“Qualunque device connesso, che faccia o non faccia parte della famiglia IoT, deve essere trattato con lo stesso criterio con il quale trattiamo oggi i server, le applicazioni più importanti, i laptop, i Pc. In questo campo è fondamentale riuscire a stabilire sinergie con i vendor dei prodotti IoT, perché spesso si portano dietro un’ingegnerizzazione che non tiene conto della sicurezza se non al minimo indispensabile. Anche su device che oggi potremmo definire IoT, come i dispositivi per la smart home, non ci sono nella maggior parte dei casi sistemi di sicurezza. La direzione da imboccare è quella della security by design, dallo sviluppo di tecnologie moderne alla possibilità di fare aggiornamenti, visto che è proprio su questo genere di vulnerabilità che lavorano i criminali informatici. Sarebbero utili strumenti software analoghi nella funzione agli anti malware che proteggono i laptop. Nell’automotive, ad esempio, che è uno dei settori più avanzati in questo campo, stiamo collaborando negli Stati Uniti con una grande casa automobilistica proprio in questa direzione”. Lo dice in un’intervista a CorCom, durante Cybertech Europe 2018, la manifestazione co-organizzata da Leonardo che si chiude oggi a Roma, David Gubiani, security engineering manager di Check Point Software Technologies.
Gubiani, puntate molto sul contrasto alle minacce “Gen V”. In cosa consistono?
Rispetto all’approccio classico, con gli attacchi che venivano sferrati attraverso un unico vettore, Gen V è una nuova metodologia emersa ad esempio dalle offensive di alcuni “Paesi canaglia”, che hanno utilizzato tutti i vettori disponibili in contemporanea: attacchi ai protocolli di comunicazione insieme a campagne di phishing, ad esempio, per trovare un varco e riuscire a infiltrarsi nella rete che avevano preso di mira. Se i sistemi non sono sufficientemente aggiornati, se la protezione non è in grado di proteggere ogni singolo punto d’accesso e verificare quello che sta succedendo, dando allarmi in tempo reale, e se non è in grado di analizzare tutto ciò che oggi non è riconoscibile, l’attacco non si riesce a bloccare. Gen V è la modalità con cui gli attacchi vengono sferrati verso un unico individuo, in maniera multipla e coordinata.
Da alcuni vostri report emerge che i team security spesso soffrono di una mancanza di competenze e strumenti per contrastare alcuni attacchi. Come si può rimediare?
La formazione è di sicuro fondamentale, ma da sola non basta, bisogna anche avere a disposizione le tecnologie più avanzate. L’esito di un attacco dipende anche dalla velocità con cui le aziende adottano le ultime tecnologie, e su questo c’è spesso una grande differenza tra settore pubblico e privato. Noi come vendor di sicurezza cerchiamo sempre di essere un passo avanti rispetto alle minacce, anche se le organizzazioni criminali hanno spesso più soldi da investire e più agilità operativa. C’è però da registrare che spesso le aziende scelgono nell’ottica di contenere il più possibile i costi, che nel campo della cybersecurity non è per principio una scelta saggia, perché spesso le soluzioni che costano di meno non vanno a proteggere contro le minacce più recenti. Purtroppo spesso in Italia su questo temi ragioniamo “post mortem”, finché non ci attaccano ci sentiamo invulnerabili. Quindi accanto alla formazione è necessario velocizzare, in generale, il processo di acquisizione di nuove tecnologie, cercando di non andare sempre al risparmio, perché i rischi che si corrono sono gravi.
Si sente dire spesso che “difendere il perimetro” non è più sufficiente, ma c’è bisogno di un approccio integrato alla cybersecurity. Cosa vuol dire in parole povere?
La sicurezza deve far parte dei processi aziendali, deve essere condivisa con le persone che fanno parte dell’azienda a tutti i livelli, nessuno può più dire oggi che la sicurezza non lo riguarda. Tutti devono avere un minimo di coscienza perché molti degli attacchi vanno a buon fine non perché i sistemi non siano aggiornati, ma perché l’utente fa qualcosa di sbagliato. Si deve condividere la responsabilità, formare le persone facendo awareness, perché il nostro approccio con la sicurezza di Internet oggi è all’opposto dell’approccio alla sicurezza tra persone: su internet ci fidiamo di tutti, mentre nei rapporti con gli altri non ci fidiamo di nessuno.
Qual è e quale sarà il ruolo dell’automazione dell’intelligenza artificiale nell’implementare una strategia di cybersecurity efficiente?
Sarà fondamentale perché la nuova tipologia di attacchi e la velocità con la quale vengono prodotte nuove varianti rende spesso imprescindibile il ruolo dell’automazione. Servono sistemi in grado di bloccare le anomalie anche quando non le riconoscono perfettamente, e che siano in grado di imparare in tempo reale da ciò che succede attorno a loro. E’ un’evoluzione del sandboxing avanzato, dove il solo sandbox non è sufficiente: c’è bisogno di riconoscere malware che sono nascosti all’interno del codice e che spesso non si manifestano immediatamente per non essere riconosciute dalla prime linee di difesa. Chi attacca già utilizza l’automazione, e per questo è necessario evolversi velocemente.
