Se chiedete a un CISO quale sia l’infrastruttura aziendale a procurargli le maggiori preoccupazioni in fatto di sicurezza, molto probabilmente vi risponderà che si tratta del cloud. Non ha tutti i torti: il cloud è un paradigma giovanissimo, sul quale anche i tecnici più esperti hanno solo pochi anni di pratica alle spalle. Soprattutto, con le implementazioni iniziali, i rischi c’erano eccome. Chi non sarebbe stato preoccupato mettendo i propri dati (e magari le applicazioni) in un data center sito non si sa dove, accessibile da qualsiasi luogo con qualsiasi dispositivo tramite reti pubbliche aperte a tutti, usando sistemi di identificazione di base e crittografia non controllata direttamente?

Certo, ora le cose sono cambiate parecchio, e le infrastrutture cloud si sono fatte più robuste. Oggi abbiamo grandi fornitori di servizi cloud (come AWS, Azure, Google) in grado di liberarci dalle incombenze legate alla gestione dell’infrastruttura, di dare un certo controllo geografico, e anche di permettere l’integrazione con eventuali cloud aziendali.

Leggi anche: AWS vs Azure vs Google: come scegliere la migliore piattaforma cloud

Ma la cosa più interessante è che proprio sul cloud viaggiano ormai non solo dati, ma anche applicazioni e servizi dedicati alla sicurezza delle infrastrutture informatiche, compreso il cloud stesso. E così il cloud è passato dall’essere un problema per la sicurezza, a poter costituire un’arma fondamentale nella lotta agli attacchi cyber, soprattutto in un’ottica di difesa proattiva.

Palo Alto Networks: evoluzione della sicurezza verso il cloud

Proprio di servizi di sicurezza – anche sul cloud – si occupa Palo Alto Networks, azienda di oltre 4.500 dipendenti basata a Santa Clara, California. Nata nel 2005, in piena era Internet, ha potuto concentrarsi da subito sui problemi di sicurezza dati dalla grande Rete, senza trascinarsi pesanti fardelli “legacy”. Così il suo primo prodotto è stato un innovativo firewall orientato alle applicazioni e a Internet. Oggi, Palo Alto Network vanta un fatturato intorno ai 2 miliardi di dollari, quasi 50.000 clienti in 150 Paesi e una crescita del 28% anno su anno. L’azienda dispone di due data center in Europa e la sede italiana conta su 24 dipendenti (erano 8 l’anno scorso), per il 40% ingegneri.

Secondo Mauro Palmigiani, Country Manager per l’Italia, la Grecia e Malta, fenomeni come i social network e la consumerizzazione, il cloud e la virtualizzazione, l’uso di dispositivi mobile, Byod e IoT, il SaaS, costituiscono ghiotte opportunità per i cyber criminali.

Gli avversari, continua Palmigiani, usano metodi di attacco altamente automatizzati, con i quali possono sferrare un numero elevatissimo di attacchi sfruttando un enorme numero di varianti. Difficile pensare di affrontare una sfida simile con le sole energie presenti in azienda, soprattutto in tempi di budget ridotti all’osso e penuria di personale esperto da assumere.

Palo Alto Networks propone quindi una soluzione basata su una piattaforma integrata di network security, soluzione che rappresenta il terzo stadio di evoluzione del suo sistema di sicurezza. Se la prima evoluzione è stato il passaggio dal NGFW (Next Generation Firewall) ai servizi di sicurezza su cloud, comprendenti Threat Prevention, URL Filtering, Global Protect e WildFire (servizio anti-malware), la seconda fase è rappresentata dalla consistenza dell’infrastruttura di sicurezza, che aggiungeva alla protezione del perimetro quella degli endpoint e la cloud security. Allo stesso tempo, WildFire si arricchiva di funzioni di analisi aggiuntive e nuove capacità di individuazione, passando fra l’altro da aggiornamenti delle firme ogni 24 ore a intervalli di 5 minuti. La terza evoluzione infine, quella che porta alla gamma attuale, rappresenta un netto cambiamento nella modalità di consumo del servizio di sicurezza.

Ai servizi di sicurezza via cloud è stato infatti aggiunto un application framework, sul quale girano le applicazioni di Palo Alto Networks, ma anche quelle scritte da terze parti o dal cliente finale. L’obiettivo sarà di arrivare a una sorta di “app store” (che potrebbe essere annunciato già al prossimo evento europeo di PAN, Ignite, che si terrà ad Amsterdam in ottobre) per le applicazioni di sicurezza.

L’accesso alle API del framework non sarà concesso proprio universalmente, in linea con l’attuale politica che prevede pochi partner molto qualificati. Per il cliente, lo store porterà anche la possibilità di utilizzare soluzioni in modalità Pay per Use o similari, e comunque di costruire un sistema di difesa perfettamente integrato e coerente grazie al framework unificato, invece che adottare soluzioni separate e spesso incompatibili per reagire alle varie categorie di minacce attese.

Il punto di forza

Il vantaggio fondamentale di questa architettura integrata messa in campo da Palo Alto Networks sarà soprattutto la capacità di automatizzare e velocizzare al massimo la ricerca di minacce, soprattutto di quelle sconosciute. In questo, si va a contrastare direttamente i cybercriminali, usando la loro stessa arma: l’automazione.

Il sistema di ricerca utilizza tecnologie di intelligenza artificiale, che vanno dal behavioral analytics al machine learning. Fra l’altro, l’azienda dispone di una base dati di circa 5 Petabyte di campioni provenienti da rilevamenti reali, che possono essere messi a disposizione degli sviluppatori partner per eseguire il test degli algoritmi.

Cosa successa per esempio con l’israeliana LightCyber (in seguito acquisita da Palo Alto) che ha potuto sperimentare e mettere a punto un sofisticato algoritmo capace di scoprire gli attacchi mirati a spostamento laterale, una tipologia di malware estremamente difficile da individuare e ancora più difficile da contenere una volta entrata in una infrastruttura aziendale.

Un altro caso interessante è quello di Secdo, che ha messo a punto tecnologie avanzate di protezione degli end point, e che a sua volta è stata acquisita pochi giorni fa. L’acquisizione di Secdo aggiunge al Palo Alto Networks Traps e all’Application Framework funzionalità di Endpoint Detection and Response (EDR), con una modalità unica di raccolta e visualizzazione dei dati.

Anche la strategia delle acquisizioni, del resto, segue fedelmente la mission aziendale: proteggere il nostro “way of life” nell’era digitale, prevenendo con successo ogni tipo di cyberattacco.