Ignite on Tour 2023 a Milano è l’occasione offerta da Palo Alto Networks e colta da circa 300 persone tra clienti, partner, prospect e addetti ai lavori per confrontarsi sui temi della cybersecurity ed approfondire l’evoluzione dei trend che caratterizzano l’azione delle aziende impegnate a difendere i propri asset. E’ il primo evento in presenza su scala nazionale dopo la pandemia per Palo Alto e vede sul palco, per la prima volta, il nuovo country manager di Italia e Malta, Michele Lamartina. “Oggi la mission, non semplice e ricca di insidie e complessità, considerato il momento di instabilità geopolitica ed economica, è supportare tutti i processi di trasformazione digitale delle aziende in sicurezza – esordisce il country manager -. Viviamo un processo di accelerazione della digitalizzazione in Italia che ora abbraccia anche i settori più critici e vede crescere lo spostamento dei carichi verso il cloud. Il perimetro da difendere è esteso all’infinito e anche il lavoro ibrido ha contribuito a dissolvere l’idea dell’azienda “fortino”. E la cybersecurity oggi può fare leva anche su abilitatori come l’AI ed il machine learning che sono però armi a disposizione anche del cybercrime. Da qui nuove sfide e pressioni con i budget IT che in alcuni casi sono addirittura in contrazione”.
Palo alto Networks già nove anni fa ha introdotto nel proprio portafoglio soluzioni che fanno leva su AI e ML ma soprattutto è l’approccio “a piattaforma” che consente di “semplificare l’architettura di sicurezza, ridurre i costi operativi”. Ma anche “vivere la cybersecurity in modo positivo”. L’evento stesso nel nome disvela il suo intento. Ignite, infatti, sta a significare la possibilità di “accendere nuove possibilità” e quindi un’idea di sicurezza pensata per rendere “possibile liberare il potenziale del digitale”, limitando al minimo i rischi. Prende il testimone su questo spunto Helmut Reisinger, Ceo Emea & Latam, Palo Alto Networks: “Oggi è importante ripensare la sicurezza, tanto più in un Paese come l’Italia che rappresenta la terza economia europea e che vive in questi anni passaggi importanti nella digitalizzazione non solo delle realtà enterprise, ma anche delle sue piccole e medie imprese”. A fronte di un threat landscape non certo favorevole.
Quattro sono i driver che devono “accendere” le azioni di cybersecurity: l’espansione delle superfici di attacco, la crescita dell’attività del cybercrime anche dal punto di vista qualitativo, l’incertezza economica che richiede alle aziende di mostrarsi reattive e certo il cloud. “In Italia, in particolare, gli attacchi sono cresciuti nel 2022 del 169% sul 2021: cyber incident, interruzioni delle attività e crisi energetiche, sono considerati i primi tre fattori di rischio per la crescita dei business”. Ed i “driver dell’insicurezza” sono da rinvenire nei workload cloud ancora non criptati, nelle porzioni di codice open source ampiamente utilizzato, in un contesto marcato dalla “softwarization” – ma non per questo sicuro by design – e nell‘incontro tra IT e OT che porta ampi vantaggi ma è senza dubbio un incontro complesso.
Vi sono anche difficoltà di percorso “tattiche”. Per esempio, “la base frammentata dell’offerta di cybersecurity che vede operare sul campo oltre 3.500 vendor, con le aziende che utilizzano in media circa 32 tool differenti, un tempo medio di investigazione sulle minacce superiore ai quattro giorni ed addirittura oltre 200 giorni di ‘permanenza’ media delle minacce sui sistemi prima della loro eradicazione”, come sottolinea Reisinger.
Da qui il primo messaggio: “La cybersecurity ha bisogno di consolidamento, un trend già identificato da Gartner come in atto guardando alle aziende che procedono in questo senso e che hanno deciso quindi si contrarre il numero dei fornitori (da una percentuale intorno al 29% nel 2020, al 75% del 2022), con il 65% di esse che ritiene fondamentale migliorare la propria “postura di rischio”, prima ancora della riduzione del budget”.
La proposizione tecnologica
Consolidare non può però voler dire “rinunciare al best of breed”. Per Palo Alto Networks il best of breed è rappresentato quindi dalla proposizione per la network security, la cloud security e le security operations quindi, rispettivamente da Strata e Prisma Sase, da Prisma Cloud e da Cortex. Tre invece devono essere gli “atteggiamenti strategici”: zero trust, shift left from code to cloud, e un atteggiamento proiettato sulla difesa proattiva e predittiva piuttosto che solo sull’investigazione di ciò che è già successo. E’ interessante in particolare la prospettiva shift left perché riporta l’attenzione proprio sull’importanza di codice sicuro by default che rappresenta il primo passaggio obbligato per una cybersecurity solida considerata poi la “stratificazione software necessaria per i workload cloud, come in ambito IT e OT”.
Palo Alto Networks si propone con una platform il cui primo importante vantaggio è da ricercare nell’approccio “AI-ML driven” in grado di prevenire gli attacchi prima che accadano. Alcuni numeri: 1,5 milioni di nuovi attacchi individuati ogni giorno, 8,6 miliardi di attacchi bloccati, il modello di Zero-Day detection come punto di riferimento.
La proposizione tecnologica di Palo Alto Networks è abilitata da un modello di difesa basato sulla telemetria dei dati dall’edge, al cloud fino agli endpoint, e dall’automazione guidata da AI e ML sia in Strata (Next Generation Firewall) sia su Cortex Xsiam e Cortex Xsoar.
L’analisi dello scenario cybersecurity in tempo reale è supportato dal lavoro della Unit 42, threat intelligence team di Palo Alto Networks e Wendi Whitmore, senior VP di Unit 42 (ed ex Ibm X-Force Threat Intelligence, Ndr.), offre alcuni spunti interessanti in particolare per quanto riguarda lo spaccato italiano.
Lo scenario delle minacce
Ad oggi, nel 2023, 37 sono le aziende per le quali è già stata ufficialmente riconosciuta l’esposizione ai ransomware (sui siti Web creati da cyber criminali con lo scopo di ospitare e pubblicare informazioni sensibili e riservate rubate durante un attacco ransomware); l’Italia è al sesto posto tra i Paesi vittime di ransomware leaks e oltre il 41% delle aziende risulta vittima di Lockbit 3.0. “Deve far riflettere, in particolare, come sia proprio il comparto manifatturiero quello che fa registrare il numero più alto di casi – dettaglia Whitmore – perché è evidente l’intelligenza del cybercrime nel colpire le aziende che sono più esposte, ma anche quelle dimensionalmente e costituzionalmente meno strutturate ad affrontare le problematiche relative alla cybersecurity. Seguono i servizi professionali, le PA, il comparto edile e le utilities”. Autenticazione multifattoriale, patching, piani di reazione e risposta accurati, piena visibility sugli endpoint – come sull’intera infrastruttura cloud – sono i passaggi obbligati su cui deve essere rimodellata la postura di sicurezza.
Il secondo volume del suo Network Threat Trends Research Report evidenzia inoltre come i sistemi di controllo industriale (Ics), i sistemi di controllo di supervisione e acquisizione dati (Scada) e altri sistemi di tecnologia operativa (OT) possano essere obiettivi di valore per i cybercriminali. Sono utilizzati in settori che presentano infrastrutture critiche come quello energetico, dei trasporti, manifatturiero e sanitario, in cui qualsiasi interruzione potrebbe avere gravi conseguenze per la sicurezza pubblica, l’ambiente e l’economia.
Ecco che in questi settori, tra il 2021 e il 2022, Unit 42 ha rilevato che il numero medio di attacchi subìti per cliente nel settore manifatturiero, utility ed energia è aumentato del 238% e nell’ultimo anno, vi sono state fluttuazioni stagionali e un aumento del 27,5% delle minacce informatiche rivolte a questi settori, su tutte le sessioni di rete. Per mitigare questi rischi, è essenziale che le organizzazioni implementino misure di sicurezza complete che coprano tutti gli aspetti dei loro sistemi OT. Servono valutazioni regolari dei rischi, test di vulnerabilità e formazione sulla sicurezza per tutti gli stakeholder coinvolti, adottando un approccio olistico e proattivo alla sicurezza OT.
Spunto importante di riflessione, proposto da Whitmore è infatti quello relativo alla sicurezza delle supply chain: “Oggi non è importante la protezione della ‘propria’ azienda tout court, ma è importante intervenire su tutta la catena dei partner e dei fornitori, perché sono gli anelli più deboli quelli su cui si concentra l’attenzione del cybercrime, e perché attraverso di essi può essere più facile per loro raggiungere l’obiettivo finale”.
Cybersecurity, lavoro di squadra
La difesa quindi sarà sempre di più un lavoro di squadra. E su questo punto insiste in modo particolare anche Carlo Alberto Carnevale Maffè che interviene in veste di Associate professor of Practice di Strategy and Entrepreneurship, Sda Bocconi School of Management: “Oggi la sicurezza è inclusa nei criteri di rating delle valutazioni Esg, si riflette sul reale valore di un’azienda e rappresenta il presupposto minimo in ogni ambito, perché da essa dipende la fiducia in ogni tipo di processo, non solo quelli IT. Per questo deve essere considerata un bene pubblico, non semplicemente un bene o un “affare privato” delle aziende. Richiede di stringere un vero e proprio ‘patto di cittadinanza’. La frammentazione della proposta, così come anche della conoscenza, è quindi da evitare, così come è importante puntare a colpire chi attacca nei suoi ‘santuari’ anticipando le azioni di difesa”.
I costi veri dell'”insicurezza”, infatti, sono misurabili solo a valle di ogni processo. Per questo la pervasività e la diffusione dei progetti IT/OT estendono ad ogni realtà i rischi. Basta pensare ai progetti per le smart city, alla filiera di digitalizzazione delle infrastrutture critiche di utility, telco, etc., ai servizi delle pubbliche amministrazioni. “Per questi motivi bisogna abbandonare l’idea di parlare di una cybersecurity basata sui dialetti tecnologici a favore di un esperanto condiviso. Condiviso, appunto, anche dalle supply chain, sulla base di una sintassi comune fondativa per ogni modello organizzativo”. Serve inoltre intervenire a colmare gli skill gap, lavorare sulle competenze, ma anche “formare i board (HR e Cfo inclusi), il management che devono comprendere come la sicurezza debba rappresentare una sorta di sintassi di tutti i modelli organizzativi, anche perché al crescere della digitalizzazione delle nostre aziende, crescerà di pari passo l’attenzione del cybercrime”. Le strutture ampiamente disperse sul territorio ci espongono in modo particolare, a maggior ragione serve un approccio condiviso e federato. “I numeri purtroppo documentano anche che solo il 5% delle aziende italiane è assicurato con polizze specifiche per la cybersecurity, e l’offerta è ancora relativamente ‘grezza’ per questo settore. Serve elaborare anche nuove offerte nel comparto, serve pensare alla cybersecurity come ad un atto di maternità, la chiamata ad un impegno che non può venire meno in nessun momento della vita di aziende e organizzazioni. Un impegno sugli altri? Spostare la cybersecurity dal backend al frontend significa esporsi ed esibirla come atto di responsabilità e moltiplicare i punti di presidio. Tutti sono coinvolti, tutti sono responsabili“.
“L’Italia – riprende Lamartina, al termine del keynote – oggi si trova ancora in posizione critica sia per l’avanzamento nella digitalizzazione, sia per gli skill gap (al 24esimo posto), sia perché ancora oggi spende meno degli altri Paesi europei per la cybersicurezza – appena lo 0,1 percento del Pil, circa un terzo degli altri. Tuttavia non mancano anche i segnali positivi: la disponibilità di risorse legata al Pnrr ma anche l’azione dell’Acn e la crescita dell’attenzione da parte proprio dei board. E’ da mettere al centro dell’attenzione in particolare proprio l’evoluzione della security da indirizzare in tutti gli scenari OT”. Serve quindi un approccio olistico. Palo Alto Networks per quanto riguarda, nello specifico, il tema degli skill gap ha creato anche in Italia un’Academy in collaborazione con 15 Università e con le scuole superiori. Con questo programma l’azienda è presente complessivamente in 80 Paesi e sono state formate oltre 400mila persone.
“Sul tema specifico delle sfide OT – interviene invece Umberto Pirovano, senior manager Systems Engineering Palo Alto Networks – percepiamo effettivamente da parte delle nostre aziende la sensibilità verso i temi Industry 4.0 come approccio strategico, non semplicemente tattico, e la consapevolezza del rischio”. Ma manca “uniformità su come controllare o ridurre il rischio”. Le aziende enterprise sono più consapevoli ed evolute nell’indirizzare il tema, “mentre le Pmi percepiscono il problema ancora come esclusivamente tecnologico e non come rischio di business”. Bisogna lavorare su questo ed integrare la gestione del rischio, anche considerando come le supply chain siano già di fatto “miste” e prevedano una necessaria collaborazione proprio tra enterprise e Smb. “Sulla base di due tensioni: la necessità di trasformarsi e quella di mantenere continuità nei livelli di servizio”. La piattaforma di Palo Alto Networks si propone di risolvere queste due tensioni anche in un ambito complesso come quello delle interazioni tra sistemi IT e OT, dove si raccolgono moli di dati importanti ed eterogenee che vengono scambiate, arricchite, elaborate anche da terze parti in diverse architetture. “Palo Alto Networks lo fa in modalità end-to-end, sfruttando il machine learning in linea dal cloud sui data lake, all’edge – chiude Pirovano – sulla scorta di una proposizione “consistente” dall’analisi del codice (torna il tema dello shift left e della condivisione delle responsabilità con chi sviluppa codice) al cloud, alle operations con la misura real-time della postura di sicurezza”.
© RIPRODUZIONE RISERVATA
