Le strategie per la difesa cyber evolvono rapidamente per tenere il passo con la trasformazione digitale, con attacchi in continua mutazione e con nuove modalità operative dovute allo smart working. Quali sono le tendenze sul mercato osservate da un key player della cybersicurezza come Sophos? Quali le direzioni intraprese dalle società per rispondere al meglio alle nuove sfide dei responsabili della sicurezza? Ne abbiamo parlato con Kevin Isaac, senior vice president Emea sales di Sophos. "Il 2021 è stato un anno importante", ha esordito Isacc. "Abbiamo visto una serie di iniziative di alto livello, come l’Executive Order del Presidente americano Joe Biden di maggio 2021, risposta all’attacco a Colonial Pipeline, o in giugno il progetto della Commissione Europa per una Joint Cyber Unit in Unione Europea".
Oggi osserviamo che gli attacchi avvengono ovunque, prendendo di mira realtà di tutte le dimensioni e settori, come riporta anche il “State of Ransomware Report” di Sophos. In Italia, il costo medio per il recovery (dopo un attacco subito da un’azienda), ha raggiunto i 570mila euro. Solo il 14% delle aziende che ha pagato il riscatto ha poi recuperato tutti i propri dati. Il 28% degli intervistati dichiara che gli attacchi cyber sono troppo complessi per essere gestiti dal team IT interno all’azienda. “La situazione”, ha proseguito il manager, “è in linea con la missione aziendale che si pone Sophos, ossia quella di fornire difese di cybersecurity a tutte le aziende, da organizzazioni con centinaia di migliaia di persone a realtà con tre o quattro utenti. Non va dimenticato che proprio le aziende di media dimensione rappresentano la spina dorsale delle nostre economie: la nostra tecnologia si adatta bene a tutte le situazioni".
Le sfide di cybersicurezza nel post pandemia
"Oggi un chief information security officer deve, da un lato, confrontarsi con un incremento delle minacce cyber", ha osservato Isaac. "Dall’altro lato il lavoro da remoto, che prosegue ancora, sposta molta attenzione sull’utente finale, oggi costantemente collegato da casa. Purtroppo lo sono anche gli hacker, il cui livello di attività ha subito un’impennata. La priorità del Ciso si riassume quindi oggi in una sola parola: velocità. Bisogna gestire gli attacchi in modo veloce, per ridurne gli impatti. I professionisti della cybersecurity devono confrontarsi con due sfide principali: da un lato, la trasformazione digitale in corso, che porta con sé opportunità fantastiche per il business, ma che vede spesso la cybersecurity come un freno. Dall’altro lato, gli analisti di mercato dicono che le nuove architetture di sicurezza dovranno essere basate su Zero Trust e Sase (Security Access Service Edge, ndr), ma nel frattempo il problema numero uno da risolvere è il ransomware".
Kevin Isaac, senior vice president Emea sales di Sophos
Ma come conciliare queste diverse esigenze? "Noi pensiamo", ha detto il senior vice president, "che Sophos abbia un ruolo unico da giocare in questo scenario, avendo realizzato già cinque anni fa la tecnologia di Sophos Central in cloud, un unico pannello di controllo che permette di avere visibilità unitaria su tutte le tecnologie di sicurezza utilizzate, di controllare tutti i metadati, le signature degli attacchi e tutti gli eventi, all’interno di un data lake, con una conoscenza alimentata da intelligenza artificiale e machine learning sui pattern di attacco in corso. È un vantaggio notevole poter dare ai nostri clienti la capacità di comprendere come stiano proteggendo le proprie risorse critiche".
Nel corso del 2021 Sophos ha completato tre acquisizioni importanti: in agosto, quella di Refactr, una società che ha sviluppato una piattaforma per l’automazione DevSecOps. A luglio invece è stata la volta della startup di cybersecurity Braintrace, che ha portato in Sophos la capacità di avere visibilità su pattern di traffico sospetti nelle reti. Lo stesso mese è stata annunciata anche l’acquisizione di Capsule8, società ai primi posti nel mercato delle soluzioni di rilevamento e protezione di ambienti Linux. Non mancano, nell'offerta del vendor, soluzioni mirate alla protezione dei carichi di lavoro cloud. "Con il cloud cambia il caso d’uso", ha sottolineato Isaac, " perché in questo caso la sicurezza diventa un tema di protezione di workload, di DevSecOps, l’essere in grado di comprendere il rischio in ambienti di public cloud". La risposta di Sophos a questi temi è una tecnologia, Cloud Optics, che risiede all’interno degli ambienti Aws, Azure e Google, e garantisce protezione dei workload e visibilità all’interno dei container. Progettata specificamente per i clienti Aws, l'offerta combina la gestione della sicurezza cloud a quella degli endpoint, del carico di lavoro del cloud, della rete e garantisce la scansione ottimale delle vulnerabilità, la visibilità completa di tutte le risorse e il monitoraggio della conformità.
Il futuro di Sophos
"La missione di Sophos è quella di estendere le capacità di tutto l’insieme delle proprie soluzioni, servizi, threat intelligence e data lake", ha raccontato il manager. "La tecnologia di Refactr servirà a ottimizzare i servizi di Managed Threat Response e di Extended Detection and Response (Xdr) con funzionalità di Security Orchestration Automation e Response (Soar). La soluzione Braintrace di Network Detection and Response permette invece di identificare e filtrare attività sospette anche per quanto riguarda il traffico in cloud, per tutti i principali provider. Questa soluzione sarà integrata nelle piattaforme Xdr di Sophos, incrementando in questo modo la visione sui diversi punti che possono essere compromessi. Aggiungendo sempre più device alle reti, è fondamentale oggi poter correlare tutte queste informazioni e capire da dove arrivi un attacco. Con Capsule8 si risponde invece all’esigenza dei clienti di accelerare il proprio percorso verso il cloud, mettendo in sicurezza i workload in cloud, in particolar modo gli ambienti Linux".
Oggi la filosofia di Sophos, che ha lanciato il proprio servizio di Managed Threat Response nel 2019, si basa sull’integrazione nella piattaforma Sophos Central di tutte le soluzioni e i servizi di sicurezza, collegando i prodotti a un data lake di informazioni e a capacità machine learning per una sicurezza sempre più dinamica e adattativa. La principale conseguenza della pandemia è stata la priorità assegnata al mettere in sicurezza le persone, che ora lavorano in massa fuori sede, rispetto alle infrastrutture centrali: gli endpoint sono diventati il primo tema da risolvere per una strategia basata sul rischio. E Sophos è stata avvantaggiata in questo scenario dalla posizione di primo piano nel mercato dell’Extended Detection and Response, come ha riportato di recente Gartner.
"Il livello di detection è importante, ma non basta", ha chiarito Isaac. "Se vogliamo fare veramente la differenza per i nostri clienti, dobbiamo diventare sempre più veloci. Il servizio di Managed Threat Response risponde a questa esigenza, perché si basa su un livello in cui investigazione e risposta avvengono in modo proattivo. Oggi il tempo medio di detection sugli endpoint è inferiore a un minuto: questo cambia tutto. Nei prossimi anni saremo sempre più impegnati a fornire servizi proattivi, che estendono le capacità della nostra tecnologia, e a portare avanti nuove acquisizioni".