BUDAPEST – In due giornate di un ottobre insolitamente clemente per la capitale ungherese, scelta quest’anno sia per la centralità geografica sia per l’attenzione ai mercati dell’Europa orientale, si è svolta l’edizione 2014 dell’Emea Partner Council di Rsa. Società antesignana nel campo della sicurezza (sviluppò l’algoritmo di crittografia asimmetrica, o a doppia chiave, sul quale si basano tuttora le transazioni di home banking), Rsa è stata acquisita nel 2010 da Emc diventando la divisione Security della Corporation, ma mantiene una larga autonomia operativa, compreso un proprio canale di vendita che per l’area Emea ha inviato a Budapest ben 118 delegati.
Brian Fitzgerald, Worldwide Vp Marketing di Rsa
A parte le numerose sessioni dedicate agli sviluppi tecnologici e alle strategie di marketing delle diverse soluzioni in cui si articola l’offerta Rsa, la tematica generale sulla quale il management della società si è confrontato con i propri partner è stata l’evoluzione verso una nuova concezione della sicurezza: la Intelligence Driven Security. Che significa questa ‘headline’? Significa, in estrema sintesi, applicare alle attività inerenti i sistemi di sicurezza gli stessi princìpi che la BI applica alle attività del business e adottare tecnologie da questi in parte derivate. È un concetto importante e che, soprattutto, anticipa nella completezza di visione e di programma attuativo esposta da Rsa un approccio che sembra diffondersi nel mondo della security. Conviene quindi approfondire il discorso.
Cominciamo dall’evoluzione generale del mondo cui la sicurezza si applica. Questo, come si sa, è passato dall’ambiente chiuso del mainframe, blindato nella sua ‘white room’ e accessibile solo da terminali ‘stupidi’, a quello parzialmente aperto basato su Pc e server connessi in rete per approdare a quello attuale, dove tra macchine virtuali, applicazioni web, servizi cloud e connessioni wireless il data center ha perso quasi completamente l’identificazione tra ambiente fisico e ambiente logico per diventare ‘software-defined’.
In questo mondo, come si può intuire e come ha chiaramente detto Brian Fitzgerald, Worldwide Vp Marketing di Rsa, “Un sistema di sicurezza non si può più basare sull’infrastruttura come punto di controllo, ma sugli utenti, sul cloud, sulle terze parti e su quant’altro interviene, in un complesso gioco d’interazioni, nelle operazioni quotidiane”. Ciò significa che la security va approcciata in una visione di rischio d’impresa, secondo un percorso in tre stadi: visibilità sui processi e sui dati; analisi capaci d’individuare anomalie, indici di rischio o minacce; azioni per eliminare il rischio o ridurne l’impatto sul business.
Grant Geyer, VP Security Analytics di Rsa
Su come Rsa intenda applicare questo approccio ha quindi parlato Grant Geyer, VP Security Analytics (vedi anche riquadro nella pagina a fianco), che rifacendosi all’evoluzione della sicurezza esposta da Fitzgerald ha aggiunto come questa comporti anche un cambio di priorità nelle attività correlate. Se finora ci si è basati soprattutto sulla prevenzione, la visione di una sicurezza guidata dalla intelligence vedrà le priorità distribuite in pari misura tra prevenzione, analisi e risposta. Attività il cui coordinamento può offrire una risposta al rischio più efficace e tempestiva, vitale in un contesto di business che vede ridursi sempre più il tempo nel quale un rischio può tradursi in un danno.
Grazie anche alle capacità di cui Rsa si è dotata negli ultimi tempi (sono dieci, tra acquisite e controllate, le società specializzate in sicurezza che dal 2005 a oggi sono entrate nella sua orbita) oggi l’azienda presenta un’offerta che sotto la sigla Soc (Security Operations Solution) comprende: un sistema di gestione d’identità e accessi di nuova generazione che copre applicazioni, rete e punti-utente; un insieme di contromisure modulabili e personalizzabili sulle specifiche del cliente e un pacchetto di applicazioni analitiche, Rsa Security Analytics, che oltre ai rischi informatici copre anche le funzioni di governance e conformità ed è di fatto la vera novità sul piano dei prodotti. Rsa Security Analytics è una piattaforma costituita da due parti: un ‘gruppo di archiviazione’, chiamato Security Analytics Warehouse, che sfruttando Hadoop come base di big data ne permette, oltre alla registrazione, anche l’elaborazione con calcolo parallelo per creare report e soprattutto sviluppare modelli di analisi avanzata, e un ‘gruppo di acquisizione’. Quest’ultimo è a sua volta formato da tre soluzioni hardware-software integrate. La prima, e più importante, è Decoder, un’appliance che raccoglie, filtra e analizza in tempo reale tutti i dati e gli eventi rilevabili dai pacchetti di rete e dai log di oltre 200 dispositivi. I metadati generati da uno o più Decoder sono quindi aggregati dal Concentrator, che li correla ai vari tipi di reti (Lan, Wan, Internet) presenti, consentendo di sapere ‘dove’ sta succedendo qualcosa dentro e fuori l’impresa. Infine, al livello più alto della struttura opera il Broker, che offre un singolo punto d’accesso alle informazioni fornite da uno o più Concentrator in modo che una query possa indagare su tutte le attività, on premises e cloud, acquisite e analizzate. Il Broker è di regola accoppiato al server che ospita l’intera piattaforma, che oltre a fornire l’interfaccia utente per gli analisti della sicurezza offre un inedito sistema di gestione delle priorità degli eventi, che cioè stabilisce in modo automatico dove sia più urgente intervenire. Importante infine notare che per le piccole imprese il server Security Analytics può essere fornito in versione all-in-one, che integra cioè il software del Decoder e del Concentrator ed è configurabile per l’analisi o solo per pacchetti o solo per log.
Le tecniche di BI applicate al rischio Sull’impiego delle analisi dei dati nel campo della sicurezza abbiamo intervistato Grant Geyer, Vicepresident Security Analytics di Rsa, chiedendogli quali degli sviluppi che le applicazioni analitiche stanno avendo nelle soluzioni di BI si possano meglio applicare e siano più suscettibili di fornire risultati nella riduzione del rischio informatico. “Premesso che la sicurezza assoluta non esiste e ogni soluzione nasce da un compromesso tra il livello di rischio accettabile e il costo relativo, costo che – precisa Geyer – comprende anche l’effetto sulle operazioni dato da controlli più rigidi del necessario, lo sviluppo più interessante è quello delle analisi prescrittive, cioè che fanno scattare automaticamente un intervento. Queste, ovviamente nei limiti predefiniti dalla security policy, possono ridurre il rischio senza rallentare le operazioni”. E per quanto riguarda l’evoluzione grafica delle interfacce utente? “Anche questa contribuisce a ridurre il tempo fra il rischio e la risposta. Specialmente – aggiunge Geyer – se il dashboard è calibrato sul tipo di business della società”. Pensate quindi di fare applicazioni analitiche ed interfacce personalizzate per settori d’industria? “No: è un compito che lasciamo ai nostri partner e che fa parte di programmi di qualificazione del canale. Noi ovviamente forniamo tutti gli strumenti adatti”. |
