I software sono oggi a bordo di qualsiasi apparato elettronico. Ne deriva che attaccare e prendere il controllo di un software connesso a una rete significa entrare nella rete. Anche gli errori nel codice possono essere scoperti e sfruttati per perpetrare un attacco simile, senza dimenticare che è quasi impossibile riuscire a configurare perfettamente e in modo sicuro una rete informatica ed è altrettanto difficile identificare una errata configurazione dei parametri a posteriori. Tutti “difetti” che un criminale informatico può individuare e di cui può approfittare per mettere in atto una minaccia.
Fred for Security è un sistema di sicurezza hardware/software/human service guidato dall’intelligenza artificiale che prova a rispondere a questa situazione, offrendo una soluzione automatizzata per individuare le vulnerabilità di una rete informatica nonché di tutti gli apparati interconnessi. Il sistema, presentato ai Digital360 Awards 2023 nella sezione Information & Cyber Security, è in grado infatti di scansionare e ispezionare ogni software, componente e configurazione, simulando attacchi hacking al fine di produrre rapporti mensili dettagliati, con evidenze su vulnerabilità, gravità del rischio e possibili impatti.
Come funziona Fred for Security
Fred for Security fa proprio il metodo classico che, per scoprire le falle di sicurezza, prevede l’adozione di tecniche reiterate di vulnerability assessment e di penetration test. Tipiche attività altamente specializzate affidate spesso a un cybersecurity manager o a un hacker etico. La differenza è che Fred for Security è un dispositivo dotato di AI che utilizza le stesse tecniche che utilizzerebbe un hacker vero o un hacker etico. A tale scopo, effettua scansioni continue, monitora la rete in tutte le sue componenti, individua le porte aperte e i servizi in esecuzione.
Sulla base delle diverse versioni dei software, è anche in grado di lanciare attacchi (XSS, SQLI, Brute force, DOS ecc.) e di studiare gli effetti sul sistema, stimando il loro livello di gravità in termini di impatti. L’intelligenza artificiale, da parte sua, consente di eliminare i falsi positivi e di produrre risultati estremamente attendibili con evidenze verificabili, mantenendo traccia delle effettive vulnerabilità. Tutti i dati acquisiti infatti sono memorizzati all’interno del dispositivo con crittografia sicura.
Il servizio di noleggio operativo
Bugfixing, la società che ha presentato Fred for Security agli Awards 2023, propone la sua soluzione con la formula del noleggio operativo che include un supporto di cybersecurity manager as-a-service. Il cliente può così ottenere il servizio di scansione delle vulnerabilità con rapporti mensili senza dover acquistare l’hardware e, soprattutto, senza doverlo gestire dal punto di vista tecnico. Con un limite teorico di scansione fino 255 IP di rete per ogni apparato, la soluzione può essere scalabile su più apparati installati, per eseguire scansioni di reti più complesse.
Fornito in modalità plug&play, Fred for Security è quindi già configurato per la rete del cliente che, a fronte di un canone mensile, riceve un servizio che comprende le evidenze sui bug da correggere e un affiancamento da parte di esperti in cyber sicurezza che danno assistenza dal punto di vista operativo e strategico. In questo modo l’azienda è messa in condizione di implementare tutte le misure correttive idonee a mitigare le potenziali minacce.
Il risparmio sui costi, principale vantaggio
Il principale vantaggio di Fred for Security, rispetto all’azione analoga di un cybersecurity manager che è chiamato a testare la resilienza agli attacchi informatici, si focalizza in particolare sui costi. Il risparmio si aggirerebbe attorno al 95% rispetto al costo necessario per una professionalità dedicata. Attualmente, il sistema esegue vulnerability assessment e penetration test continui applicando oltre 100 mila exploit noti. Servizi in genere effettuati da hacker etici che, a causa degli elevati costi, raramente vengono presi in considerazione. Invece, il costo ridotto, in virtù anche della formula del noleggio operativo, rende accessibile la soluzione anche alle piccole aziende prive al loro interno di figure con competenze specifiche. D’altra parte, le grandi aziende o gli enti pubblici strutturati con professionalità dedicate alla sicurezza possono ottimizzare i tempi e i costi d’intervento in materia di cyber sicurezza tramite lo strumento sviluppato da Bugfixing.