Sincronizzata e automatizzata. È la protezione di Sophos

Attacchi silenti, subdoli, che esplodono la loro potenzialità nociva solo molto tempo dopo, quando finalmente sono riusciti a raggiungere gli obiettivi e i reparti aziendali dove risiedono le informazioni più importanti, sensibili e per loro remunerative. È l’osservazione di Sophos, che attraverso una propria indagine conferma quanto il ransomware stia continuando a sostenere l’industria del cybercrime, comportando un costo per le aziende che è raddoppiato nel giro di un anno, con risultati non sempre risolutivi anche in caso di pagamento del riscatto.

Effetti visibili molto tempo dopo l’avvenuto attacco

“Da diversi mesi, sul fronte degli attacchi stiamo osservando una vera e propria esplosione di una nuova capacità di insinuarsi nei sistemi aziendali che è sempre più sofisticata e intelligente, che utilizza tecniche che riescono a iniettare codici malevoli molti giorni prima che l’attacco si palesi – commenta Marco D’Elia, country manager di Sophos per l’Italia (nella foto in apertura) -. In media 11 giorni prima, e in gran parte con azioni effettuate con tecniche particolari. Attualmente, infatti, il 90% degli attacchi avviene attraverso lo sfruttamento di un protocollo di Remote Desktop Protocol, spesso sfruttato per saltare all’interno del sistema informativo con “movimenti laterali”, passando nei diversi dipartimenti dell’azienda, insinuandosi e progredendo come una sorta di cancro in grado di diramarsi all’interno dell’azienda”.

Attività sospette, che sfuggono all’attenzione , ma che celano un attacco in corso

In questi casi, un’azienda non si accorge di essere sotto attacco fino a quando non si notano gli effetti, il che può anche decine di giorni dopo. La ricerca di Sophos ha, inoltre, evidenziato come vi siano delle correlazioni tra l’utilizzo contemporaneo di diverse applicazioni, non malevole, e gli attacchi. Un comportamento certamente anomalo, un allarme concreto da tenere in considerazione se solo l’azienda si accorgesse che queste applicazioni stanno funzionando in contemporanea, manovrate da qualcuno. Attacchi, effetti, segnali, attività tutte che è impossibile possano essere colte da un unico prodotto dedito alla sicurezza.

Sincronizzare la sicurezza non basta più. Ci vuole l’aiuto dell’AI

“Un prodotto solo non basta – riprende D’Elia -. E Sophos già anni fa aveva intuito la necessità di una interazione tra i vari prodotti, che parlassero tra di loro in modo da massimizzare gli effetti di protezione, introducendo il tema della sicurezza sincronizzata. Una condizione che si è rivelata essere necessaria che però, oggi, non è più sufficiente. Oggi diventa sempre più indispensabile integrare delle tecnologie di intelligenza artificiale, che sono alla base della nostra tecnologia Intercept X, e che Sophos ha pensato di inserire all’interno di tutti i propri prodotti, proprio per poter massimizzare il concetto della sicurezza sincronizzata”.

L’obiettivo di Sophos è di rendere la propria piattaforma ACE (Adaptive Cybersecurity Ecosystem) modulare, integrata ma, soprattutto, adattabile, basata su un sistema esperto che sia in grado di interpretare e adattarsi alle condizioni di insicurezza che vengono rilevate. Una piattaforma che si compone di sicurezza sincronizzata, Intelligenza Artificiale ed EDR che consente di poter sfruttare una correlazione di eventi fatta su un’unica intelligenza, rappresentata da Sophos Central, che porta il sistema ad adattarsi, autoconfigurarsi, automodellarsi in base al tipo di attacco. Tecnologie che si integrano con la componente di servizio, la quale a sua volta si declina in tre sottocategorie di servizi: MTR, MTR Essential e Rapid Response.

Servizi di MTR che chiedono l’intervento dei partner

“A corredo di queste tecnologie, abbiamo attivato una serie di servizi a uso dei clienti e dei nostri partner di canale – spiega il country manager -, sia quelli che si sono dotati di un SOC, sia coloro che non vi hanno investito. Su questo fronte noi offriamo ai clienti Sophos il nostro servizio di MTR (Managed Threath Response), che effettua un servizio di threath hunting 24 ore su 24, che si completa con attività di remediation. Per chi non è già cliente Sophos, invece, offriamo il servizio MTR Essential, che consente la ricerca delle minacce in ambienti eterogenei, ma senza fare remediation. Quest’ultimo, infatti, non potendo agire direttamente su ambienti nostri, è un compito che lasciamo ai nostri system integrator che hanno investito in un SOC e hanno tutte le competenze per poter intervenire anche su prodotti terzi, potendo, tra l’altro sfruttare le informazioni e skill dei nostri laboratori. Un terzo, ulteriore, livello di offerta è poi denominato Rapid Response, che comporta l’intervento d’urgenza di un team di esperti qualora vi sia unaminaccia esplicitata in corso”.

Sophos ora punta (anche) ai clienti Enterprise

Attraverso la piattaforma ACE e i differenti livelli di servizi offerti, Sophos punta ora a proporsi, anche a un target di utenza di livello enterprise, una fascia di cloienti che si aggiunge gradualmente a quella tradizionalmente presidiata dello small medium business.

“Un target di utenza che oggi ha a disposizione un’offerta articolata di soluzioni e di servizi in grado di soddisfare pienamente le esigenze più complesse, tipiche di questa fascia di clienti – dichiara D’Elia -. Un ampliamento dell’offerta che si traduce ovviamente in maggiori opportunità di business per i nostri partner. Molti di questi si sono, infatti, già strutturati con dei SOC per poter offrire servizi di cybersecurity. Perché oggi la sicurezza è un ambito interessante non per chi vende prodotti, ma per chi su di essi è in grado di offrire dei servizi per il cliente, per togliergli complessità e responsabilità sui temi security. Il nostro servizio di MTR offre al canale la possibilità di proporsi con servizi di hunting e remediation, ambiti dove servono competenze non solo tecniche, andando fino a toccare gli aspetti di tipo legali, trattando temi sensibili al GDPR. Fornire servizi di questa caratura, dà ai clienti un alto livello di garanzia, dato dalle competenze del partner e le tecnologie e servizi Sophos, che insieme diventano sinonimo di riconoscibilità sul mercato”.