire ai vostri clienti?
Difficile dare una risposta esatta. Da noi in Israele, per quanto riguarda il tema delle connessione a larga banda, sembra che il tempo medio in cui si ha il primo attacco, dopo la connessione, sia di circa sette minuti e che gli attacchi si ripetano comunque mediamente ogni cinque minuti. Ieri ero in Francia e i valori, mi è stato detto, sono più o meno gli stessi anche da loro. E quando la realtà è questa, con un Ip fisso, prima o poi, se uno ha pazienza, riesce a entrare. Ai nostri prodotti per le Vpn il Governo Statunitense ha recentemente assegnato il massimo riconoscimento per quanto riguarda la sicurezza, il che ne permette l’adozione da parte di qualsiasi organismo statale.
Sebbene siate un’azienda software, avete recentemente presentato sul mercato un dispositivo hardware, l’S-box. Vuole dirci qualcosa riguardo a questa scelta?
Si tratta di un prodotto che abbiamo pensato per risolvere i problemi di realtà di piccole dimensione e abbiamo diverse versioni, con caratteristiche differenti per risolvere varie tipologie di esigenze. Può infatti essere venduto secondo tre modalità. La prima è quella stand alone; in alcuni Paesi l’utente finale può acquistare il prodotto direttamente e gestirselo in modo autonomo e aggiornarne il software in modo indipendente. La seconda è quella gestita da service provider che danno il prodotto in comodato e l’utente, privato o piccola azienda, paga un canone che include il prodotto. La terza è ancora l’enterprise che preferisce che i propri dipendenti abbiano un loro pc personale; attraverso questo prodotto l’azienda non deve preoccuparsi di quale sia la configurazione informatica di dipendenti o piccoli branch office. Il livello di complessità di questo prodotto in remoto, in termini di gestione e aggiornabilità, è del tutto analogo a quello degli altri nostri prodotti. In realtà all’interno dell’S-box c’è il nostro software su una piattaforma embedded Linux.
Cosa ci riserva il futuro?
Stiamo guardando in due diverse direzioni. La prima è la sicurezza di tutta una serie di nuovi protocolli, anche per le comunicazioni peer to peer, che si stanno affacciando sul mercato, in particolare quelle legati alla nuova filosofia .Net. Dobbiamo garantire il massimo controllo sulla sicurezza. La seconda cosa su cui ci stiamo focalizzando è il management. Anche in Italia esistono realtà con un elevato numero (anche oltre 700) installazioni, gatway, distribuiti per il Paese. Stiamo introducendo un nuovo prodotto per la gestione delle policy, completamente grafico. L’obiettivo è semplificare e automatizzare tutto il processo.
Un altro tema su cui ci stiamo focalizzando è quello delle performance dei nostri prodotti. Service provider, datacenter, oltre all’enterprise, stanno vedendo crescere in modo significativo gli accessi, grazie, soprattutto, alla diffusione che la larga banda incomincia ad avere. Si incomincia a parlare in termini di Gbps. Quello che vogliamo fare è realizzare firewall partizionabile. In altre parole vogliamo avere su un unico dispositivo fisico, un’unica macchina, diversi firewall virtuali in grado di rispondere a esigenze diverse, come se fossero presenti sulla rete una serie di firewall indipendenti.
Quindi un offerta globale che spazia dal mondo enterprise all’utente finale…
Certo, anche se all’utente finale preferiremmo arrivarci via Isp. Riteniamo infatti che il discorso della sicurezza debba essere continuamente monitorato e adeguato e questo richiede competenze specifiche, che non possono essere patrimonio di singoli o di realtà di dimensioni contenute.
