“Il fenomeno è molto vasto e molto spesso la causa è proprio la carenza di visibilità che l’amministratore di rete ha; non si può proteggere ciò che non si vede, ciò che non si conosce”
La sicurezza informatica è sempre di più un must da perseguire per le aziende: prevenzione, attacchi, rischi, virus sono parole chiave in questo settore. E la Rete? Arbor Networks con le sue soluzioni si occupa di monitorare le Reti con il fine di individuare possibili anomalie e bloccarle cosi prima del tempo.
Ne abbiamo parlato con i due manager italiani, Marco Gioanola e Ivan Straniero.
1- Da quanto tempo Arbor è presente in Italia?
Arbor Networks ha installato le prime soluzioni in Italia nel 2004, mentre la presenza di personale sul territorio risale a metà del 2006. La nostra è una società americana, fondata nel 2000, che prende il nome dalla città di Ann Arbor in Michigan, dove partì il progetto pilota di ricerca condotto in ambito universitario da professori che sono tuttora inseriti nel management dell’azienda.
Arbor Networks è una società nata con lo specifico obiettivo di offrire uno strumento efficace di analisi e di monitoraggio del traffico della rete al mercato dei provider e agli utenti finali che utilizzano la banda internet per scopi di business. Dal punto di vista degli Internet Service Provider, questo servizio offre un prezioso background dell’accesso internet; dal punto di vista enterprise invece, lo strumento di analisi permette alle aziende di ottimizzare le prestazioni e la sicurezza delle proprie reti.
Ci siamo sempre impegnati nell’offrire delle soluzioni di visibilità e protezione della rete il meno intrusive possibile,utilizzando degli apparati di monitoraggio passivo che ricevono statistiche dai router stessi. L’obiettivo infatti non è quello di sostituirci ad altri sistemi di sicurezza come firewall o IDS (Intrusion Detection System),ma di fornire una soluzione che si affianchi a tali strumenti in maniera scalabile e non intrusiva. Nata con una forte focalizzazione verso gli Internet Service Provider, -ben il 90% degli ISP mondiali utilizzano attualmente la nostra soluzione Peakflow SP per proteggersi da attacchi DDoS – Arbor ha esteso negli anni la propria offerta anche alle grandi realtà aziendali, attraverso la propria piattaforma di monitoraggio Peakflow X.
2- Avete detto di aver iniziato a lavorare con gli internet service provider: si tratta di grossi nomi italiani?
Per l’Italia possiamo citare Telecom Italia Sparkle, uno dei primi clienti dove abbiamo realizzato un’istallazione a livello di service provider. In generale, come si è detto, a livello mondiale abbiamo tra i nostri clienti una grossa fetta di tutti i maggiori ISP.
3- Siete una multinazionale con attività in tutto il mondo?
Sì, il nostro head quarter è in Massachusetts (USA) ma abbiamo uffici anche a Londra, in Asia e in Australia e copriamo tutto il globo, sia per quanto riguarda il personale tecnico, sia per il personale di vendita che è attivo in diverse sedi. Siamo all’incirca poco meno di 300 persone. Dallo scorso mese di settembre, Arbor Networks e’ stata acquisita da Danaher, un grosso colosso finanziario americano, entrando a far parte di un gruppo di aziende, la cui principale e’ Tektronics Communications.
4- Qual è l’ultimo prodotto da Voi realizzato per il mondo enterpise?
Si tratta di Peakflow X 4.2 (o Peakflow “Virtual”), una soluzione di anomaly detection e di analisi di traffico ideale per aziende medio – grandi, con una presenza nel territorio molto distribuita e che dispongono di reti di dimensioni elevate. Tali realtà necessitano di un tool che garantisca visibilità completa di ciò che avviene all’interno della propria rete, in maniera scalabile sia tecnologicamente che a livello economico. Ovviamente questa scalabilità ha dei problemi ad essere raggiunta con i tradizionali sistemi di monitoraggio o di sicurezza che richiedono sonde in ogni sezione della rete. Peakflow X 4.2, invece, usando la tecnologia Netflow IP presente nei dispositivi di rete già esistenti, analizza le statistiche di flusso per definire il comportamento normale della rete: in questo modo la soluzione fornisce quella visibilità di rete intelligente e pervasiva tipicamente necessaria per monitorare le minacce di sicurezza esterne, l’utilizzo della rete interna e più di 100 applicazioni ad alto consumo di banda in grado di mettere a repentaglio le performance di rete dell’azienda .
Il Peakflow X 4.2 dispone della tecnologia Network Behavioral Analysis (NBA) integrata, un sistema che identifica in tempo reale qualsiasi attività anomala che possa rilevare un imminente attacco alla sicurezza della rete molto prima che venga creata la relativa signature. Il sistema dunque memorizza quali sono i livelli di traffico normali per una rete, un certo segmento, un certo server, e segnala se ci sono delle stranezze. Si tratta, ad esempio, di protocolli che magari non vengono bloccati dal firewall perché sono considerati legittimi, o di attività che non vengono bloccate dall’IDS perché non sono percepite come dei veri e propri attacchi, ma che possono essere dannose in ogni caso. Pensiamo, ad esempio, al furto d’informazioni da parte di qualcuno che fa dei file transfer durante la notte.
5-In quel caso il software come interviene, blocca l’attività o si limita a segnalare che c’è un’anomalia?
Il software principalmente si occupa di segnalare queste cose agli amministratori di rete, si configura dunque come un sistema di alerting a fronte di queste anomalie. Abbiamo scelto di mantenere il sistema non proattivo per due motivi: innanzitutto non volevamo entrare nel mercato e nell’ambito dell’IDS. E poi,la richiesta da parte del mercato è stata proprio quella di non automatizzare i meccanismi di risposta alle anomalie di rete, ma piuttosto di avere la possibilità di disabilitare manualmente le porte degli apparati di rete dove è connesso chi ha generato l’attacco. Quindi con un click è possibile configurare il Peakflow in modo tale che mandi un comando allo switch dove la macchina che ha generato l’attacco è connessa e disabilitare la porta: in questo modo,si possono stoppare in tempi rapidi le attività anomale così da pulire la macchina e riportarla online.
6- Quali sono le evidenze reali del funzionamento di questo prodotto, che tipi di miglioramenti è in grado di apportare fattivamente nelle prestazioni di un sistema di sicurezza?
Ci sono due aspetti. Il primo è l’aspetto macroscopico di monitoraggio della rete: lavorando a stretto contatto con i maggiori service provider mondiali, abbiamo la possibilità di monitorare costantemente la rete a livello globale e di individuare quali sono le botnet più grandi, i servizi e le applicazioni più attaccate. Tale visibilità ci ha permesso di osservare quanto il fenomeno delle botnet – ossia di una rete di pc infetti gestiti da una terza parte per mandare spam o attacchi di DDoS o per fare furto di informazioni – sia amplissimo e in continua espansione. Si parla di milioni di pc infetti, e di una tipologia di attacchi che muta velocemente, per sfuggire ai tradizionali sistemi di detenction, come antivirus e IDS tradizionali. Spesso sono gli stessi sistemi di sicurezza tradizionali ad essere obiettivo di questi nuovi attacchi,bloccando così l’operatività del sistema. Per questo riteniamo che per garantire la disponibilità della banda sia necessaria una soluzione specifica anti-DDoS, complementare agli strumenti di sicurezza esistenti e che, oltre a proteggere l’utente finale, permetta a firewall e IPS di continuare a svolgere le proprie funzioni anche in situazioni critiche.
L’altro dato ci viene dall’esperienza. Durante gli ultimi quattro anni non ci è mai capitato di avviare un trial della nostra soluzione e non rilevare qualche anomalia, anche nelle reti più separate dall’esterno: si riscontrano macchine infette, o che stanno facendo degli scan o trasferimenti all’interno della rete o, ancora, si scoprono sessioni che nessuno sapeva nemmeno esistessero. Anche nelle reti disconnesse da Internet si riscontrano diverse anomalie, e questo accade perché le possibilità di infezione sono le più svariate: la chiavetta usb, un software portato da casa ecc. Il fenomeno quindi è molto vasto e molto spesso la causa è proprio la carenza di visibilità che l’amministratore di rete ha. Per questo crediamo che sia fondamentale mantenere congiunte sicurezza e visibilità della quantità e della tipologia del traffico di rete, perché non si può proteggere ciò che non si vede, ciò che non si conosce. Purtroppo, molto spesso il system admistrator di una rete che ha – per esempio- 20.000 client, non sa precisamente cosa stia succedendo in rete e quali applicazioni vengono usate, così come ignora quanta banda venga utilizzata da ogni ufficio e quale sia il suo profilo di traffico.
7-La vostra soluzione si adegua al mondo virtualizzato. Possiamo dire che la rete, e il mondo della tecnologia in generale, si evolvono e quindi anche la sicurezza si deve adeguare e cambiare pelle?
L’offerta di una soluzione per ambienti virtualizzati nel nostro caso è nata come effetto indiretto di un processo di virtualizzazione generale, che ha portato sempre più le grandi aziende a dare in hosting parte della propria offerta o a comprare dei servizi di monitoraggio e di reportistica dei propri sistemi dai service provider.
Riteniamo che gli internet service provider con cui noi interagiamo siano in una posizione vantaggiosa per offrire questa serie di servizi alla clientela business. Pensiamo ad esempio all’ISP che vende la connettività alla grande azienda: assieme a questo può offrire una serie di servizi aggiuntivi, come la protezione da Ddos, o il monitoraggio e l’anomaly detection della rete interna dell’enterprise. Queste nuove opportunità commerciali hanno portato gli ISP a cercare dei software che permettessero di erogare questa varietà di servizi in maniera scalabile: da qui è nata la necessità di i supportare piattaforme di virtualizzazione come VMware.
Il vantaggio è duplice: l’azienda che vuole avere la soluzione in casa può ottimizzare gli spazi e i costi nel proprio data center, avendo quelli che una volta sarebbero state – per esempio – 5 appliance con diverse macchine virtuali che girano su una piattaforma VMmare. Il service provider che vuole rivendere questo servizio di monitoraggio ai suoi clienti, invece di avere 5 appliance per monitorare tutti i vari clienti, avrà una piattaforma virtualizzata che riduce drasticamente la quantità di richieste e ottimizza la qualità di questa soluzione. Quindi la spinta è stata anche il mercato dei managed service potenziali in cui crediamo molto, è quello in cui vediamo che i mercati più avanzati a livello mondiale stanno avendo più successo.
8-Qual è, secondo Voi, lo stato di salute della sicurezza in Italia, soprattutto per quanto riguarda le aziende?
Ci sono mercati europei ed extraeuropei molto più avanzati del nostro nell’ offerta di servizi di sicurezza alle aziende. Anche l’Italia è indirizzata verso la stessa strada, ma è ancora un passo indietro rispetto agli altri Paesi. C’è inoltre un dato da tenere presente e che ci segnalano non solo i nostri sistemi di monitoraggio, ma anche varie ricerche pubblicate sul tema. Si tratta della bassa diffusione della barda larga in Italia rispetto agli altri paesi. Nonostante ciò, nel nostro Paese si rileva un’alta percentuale di pc infetti, di quantità di spam inviata, di sorgenti di attacco. Quindi la sensazione è che, sia dal punto di vista delle aziende, sia punto di vista del consumer, l’Italia sia una po’ preda delle botnet, dei virus e delle attività legate agli attacchi. A livello più generale, quello che si osserva è che l’Italia è ancora impegnata ad affrontare la grande crisi economica che ha caratterizzato gli ultimi anni. Anche altre nazioni come Inghilterra e Stati Uniti stanno fronteggiando la crisi, ma lo fanno continuando ad investire, soprattutto nel campo della sicurezza: è proprio in questi Paesi che Arbor Networks sta ora ottenendo i maggiori risultati.
—————-
MARCO GIOANOLA – laureato in Scienze dell’Informazione, si occupa di sicurezza informatica e Managed Security Services dal 2000. Ha seguito l’implementazione dei primi sistemi di DDoS Mitigation in Italia nel 2004 e dal 2006 e’ Consulting Engineer EMEA con Arbor Networks
IVAN STRANIERO – classe 1964, è in Arbor Networks dal 2008, dove ricopre il ruolo di Territory Manager, Italy and SE Europe. Prima di Arbor, Ivan ha svolto attività manageriali nelle vendite e nel marketing in Trend Micro (1999-2000), Check Point (2001-2005) e Crossbeam Systems (2005-2008)