Innovative, opportunistic, autonomous: sono i tre aggettivi con i quali Francesco Teodonno, Security Leader IBM, ha identificato lo scenario evolutivo della cybersecurity durante la sessione dedicata alla security del recente IBM Think Summit di Milano.
“Aggettivi da attribuire all’evoluzione del cybercrime che è: innovative, perché oggi abbiamo veri e propri sistemi di attacco che utilizzano tecnologie innovative, dall’intelligenza artificiale al social engineering, e che chiamare malware è decisamente riduttivo; opportunistic, perché la maggior parte degli attacchi ha un obiettivo prevalentemente economico; autonomous, moltissimi attacchi vengono effettuati con tool di intelligenza artificiale facilmente disponibili nel deepweb”, spiega il Security Leader. E sul versante difesa Teodonno utilizza gli stessi aggettivi: “Innovative perché dobbiamo cambiare il modello difesa: quello che prevede l’integrazione dei vari sistemi di sicurezza gestiti da un sistema centrale va ancora bene, ma è troppo lento; dobbiamo farlo evolvere più velocemente quindi il passaggio a una piattaforma in cloud è probabilmente una delle risposte che dobbiamo dare. Opportunistic nel senso di opportuno perché è opportuno difendere tutta l’azienda: la superficie di attacco è aumentata, sistemi industriali e IoT, che non sono nati con il concetto di una sicurezza intrinseca, rendono più vulnerabile l’azienda. Autonomous perché dobbiamo essere preparati e autonomi nella difesa; dobbiamo dare per scontato che un incidente di sicurezza avverrà e dobbiamo essere preparati a reagire su vari livelli: tecnico, organizzativo, legale, assicurativo, di comunicazione”.
IBM Security Connect: ridurre la complessità per aumentare la security
“Quando si parla di cybersecurity si ha la sensazione che chi sta dall’altra parte (l’hacker) sia sempre più bravo, ma anche chi lavora alla difesa è estremamente competente. Il vero problema è che l’attaccante può dedicare il tempo che vuole a preparare un attacco mentre un’azienda deve poter rispondere in qualche secondo”, esordisce Domenico Raguseo, CTO Security IBM, proseguendo: “E c’è un altro problema: chi vuole rispondere in modo veloce deve lavorare in un framework della security che è complicato, con fornitori diversi; complesso non solo a livello di integrazione di tecnologie, ma anche di processi”.
E proprio qui, spiega Raguseo, si incunea la mission di IBM: “Focus sulla complessità per ridurla e aiutare le aziende a rispondere rapidamente e adeguatamente agli attacchi”.
Siamo ormai lontani dal tempo in cui era sufficiente una difesa perimetrale, oggi il perimetro non è facilmente identificabile e “bisogna convivere con gli attacchi e creare quello che in IBM chiamiamo sistema immunitario”, prosegue Raguseo. Una volta definito un framework di security che considera tutti i rischi possiamo quindi ritenerci al sicuro? La risposta è ovviamente no perché “questo framework si basa sui rischi che conosco al momento della progettazione del servizio, ma le minacce evolvono, bisogna reagire in qualche secondo. Non è però possibile installare un nuovo controllo di sicurezza, in modo semplice e rapido, in un sistema di sicurezza già costruito, si genera quindi un ritardo pericoloso”. La risposta di IBM, che integra il sistema immunitario aziendale con il cloud quando il sistema non è in grado di rispondere a uno specifico attacco, si chiama IBM Security Connect.
Dal punto di vista architetturale, ma anche di fruibilità del servizio, la piattaforma è divisa in due livelli: superiore e inferiore.
“Quello superiore – spiega Raguseo – è un catalogo di servizi, o meglio un catalogo di controlli di sicurezza, che in fase di minaccia l’azienda può decidere di scaricare; i servizi vengono sviluppati utilizzato le API messe a disposizione dai fornitori del livello inferiore (API e dati che i controlli di sicurezza del livello superiore dovranno utilizzare)”. La piattaforma, lanciata lo scorso ottobre e disponibile da qualche mese, integra quindi i dati di sicurezza forniti dalle soluzioni di IBM Security in un ecosistema di fornitori, clienti e partner aziendali.
“Attenzione però – metta in guardia il manager – tutti gli investimenti che sono stati fatti in sicurezza sono fondamentali”, in pratica non si può pensare che questa piattaforma, da sola, possa rappresentare il sistema immunitario dell’azienda: “Se nell’azienda non ci sono gli adeguati sistemi di security, non è neanche possibile fare il ranking tra le varie minacce e l’attaccante potrà colpire molto più velocemente”.
