Negli ultimi anni, la digital transformation e i nuovi modelli di lavoro da remoto hanno spinto le aziende a utilizzare sistemi sempre meno centralizzati. Ampliando il perimetro da monitorare, che si è esteso ormai oltre i confini aziendali. Da qui la domanda crescente dei reparti IT di riuscire ad avere visibilità end-to-end su applicazioni, reti ed endpoint dell’organizzazione. Si è parlato di questo nel corso del webinar trasmesso il 13 giugno 2023 e organizzato da ZeroUno in collaborazione con NovaNext e Cisco. A discuterne sono stati invitati Manuela Santini, Associate Partner e Information & Cybersecurity Advisor di P4I, Pierpaolo Panarotto, Sales Specialist for Italy and Israel di ThousandEyes, e Massimo Morsaniga, Technical Account Manager di NovaNext.
Il legame fondamentale tra monitoraggio e cybersecurity
Manuela Santini ha introdotto il tema partendo dal legame del monitoraggio con il versante della cybersecurity. A tal fine ha citato alcuni dati dell’ultimo rapporto diffuso da Clusit, l’Associazione italiana per la sicurezza informatica, da cui si ricava un aumento sia quantitativo sia “qualitativo”, cioè in termini di gravità, degli attacchi: “L’80% degli attacchi nel 2022 ha avuto un impatto importante o gravissimo” ha detto, aggiungendo che, a questa crescita, “non corrisponde un adeguato incremento delle contromisure”. L’evidenza è confermata dal fatto che spesso il tempo necessario ad accorgersi di una violazione è molto lungo rispetto al momento in cui l’attacco è stato avviato.
Una circostanza che, di per sé, fa emergere la stretta correlazione tra monitoraggio e cybersicurezza. “Purtroppo le aziende sono ancora abituate a ragionare per comparti stagni, magari in base alle normative o a singoli obiettivi, come quelli della continuità operativa, ma non ragionano ancora a 360 gradi”. Soprattutto oggi, nell’era dello smart working e delle relazioni decentralizzate, il perimetro delle minacce investe l’intera supply chain e questo rende necessario il monitoraggio, con la conseguente necessità di una visibilità pervasiva di tutti gli attori che si interfacciano con l’organizzazione, dai clienti ai fornitori, passando ovviamente per i collaboratori.
Un punto di partenza può essere costituito dal NIST Cybersecurity Framework, un modello implementato dal National Institute of Standards and Technology degli Stati Unit che fornisce una sorta di roadmap con cui definire regole efficaci di monitoraggio riferite al traffico di rete, alle prestazioni, ai log e così via. Tutti elementi che occorre tenere sotto controllo mediante appositi KPI (Key Performance Indicator).
ThousandEyes e la visibilità nei nuovi scenari dell’IT
Tra le soluzioni che possono garantire piena osservabilità negli attuali scenari tecnologici, spicca ThousandEyes, azienda acquisita da Cisco nel 2020. Pierpaolo Panarotto, in rappresentanza della società che propone una piattaforma di “network intelligence”, è intervenuto nel corso del webinar per spiegare anzitutto come è cambiato il contesto su cui bisogna condurre le attività di monitoraggio.
“Dieci anni fa eravamo di fronte a un contesto completamente diverso. L’ambiente produttivo e di business dell’azienda era all’interno di confini fisici che rendevano molto più semplice la gestione della visibilità” ha ricordato, segnando una netta linea di demarcazione con la situazione odierna. Una situazione che ha visto ad esempio l’ingresso del Software-defined networking (SDN) con la possibilità di avere una rete intelligente che interconnette le sedi aziendali e che si è evoluta poi con soluzioni di SDN Access. Il che da una parte è stato all’origine di un miglioramento del networking, ma dall’altra non ha garantito la copertura completa di tutti gli angoli “ciechi” (non a caso il pay off di ThousandEyes recita: “Non lasciare che Internet sia il tuo punto cieco”).
“Il paradigma del controllo è cambiato. Tutto quello che prima era sotto il controllo diretto dell’azienda – applicazioni, operatori, infrastruttura – oggi non lo è più” ha affermato Panarotto.
Un altro driver che ha contribuito a esternalizzare il controllo è stato l’avvento del cloud, che con lo spostamento dei data center al di fuori dell’azienda ha fatto emergere il mondo dalle applicazioni cloud-native, dei modelli SaaS (Software-as-a-Service), delle API (Application Programming Interface). Con un ulteriore fattore di complessità derivante dalla stratificazione di componenti dedicate espressamente a dare visibilità a una porzione di questo ecosistema così ampio e articolato, ma non al suo insieme. Al contrario, accorgersi prima di un degrado delle performance o di un outage, consente di accelerare il tempo di ripristino. Per questo “ThousandEyes vuole essere una soluzione che aiuta a ridurre, o perfino ad annullare, il tempo che i team passano nella war room” ha sottolineato Panarotto, alludendo a quel tipo di ritrovo in cui le risorse dell’IT cercano di risolvere un problema critico.
In che modo NovaNext aiuta le aziende ad avere visibilità
NovaNext, system integrator e training center, Gold Partner Cisco da circa 30 anni, ha avuto modo di testare ThousandEyes con i propri clienti. Massimo Morsaniga, Technical Account Manager dell’azienda, ha condiviso questa esperienza in occasione del webinar: “Immaginiamo un utente che lavora da casa e che sta utilizzando applicazioni in cloud, applicazioni aziendali o un link VPN. Se c’è qualcosa che non va, il problema potrebbe dipendere dal pc, dalla rete wireless, dal servizio VPN o dall’applicazione SaaS” ha esemplificato Morsaniga, ribadendo l’importanza di “ridurre al minimo i tempi di individuazione della causa del problema, con la possibilità di dimostrarlo”.
Tra queste cause, quelle più diffuse potrebbero riguardare l’IP Forwarding, il Border Gateway Protocol (BGP), il Domain Name System (DNS), l’Internet Outages, il Multiprotocol Label Switching (MLPS), gli eventuali attacchi Distributed Denial of Service (DooS), il VoIP e i sistemi di Unified Communication (UC) o la rete WLAN. “ThousandEyes garantisce un monitoraggio attivo, cioè la raccolta dei dati e la loro correlazione, senza impattare sulla sicurezza e soprattutto sulla privacy – ha spiegato Morsaniga – grazie al ricorso a degli agent che sono disponibili in cloud ovunque o che possono essere installati direttamente sulle Virtual Machine del data center on-premise dell’azienda o ancora sui desktop e sui laptop degli end-user”. Pur non essendo una soluzione attiva di sicurezza, inoltre, ThousandEyes riesce a dare un supporto molto importate al team che la gestisce, interagendo con una serie di tool dedicati espressamente alla security.
Due casi d’uso concreti nel travel e nel banking
Morsaniga ha illustrato anche due casi d’uso che hanno visto NovaNext affiancare due aziende nell’ottenere visibilità end-to-end sui propri sistemi. Il primo ha coinvolto un’importante azienda nel settore dell’online travel and leisure che vende in tutto il mondo mediante agenti che lavorano ovunque tramite VPN e utilizzano sia applicazioni corporate sia altri tipi di applicazioni in cloud. “L’azienda aveva problemi di performance e, ogni volta, non riusciva a capire quale ne fosse la causa. Abbiamo installato sia dei client agent sia degli enterprise agent direttamente sul data center dell’azienda”. La piattaforma di ThousandEyes ha così identificato dove le prestazioni subivano un degrado.
Un altro use case condiviso da Morsaniga è stato quello di una banca italiana che aveva l’esigenza di monitorare la connettività e le prestazioni tra i vari data center, le applicazioni che vi risiedevano e le varie regioni di Google Cloud Platform. “Grazie all’installazione degli agent abbiamo potuto misurare availability e tempi di risposta, garantendo così una qualità del servizio che, in caso di malfunzionamento, impatta negativamente sulla reputazione della banca”.
L’adozione di strumenti come ThousandEyes passa comunque dalla presentazione di Proof of Concept (PoC) che, nel caso di NovaNext, viene proposta nei suoi laboratori. Rimane comunque essenziale la diffusione di una cultura incentrata sul monitoraggio e la visibilità a cui iniziative come il webinar promosso da NovaNext e Cisco cercano di offrire la giusta attenzione.
