Criminalità informatica, hacktivism e cyberwar: tre linee di attacco, differenti per mezzi e obiettivi, minacciano con una frequenza sempre maggiore privati, aziende e governi. I numeri sono allarmanti, come segnala il Threat Report 2013 rilasciato dal team di ricerca Websense Security Labs: nell' ultimo anno il numero degli attacchi basati sul Web è aumentato quasi del 600%, mentre i volumi di spam a livello mondiale hanno superato la soglia di 250.000 email ogni ora.
I moderni attacchi, a più livelli e multi-vettoriali, stanno mettendo in discussione le tipiche funzionalità di sicurezza, aggirando le barriere perimetrali: si fa sempre più evidente, quindi, la necessità di integrare l’attuale livello di difesa con capacità di intelligence superiori e una protezione in tempo reale.
La soluzione proposta da Websense si chiama Triton e unisce, all’interno di un unico sistema con intelligence di sicurezza e console di gestione unificata, tutti i componenti chiave della protezione contro le minacce via Web, social, email e mobile, nonché strumenti di data loss prevention.
Come racconta Emiliano Massa Director of Regional Sales, Websense Italy&Iberia, infatti, quando sono state installate soluzioni indipendenti, non è possibile garantire una linea di difesa coesa contro le minacce emergenti. “Dal 2008 – spiega – abbiamo iniziato una serie di acquisizioni che ci hanno portato ad avere in casa tecnologie specifiche per i diversi ambiti di security e negli ultimi tre anni e mezzo abbiamo investito circa 700 milioni di dollari per la loro integrazione all’interno di un unico prodotto. A differenza dei nostri competitor, siamo in grado di offrire una linea di difesa più completa e coerente, come dimostra la ricerca comparativa effettuata dalla società di test indipendente Miercom e relativa alla suite Triton Web Security Gateway Anywhere”.
Miercom ha messo a confronto la soluzione di Websense con quelle di altri cinque vendor (McAfee, Blue Coat, Cisco, Palo Alto Networks e FireEye), misurandone l’efficacia contro le nuove minacce Web (exploit zero-day, attacchi mirati e temporizzati, spear phishing, esche e reindirizzazioni nascoste nei social network).
“La nostra tecnologia – afferma Massa – si è dimostrata la più valida su ognuna delle cinque aree che sono state verificate: sicurezza Web, livelli delle minacce malware avanzate, protezione contro il furto e la perdita dei dati, malware sandboxing e reporting forensic, gestione ed efficacia. Questo perché Triton ha la capacità di individuare e bloccare le minacce in ognuna delle sette fasi di avanzamento dell'attacco [esplorazione, esca, reindirizzamento, exploit kit, file dropper, call home e data theft, ndr], mentre molti sistemi si basano ancora sul riconoscimento del malware attraverso la signature, a propagazione già avvenuta”.
Oggi questa linea di difesa, finora comunemente adottata, non è più sufficiente, proprio perché non si parla più solamente di "virus", ma l'universo delle minacce comprende più genericamente un'infinità di "malcode" con modalità di attacco e comportamento differenti, che richiedono, come evidenzia Massa, una gestione sempre più dinamica e proattiva (non solamente reattiva).
"Bisogna intervenire – puntualizza – secondo logiche outbound, per cui l'affidabilità dei sistemi informativi e delle reti aziendali deriva dalla messa in sicurezza del dato stesso, non dall'implementazione di uno scudo perimetrale che impedisce l'ingresso delle minacce dall'esterno. La nostra difesa si basa sull'analisi comportamentale ed è in grado di affrontare contemporaneamente le problematiche di sicurezza relative a web, mail, mobile e dati: la protezione deve essere a livello di contenuto e non di canale".
Cuore della tecnologia di Websense è infatti l'Advanced Classification Engine (Ace), un motore avanzato di classificazione dei contenuti complessi, che processa oltre 10.000 analytics derivanti da 5 miliardi di richieste quotidiane, abilitando così una sicurezza real-time.
Ed è proprio da qui che proviene l'efficacia di Triton, confemata dal report di Miercom. Sul piano della sicurezza web, testata sulla base di oltre 2,2 milioni di richieste Web in tempo reale, la soluzione di Websense ha bloccato il 68% in più dei link malevoli, link sospetti, exploit kit malware e altre minacce associate rispetto al punteggio ottenuto dal competitor successivo. Le funzionalità di Dpl sono state invece convalidate sulla base di sei scenari differenti: rilevazione del file crittografato del cliente, furto dati del file password, riconoscimento ottico dei caratteri dei testi all’interno di un’immagine, rilevazione lenta della perdita dei dati e geolocalizzazione.
"La nostra tecnologia – commenta Massa – agisce su tutti i fronti analizzati per prevenire la perdita di dati, integrando anche feature avanzate come la password file detection, il drip data leaks, che individua il furto cumulativo di piccole porzioni di informazioni solitamente non rilevato dai sistemi comuni, l'Optical character recognition per proteggere i dati sensibili contenuti nelle immagini, la geocalizzazione per bloccare l'invio di informazioni se la richiesta proviene da determinati Paesi".
Secondo Miercom, il primato va a Websense (e in particolare alla tecnologia ThreatScope integrata nel Web Security Gateway Anywhere) anche per quanto riguarda il sandboxing malware e il report forensic, che permettono di sapere chi è stato attaccato, come, dove erano dirette le comunicazioni e quali dati erano l’obiettivo del data theft capture. Tra i punti forti di Triton anche la facilità di gestione, assicurata da dashboard unificato, creazione di policy centralizzata e reportistica personalizzata.
"Il mercato ci sta dando ragione – conclude Massa – premiando la nostra focalizzazione su Triton, per questo continueremo a sviluppare e potenziare la nostra tecnologia senza estenderci a nuovi ambiti, almeno nel breve periodo. La nostra missione rimane la promozione della conoscenza sulle minacce e il supporto alle aziende nella protezione dei dati, attraverso un'unica console in grado di implementare una sicurezza outbound/inbound e con delivery ibrida. Facciamo una vendita di valore parlando con il cliente di desiderata non espressi e sensibilizzandolo sulle problematiche di difesa prima che si verifichi un incidente, anche se è difficile che un'azienda si convinca a stanziare budget per il miglioramento della sicurezza se non ha subìto attacchi. Per questo ci avvaliamo di partner altamente selezionati, in grado di evangelizzare il management e fare cultura: l'obiettivo non è persuadere solo attraverso le promesse di risparmio economico, ma facendo leva anche su altri parametri, come il consolidamento, la gestione ibrida, la protezione mobile e così via. Stiamo facendo attività di marketing molto mirate sul canale per arrivare a risponde ai bisogni verticali e alle specifiche del cliente, puntando in particolare ai settori govenment, finance e large manifacturer, dove le esigenze di sicurezza sono molto evidenti".
