06/11/2015 di Redazione

Sicurezza: Cisco ridà la vista alle aziende, il segreto è la rete

L’azienda statunitense rafforza con nuovi servizi e prodotti l’offerta di Security Everywhere, basata su un approccio “olistico e integrato” che include firewall, sistemi Ips, protezione Web, intelligence e controllo delle policy. Usando gli apparati di r

immagine.jpg

Lente, miopi, piene di “anelli deboli” e incapaci di stare al passo con minacce sempre più mutevoli, camaleontiche e sofisticate. Così appaiono le infrastrutture di sicurezza It adoperate dalla maggior parte delle aziende, al punto che in media (calcolata su scala globale) passano circa duecento giorni prima che un’organizzazione si accorga di aver subito una compromissione o un furto di dati. La valutazione è opera di Cisco, così come di Cisco è l’approccio che si contrappone allo scenario descritto. L’azienda lo chiama “Security Everywhere” e lo propone ai clienti attraverso la Global Security Sales Organization (Gsso), una business unit da seimila addetti che da qualche mese opera come divisione indipendente di Cisco.

“La rete deve diventare il primo dispositivo di sicurezza per le aziende”, spiega Stefano Volpi, area sales manager della divisione. “Oggi i nostri clienti si confrontano con tre grandi problemi di sicurezza: il primo è il cambiamento del modello di business imposto dall’Internet of Things e dal Bring your own device, il secondo è la continua evoluzione dello scenario delle minacce e il terzo sono la complessità e frammentazione delle soluzioni adoperate. Le aziende ci dicono di aver perso visibilità su ciò che devono proteggere, perché il perimetro dell’It si è allargato a dismisura”, sottolinea Volpi.

Quello della visibilità è un tasto dolente, il più dolente forse, tant’è che “il 50% di aziende che ha del malware al suo interno senza sapere di averlo”, sottolinea l’area sales manager.  La moltiplicazione di prodotti e console di gestione certo non aiuta, ma anzi complica il lavoro degli amministratori It e produce quantità di dati non comunicanti fra loro. I famigerati “silos”, insomma, creano dei gap nella sicurezza. “I clienti spesso ci dicono: avete costruito la nostra rete, ora aiutateci a difenderla”, racconta Volpi. “E la nostra ambizione è proprio questa: diventare un ‘trusted security advisor’, anche in virtù della forte convergenza fra la sicurezza e la rete che oggi si sta realizzando”.  Cisco cura dunque l’intero “ciclo della sicurezza”, dalla consulenza (assessment e threat intelligece personalizzata), all’integrazione delle soluzioni, alla gestione.

 

 

Attacchi camaleontici e risposte lente
Un luogo comune da sfatare, secondo Cisco, è che firewall e antivirus siano sufficienti per proteggere reti, dispositivi e applicazioni. Dai monitoraggi effettuati da VirusTotal nei primi sei mesi di quest’anno risulta che il 6% dei programmi nocivi è sfuggito ai controlli di tutti principali i sistemi antimalware sul mercato, mentre addirittura un exploit su quattro non è stato rilevato.

“Qualsiasi sistema basato sulla detection per sua natura è destinato a fallire”, illustra Marco Mazzoleni, consulting system engineer di Cisco Gsso. I cybercriminali vanno sempre più veloci di chi li insegue perché gli attacchi possono mutare rapidamente per sfuggire ai controlli o superare le nuove patch. Un esempio recente di Advanced Persistent Threat (Apt) è Dridex, una campagna di spam che dalla prima metà del 2015 ha realizzato 850 mutazioni, modificandosi di continuo dopo ogni identificazione, e non da meno è la capacità trasformista di Angler, un exploit kit che negli anni ha utilizzato una combinazione di Html, JavaScript, Flash e Silverlight.

Sommato al problema della frammentazione nelle infrastrutture di sicurezza It, il “camaleontismo” degli attacchi genera una sproporzione fra la velocità del cybercrimine e la lentezza delle aziende. I famigerati duecento giorni necessari, in media, per accorgersi del problema e agire. C’è poi un’errata valutazione (o sottovalutazione) degli strumenti necessari per difendersi. “A volte lo sbaglio che si fa è quello di legare l’Apt al malware e credere che una soluzione anti-malware sia sufficiente”, prosegue Mazzoleni. “In realtà il malware è solo una piccola parte dell’Apt, che è un attacco complesso e basato su più passaggi”.

La “kill chain” dell’Apt tipicamente parte dai dispositivi, diffondendosi come mail di spearphising inviata su una casella email e confezionata in modo da essere convincente. Cliccando su un link parte l’infezione. Il secondo step dell’attacco è la ricognizione interna: la minaccia cerca vulnerabilità all’interno della rete per capire quali dispositivi poter utilizzare. Infine arriva ai server e da qui può individuare e prelevare i dati di interesse.

 

La piramide della sicurezza
Attualmente, spiega il consulting system engineer, la strategia anti-Apt di molte aziende prevede il semplice utilizzo di un firewall, un’appliance per il sandboxing e un antivirus. Per fare il salto di qualità, Cisco propone invece un’architettura integrata che sfrutta la rete – e dunque router, switch e data center – come risorsa di visibilità. Concettualmente, la si può rappresentare come una piramide alla cui base operano i next generation firewall e i sistemi di Intrusion Prevention (next generation Ips). Una volta costruito questo fondamento, servono soluzioni di content security per contrastare gli attacchi ai due principali vettori, cioè email e Web. Il terzo livello è il controllo/gestione degli endpoint (Cisco usa l’acronimo Evas: Endpoint Visualization, Access, Security), mentre il quarto è la Behavior Analysis. Derivata dalla tecnologia di Lancope (appena acquisita da Cisco) è un’attività che osserva i comportamenti degli utenti sulla rete, rilevando e segnalando tutti gli scostamenti anomali, come per esempio un improvviso aumento delle richieste Dns o upload sospetti.

 

 

“La visibilità permette innanzitutto di capire che cosa doversi difendere”, rimarca Mazzoleni, “e poi di contestualizzare l’attacco e mettere in campo le misure efficaci. Questa visibilità, inoltre, va correlata all’intelligence che dev’essere sia in locale, sia nel cloud”. Con questo approccio, a detta di Cisco, il tempo medio di scoperta dell’attacco può passare da duecento giorni a 46 minuti.

L’offerta di “Security Everywhere” è stata oggi ampliata con nuovi elementi. La prima novità è Cisco Cloud Access Security, soluzione che fornisce visibilità e sicurezza dei dati per le applicazioni basate sulla nuvola, oltre a impedire azioni rischiose. Per evitare la perdita di dati sensibili, per esempio, è possibile bloccare l’upload o la condivisione di determinati file su servizi come Dropbox, Google Drive e Box. La seconda novità è un insieme di ampliamenti dell’Identity Services Engine (Ise), prodotto che permette un controllo granulare delle policy aziendali in base al contesto, cioè a seconda del dispositivo, dell’utente o del luogo da cui vuole effettuare un accesso alla rete; con le innovazioni introdotte, Ise consente ora agli amministratori It di applicare policy di posizione ancora più specifiche (distinguendo, per esempio, fra una stanza e l’altra dello stesso edificio). Nuovo, infine, è il servizio Threat Awareness Service, creato per migliorare la visibilità su ciò che accade in entrata e in uscita sulle reti aziendali, evidenziando gli elementi per cui è richiesta un’attenzione più approfondita; un servizio di base è incluso in Cisco SmartTnet Total Care Service, mentre un'offerta premium, con maggiori funzionalità, è disponibile sotto forma di abbonamento annuale.

 

Stefano Volpi, area sales manager di Cisco Gsso

 

Una grande security company
“La sicurezza per molto tempo è stata vista come un costo, oggi è un fattore abilitante per il business”, riassume Stefano Volpi. “Stiamo compiendo degli investimenti in questo ambito. Il nostro ex amministratore delegato John Chambers, rimasto presidente, è anche ambasciatore ed executive sponsor della sicurezza di Cisco, dimostrazione di come si tratti per noi di un’area strategica”. Altra dimostrazione sono gli oltre 4,2 miliardi di dollari di investimenti compiuti dal 2013 per acquisire le tecnologie di SourceFire (azienda da cui proviene lo stesso Volpi), OPenDns, Lancope (sicurezza contestuale), ThreadGrid (malware analysis e threat intelligence), CoSe (congnitive security) e recentemente Portcullis (servizi di analisi del rischio e consulenza organizzativa).

“Oltre seimila dipendenti lavorano in Cisco Gsso, sui circa 70mila totali”, aggiunge il manager. “Il che significa che, dopo Ibm, siamo la più grande società di sicurezza a livello mondiale”. Cisco vanta anche il 41% di share nel mercato dei firewall su scala mondiale, mentre nella regione Emear (Europe, Middle East, Africa and Russia) detiene il 22% del giro d’affari del mercato sicurezza.

 

ARTICOLI CORRELATI