F&N 116

SETTEMBRE 2023 FIELDBUS & NETWORKS 28 Fieldbus & Networks ECOSISTEMA E VISIBILITÀ, ECCO COME DIFENDERSI SANGFOR SFRUTTA L’INTELLIGENZA ARTIFICIALE COME ARMA DI DIFESA PER COMBATTERE ‘AD ARMI PARI’ CONTRO I CYBERCRIMINALI CHE GIÀ LA IMPIEGANO NELLE LORO ATTIVITÀ ILLECITE N ell’ambito della cybersecurity spesso sorgono domande del tipo: come avrei potuto evitare quest’attacco? Quali strumenti avrei potuto introdurre nella mia infrastruttura per prevedere, e quindi prevenire eventuali minacce? Sangfor Technologies cerca ogni giorno di aiutare i clienti ad attuare le migliori difese proattive per permettere loro di ottenere quella visibilità fondamentale che con le in- frastrutture di qualche anno fa non si poteva avere. Con il termine visibilità si intende, per esempio, avere chiari quanti e quali dispositivi sono connessi alla propria infrastruttura e sapere come questi asset, che spaziano da dispositivi mobili a stampanti, laptop ecc., interagiscono tra di loro. Come riusciamo a ottenere la visibilità? Principalmente, con l’aiuto dell’in- telligenza artificiale (AI) e con la correlazione di più prodotti. Infatti, dal momento che i cybercriminali impiegano l’intelligenza artificiale nella loro attività illecita, noi esperti di sicurezza dobbiamo giocare ad armi pari. Sem- bra semplice, ma non lo è: i malintenzionati sono sempre alla ricerca di nuove tecniche d’attacco e di offuscamento, per questo Sangfor sfrutta l’AI come arma di difesa, che consente di rilevare tutto ciò che non è già noto. Le difficoltà nel proteggere le infrastrutture OT Con l’avanzamento della tecnologia e l’evoluzione dell’IoT e dell’IIoT (Industrial Internet of Things), l’infrastruttura OT sta diventando sempre più connessa e integrata con i sistemi IT, aprendo nuove opportunità ma anche introducendo sfide legate alla sicurezza e alla protezione delle infrastrutture critiche. Moni- torare e proteggere le infrastrutture OT non è banale: essendo sistemi molto importanti per il business di un’azienda, tipicamente non vengono installati gli aggiornamenti di sicurezza perché ciò richiederebbe un riavvio; inoltre, trat- tandosi il più delle volte di sistemi embedded, non è possibile proteggerli con gli antivirus tradizionali. Questo crea una situazione favorevole per coloro che hanno intenzioni malvagie, in quanto si trovano di fronte a una combinazione ideale di risorse non protette in modo adeguato e vulnerabilità degli asset. Le strategie di Sangfor per superare le difficoltà ‘La difesa come miglior attacco’ è un paradigma che negli anni si sta consoli- dando sempre più, in quanto le statistiche parlano chiaro: prima o poi si deve far fronte a un incidente informatico. Sulla base di questa filosofia, da oltre 20 anni, Sangfor cerca di indirizzare la sicurezza verso un perimetro chiamato ‘zero trust’, considerando ogni componente dell’infrastruttura come potenzial- mente compromesso. Partendo da questo presupposto è facile capire come sia necessario un ecosistema di sicurezza, che blocchi o intervenga non solo sulle anomalie di sicurezza note, ma anche e soprattutto su quelle ignote. Sangfor ha lavorato e perfezionato quello che viene definito Ecosistema Xddr (eXtended Detection and Defense Response). Nell’ambito dell’ecosistema non si parla più di singoli prodotti che svolgono la propria funzione e basta; al contrario, si parla di prodotti che collaborano gli uni con gli altri per offrire una soluzione dedicata e integrata. In questo modo gli amministratori di sistema possono visualizzare non solo ciò che è noto, i virus per esempio, ma anche i comportamenti anomali. Questi ultimi, in particolare, possono essere indi- viduati tramite il modulo di analisi comportamentale; gli exploit zero day in- vece vengono individuati tramite il componente Zero-Engine dell’EDR; i picchi anomali di connessioni o di traffico tramite il modulo Ueba (User and Entities Behavior Analitycs) del Cyber Command… Questi sono solo alcuni esempi. Per monitorare l’infrastruttura OT Sangfor ha studiato una soluzione di SOC light (Security Operation Center leggero) per contenere i costi ma al contempo ottenere molteplici vantaggi, mentre contro la minaccia del ransomware, Sangfor suggerisce una soluzione anti-ransomware completa. Tutti i prodotti si correlano gli uni agli altri per migliorare sia le fasi di rileva- mento, sia quelle di risposta manuale o automatica. Per concludere Per proteggere al meglio un’infrastruttura occorre un ecosistema integrato e connesso in cui le varie soluzioni lavorino all’unisono per fornire visibilità tempestiva e capacità di risposta a tutti i livelli (firewall, antivirus, rete ecc.). Ed è proprio la visibilità la vera difesa contro gli attacchi. Sangfor Technologies Italy - https://sangfor.it Matteo Fumagalli Dossier Seguendo la strategia ‘zero trust’ è facile capire come occorra un ecosistema di sicurezza che blocchi o intervenga non solo sulle anomalie di sicurezza note, ma anche e soprattutto su quelle ignote