La cybersecurity è un elemento imprescindibile per qualunque organizzazione voglia avviare e mantenere in salute un digital business. Guai oggi a sottovalutarla, a non predisporla secondo lo stato dell’arte.
La cybersecurity, infatti, è diventata una discriminante del grado di evoluzione, della capacità di un’impresa di stare sul mercato. Un business che IBM ha cominciato a costruire circa quattro anni fa, quando il fulcro dei baluardi informatici era ancora concentrato su firewall, antivirus, sistemi di prevenzione delle intrusioni, tecnologie di difesa perimetrale dei confini delle reti enterprise. Poi il cloud, la mobility, la globalizzazione delle informazioni, hanno attenuato questi confini, rendendo liquidi dati e applicazioni. E Big Blue ha deciso di costruire la propria strategia di IT security aziendale partendo da una prospettiva differente.
Mentre lo intervistiamo nella sede IBM di Segrate, dove si trova in visita nell’ambito di un tour in Europa, Marc van Zadelhoff, General Manager di IBM Security, spiega qual è stata la premessa da cui la casa di Armonk ha cominciato, riuscendo a generare quello che, nel 2015, è divenuto un business da due miliardi di dollari, con oltre 6 mila addetti a livello mondiale: «Valutando sistemi come i firewall e gli antivirus, abbiamo detto, ok, questi vanno bene, possono essere necessari, ma non sono sufficienti a risolvere il problema della sicurezza. E abbiamo cominciato ad aggiungere gli analytics, a sviluppare l’intelligence e il grado d’integrazione delle soluzioni». Negli ultimi quattro anni IBM Security ha fatto varie acquisizioni, ed è cresciuta rapidamente, dotandosi di tecnologie analitiche molto potenti e di un esteso portafoglio di controlli di sicurezza: tutte funzionalità che, integrate in un sistema, si prefiggono di consentire agli utenti aziendali di modernizzare il tradizionale paradigma di security.
Su questo comparto IT, precisa van Zadelhoff, la divisione ha un forte focus, anche perché IBM Security rappresenta uno degli imperativi di crescita di IBM nell’ambito della sua strategia globale CAMSS, acronimo di cinque aree tecnologiche: Cloud, Analytics, Mobile Social, Security.
Portare lo IAM (Identity Access Management) a un nuovo livello
Dove occorre innovare nella cybersecurity? La gestione delle identità e degli accessi è una tipica, tradizionale area: questo ambito andava rivisto in chiave nuova, alla luce degli attuali requisiti di compliance e delle politiche di governance oggi da attuare per ottenere una maggior visibilità sui rischi IT insiti nelle quotidiane attività di business. «Qui quello che abbiamo fatto realmente è modernizzare tale settore della security, introducendo più analytics. Questo è ciò che noi chiamiamo il Santo Graal nell’identity access management, perché consente, non solo di fornire all’utente un determinato privilegio di accesso, ma anche di controllarne il comportamento, attraverso le tecnologie analitiche. Capendo cosa quell’utente sta realmente facendo, si ottiene un feedback, che può portare anche alla modifica di quel diritto di accesso. Abbiamo in quest’area una tecnologia molto sofisticata». Addirittura, esemplifica van Zadelhoff, la tecnologia di behavioural analytics permette di monitorare la velocità e lo stile d’uso del mouse per rilevare variazioni significative, atte a indicare che non si tratta di un normale utente, ma di un hacker. È possibile tra l’altro comprendere, in maniera dinamica, da quali indirizzi IP e da quali location nel mondo un utente sta connettendosi alla rete, agendo di conseguenza, in risposta a eventi diversi. Tra l’altro, per aggiungere competenze ai 25 laboratori già disseminati nel mondo per la ricerca e sviluppo, IBM Security, proprio in merito all’innovazione della tecnologia IAM, ha acquisito nel 2014 la società italiana CrossIdeas, con sede a Roma.
Tre pilastri d’innovazione nella cybercsecurity
Al di là del mondo IAM, van Zadelhoff individua tre aree fondamentali in cui Big Blue sta osservando un enorme potenziale d’innovazione. Ambiti in modo simbolico rappresentabili da 3C: «Cloud, Collaboration, Cognition. È qui che vediamo il futuro della nostra strategia di security, del nostro portafoglio di soluzioni. Lasci che li chiarisca uno per uno. Il primo, il cloud, è forse il più semplice da spiegare».
1) The cloud …effect
Perché il cloud è importante? Il motivo è chiaro: «I nostri clienti stanno muovendosi verso il cloud e, allo stesso tempo, noi, come IBM, stiamo facendo migrare molte delle nostre security capability nella nuvola: via via che i workload delle imprese utenti si spostano in questo ambiente, dobbiamo accertarci che siano gestiti in modo sicuro nel cloud». Insomma questo diventa sempre più lo spazio IT da cui la security viene gestita, dove bisogna essere presenti, e dove si è certi di raggiungere i workload dei clienti. «Le faccio un esempio. La nostra tecnologia di protezione contro le frodi nel mondo bancario, mutuata con l’acquisizione della società Trusteer, è basata sul modello Software as a Service. Un altro esempio è la nostra tecnologia di mobile security MaaS360». Anche questa piattaforma di mobile device management (MDM) è improntata sul concetto di Mobility as a Service, che consente di centralizzare sul cloud operazioni come lo wiping dei dati e la protezione dei singoli dispositivi.
I benefici? «Il vantaggio del modello di gestione della security from the cloud e for the cloud è che permette di osservare i pattern, gli schemi di attacco attuati dal malware e dalle cyber-minacce contro vari utenti aziendali. Avendo qualcosa come 8 mila clienti nel mondo che utilizzano MaaS360, siamo in grado di beneficiare delle informazioni e dei pattern raccolti per un cliente, mettendoli a disposizione di tutti gli altri. Allo stesso modo, nel settore banking, attraverso la tecnologia Trusteer, si può, ad esempio, osservare un pattern e accorgersi che lo stesso malware usato per colpire una banca in Francia ora viene utilizzato per attaccarne una in Spagna».
2) C’è collaborazione e collabor-azione
Poi c’è la collaborazione, secondo pilastro fondante per mitigare le minacce informatiche. «Pensi a cosa fanno gli hacker: essi collaborano tra loro, usando tecnologie come i Tor browser e la rete Tor per comunicare e condividere informazioni e malware nel Dark Web, tramite connessioni cifrate». Attraverso questi canali protetti da occhi indesiderati, e nel buio del Deep Web, invisibile ai normali motori di ricerca, gli hacker possono scambiarsi dati sulle vulnerabilità, o codice malevolo come il trojan Tinba, veicolo di attacco di vari istituti bancari, e decidere di servirsene per provocare infezioni anche su altre banche. «Quindi, noi, quello che dobbiamo fare sul lato positivo dell’equazione security è, allo stesso modo, assicurarci che ci siano clienti, aziende, in grado di collaborare fra loro. Pensando a come potevamo permettere ai nostri clienti di condividere questi dati, abbiamo costruito un servizio chiamato X-Force Exchange. Si tratta in sostanza di una rete simile a social network come LinkedIn o Facebook, in cui gli utenti possono condividere informazioni. Qui abbiamo reso disponibili circa 700 terabyte di dati, con informazioni, ad esempio, su chi sta attaccando, quale malware è utilizzato. I clienti aziendali possono collaborare, consultarsi sull’attacco subìto e sapere se qualcun’altro ha avuto la stessa esperienza».
Insomma, questo spazio online facilita la collaborazione tra good guys, rispondendo ai bad guys con le stesse armi? «Esatto – risponde van Zadelhoff – noi in inglese diciamo Fight fire with fire. Permettiamo ai nostri clienti di collaborare perché riescano a rispondere con maggior efficacia agli hacker».
Sempre nell’ottica della collaborazione, e a supporto del proprio portafoglio di soluzioni, IBM ha inoltre creato una sorta di app store, dov’è possibile condividere app realizzate dagli sviluppatori per individuare particolari minacce o risolvere specifiche problematiche di security.
3) Cognitive computing: l’intelligenza è tutto
Il terzo pilastro è la Cognition. Una realtà in continuo divenire, dove IBM sta ponendo le energie di ricerca e sviluppo all’ordine del giorno. Rappresenta la prossima onda d’innovazione e ha un potenziale che promette di essere dirompente rispetto a quanto fatto finora nel settore della cybersecurity. «In quest’area stiamo lavorando con il team di Watson. L’idea è sfruttare questa piattaforma, in grado di comprendere il linguaggio naturale e applicare tecniche di machine learning, prendendo tali capacità cognitive e aggiungendole alla nostra intelligence». C’è molto lavoro in corso in quest’ambito, con l’obiettivo di potenziare i tool analitici e dare agli utenti risposte più efficaci sulle minacce esistenti e potenziali. «Abbiamo addestrato Watson sulla security, facendogli acquisire migliaia di documenti relativi alla sicurezza, al punto da trasformarlo in un grande esperto di questo campo». Ora il sistema sta cominciando ad analizzare, e correlare tra loro, i diversi schemi di attacco scoperti, gli incidenti di sicurezza, applicando una raffinatezza e potenza di analisi capace di fare la differenza. In altri termini, questa tecnologia permetterà, ad esempio, di risolvere la carenza di competenze di IT security all’interno delle varie organizzazioni, pensare meglio degli hacker, e rispondere con maggior velocità ed efficacia alle loro minacce.
Ma, intanto, nell’attesa di applicare appieno il cognitive computing, quali devono essere le priorità delle imprese che vogliono proteggersi? «Anche su questo tema – conclude van Zadelhoff – viaggiando in Italia, ho potuto notare che, specie le piccole e medie aziende, utilizzano svariati strumenti di sicurezza, provenienti anche da 40 vendor differenti. Credo che tali realtà debbano oggi riuscire a vedere la security come un sistema di funzionalità integrate, e farlo lavorare bene. In sintesi, occorre non dimenticare i fondamentali, ridurre il numero di tool e accertarsi davvero d’integrare tutto». Altrimenti, alla fine, il rischio sarà ritrovarsi con un sistema di difesa magari dotato di buone funzionalità di protezione, ma privo di una vera testa pensante.
