Endpoint protection e network security

Trend Micro: arriva la security cloud-native per i container

Tecnologie di rete, cloud, intelligenza artificiale e una gestione più unificata per passare da un approccio reattivo a uno più analitico. Si rinnova così l’offerta dei vendor grazie all’arrivo di nuovi competitor e alla domanda di nuove soluzioni. La difesa dell’endpoint è in molti casi la sola misura di sicurezza in campo. Il processo di incorporazione di funzionalità aggiuntive determina l’estensione delle piattaforme EPP. Tempi duri per il firewall fisico, che però rimane pietra angolare e genera il fatturato più alto dell’intero comparto

 

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

In molti casi, la difesa dell’endpoint è la prima e unica misura di sicurezza che professionisti e piccole imprese scelgono di mettere in campo. Vincoli di budget, mancanza di competenze, scarsa consapevolezza sono tare pesanti che affliggono le micro-realtà produttive del Paese. Anche nelle organizzazioni più strutturate tuttavia la protezione dell’endpoint – pur all’interno di moduli di sicurezza avanzati – rappresenta uno strato (layer) importante della loro complessa architettura di sicurezza. La protezione dell’endpoint è demandata a soluzioni EPP (endpoint protection platform), che comprendono un set di partenza di funzionalità (protezione antivirus, antimalware, per la navigazione web, firewall), oltre a moduli di data loss prevention, encryption, gestione delle passoftwareord, distribuzione delle patch e molte altre ancora. L’offerta di soluzioni è molto ampia. Tutti i vendor hanno a catalogo prodotti specifici per professionisti e piccole imprese. La maggior parte dei prodotti indirizzati a questo target di clienti richiedono competenze IT davvero minime. Le soluzioni sono commercializzate sia per user sia per device. Le licenze d’uso in genere prevedono un anno di aggiornamenti al software e supporto/assistenza tecnica. Tuttavia, molti vendor contemplano la possibilità di stipulare contratti più lunghi. Alcuni vendor assegnano alla categoria midsize business tagli di licenze fino a 999 postazioni. Numeri troppo grandi per le dimensioni del tessuto produttivo del nostro Paese. Uno scollamento che in qualche caso spiega i suoi effetti negativi sul prezzo finale della licenza, più alta rispetto ad altri paesi europei. I prezzi di vendita possono variare anche sensibilmente da vendor a vendor. Ma anche tra tipologie di prodotti dello stesso vendor. Come avviene in quasi tutti i settori commerciali, il numero di licenze acquistate determina il prezzo finale. In questo quadro, la tendenza – soprattutto nell’offerta destinata a professionisti e PMI – è verso una contrazione dei prezzi, alimentata dalla forte concorrenza e dall’ampliarsi del numero di vendor che offre soluzioni free. Brand come Avira e Avast sono stati tra i primi a fare questa scelta. E anche leader affermati come Sophos e più di recente Kaspersky hanno deciso di percorrere questa strada.

«Sophos da anni mette a disposizione un prodotto antivirus gratuito, destinato al mondo consumer che include alcune funzionalità molto sofisticate, rare da trovare in prodotti antivirus gratuiti» – ci dice Marco D’Elia, country manager di Sophos Italia. La soluzione Kaspersky Free da poco lanciata in USA, Canada e alcuni paesi asiatici offre una protezione di base per email e navigazione web ed è dotata di aggiornamenti automatici e funzione di quarantena. «A ottobre – come ci conferma Morten Lehn, general manager Italy di Kaspersky Lab – arriverà anche in Italia». Qualche altro grande nome potrebbe scegliere di imboccare questa strada. Ma è probabile che almeno per i prossimi tre o cinque anni la maggior parte dei vendor continuerà a farsi pagare per l’utilizzo delle proprie soluzioni. «Il rilascio di una soluzione antimalware non si esaurisce con la vendita» – rileva Gastone Nencini, country manager di Trend Micro. «Al contrario. C’è tutta una serie di servizi a supporto – assistenza, aggiornamento, ricerca e sviluppo – che bisogna finanziare». La totalità delle piattaforme EPP disponibili sul mercato supporta Microsoft Windows. Più rara almeno sino a qualche anno fa, l’estensione della protezione alle maggiori distribuzioni Linux. Oggi però, tutti i maggiori vendor dispongono di soluzioni progettate per i sistemi UNIX/Linux. «Sophos Antivirus per Linux fornisce moduli di supporto pre-compilati per una vasta gamma di distribuzioni e kernel Linux, comprese le versioni a 64 bit» – ci dice D’Elia di Sophos. Allo stesso modo, si allarga anche l’offerta di soluzioni che supportano in un’unica suite sia lato desktop (Windows, Mac e Linux) sia mobile (IoS e Android).

«È l’IT a chiedere che i dispositivi mobili possano essere gestiti allo stesso livello con cui oggi vengono governati i pc. Distribuendo cioè i software su questi oggetti in maniera automatica e proteggendoli all’interno di un’area isolata dal resto del dispositivo» – spiega Antonio La Rosa, head of IM B2B di Samsung Electronics Italia. «KNOX si integra nella piattaforma di sicurezza Mobile 7 enterprise mobile management solution, la nostra soluzione di sicurezza per dispositivi Mobile, IoT e pc portatili, disponibile attraverso la piattaforma di gestione integrata Sophos Central». L’idea di una visione allargata della protezione emerge anche nell’approccio adottato da altri vendor. «La nuova sfida sono le superfici estese» conferma Antonio Pusceddu, country sales manager e corporate sales di F-Secure. «La nostra proposta è Radar, una soluzione di vulnerability management che proprio in una logica IoT, mappa tutti gli indirizzi IP della rete aziendale, fino a comprendere telecamere di sorveglianza, dispositivi di lettura badge, lettori di bar-code, stampanti e così via. Qualsiasi strumento collegato alla rete aziendale. Per ognuno di questi oggetti Radar è in grado di diagnosticare le rispettive vulnerabilità e proporre all’IT la soluzione di fixing più adatta a ciascuno». Per quanto riguarda l’amministrazione delle soluzioni, la modalità prevalente è la gestione mediante una console centrale installata su un server dedicato con l’agent installato sull’endpoint. Tuttavia, sempre di più i vendor prevedono la gestione via cloud. Un approccio dettato dalla rapida diffusione in Italia del cloud.  «L’architettura di rete delle aziende sta conoscendo una trasformazione senza precedenti. Che le porta sempre di più a spostarsi verso piattaforme di public o private cloud. Questa migrazione fa sì che le aziende sempre di più richiedano agilità, flessibilità e aumento delle performance alle soluzioni di sicurezza. Ma senza per questo incidere negativamente su aspetti quali la gestione e la configurazione» – afferma Filippo Monticelli, regional director di Fortinet. Un trend irreversibile secondo alcuni. Su cui però Giulio Vada, country manager di G DATA invita le aziende a prestare maggiore attenzione. «Riconosciamo gli effetti benefici sulla sicurezza del cloud, ma lo spostamento della gestione delle soluzioni di sicurezza non è a nostro parere un approccio adatto proprio a tutti. Infatti, se possiamo essere ragionevolmente sicuri di una certa contrattualità con i grandi – IBM, Microsoft, Amazon – lo stesso non può dirsi con tutti gli operatori del settore. Anche per questo, al nostro target, le piccole e medie imprese, preferiamo proporre soluzioni on premise. Aperte comunque anche al cloud» – afferma Vada.

LUNGA VITA AL FIREWALL

Quello dei firewall è il mercato che genera più fatturato nell’intero comparto sicurezza. Rientrano in questo segmento tutti i firewall, siano essi fisici che virtuali, rivolti a professionisti, piccole e medie aziende come gli  unified threat management device (UTM), e i next-generation firewall (NGFX), il cui target d’elezione sono le grandi organizzazioni. Le piattaforme UTM di norma comprendono le seguenti funzionalità: firewall, intrusion prevention system (IPS), remote access, secure web gateway, secure email gateway. Ma è un fatto che anche in questo segmento, i vendor UTM continuino ad aggiungere nuove funzionalità alle loro piattaforme, superando spesso il confine entro il quale in genere si delimitano queste soluzioni da altre di network security. Incorporando IPS (intrusion prevention systems), application inspection and control, SSL/SSH inspection, website filtering, quality of service/bandwidth management, funzionalità almeno sino a qualche tempo fa associate ai dispositivi NGFW. In questo segmento, i prodotti coprono un vasto spettro che va dal supporto alle reti di tutte le dimensioni ed estensioni (uffici periferici compresi), ai data center multitiered demilitarized zone (DMZ), fino agli ambienti virtualizzati e al public cloud.

Di regola quando si acquista un prodotto si riceve una copia del software e una licenza d’uso. Quindi in realtà non si acquista un software — la proprietà rimane infatti al vendor – ma un set di diritti limitati dai termini e condizioni (T&C) della licenza. Tutti i prodotti NGFW sono licenziati per dispositivi fisici. Spesso feature aggiuntive richiedono licenze ad hoc. Con prezzi che variano ovviamente in base all’hardware e al contratto di servizio che si stipula. Differenze di prezzo anche marcate sussistono tra vendor così come tra gli stessi prodotti che compongono il loro portfolio. Le strutture di prezzo possono essere sia rigide (una licenza per user) sia molto articolate. A fronte di un’estrema varietà di politiche di pricing, le versioni di base delle soluzioni presentano in genere prezzi chiari, unici e abbastanza simili tra loro per le soluzioni entry level. Le licenze in genere sono vendute sulla base di annualità di contratto (da uno a cinque anni). Come per gli endpoint, più aumenta il numero di user per i quali si richiede una licenza e più alte sono le possibilità di ottenere sconti. Nonostante sulla carta UTM e NGFW si rivolgono a target diversi, le differenze tra queste categorie di dispositivi sono oggi al minimo. Le principali funzionalità sono comuni a entrambe le classi di prodotto. Forse, la sola tangibile differenza riguarda i rispettivi throughput ratings: più bassi in genere per gli UTM (e per questo sono indirizzate in prevalenza verso le PMI), mentre i dispositivi che offrono un throughput più alto, tipicamente commercializzati come NGFW, sono indirizzati prevalentemente alle organizzazioni più grandi.

EPP UN SEGMENTO IN CONTINUA TRASFORMAZIONE

Il mercato delle soluzioni di EPP offre un interessante spaccato delle attuali tendenze nel campo dell’information security. Soprattutto per la sua dinamicità, caratterizzata dalla presenza di una folta schiera di attori, in grado di offrire una valanga di soluzioni e di determinare un’estrema variazione dei confini del segmento. Differenze accentuate anche dall’arrivo di nuovi attori in grado di rompere lo status quo, soprattutto nel segmento enterprise, attraverso l’apporto di nuove soluzioni fortemente innovative. «Alcuni di questi nuovi prodotti di sicurezza rimpiazzeranno le tradizionali soluzioni signature-based. Vendor affermati stanno imparando a fare i conti con questi nuovi attori e in alcuni casi stanno già ingaggiando un’aspra competizione che li sta spingendo ad aggiornare il proprio portafoglio prodotti, eliminando – o fortemente limitando – la componente signatureless nella detection delle minacce avanzate» – come ci spiega Daniela Rao, senior research & consulting director di IDC Italia. L’estrema dinamicità del comparto è sottolineata con una battuta da Vada di G Data: «Amo definire questo segmento un mercato a concorrenza quasi perfetta. Ipercompetitivo. Nel quale trovano posto e ragion d’essere una pletora di attori diversi. Dai blasonati storici, che detengono le quote di mercato più importanti, agli incumbent, di ogni forma e dimensione, tra i quali ci siamo anche noi di G Data». Una prima barriera in via di dissoluzione per esempio è quella tra le soluzioni di EPP e di endpoint detection and response (EDR). Funzionalità che il mercato richiede in un’unica piattaforma. Tuttavia, il dilatarsi di nuove funzionalità assume contorni molto più ampi. Da qualche tempo, è in atto una vera e propria corsa da parte dei vendor a integrare nelle loro soluzioni EPP/EDR (oltre ai moduli di protezione antivirus e antimalware, il firewall, la protezione per la navigazione web) feature più avanzate di encryption, gestione delle passoftwareord, distribuzione automatizzata di patch e aggiornamenti, scansione delle vulnerabilità.

Altri vendor ancora arrivano a incorporare funzionalità di online backup, mobile device management (MDM). Tanto che sono in molti a prevedere che in un futuro non troppo lontano, segmenti di mercato oggi separati come data loss prevention (DLP) ed enterprise mobility management (EMM) saranno assorbiti dalle soluzioni di EPP, esattamente come in passato è avvenuto con i personal firewall e gli antispyware. Questo processo fa sì che le piattaforme di EP siano sempre più estese. Una dinamica che spinge fortemente in direzione di una trasformazione del segmento. Anche in termini di crescita. «Secondo IDC, il mercato crescerà a livello worldwide fino a raggiungere un fatturato superiore ai 10 miliardi di dollari entro il 2020, con un CAGR (compound annual growth rate) pari al 3,4 per cento per il quinquennio 2016-2020» ci dice Daniela Rao di IDC Italia. Un cambio di rotta a tutto vantaggio di aziende e organizzazioni. «In passato, abbiamo affrontato diversi problemi di sicurezza spesso in modo separato, appoggiandoci a singole soluzioni che risolvevano verticalmente alcune problematiche. Anche per la complessità delle stesse» afferma Luca Bechelli, membro del comitato tecnico scientifico di CLUSIT, l’associazione italiana per la sicurezza informatica. «Sebbene in realtà l’approccio non fosse così rigidamente settoriale, soprattutto da parte dei player maggiori, è certamente vero che i maggiori benefici derivanti dalle soluzioni di sicurezza, oggi ci arrivano attraverso un supporto end-to-end alle azioni sviluppate dall’utente sul computer». Anche secondo Stefano Volpi, country manager di Symantec, il dato dal quale occorre partire è la richiesta di una sicurezza maggiormente integrata. «Le aziende preferiscono avere un unico interlocutore e ciò spinge i vendor a consolidare la propria offerta. Personalmente, da tempo auspico una forte convergenza di tecnologie. Symantec grazie alla piattaforma Management Center soddisfa questa esigenza, mettendo a disposizione dei propri clienti un ambiente di gestione unificato per il portfolio di prodotti Security Platform: tecnologie di rete, security e cloud che semplificano la distribuzione, gestione e monitoraggio dell’environment di sicurezza». Si muove in questa direzione anche la strategia di Forcepoint denominata 4D – Defend, Detect, Decide e Defeat: «Un’unica piattaforma a protezione sia dalle minacce esterne sia da quelle interne per ridurre il più possibile il dwell time, il periodo che intercorre tra il verificarsi dell’episodio sospetto e la risoluzione del problema» – ci spiega Emiliano Massa, senior director of regional sales Southern Europe di Forcepoint.

Un tema amplificato dalla complessità e varietà dei pericoli in circolazione. «In questo momento, vediamo che gli attacchi si evolvono nella logica di combinare tra loro le tecniche già sperimentate in passato, per rendere gli strumenti d’attacco più complicati da individuare e da gestire» – osserva Bechelli di CLUSIT. «Allo stesso modo, i meccanismi di difesa devono essere in grado di gestire gli attacchi, combinando tra loro diverse tecniche. Di conseguenza anche i nostri strumenti di difesa devono integrarsi tra di loro per proteggere l’utente». Tuttavia, secondo alcuni osservatori, questa corsa all’integrazione di nuove funzionalità nelle soluzioni EPP rappresenterebbe un potenziale pericolo per i vendor che rischierebbero a seconda dei casi di fallire nella missione di rispondere efficacemente alle reali esigenze della domanda e di snaturare la propria identità. Ma non è di questo parere Bechelli, che sottolinea il tema dell’efficacia di questi strumenti calati nelle singole realtà aziendali. «Se come vendor affermo che uno strumento è in grado di esercitare più di cinquanta controlli di sicurezza, allora devo essere in grado di controllare se e come questi controlli impattano sul modo di lavorare dell’utente e di chi quello strumento deve gestire». In altre parole, a fronte dell’esigenza sacrosanta di proteggere l’utente, la soluzione di sicurezza gli lascia lo spazio e il tempo per lavorare? E l’IT dell’azienda è in grado di implementare e mantenere funzionanti strumenti così complessi? «Certamente, la divisione IT ben strutturata è in grado di indirizzare queste problematiche e di utilizzare lo strumento di sicurezza in un modo efficiente rispetto alle sue attività e allo stesso tempo garantire un supporto puntuale agli utenti. Ma – continua Bechelli del CLUSIT – ci sono anche realtà che tutte queste competenze non le hanno. Può succedere allora che le funzionalità più evolute su cui questi strumenti si giocano il loro valore aggiunto, siano proprio quelle che vengono spente, perché l’IT non è in grado di indirizzarle. Un aspetto tutt’altro che infrequente quando si parla di sicurezza». Il pericolo, per rispondere alla domanda di partenza – spiega ancora Bechelli – non è per i fornitori che creano queste soluzioni che hanno bisogno di una consapevolezza molto alta dei problemi che si vogliono indirizzare, «ma per i clienti di queste soluzioni quando non valutano adeguatamente l’impatto di una soluzione sui propri utenti e sulle proprie tecnologie, rischiando di allontanarsi pericolosamente dall’obiettivo iniziale».

UTM E NGFW INGESSATI SOLO IN APPARENZA?

Tutti coloro che negli ultimi anni avevano decretato la morte, la fine del firewall fisico, si sono dovuti ricredere. Infatti, nonostante le funeree previsioni, il firewall fisico rimane saldamente la pietra angolare della sicurezza IT, continuando a detenere una quota di mercato superiore al 90 per cento. Cresce però quella dei firewall virtuali, oggi attestata attorno al 5 per cento del mercato, prevista però in crescita sino al 10, entro la fine del 2020. Non disponiamo di dati disaggregati rispetto alle categorie di soluzioni che compongono il segmento UTM e NGFW, né a livello worldwide né italiano. Possiamo ragionevolmente ipotizzare che i NGFW siano presenti in meno della metà delle organizzazioni. Tuttavia. la maggioranza dei firewall in commercio supporta funzionalità avanzate come la deep packet inspection, i controlli delle applicazioni e degli user. La recente accelerazione del mercato ha portato – secondo alcuni analisti – la grande maggioranza dei prodotti ad allinearsi alle caratteristiche riconosciute alle soluzioni “next generation”, integrando altresì il supporto alle tecnologie cloud e di virtualizzazione. Dinamiche queste che non hanno azzerato le differenze tra prodotti in termini di efficacia (e non solo) in relazione alle singole feature.

Altra dinamica importante del segmento è la continua erosione di quote di mercato agli IPS da parte delle soluzioni NGFW, soprattutto presso le grandi organizzazioni. Nonostante questo però, molti analisti ritengono questo mercato eccessivamente ingessato. Consolidati i leader di mercato nei segmenti UTM e NGFW – non si registrano entrate massive di nuovi vendor. Lo scorso anno, per esempio, un solo nuovo vendor, H3C Group, ha scalato posizioni tra gli UTM, senza peraltro che questo abbia determinato l’uscita di altri vendor. Non si spostano di molto gli equilibri nella ripartizione delle quote di mercato nemmeno tra i NGFW. Con la sola eccezione dell’ascesa di Huawei. La relativa staticità del mercato potrebbe però essere sparigliata dall’arrivo di nuovi sfidanti sul versante dei firewall virtuali. Attualmente, queste appliances detengono, secondo alcune stime prudenti, una quota ancora inferiore al 10 per cento del mercato. Ma è innegabile che queste soluzioni stanno riscuotendo sul mercato un certo interesse, trainate dalla domanda di data center virtualizzati e di supporto a progetti SDN e IaaS, proveniente soprattutto dalle organizzazioni più strutturate. Nuova linfa potrebbe arrivare anche dalle soluzioni di network security policy management (NSPM), anche questa attualmente una nicchia di mercato sostanzialmente piccola, ma in rapida espansione. IDC prevede inoltre che entro la fine del 2020, circa il 25 per cento dei nuovi firewall venduti includerà tra le sue feature l’integrazione con i CASB (cloud based cloud access security broker).

SECURITY ASSESSMENT PER UNA STRATEGIA SU MISURA

Le architetture di rete delle aziende si spostano sempre di più verso le piattaforme di public o private cloud, determinando una domanda di soluzioni di sicurezza sempre di più agili, flessibili e performanti anche in termini di gestione e configurazione. Strumenti di difesa classici quali i firewall e gli antivirus di conseguenza sempre di più vanno valutati e interpretati all’interno delle dinamiche di estensione e integrazione delle piattaforme esistenti. Sollecitate, oggi più che mai, oltre che a rilevare e bloccare le minacce, a restituire analitiche coerenti e azionabili capaci di sfruttare appieno le informazioni provenienti dal cloud e dall’intelligenza artificiale. Detto questo, però, l’endpoint protection rimane uno dei temi tra i più critici oggi sul tappeto. È sull’endpoint che si concretizza – infatti – la più ampia interazione tra uomo e macchina. Con il primo a rappresentare – in molti casi – l’anello più debole della catena. Per quanto le aziende si sforzino di renderlo sempre meno importante – in termini di repository di contenuti rilevanti e di strumento per il loro trattamento – la rilevanza dell’endpoint come terminale di dati da proteggere rimane comunque centrale. Come sappiamo, dal punto di vista della security, l’endpoint è da sempre la frontiera più complessa da gestire. Un luogo nel quale confluiscono logiche molteplici. Non ultima, quella vitale di limitare il più possibile la superficie d’attacco. I numerosi strumenti di cui disponiamo, ancora più che in passato, devono perciò integrarsi tra loro per cercare di ridurre le zone grigie e sopperire a tutte le complessità che derivano dalla combinazione dell’azione dell’utente. Per chi investe, un fattore di difficoltà rimane tuttora quello della difficile confrontabilità dell’offerta esistente. Tuttavia, nella scelta di qualsiasi soluzione di sicurezza non si dovrebbe mai prescindere da una puntuale valutazione del proprio livello di rischio sia che si tratti di soluzioni di endpoint protection sia di dispositivi di network security: ogni organizzazione ne ha uno e ha il dovere di misurarlo in modo scientifico. Solo così sarà in grado di stabilire il livello di protezione da raggiungere commisurato al reale valore degli asset da difendere.


ALTEA FEDERATION E BFORMS

Leggi anche:  Scacco matto al rischio insider: cinque mosse per vincere una partita rischiosa

Nuovi strumenti di governo e di conoscenza del territorio al servizio della sicurezza. Il mondo della system integration e dell’asset & engineering management convergono per soluzioni innovative nella gestione del territorio e del patrimonio immobiliare

Sicurezza vuol dire anche smart city, con tutto il suo ecosistema di infrastrutture per il monitoraggio del territorio. Sempre più spesso, assistiamo a fenomeni ambientali e naturali che stanno mettendo a dura prova intere nazioni, basti pensare all’aumento della frequenza dei terremoti, degli incendi e dei nubifragi. «La cura e la manutenzione del territorio antropizzato – come ci spiega Francesca Torino, CEO e co-founder di BFORMS – sono oggi fondamentali per garantire la sicurezza dei cittadini, per ridurre le spese destinate alla gestione delle emergenze e delle ricostruzioni, per supportare la prevenzione strategica e per contrastare le sfide che ogni giorno organizzazioni, pubbliche e private, sono chiamate ad affrontare. «Il futuro è nell’ingegnerizzazione di strumenti di progettazione e monitoraggio dei servizi che consentano la conoscenza globale dell’ambiente costruito, la formulazione di strategie basate su scenari reali ovvero su sistemi informativi integrati GIS & BIM che permettono di associare mediante banche dati complesse lo stato di fatto del territorio e lo stato manutentivo e funzionale delle infrastrutture e degli edifici. Gli asset, rappresentati all’interno di mappe interattive tematizzate e modelli BIM avanzati, sono navigabili in real time. Ulteriori applicazioni possono interessare le infrastrutture logistiche, portuali e aeroportuali, il risparmio delle risorse idriche ed energetiche che oggi rappresentano un’ulteriore sfida. Nell’implementazione dei nuovi strumenti di governo e di conoscenza, Altea Federation e BFORMS operano sinergicamente per incrementare evolute soluzioni tecnologiche al fine di coniugare esperienze distintive e competenze tecniche e ingegneristiche».