La sicurezza informatica del business digitale richiede un dialogo serrato tra gli elementi che presidiano il perimetro della rete e quelli che proteggono gli endpoint fissi e mobili. Sophos ha sviluppato una famiglia di soluzioni di Security completamente integrata, che spazia dall’Endpoint Protection, alla cifratura del dato e dei dispositivi di archiviazione, all’Enterprise Mobile Management, fino a raggiungere i Sophos Next Generation Firewall
Nel mercato della lotta al malware, se ne vedono di tutti i colori e si sentono parlare lingue diverse. Sophos veste un’inedita uniforme “white & blue” e nel suo quartier generale si parla British English. Fondata 30 anni fa da Jan Hruska e Peter Lammer – non è americana ma britannica. Le sue radici culturali, persino il nome ispirato alla sapienza filosofica greca, sono quelle della tradizione accademica e imprenditoriale di Oxford e Cambridge, due capitali universitarie che nel corso della lunga storia del computer hanno dato vita a numerose realtà interessanti. Per i nostalgici basterebbe citare i nomi di Acorn e Sinclair Research, entrambi pionieri della microinformatica anni 70, ma forse rischieremmo fare torto alle soluzioni di cyber protection targate Sophos, che sono attuali e di assoluta avanguardia. Tanto da far meritare allo specialista di sicurezza un posto in ben sei Magic Quadrant di Gartner, in tre dei quali con posizione di leader: Endpoint Protection Platforms, Mobile Data Protection e Unified Threat Protection.
Solo per gli addetti ai lavori
Con più di duemila dipendenti nel mondo, le dimensioni di Sophos rispecchiano anche il suo target di mercato, come sottolinea Marco D’Elia, il direttore generale della filiale italiana, in Sophos da più di sette anni nel ruolo di country manager, dopo oltre vent’anni di esperienza commerciale e manageriale maturata in Ncr e Sap. Ci rivolgiamo in particolare alle organizzazioni che hanno poche risorse IT dedicate alla sicurezza, che sul mercato italiano significa di fatto buona parte delle aziende». A differenza dei suoi concorrenti che competono anche sul mercato consumer, Sophos è da sempre focalizzata solo sul mercato Business to Business. E oltre al riconoscimento degli analisti del settore, i risultati dicono che la specializzazione premia. Nel 2013, il fatturato di Sophos raggiunge quasi mezzo miliardo di dollari. E il numero di aziende che adottano le sue soluzioni supera le 200mila unità. In termini individuali, questa copertura si traduce in oltre 100 milioni di utenti finali protetti, una cifra di tutto rispetto per un’azienda partita da una forte focalizzazione sull’endpoint e che oggi sta sviluppando un’offerta tutta orientata alla protezione integrata, alla sicurezza end-to-end, anche in virtù di un’oculata strategia di acquisizioni tecnologiche. Esattamente quello che le minacce informatiche attuali richiedono.
«Sul fronte della sicurezza si stanno verificando due fenomeni» – spiega D’Elia. «Da un lato abbiamo un cybercrimine che, anche approfittando di un vuoto normativo, agisce ormai con una mentalità decisamente industriale. Alle spalle degli attacchi malware, esiste un autentico mercato di tool e consulenza. A questo si aggiunge il secondo aspetto della complessità e della persistenza nel tempo di questi attacchi. Si parla di APT (Advanced Persistent Threats) che sfruttano tecniche e canali diversi per inoculare nelle reti aziendali malware che resta a lungo dormiente e che viene attivato nel momento opportuno per carpire informazioni importanti o viceversa per bloccarle e chiedere ai legittimi proprietari dei veri e propri riscatti». La natura del software maligno, prosegue D’Elia, è tale da rendere sempre più difficile individuare e prevenire gli attacchi. «Il malware può selezionare le informazioni da prelevare, utilizzare una molteplicità di porte di ingresso e di uscita, far leva sulla scarsa capacità di tenere sotto simultaneo controllo la sicurezza a livello di rete, gateway ed endpoint, mettendo in relazione eventi apparentemente slegati tra loro: una debolezza grave davanti a un codice maligno che semina i suoi agenti negli endpoint e fa partire da questi agenti un traffico che proprio per una mancata coordinazione riesce a passare attraverso le fitte maglie dei firewall».
Dall’endpoint all’end-to-end
«In questo scenario, anche diverse ricerche di mercato consigliano espressamente di concentrare le tecnologie di sicurezza, frenando l’impiego di soluzioni troppo verticali. E questa – conclude D’Elia – è esattamente la strategia di prodotto attualmente alla base dello sviluppo tecnologico di Sophos», che in questi anni, in particolare dopo l’acquisizione di società come Astaro e Cyberoam, ha puntato con decisione verso l’implementazione di piattaforme di protezione Next Generation Firewall integrate, con una forte connotazione verso la mobilità e le reti. Un modo – rileva ancora D’Elia – per liberarsi dell’immagine di fornitore di soluzioni per la protezione dell’endpoint e per ribadire, anche culturalmente, la necessità di contrastare i tradizionali approcci verticalizzati, spesso basati su una molteplicità di soluzioni e fornitori tecnologici. Si tratta di una sicurezza più “olistica”, di un sistema di barriere dinamico e basato su un costante dialogo tra i nodi interessati: gli endpoint e i Next Generation Firewall.
Secondo D’Elia, la sicurezza end-to-end non rappresenta soltanto la risposta più efficace alle attuali strategie di attacco, ma viene esattamente incontro alle esigenze espresse dalla maggior parte delle aziende italiane. «Le imprese sono giustamente interessate agli aspetti del business e non solo della sicurezza. Molto spesso hanno poche o alle volte nessuna risorsa dedicata alla sicurezza informatica e tipicamente agiscono in due modi: si affidano alle policy adottate dai firewall del loro fornitore di connettività e acquistano una soluzione o un servizio antimalware per proteggere i dispositivi endpoint». In ogni caso, l’acquisto di molteplici soluzioni comporterebbe uno sforzo gestionale che travalica le capacità e le conoscenze, in particolare delle realtà più piccole. «Per migliaia di queste organizzazioni, non disporre di un prodotto di sicurezza ben integrato costituisce una seria minaccia al business».
Il firewall parla con l’endpoint
Il percorso evolutivo che ha portato Sophos a diventare promotore di un approccio molto più integrato alla sicurezza, spiega D’Elia, deriva dalla vicinanza al mercato enterprise e alla profonda comprensione delle sue esigenze.
Sophos è presente sul mercato della sicurezza informatica da oltre trent’anni. Partita dalla protezione antivirus – oggi vanta una posizione quasi esclusiva grazie alla reputazione conquistata in tre aree fondamentali: infatti, oltre ad aver mantenuto una solida base nel campo dell’endpoint protection, la società britannica ha saputo affermarsi in quello dei firewall di nuova generazione e mobile data protection. La filosofia che ispira la vision di Sophos in materia di sicurezza integrata è quella della piattaforma, cioè della sicurezza gestita come sistema. Una strategia che poggia su un insieme di tecnologie che consentono di stabilire un nesso tra gli eventi che hanno luogo in punti diversi di un’infrastruttura e di analizzare con efficacia il traffico generato da un software maligno che non agisce più in modo isolato, ma al contrario fa affidamento alla rete per guidare e coordinare i suoi attacchi. «Parliamo di malicious traffic detection, o Mtd: questa componente software è in grado di monitorare il traffico Http allo scopo di identificare eventuali connessioni verso siti Url malevoli, come i server remoti di comando e controllo. Se questo traffico viene identificato, ciò rappresenta un primo indicatore che evidenzia la presenza di malware nella rete aziendale – spiega D’Elia. L’analisi svolta dalla tecnologia Mtd permette di individuare molto rapidamente i singoli endpoint che rappresentano il target di attacchi, consentendo così di attivare subito le opportune strategie di remediation. Una minaccia sofisticata come le varianti di CryptoLocker – il malware capace di mettere sotto sequestro crittografico i file per costringere il proprietario a pagare un riscatto in cambio di una chiave di sblocco – è difficile da affrontare con una normale soluzione di sicurezza. Il codice maligno varia in continuazione, e non esistono “anticorpi”. Come agisce invece la protezione Sophos? Risponde D’Elia: «Il nostro motore di correlazione di eventi, Sophos System Protector, di cui Mtd è uno dei moduli, sa associare una quantità di eventi sospetti per individuare il traffico maligno, i suoi punti di origine, i suoi target, evitando di generare falsi allarmi». L’integrazione di cui parla D’Elia è il primo, importante risultato di una strategia avviata da qualche anno attraverso lo sviluppo di un progetto strategico denominato Galileo, che affronta in modo sistemico il problema della protezione delle infrastrutture IT e dei suoi nodi attraverso la correlazione degli eventi tra endpoint e network.
Rivoluzione “copernicana”
Dopo Galileo, è arrivata un’ulteriore evoluzione con un nuovo progetto denominato Copernicus, che intende compiere il passo successivo in direzione della semplificazione della user experience e della gestione della sicurezza. Particolarmente rivolto alla sicurezza della rete distribuita, Copernicus nasce da un’altra e più recente acquisizione, quella della società Cyberoam nel 2014. Oggi, Sophos ha aggiornato l’ambiente operativo delle sue appliance di sicurezza, in modo da rendere possibile la completa integrazione tra le funzionalità già implementate con il progetto Galileo e le nuove caratteristiche ereditate con le soluzioni Cyberoam. La nuova generazione di firewall Sophos integra le funzionalità della famiglia SG Sophos con le funzionalità dei prodotti Cyberoam, creando una nuova piattaforma di apparati Next Generation Firewall, scalabile, integrata con le soluzioni di Endpoint Protection Sophos grazie al progetto Galileo e soprattutto semplice da gestire attraverso una nuova console di management.
Mercato italiano, offerta su misura
Walter Narisoni, sales engineering manager di Sophos Italia, osserva come nel mercato globale della sicurezza informatica – un business da 35 miliardi di dollari che continua a crescere del 7% all’anno – la richiesta che arriva dalle aziende con meno di mille dipendenti è fortissima. «Le necessità sono molto urgenti perché il 40% degli attacchi è rivolto ad aziende sotto i mille dipendenti. I SophosLabs rilevano quotidianamente oltre 350mila file infetti e molte delle aziende italiane sono poco attrezzate, non hanno personale dedicato né le capacità per far fronte a malware che spesso è estremamente mirato: le nostre analisi dimostrano che una singola variante, la gran parte delle volte, colpisce un gruppo molto ristretto di aziende, anche meno di dieci». Con Galileo, Sophos ha cercato espressamente di venire incontro alle realtà che non dispongono di grandi risorse nell’ambito della sicurezza, non solo con l’integrazione tra firewall ed endpoint, ma anche con una grande semplificazione legata a una serie di automatismi che governano le attività di sorveglianza antimalware e le conseguenti reazioni rivolte alla messa in sicurezza dei dispositivi e dei dati che fanno da bersaglio agli attacchi. E invece, che cosa succede senza le soluzioni di Sophos? «Un’azienda in genere dispone di un firewall e di un buon sistema antivirus, spesso di marche diverse» – risponde Narisoni. «In caso di incidente derivante da un’infezione di alcuni endpoint non identificata dalla soluzione antivirus, una persona esperta deve ricostruire i flussi di rete in uscita e in ingresso dal firewall analizzando i log per identificare gli endpoint compromessi. Le macchine che hanno subito l’attacco devono essere ripulite e ripristinate manualmente. Sono tante ore di lavoro, sempre ammettendo che ci sia qualcuno in grado di svolgerlo». Nel modello di Sophos Galileo, tutto diventa molto più facile e automatico.
«Il sistema di gestione delle minacce che presidia il firewall riceve puntualmente, grazie a un modulo chiamato Galileo Heartbeat, tutte le informazioni legate agli endpoint collegati alla rete e in caso di rilevamento di traffico di rete anomalo (derivante da un malware non identificato dalla soluzione sull’endpoint) può istruire la console antivirus a intervenire sulle singole macchine, pulendole e se necessario isolandole. Inoltre, una volta identificata la minaccia, la soluzione può verificare se questa è presente silente anche su altri computer all’interno della rete e anche in questo caso è capace di pulire le macchine compromesse».
L’attuale offerta Sophos, precisa ancora Narisoni, si compone di sei linee di prodotto equamente ripartite sui lati del gateway e degli endpoint. L’offerta gateway comprende la web protection, soluzione per il controllo della navigazione, l’email protection, soluzione per il controllo della posta (antispam e antivirus) con disponibilità di un modulo per la cifratura delle email, e infine una piattaforma Utm con una estesa serie di funzionalità. Lato endpoint, troviamo invece una classica soluzione di endpoint protection, con controllo antivirus, client firewall, data loss protection, controllo della navigazione, controllo dei dispositivi removibili, controllo delle applicazioni e controllo delle patch di S.O. e di software largamente diffusi (come Acrobat, Skype…); a questa soluzione antimalware si aggiunge una suite per la data protection che garantisce, attraverso la cifratura, la sicurezza di file residenti su supporti fisici, removibili, cartelle di rete e cloud storage (come Dropbox). Infine, è disponibile una soluzione di mobile protection, che consente di gestire configurazioni, applicazioni, documenti (all’interno di uno storage cifrato gestito dalla soluzione e residente sul dispositivo) e furto su smartphone e tablet. Tale soluzione è anche in grado di gestire l’antivirus per l’ambiente Android (prodotto disponibile gratuitamente sul Google Play se non gestito). «Una novità recente riguarda l’ampliamento dell’offerta in cloud che aggiunge alla soluzione endpoint protection, mobile protection e di protezione dei server (con disponibilità anche di un prodotto di server lockdown) gestita via cloud anche una soluzione di web protection per filtrare la navigazione e il traffico di rete disponibile per ambienti Microsoft, Apple, Android e iOS» – conclude Narisoni, ribadendo un altro punto di differenziazione rispetto ai competitor di Sophos. «Il supporto tecnico viene erogato direttamente dalla nostra filiale italiana, con il personale formato per rispondere alle richieste degli utenti finali e dei partner, che hanno un ruolo importante nell’assistere, affiancare e gestire gli acquisti per conto dei loro clienti».
Partner, maggiori opportunità
Il riferimento al canale offre l’opportunità di introdurre un altro importante fattore di differenziazione per Sophos che nella strategia indiretta ha individuato una modalità di gestione innovativa, basata su un forte coinvolgimento dei distributori specializzati. In Sophos Italia, la responsabilità del canale è affidata a Fabio Buccigrossi. «Il valore dei partner per un’azienda come Sophos è sempre più importante in funzione dei livelli di competenza che questi possono erogare e delle conseguenti marginalità, su prodotti tecnologicamente evoluti». In questo caso – però – il partner assume anche un altro ruolo: quello di aiutare Sophos a veicolare il messaggio della fondamentale importanza di un approccio integrato alla sicurezza. Nel modello multistrato che Sophos ha scelto per attaccare il mercato, i tre distributori “strategici” identificati dall’azienda – Esprinet, Arrow Ecs e ALLNET.ITALIA – svolgono una fondamentale azione di rectruiting e onboarding dei partner. Questo ovviamente non esclude l’impegno da parte della struttura interna, ma contribuisce a rendere il team della filiale italiana più flessibile e libero di focalizzarsi su un numero più limitato di “key partner”. L’inedita figura del distributore anch’esso “a valore aggiunto” è stata introdotta nel 2012. «Da allora – racconta Buccigrossi – l’anagrafe dei nuovi partner ha continuato ad aumentare. Siamo partiti da un complesso di circa ottanta unità e – oggi – siamo arrivati a circa seicento, un terzo dei quali sono consider key». Ma c’è un’altra particolarità legata ai livelli di certificazione. «Il partner Sophos viene classificato tradizionalmente in base a livelli graduali Silver, Gold e Platinum. E un’altra ripartizione distingue tra Reseller e Solution.
Buccigrossi si dice convinto che con l’arrivo del progetto Galileo e più ancora con l’evoluzione della piattaforma Copernicus, Reseller e Var italiani vorranno fare propria l’offerta Sophos. Anche per questi operatori vale una distinzione tra sicurezza dell’endpoint e unified threat management. Con Galileo, le barriere tra i due mondi vengono abbattute e se per l’utente finale l’integrazione si traduce in una sicurezza più estesa e semplificata, per i partner la possibilità di intervenire sui server e sulla periferia di una rete con soluzioni semplici da gestire può rappresentare un rapporto più profondo e duraturo con i clienti e quindi tradursi in un aumento di marginalità e fatturati. Nei suoi trent’anni di vita, Sophos ha preferito adottare un profilo comunicativo tipico della filosofia britannica dell’understatement, focalizzandosi sulla qualità dei prodotti e su un rapporto di grande prossimità con una fascia di mercato in cui si rispecchiano perfettamente la maggior parte delle aziende italiane.
Oggi, lo scenario è ulteriormente cambiato. Soprattutto è cambiata la percezione di un problema, quello della sicurezza del business digitale, che nessuno può più permettersi di affrontare solo mettendo insieme qualche buona soluzione specifica. Per certi “mal di testa” non basta un semplice cachet. Occorrono approcci più sistemici, ma questi approcci sono complessi, attualmente fuori dalla portata di una miriade di imprese già affacciate sul digitale, ma poco attrezzate. Tra i fornitori tecnologici vincerà chi saprà abbassare le barriere verso una sicurezza decisamente più smart e connessa. Sophos è decisamente sulla strada giusta, tiene un ottimo passo e ambisce al podio.
Foto di Gabriele Sandrini