Essere un passo avanti rispetto alle minacce provenienti dalla rete. È il mantra risuonato spesso negli interventi ascoltati durante il Security Tour 2015 organizzato da Check Point (in collaborazione con Vmware e Idc) a metà ottobre a Milano e a Roma.
Roberto Pozzi, Regional Director Southern Europe di Check Point“Per rendere sicuro il nostro futuro – introduce Roberto Pozzi, Regional Director Southern Europe del vendor di It security – è necessario armarsi di conoscenza e di solide soluzioni di sicurezza. Inoltre occorre rendere l’It security un elemento fondamentale delle strategie aziendali, considerandolo uno strumento di produttività e di innovazione”.
Tre i temi affrontati nel corso dell’evento quali i più attuali nel settore della sicurezza: il cybercrime, la sicurezza dei dispositivi mobili e degli ambienti virtualizzati, e la threat prevention.
Come non aver paura degli sconosciuti
Amnon Bar-Lev, presidente di Check PointUn breve commento sullo scenario della sicurezza e del relativo mercato arriva da Amnon Bar-Lev, presidente di Check Point. “Le aziende si trovano minacciate da un numero crescente di ‘cyberwarriors’, che impiegano una vasta varietà di malware. Sul mercato esistono molte soluzioni di sicurezza, ma la maggior parte affronta solo alcune minacce e in modo reattivo. I malware più pericolosi sono quelli sconosciuti o vecchie conoscenze reingegnerizzate per eludere i controlli basati sul riconoscimento di pattern comportamentali noti. Per questa ragione si deve passare a una sicurezza proattiva, affinché possiamo essere sempre ‘one step ahead of malware’. Il sandboxing tradizionale si limita ad analizzare in un ambiente isolato, simile a quello della macchina su cui è installato, le potenziali minacce sconosciute. Se un file, per esempio, si comporta in modo diverso da quanto ci si attenderebbe, probabilmente è un malware e viene messo in quarantena. Purtroppo i sandbox tradizionali non possono simulare tutti gli ambienti per cui un malware può essere concepito e quindi non sono più sufficienti”.
Orli Gan, Head of Threat Prevention di Check Point“Inoltre – aggiunge Orli Gan, Head of Threat Prevention di Check Point – se i malware, come spesso avviene, sono stati progettati per diventare attivi in modo ritardato (delay activation), possono essere ritenuti benigni dalle sandbox tradizionali, le quali non possono aspettare in eterno di veder iniziare un comportamento malevolo. Gli attaccanti, invece, possono aspettare”.
La nuova soluzione proposta dalla società di security si chiama Check Point SandBlast ed è andata recentemente ad arricchire la linea di Next Generation Threat Prevention della società. In che cosa si distingue la soluzione Check Point da quella di altri competitor? Orli Gan pone l’enfasi in particolare su due aspetti: le capacità di detection in fase di exploit e il supporto a una più agile operatività dei processi di business. “Nella maggior parte dei casi i malware riescono a vincere sui controlli del sistema operativo dopo aver superato la Cpu. SandBlast include la funzionalità Threat Emulation, che unisce la potenza di rilevamento a livello di Cpu all’emulazione del sistema operativo. Inoltre, grazie alla funzionalità Threat Extraction, offre immediatamente agli utenti versioni sicure dei contenuti mentre i file sono ancora in fase di analisi. Solo una volta completata l’ispezione, agli utenti sarà permesso l’accesso al documento originale”.
Nuovi modelli e nuove sfide
Oltre che per la continua sofisticazione delle tecniche di attacco, le sfide provenienti dal cybercrime sono rese ancora più difficili da affrontare a causa della profonda modificazione delle architetture It e delle modalità di erogazione e di accesso ai servizi It. Nel primo caso ci si riferisce alla virtualizzazione e al cloud computing, nel secondo alla diffusione della Business Mobility, soprattutto nella sua declinazione Byod (Bring your own device). In entrambi si assiste a una stretta collaborazione fra Check Point e Vmware. Gestire il networking e la sicurezza di una singola macchina virtuale non è molto diverso da come avviene con un server fisico. Le cose si complicano con la crescita di architetture costituite da moltissime Virtual machine interconnesse fra loro e collegate, attraverso un gateway, a Internet. A questo punto diventa necessario avere una tecnologia di Software Defined Networking e Security in grado di gestire sia i traffici di dati fra i sistemi virtuali sia di combinare questi ultimi in Security Group dinamici, dove le regole di sicurezza sono legate all’applicazione che gira (in ottica di Zero Trust network) e non dal punto in cui si trova la Virtual Machine. A questo fine Vmware ha sviluppato Nsx, che può essere integrato con la tecnologia Check Point vSec per monitorare, dal punto di vista della sicurezza, i traffici tra le macchine di uno stesso gruppo di security o con sistemi virtuali di altri gruppi.
Quanto alla Mobility, Check Point si integra con le soluzioni di Mobile Device Management ed Enterprise Mobility Management di terze parti, fra le quali Vmware, ancora fresca dell’acquisizione di Airwatch. “Gli Mdm e gli Emm – afferma Amnon Bar-Lev – non gestiscono la sicurezza. Per questo motivo i loro fornitori collaborano. Oggi i rischi che uno smartphone si trasformi in uno ‘spyphone’ sono altissimi. I malware possono essere combinati con applicazioni legittime e trasformarle in nuove applicazioni che comunicano agli hacker con chi stiamo parlando, di cosa stiamo discutendo, quali sono i nostri contatti e quali gli appuntamenti in agenda. Le nostre soluzioni di mobile security, connesse con i nostri laboratori di analisi, che si avvalgono di numerosi sensori sparsi per il mondo ed effettuano attività di analisi dei Big Data prodotti e reverse engineering sul malware, consentono di controllare le applicazioni che vengono scaricate, verificarne il comportamento e, in caso di dubbio, disconnetterne dalle Vpn (Virtual Private Network) finché l’eventuale malware sconosciuto diventi conosciuto. Il tutto mirando a ridurre al minimo il consumo delle batterie e il disagio degli utenti”. Perché la sicurezza, ancora una volta, non deve essere vista come un disturbo ma come un vantaggio.
