Attenta strategia di acquisizioni ad ampio raggio e intelligenza nell’orchestrare una piattaforma di protezione coordinata, dal firewall al singolo file sull’endpoint fisso o mobile. Con la sua esclusiva tecnologia di sicurezza sincronizzata, lo specialista britannico vuole sconfiggere la minaccia informatica oggi più temuta, il ransomware
La protezione dei dati e delle risorse informatiche è un obiettivo fondamentale per imprese che proprio sull’integrità delle informazioni e sulla disponibilità dei servizi erogati attraverso Internet giocano una quota significativa della propria marginalità e della capacità di stare sul mercato. Tuttavia, la natura estremamente dinamica e pervasiva della tecnologia, unita all’aggressività e alla varietà delle minacce, fa di questa vitale attività di protezione un lavoro estremamente serio, anche in presenza di strumenti e barriere efficaci. Un lavoro che richiede una vision e un armamentario di competenze evolute, sul piano della progettualità e della continua gestione dei rischi. Per un pezzo importante della nostra economia, per le realtà aziendali di non grandi dimensioni, questa duplice necessità – proteggersi e accumulare conoscenza – rappresenta un paradosso di non facile soluzione: nel mondo delle minacce evolute, investire in soluzioni di sicurezza informatica in grado di rispondere a minacce sempre più evolute è un elemento imprescindibile della strategia di protezione ma solo implementando una combinazione intelligente di tecnologie, processi e comportamenti si potrà raggiungere un livello di sicurezza esaustivo, avvolgente, totale.
UN INVESTIMENTO EFFICACE
Lo specialista britannico Sophos si è prefisso questa mission, posizionandosi nel segmento mid-market con una proposta che punta a integrare tutti gli elementi della sicurezza dei singoli endpoint e del perimetro della rete grazie a una tecnologia di protezione ricca di intelligenza “embedded”. Unita alle capacità consulenziali del suo innovativo ecosistema di partner, permette davvero di ottimizzare gli investimenti in sicurezza, anche alle realtà aziendali meno agguerrite sul piano delle competenze interne. Non sono trascorsi neppure due anni dalla storia di copertina di Data Manager che aveva presentato ai lettori italiani un provider di sicurezza per molti versi così atipico. Ma in questo breve lasso di tempo, spiega il country manager di Sophos Italia, Marco D’Elia, l’azienda ha portato a termine un visionario ciclo quinquennale di rinnovamento della propria piattaforma tecnologica, acquisendo – sottolinea D’Elia – un decisivo vantaggio nel campo della sicurezza di nuova generazione: quello in cui le misure che proteggono i singoli dispositivi – l’antivirus, la crittografia – agiscono in pieno concerto con “i cani da guardia” posti a tutela dei gateway di interconnessione – i firewall. «In pratica – afferma D’Elia – stiamo aprendo un mercato completamente nuovo, quello della Synchronized Security, sferrando un contrattacco decisivo contro il deleterio fenomeno del ransomware. Proprio là dove gli strumenti convenzionali, basati sul riconoscimento delle impronte “genetiche” del malware, si rivelano inefficaci». Con una soluzione come Sophos Intercept X, frutto delle tecnologie integrate con l’acquisizione della società olandese SurfRight, l’efficacia della protezione contro agenti come ransomware aumenta in misura significativa, grazie all’effetto preventivo dato dalla capacità di analisi in tempo reale delle anomalie “comportamentali” del malware non ancora identificato. I laboratori Sophos hanno portato avanti contestualmente il concetto di protezione sincronizzata, rafforzando le capacità di dialogo tra centro e periferia della rete aziendale, già introdotte con il sistema operativo XG per i firewall di nuova generazione e potenziando molto l’aspetto della protezione delle applicazioni e dei dati che risiedono sui dispositivi mobili.
Secondo D’Elia, un vendor nato da una vocazione mid-market come Sophos – che con poco meno di tremila dipendenti può essere considerato allo stesso modo di medie dimensioni – oggi, è in grado di proporre la sua tecnologia a un mercato decisamente più ampio, includendo tutte le realtà che vogliono massimizzare il ritorno dei loro investimenti in sicurezza. «Anche le organizzazioni più grandi possono avere il problema delle competenze e dei costi necessari per gestire una sicurezza costruita su vendor diversi». Non a caso – mette in evidenza Marco D’Elia – fin dai suoi esordi, Intercept X è stato accolto con enorme interesse, sostenuto dalla strategia comunicativa di Sophos, che sa costruire intorno a questo e altri prodotti una efficace galassia di eventi, webinar e corsi che coinvolgono partner e clienti. Se si considerano l’intuito e le capacità dimostrate in oltre trent’anni di evoluzione tecnologica e di business, anche un obiettivo di ampio respiro come la sconfitta di ransomware appare francamente realistico.
BARRIERE DI NUOVA GENERAZIONE
Questo esclusivo approccio coordinato è secondo D’Elia il vero marchio di fabbrica di un vendor che «è stato pioniere di una modalità di gestione sincronizzata dei diversi elementi che devono costituire una soluzione di sicurezza informatica complessa». Ma quanto pesa questa complessità sul piano dell’implementazione e del governo di queste soluzioni, specie in situazioni aziendali in cui la sicurezza non può essere affidata a un team interno di specialisti? Qui, risponde D’Elia, entra in gioco il vero “cervello” delle dinamiche barriere erette dal software Sophos, “Sophos Central”, una piattaforma gestionale unificata e intuitiva che viene mantenuta costantemente aggiornata grazie alla sua architettura cloud. La console, precisa D’Elia, nasce e si evolve come soluzione ospitata nel cloud Sophos e viene erogata come servizio, offrendo a ciascun cliente la possibilità di personalizzare i livelli di sicurezza per ciascun dispositivo da proteggere e automatizzando il più possibile tutte le decisioni. «Una delle prime novità di questo 2017 sarà però la versione “on premises” di Sophos Central, resa disponibile come virtual appliance per poter offrire una visuale completa di quello che succede in termini di attacchi e vulnerabilità. Se il firewall decide di fermare un pacchetto dati sospetto, spiega il country manager, l’azione combinata del sistema operativo XG, che funziona a livello dei gateway e dei sistemi di protezione degli endpoint, permette di isolare immediatamente, in modo molto mirato e senza blocchi generalizzati, i dispositivi che sono oggetto di attacco.
«In più – prosegue D’Elia – la protezione dell’endpoint non è più di tipo “classico”, basato su meccanismi genetici che prevedono il riconoscimento delle impronte virali, ma di nuova generazione». Oggi, il malware sfrutta ogni nostro passo falso comportamentale, e Sophos Intercept X agisce sui livelli profondi del comportamento delle macchine e dei loro sistemi operativi, anticipando le possibili conseguenze negative di un’azione sconsiderata da parte di un utente, indotto – per esempio – ad aprire un file allegato in email o un link sospetto. Secondo D’Elia, questa è l’unica possibilità di intervenire sui margini di rischio legati alle azioni del social engineering. Margini ridotti ma potenzialmente devastanti, che anche la miglior soluzione antivirus convenzionale lascia aperti. Per un quadro più generale sullo stato evolutivo delle minacce informatiche e sull’importanza di contromisure innovative, D’Elia passa la parola al suo collega John Shier, senior security expert, basato nel quartier generale di Sophos che si trova all’interno del Parco Scientifico di Abingdon-on-Thames, nella contea inglese di Oxford. «Nel 2016, lo scenario del cosiddetto ransomware si è molto diversificato» – riconosce Shier. «Sono stati individuati nuovi veicoli di diffusione, diversi linguaggi di codifica e diversi tipi di bersaglio. Abbiamo inoltre riscontrato un aumento di quelle che possiamo definire campagne mirate, focalizzate su specifici segmenti». Shier osserva anche che il tradizionale modello di reciproca “fiducia” tra ricattatori e ricattati sta venendo meno a causa del moltiplicarsi di casi in cui le chiavi crittografiche necessarie per rientrare in possesso dei dati sequestrati non vengono fornite, neppure a fronte del pagamento del riscatto. Un fenomeno che Shier ritiene essere legato alla crescente disponibilità di kit software per il ricatto fai-da-te, che hanno portato una buona dose di improvvisazione in un settore della criminalità informatica fin troppo affollato.
«D’altro canto – aggiunge Shier – abbiamo osservato che le minacce più avanzate continuano a fare affidamento su tecniche di compromissione ampiamente sperimentate. Il dipartimento americano della sicurezza interna ha recentemente diffuso uno studio delle attività malware in Russia, da cui emerge un diffuso impiego di phishing mirato, web server compromessi e codice maligno convenzionale». In futuro, conclude Shier, la criminalità informatica continuerà a servirsi di qualsiasi tipo di strumento per sfruttare le nostre vulnerabilità, dai semplici sms che inoculano malware nello smartphone, al phishing destinato a carpire le credenziali di accesso del manager di una società. «Non dimentichiamo che occorre difendersi anche dai trucchi più vecchi e banali. La sicurezza o l’insicurezza dei dispositivi connessi continuerà a essere messa a dura prova anche quest’anno». L’esempio della botnet Mirai, che colpisce i server Linux trasformandoli in zombie al servizio degli hacker, secondo Shier, è solo una piccola anticipazione di ciò che ci attende. «In questo senso, è importante che un’azienda riesca a determinare con precisione le coordinate delle compromissioni, che ruolo hanno i sistemi attaccati e come possono essere protetti. Se si tratta semplicemente di cambiare delle chiavi di accesso o se i sistemi devono invece essere segregati e messi offline». Un approccio che varia in funzione del tipo di dispositivo e dimostra l’importanza di un sistema di sicurezza in grado di dare piena visibilità sugli attacchi e le loro conseguenze.
ERRARE È UMANO
Per una descrizione ancora più dettagliata della strategia che differenzia un prodotto come Intercept X dalla concorrenza, Data Manager ha contattato Mark Loman che in Sophos ricopre attualmente la carica di direttore dell’ingegnerizzazione di prodotto, dopo esserci arrivato in qualità di ex CEO di SurfRight a seguito dell’acquisizione avvenuta alla fine del 2015. Le impronte del malware e gli script di attacco possono essere in qualche misura riconosciuti e anticipati. Ma come si affrontano le vulnerabilità legate al fattore umano, inclusa la distrazione e la buona fede? Per Loman, sia i comuni criminali informatici sia gli attacchi promossi dagli Stati-nazione si servono di malware e copioni di attacco per infettare i sistemi informativi delle loro vittime. «Insieme agli “exploit kit”, che sfruttano le vulnerabilità informatiche e sono in vendita sul web, entrambi i gruppi – prosegue l’esperto – si servono dell’ingegneria sociale per convincere il loro bersaglio ad accedere al contenuto maligno, per esempio allegando file infetti e link pericolosi ai messaggi di posta elettronica. Oggi, molti di questi messaggi, siano essi mirati a una persona specifica o generici, vengono costruiti ad arte per sembrare del tutto equivalenti a un messaggio legittimo e non è facile riconoscerli. Diventa sempre più complicato capire se una email è attendibile e in molti cadono vittima di questi tranelli». Motivo per cui – conclude Loman – le persone oggi sono considerate «l’anello più debole della catena della sicurezza».
Per contrastare le minacce, Sophos Intercept X implementa una funzione chiamata Application Lockdown, uno degli elementi di un esteso arsenale di misure preventive anti-exploit. «Application Lockdown implementa una protezione che non si basa sulle firme virali e agisce anche quando gli utenti hanno aperto per sbaglio un file infetto, o un link non autorizzato. Grazie ad Application Lockdown le applicazioni non possono essere ingannate da chi cerca di sfruttarle per installare codici maligni». Anche quando non abbiamo a che fare con un codice mirato verso una specifica vulnerabilità, ma con funzioni del tutto legittime come una semplice macro o un linguaggio di automazione come PowerShell di Windows, essi non possono essere manipolati per inoculare o eseguire del codice non autorizzato, aggiunge Loman. «Programmi di produttività personale come Microsoft Office non potranno mai essere utilizzati per installare sul pc nuovi programmi, ma solo per creare, visualizzare, modificare e stampare i documenti. Sophos Intercept X gestisce il fattore umano, bloccando ed esponendo le minacce sconosciute nel momento in cui le azioni svolte da queste ultime avvengono sull’endpoint, senza tuttavia interrompere o influire il normale funzionamento di un applicativo».
STRATEGIA DI LUNGO PERIODO
La sicurezza sincronizzata condivide tutte le informazioni relative a una specifica minaccia in tempo reale, tra tutti i singoli prodotti di sicurezza attivi sugli endpoint e sui firewall. Quando Intercept X individua un trojan nascosto nel browser installato su un certo dispositivo – spiega Loman – tutte le altre soluzioni Sophos sull’endpoint e in rete (per esempio, il prodotto di cifratura SafeGuard o il firewall) vengono avvertite e sanno che quella macchina è infetta e non può più essere considerata sicura. «In risposta a questo allarme – prosegue ancora Loman – SafeGuard distrugge le chiavi di cifratura e decifratura dell’utente, impedendo che eventuali processi in esecuzione possano accedere ai documenti aziendali e bloccando di fatto la possibilità di far filtrare le informazioni verso l’esterno. Inoltre, il firewall mette l’endpoint in quarantena, impedendogli di collegarsi a Internet: in questo modo viene bloccato anche l’attaccante che controlla a distanza il trojan che ha infettato la macchina. La Synchronized Security mette a fattore comune i punti di forza dei singoli prodotti, identificando automaticamente i dispositivi compromessi, reagendo in modo altrettanto automatico agli eventi che hanno luogo a diversi livelli. Endpoint e rete lavorano insieme per sventare le minacce più recenti e impedire ogni violazione».
È Walter Narisoni, sales engineer manager, a soffermarsi su una visione di insieme di una offerta che riesce a coprire in misura estesa tutte le esigenze di sicurezza di una infrastruttura informatica, integrando con rara efficacia contributi tecnologici che Sophos ha sviluppato al proprio interno o ha fatto propri nel corso degli anni attraverso una attenta politica di acquisizioni. Quella di Surfright, la più recente e importante in ordine cronologico, ha portato nel settembre del 2016 all’annuncio di Intercept X, un prodotto che serve a colmare diverse lacune che Sophos aveva identificato sia nel mercato delle soluzioni contro gli attacchi zero-day e contro il malware/ransomware più avanzato, sia nella scarsa visibilità che in genere i prodotti di sicurezza offrono in una fase assolutamente critica come quella dell’analisi post-attacco, determinante per una sicurezza sempre più forte ed efficace. «Intercept X risponde a queste lacune in tre modi» – afferma Narisoni. «Una prima contromisura è il blocco di ogni attività sospetta di cifratura con CryptoGuard, la vera funzione anti-ransomware. Oltre a questo blocco, CryptoGuard salva i file minacciati in una speciale cache, più sicura delle “shadow copy” create dal sistema operativo, che molti ransomware sono ormai in grado di riconoscere e cifrare. Questa azione permette il recupero dei file compromessi. Poi c’è una funzione anti-exploit che previene e mitiga le tecniche di attacco utilizzate per infettare e compromettere i computer. Attualmente, le tecniche conosciute sono circa una ventina e Sophos è in grado di identificarle e bloccarle tutte. Infine, abbiamo la cosiddetta root-cause analysis, che è in grado di evidenziare non solo come il malware sia entrato nel sistema ma anche quali azioni ha compiuto fino al momento del blocco del processo. Nella nostra console centralizzata, le informazioni su tutte le fasi dell’attacco vengono visualizzate sotto forma di grafi, offrendo uno strumento di facile comprensione in grado di aiutare l’amministratore IT a prevenire la prossima minaccia».
TRE MODI DI VEDERE LA SICUREZZA
Tra le altre novità introdotte nelle ultime versioni dei prodotti, aggiunge Narisoni, figura l’estensione delle funzionalità di sandboxing (messa in quarantena) e simulazione del comportamento del malware non ancora identificato. Già presente in altre soluzioni, come quella per la protezione della posta elettronica e della navigazione, Sophos Sandstorm è stato integrato anche in XG, il sistema operativo dei firewall. Inoltre Sophos sta potenziando la funzionalità di Heartbeat, in grado di far comunicare i firewall Sophos con gli endpoint Sophos, base della sicurezza sincronizzata che, sottolinea ancora Narisoni, oggi abbraccia anche la protezione crittografica offerta da Sophos SafeGuard, a sua volta resa più dinamica e potente grazie alla doppia possibilità di cifratura: in base alla posizione del file o della cartella da cifrare, con chiave individuale o di gruppo, o in funzione dell’applicazione utilizzata per creare il documento. Tutte queste funzioni, unite alla protezione assicurata dalle nuove soluzioni per la mobilità, confluiscono dal punto di vista gestionale in Sophos Central, destinata a diventare il vero security operation center, semplificato e automatizzato di Sophos. «Puntiamo insomma – afferma Narisoni – ad avere un’unica console che gestisce e informa sulla protezione degli endpoint e dei server, quella dei dispositivi mobili, i firewall, i server di posta elettronica, la rete Wi-Fi. Sophos Central, oggi disponibile as a service (durante l’anno sarà rilasciata anche come appliance virtuale per le installazioni presso il cliente), permette tre tipi di visualizzazioni: amministratore IT, utente finale e partner, un formato pensato appositamente per l’erogazione di servizi di sicurezza gestita».
Torniamo al quartier generale di Sophos per approfondire il tema sicurezza per dispositivi mobili, un altro punto fondamentale dell’approccio integrato del security vendor britannico. Nel quartier generale, troviamo Thomas Lippert, principal product manager in seno all’Enterprise Security Group mobile, al quale Data Manager ha chiesto una breve overview della strategia di protezione applicata alla mobilità. «L’unione tra Sophos Mobile e Sophos Synchronized Encryption rappresenta una soluzione di cifratura di nuova generazione che come pochissime altre al mondo permette all’utenza mobile di condividere i documenti cifrati in modo trasparente tra quattro diverse piattaforme: Windows, Mac OS, Android e iOS» – dichiara Lippert. La soluzione si avvale di una combinazione di gestione di chiavi di cifratura, contenitori nativi dei rispettivi sistemi operativi e contenitori di applicativi per assicurare una protezione ottimale di documenti e informazioni, ovunque essi fluiscano o siano custoditi: nei computer portatili, attraverso la rete locale e il cloud, fino ai singoli dispositivi mobili.
CIFRATURA DINAMICA
La cifratura può essere uno strumento molto potente, ma applicare una policy di sicurezza attraverso gli indefiniti confini dello spazio di lavoro nel cloud non è altrettanto immediato. E pertanto occorre capire come viene implementata la Synchronized Security di Sophos in ambito Mobile. «L’approccio tradizionale alla protezione crittografica – osserva Lippert – consiste nel mettere in sicurezza dischi e dispositivi cifrando l’intero disco. Un approccio più moderno prevede un livello di protezione che arriva ai singoli file, seguendoli nel loro intero percorso, per esempio, quando vengono inviati via email, copiati, condivisi oppure salvati nel cloud». Entrambe le modalità di protezione sono fondamentali per una strategia a prova di attacco, sostiene Lippert. «Sophos SafeGuard aiuta a cifrare sia il disco sia il singolo documento, mentre le soluzioni per la mobilità permettono di accedere ai contenuti criptati anche dai dispositivi mobili. Operando nel contesto di un sistema di sicurezza più esteso e grazie alla Synchronized Security, la nostra esclusiva tecnologia di protezione consente di sottoporre a un costante processo di validazione i privilegi di accesso di utenti, applicazioni e sistemi, in modo che sia possibile accedere a un contenuto protetto solo se tutte le componenti richieste appaiono fidate. Basta che un solo anello della catena risulti compromesso, un singolo pc infetto da malware, affinché le chiavi di cifratura siano revocate e i documenti vengono immediatamente bloccati. Solo dopo un intervento di riparazione, si può avere l’ok per la resincronizzazione delle chiavi e l’accesso viene ripristinato.
Secondo Marco D’Elia, uno dei fattori determinanti dell’efficacia della sicurezza mobile Sophos è la stretta collaborazione tra i laboratori di Abingdon e i fornitori di sistemi operativi e terminali. Lo scorso anno, per esempio, Sophos ha annunciato un accordo per l’integrazione a livello nativo delle proprie funzioni di cifratura con Samsung Knox (in passato noto come “Android for Work”), il sistema di enterprise security rivolto all’utenza business dei telefoni Android firmati Samsung, anch’esso basato sull’uso di contenitori protetti in cui isolare e mettere in sicurezza applicazioni e documenti aziendali su dispositivi utilizzati anche in ambiti non lavorativi. «Essere in grado di supportare container nativi come Samsung Knox e altri sistemi operativi mobili è importante perché questi strumenti sono molto efficaci nel tenere separate le informazioni di business dai dati che riguardano la nostra vita personale» – riconosce Lippert. Una linea di demarcazione che ci consente di rispettare le esigenze di sicurezza di un’impresa e la privacy degli utenti. Anche quando un file risulta protetto e separato in un contenitore nativo come Knox, riteniamo sia necessario cifrarlo per garantire una sicurezza totale. Lo stesso vale in scenari di condivisione volontaria in cui un utente lascia filtrare inconsapevolmente verso l’esterno un documento sensibile. La posta sicura di Sophos Mobile e i contenitori, uniti alla cifratura dei file, aggiungono un ulteriore livello di protezione a documenti che rimangono sicuri anche quando vengono inoltrati o condivisi per sbaglio».
OPPORTUNITÀ DI CANALE
Nel quadro di una strategia di sicurezza sincronizzata e rinnovata in tutte le sue componenti, il messaggio di Sophos, come leader tecnologico assoluto nello specifico segmento della lotta contro la concreta minaccia rappresentata da ransomware, può portare lo specialista britannico a fare un salto di qualità sul mercato. Oggi, Sophos Intercept X viene proposto anche alle aziende che hanno già investito in altre soluzioni di protezione della rete e degli endpoint, come una soluzione specifica anti-ransomware innovativa, utilizzabile anche accanto a prodotti antivirus di altri vendor. Un prodotto mirato che, nonostante la sua importanza, è solo una piccola parte della strategia Sophos di Synchronized Security. Ne è ben conscio Fabio Buccigrossi, channel director per la filiale italiana, pronto a sottolineare il grande vantaggio che la sicurezza sincronizzata può portare ai rivenditori a valore aggiunto che lavorano con Sophos. «Parlando di sicurezza integrata con un nostro potenziale partner, spesso ci sentiamo dire che si tratta di qualcosa che propongono già» – racconta Buccigrossi. «Ma per farlo, il rivenditore o il system integrator locale che si occupa sia di sicurezza del gateway sia di protezione dell’endpoint, finora doveva rivolgersi a vendor diversi. Poter contare su un’architettura di comunicazione nativa tra i due aspetti della sicurezza come quella proposta da Sophos significa rivolgersi a un solo interlocutore. Chi ha realmente compreso il vantaggio di questa tecnologia – fa notare Buccigrossi – sa che il futuro della sicurezza risiede in questa integrazione e che può far leva su un prodotto come Intercept X per arrivare anche alle aziende che utilizzano un antivirus o un firewall diverso».
La possibilità di affrontare i due diversi volti della sicurezza – quello di rete e server e dei terminali utenti – con soluzioni leader di mercato, capaci di parlare tra di loro e con una centralizzazione e semplificazione degli aspetti amministrativi, rappresenta un fattore differenziante molto forte. L’intenzione di Sophos, sottolinea Buccigrossi, è quella di incrementare il numero dei partner con doppia specializzazione. In un mercato complesso come quello dell’impresa media italiana, oggi Sophos può contare su un ecosistema di 800 partner attivi, una quarantina dei quali, identificati come “key” in quattro diversi territori geografici. «L’obiettivo per il prossimo anno – spiega Buccigrossi – è di orientare più del 60% del canale verso competenze sia gateway sia di endpoint. Il merito della strategia Sophos è quello di aver messo a disposizione di questa rete di rivenditori esperti una tecnologia di protezione che rende possibile questa integrazione e dimostra di saper evolvere giorno per giorno. Quest’anno, i partner hanno già ricevuto feedback positivi da parte dei loro clienti che hanno percepito immediatamente il valore della sicurezza sincronizzata».
Foto di Gabriele Sandrini