La Local Intelligence al centro della nuova sicurezza aziendale

Nov 21, 2016 Giancarlo Calzetta Approfondimenti, Mercato, RSS, Scenario 0

Granularità e trasparenza del network sono alla base della filosofia di Fortinet per garantire la sicurezza in ambito aziendale.

L’evoluzione dei sistemi informatici e la parallela espansione degli attacchi da parte di hacker e pirati informatici sta portando a un cambiamento radicale delle logiche con cui è necessario pensare le architetture dei sistemi di sicurezza.

Se fino a qualche tempo fa la gestione della rete e la protezione degli endpoint potevano essere visti come due aspetti complementari ma distinti, oggi le aziende hanno acquisito la consapevolezza che la protezione degli assets aziendali passa per una loro integrazione sempre più stretta.

È questa la sintesi del ragionamento di Antonio Madoglio, System Engineering Manager di Fortinet, uno dei più importanti produttori di soluzioni di sicurezza di rete. Nel corso dell’intervista con SecurityInfo.it, Madoglio in realtà va anche oltre, suggerendo che i fattori utili per garantire la sicurezza dovrebbero comprendere anche elementi che non sono ancora considerati “pertinenti” al tema della sicurezza informatica.

Antonio Madoglio è System Engineer Manager in Fortinet.

“Il perimetro aziendale così come lo conoscevamo non esiste più” – spiega Madoglio. “D’altra parte sono passati i tempi in cui si poteva pensare che la rete potesse essere idealmente divisa in aree trusted e untrusted. Oggi ci troviamo ad avere a che fare con diverse aree che sono comunque sensibili e ognuna di esse richiede accorgimenti diversi”.

“I dipendenti possono accedere a dati che si trovano al di fuori delle infrastrutture fisiche aziendali (per esempio nel cloud) e lo possono fare attraverso diversi dispositivi. Allo stesso modo, si deve allargare il perimetro degli strumenti utilizzati per garantire la sicurezza”.

Uno dei mezzi più utili sfrutta le informazioni aggiuntive presenti in azienda ma spesso non ancora integrate con le piattaforme di sicurezza, come i log di accesso dei dipendenti tramite badge che consente di avere una conferma dell’effettiva presenza fisica all’interno dell’azienda. L’obiettivo è quello di avere in ogni momento un quadro chiaro di chi sta accedendo al sistema, con quale tipo di dispositivo lo sta facendo, che tipo di attività sta svolgendo e a quali dati ha accesso, bloccando l’operatività quando, per esempio, la presenza fisica non combacia con l’accesso ai dati.

La rete, però, non è una semplice scacchiera su cui è necessario verificare in ogni momento la posizione dei pezzi, ma è un ambiente che deve essere gestito in maniera dinamica. “L’integrazione tra l’analisi delle minacce e la gestione della rete” – dice Madoglio – “è, nella nostra ottica, fondamentale e consente di fare grandi passi avanti nella mitigazione del rischio. Grazie a questo tipo di approccio, per esempio, possiamo fare in modo che, a seguito dell’individuazione di un malware all’interno della sandbox (il sistema virtuale in cui viene eseguita l’analisi comportamentale dei software sospetti – ndr) nella rete vengano bloccati i canali di comunicazione che potrebbero essere utilizzati dal malware stesso”.

Un livello di integrazione che in Fortinet hanno battezzato come “Local Intelligence” e che consente di sfruttare tutte le informazioni raccolte per adattarsi a eventuali minacce attraverso delle policy aziendali.

“Il prerequisito per adottare un approccio simile è quello di segmentare la rete, in modo da poter gestire le differenti aree in maniera specifica e, all’occorrenza, poterle isolare o addirittura metterle in quarantena” – prosegue Madoglio.

La local intelligence si affianca alla global intelligence per identificare potenziali minacce sfruttando tutti i dati presenti in azienda.

Lo sforzo, dal punto di vista tecnologico, è quello di garantire la visibilità del traffico di dati e delle attività in corso senza pregiudicare la performance dei servizi erogati al suo interno.

“Le maggiori resistenze all’implementazione di un sistema capillare di controllo sono legate soprattutto al timore che riducano le prestazioni delle appliance” – conferma il SEM di Fortinet. “Motivo per cui abbiamo sviluppato soluzioni che offrono la massima trasparenza senza appesantire i processi”.

Il rilevamento di comportamenti anomali all’interno del network è gestito attraverso un sistema che assegna automaticamente un “punteggio di rischio”, sulla base del quale i responsabili IT possono mettere in atto (in questo caso manualmente) le contromisure necessarie.

Ma qual è la reazione del mercato italiano a questo tipo di impostazione? Madoglio conferma che dal suo ruolo di osservatore privilegiato sta verificando un aumento della sensibilità delle aziende al tema della sicurezza, così come un aumento dei budget per le infrastrutture necessarie.

Una presa di consapevolezza che, al contrario di quanto sostenuto da molti, ha ben poco a che fare con le nuove normative in tema di trattamento dei dati.

“Paradossalmente, più che le nuove leggi dobbiamo ringraziare l’aumento di attacchi informatici registrato negli ultimi anni. L’ondata di ransomware che ha investito il nostro paese, per esempio, ha avuto come effetto collaterale quello di fare in modo che molti dirigenti si sono resi conto che le minacce informatiche sono reali e rappresentano un rischio concreto per la loro attività”.

Un modo forse poco ortodosso per arrivare a dare il giusto peso alla sicurezza, ma l’importante è che si inizi a vedere gli investimenti necessari non più come un costo puro ma come un valore. “Del resto,” – ci conferma Madoglio – “i risultati migliori si ottengono mettendo in opera delle soluzioni orchestrate, che coinvolgono delle soluzioni software, ma anche hardware. Usando apparati di rete Fortinet, infatti, le nostre suite di sicurezza sono in grado di prendere in maniera autonoma e automatica delle azioni drastiche come l’esclusione fisica dei PC infetti dalla rete , migliorando di molto l’efficacia delle risposte alle eventuali intrusioni”.

Condividi l'articolo