Quali rischi di sicurezza da 5G, IoT, cloud e IA? L'opinione di Fortinet

Il 5G implica rischi di sicurezza? E l'intelligenza artificiale? Quali conseguenze ha il passaggio al modello dei container e del serverless? Le ultime evoluzioni del mondo dell'IT nelle aziende portano con sé anche domande su quanto le nuove tecnologie possano costituire un rischio di sicurezza. Ne abbiamo parlato con Ronen Shpirer, solutions marketing mobile network operators and managed service providers manager di Fortinet, per cercare di capire come la direzione del mercato e della tecnologia influenzi la sicurezza delle aziende.

5G e WiFi 6 secondo Fortinet: nuovi rischi, ma anche tante nuove opportunità

Edge9: Quali vantaggi porta il 5G alle aziende? Quali sono, invece, i principali rischi?

Shpirer: il 5G ha delle caratteristiche uniche rispetto alle precedenti generazioni e questa unicità lo rende per la prima volta un servizio prezioso per aziende di grandi dimensioni e industrie. Se guardiamo al 3G e al 4G, si trattava di servizi di connessione, nient'altro che "tubature" in cui scorrevano i dati, e per questo motivo il principale target di questi servizi erano i consumatori. Anche quando le aziende adottavano i servizi mobile lo facevano per la connettività, per accedere ad applicazioni e servizi o come backup per connessioni a livello geografico. I possibili utilizzi erano dunque limitati.

Il 5G è diverso, perché porta con sé una serie di capacità che permettono alle aziende di creare innovazione e sfruttare l'ampiezza di banda insieme alla latenza ultra-bassa con la comunicazione machine-to-machine: ciò consente di avere milioni di dispositivi per chilometro quadrato e rende possibile l'IoT. Si viene così a creare una situazione per cui è possibile avere cose come automobili a guida autonoma, fabbriche intelligenti, medicina da remoto, agricoltura smart e così via. Il potenziale per le aziende è davvero enorme: il 5G permette infatti di cambiare il tipo di servizi e soluzioni proposti ai clienti e il modo in cui questi funzionano, ma cambia anche il modo in cui le aziende lavorano. Il punto di arrivo potrebbe addirittura essere quello in cui le aziende sostituiranno ogni forma di connettività con il 5G.

Si tratta di un grande cambiamento anche per gli operatori, che ora dispongono di un enorme mercato che prima non potevano sfruttare. E proprio da qui si prevede che arriveranno molti degli introiti e della crescita legati al 5G: i consumatori continueranno a essere una parte consistente, ma la crescita nel breve e medio periodo dovrebbe arrivare dalle industrie.

Il 5G usa tecnologie molto diverse dal 4G e si appoggia a macchine virtuali, container, standard e protocolli differenti e API signalling, su un ambiente distribuito che include anche il cuore della rete. La capacità del 5G di rendere possibili tutti questi casi d'uso fa affidamento sul fatto che esso prevede l'apertura ai cambiamenti introdotti da terze parti, in maniera flessibile.

Questo è un aspetto del 5G che implica che il modo in cui pensiamo alla sicurezza e a come rendere sicuri gli ambienti debba essere differente. Se guardiamo alle generazioni precedenti, il servizio risiedeva nella connettività, nel fornire una "tubatura": il valore era altrove, su Internet, e la sicurezza riguardava la protezione dell'infrastruttura di rete. Ora, a causa dei cambiamenti nell'infrastruttura, non bisogna più soltanto offrire questa protezione, ma anche tenere conto delle nuove tecnologie in uso (container, virtual machine, il cloud con le sue API e così via) così come dell'enorme scalabilità, dell'agilità e del fatto che gli ambienti sono distribuiti. La sicurezza deve adattarsi a queste nuove tecnologie e fornire non solo la prossima generazione di protezioni per gli operatori, ma farlo anche in maniera estremamente scalabile e dove e quando serve in una maniera agile. L'ambiente non è più statico ed è basato su protocolli che vengono utilizzati in generale su Internet.

Utilizzando tutte queste tecnologie si aumenta intrinsecamente il rischio. A ogni nuova tecnologia corrispondono punti deboli ed exploit che possono essere utilizzati per attaccarli. Ecco perché è molto più difficile proteggere un ambiente aperto e dinamico.

L'altro aspetto è quello del potenziale che il 5G costituisce per le aziende, in quanto esse si affideranno sempre più ai servizi 5G e questi diventeranno sempre più critici per le loro attività. Come possono dunque le aziende proteggersi e far sì che i loro casi d'uso siano protetti e sempre disponibili? Questo interrogativo porta con sé un'opportunità per gli operatori, perché i loro clienti richiederanno servizi di sicurezza e gli operatori potranno ora offrirli e monetizzarli. Potranno cominciare a guadagnare da questi servizi e diventare a tutti gli effetti dei managed service provider, cosa che non hanno mai fatto prima - in passato infatti c'è sempre stata una divisione all'interno degli operatori che si occupava della sicurezza informatica, ma ora c'è la possibilità di farla diventare parte integrante dei guadagni derivanti dall'attività della rete cellulare.

Il 5G porta con sé indubbiamente dei rischi, ma anche delle opportunità se viene gestito correttamente.

Edge9: l'altra area su cui le aziende punteranno è il WiFi 6, che porterà con sé un'esplosione di dispositivi connessi. Con il 5G gli operatori telefonici potranno far pagare i propri clienti per rendere sicure le loro attività, ma con il WiFi 6 saranno probabilmente le aziende a dover garantire la sicurezza delle proprie reti e dei propri dispositivi. Questa esplosione porterà nuovi rischi di sicurezza o ci sarà un cambio nel modo in cui bisognerà gestire la sicurezza senza, però, un significativo aumento dei rischi?

Shpirer: L'esistenza dell'IoT cambierà le cose. Ma saranno ancora più importanti i dati generati dai dispositivi IoT, perché sulla base di questi saranno prese decisioni e compiute delle azioni. Il rischio risiede proprio in questo passaggio. È molto rischioso pensare che i dispositivi IoT siano intrinsecamente sicuri o che il codice che eseguono sia esso stesso sicuro o ben scritto. Non servono nemmeno attacchi o cybercriminali, basta che qualcosa non vada per il verso giusto e si può creare una situazione in grado di generare un impatto significativo sull'uso dell'IoT e dei servizi 5G.

Vedremo un mix di aziende che si prenderanno carico della sicurezza di questi ambienti e non si affideranno agli operatori, di aziende che vorranno affidarsi ad essi per la sicurezza e di aziende che si affideranno completamente ad essii, poiché acquisteranno da loro dispositivi certificati e tutti i servizi necessari, inclusa la sicurezza. Ci sono già operatori che hanno propri marketplace per la fornitura di dispositivi IoT per l'industria e per i consumatori. Questi dispositivi sono certificati, così come il loro software, e ciò rende possibile la creazione di un intero ecosistema in cui ogni aspetto della sicurezza è seguito dagli operatori stessi. Questo tipo di iniziativa richiede investimenti ingenti, ma garantisce anche grossi profitti perché non viene più fornita solo la connettività, ma anche un numero sempre più grande di servizi e una sempre maggiore fedeltà del cliente.

Ci sarà comunque un aumento dei rischi ed è estremamente importante che le aziende ne siano consapevoli e sappiano come agire, che coinvolgano gli operatori e che questi costruiscano le proprie soluzioni per risolvere questi problemi.

Fortinet: le aziende non hanno più scuse per la sicurezza nel cloud

Edge9: A proposito di "essere coscienti": alla TEISS London 2020 la principale tematica era proprio quella dell'essere consapevoli, sia dal punto di vista dei rischi associati all'essere su Internet che da quello del cloud computing. Le aziende non sembrano in grado di capire i rischi principali connessi al cloud. Spesso si dimenticano delle cose di base come cambiare le password predefinite. Sono le aziende che dovrebbero mobilitarsi per migliorare la sicurezza dei propri ambienti cloud o sono i fornitori di servizi che dovrebbero fare uno sforzo maggiore per rendere chiari i termini del servizio?

Shpirer: Ritengo che la responsabilità maggiore sia dell'azienda. Sia che operi con infrastrutture tradizionali che nel cloud, è suo compito assicurarsi che applicazioni, dati e utenti siano al sicuro. Il fatto che il sistema operativo, la piattaforma o il servizio siano gestiti da terzi non esclude che sia l'azienda a essere responsabile. C'è però effettivamente una mancanza di consapevolezza su quale sia la situazione della sicurezza nel cloud. I fornitori di servizi cloud stanno lavorando per far capire il modello di responsabilità condivisa. Il ragionamento è più o meno riassumibile con "siamo responsabili soltanto delle risorse di calcolo e di archiviazione e dei servizi che forniamo". Forse non stanno facendo il migliore lavoro possibile, ma stanno comunque agendo.

Forse all'inizio si poteva comprendere una scarsa consapevolezza, visto che gli operatori volevano semplicemente spingere le proprie soluzioni, ma è da un pezzo che si parla del modello a responsabilità condivisa. Si parla da tempo di tematiche come falle di sicurezza, perdita di reputazione, necessità di essere sicuri, i dati nell'era della trasformazione digitale. Al giorno d'oggi non si può più accettare che un'azienda si aspetti di mettere semplicemente i propri dati su un fornitore di servizi cloud e che questi siano sicuri.

Edge9: il passaggio verso un modello a container porta a cambiamenti nello scenario della sicurezza? Quale impatto avrà il modello serverless?

Shpirer: Penso che tale passaggio comporti dei cambiamenti. Non cambia tanto il concetto di sicurezza in sé, ma il modo in cui si guarda ad esso. L'aspetto unico dei container e del modello serverless, quello che li rende così potenti, è che permettono agli sviluppatori di essere estremamente efficienti e di lavorare in maniera molto agile e veloce. Il focus della sicurezza si sposta: attualmente, e accadrà anche in futuro, c'è del codice che cambia molto lentamente e che va protetto nel caso ci siano vulnerabilità; con i container e il modello serverless il codice cambia molto velocemente e si può intervenire su di esso in maniera estremamente rapida. Ne risulta che si debba cambiare approccio perché la velocità dei cambiamenti fa sì che non sia più possibile avere protezioni statiche sul codice. Bisogna far sì che il codice stesso abbia dei meccanismi di sicurezza al suo interno.

Con i container e il modello serverless bisogna chiedersi: come creo del codice che sia più sicuro? Diventa molto difficile proteggerlo dall'esterno, quindi bisogna opeare dall'interno. C'è uno spostamento a sinistra (shift left): la pipeline di sviluppo deve cambiare e includere la sicurezza sin dall'inizio del processo. Non basta più scrivere il codice, bisogna scrivere programmi che siano più sicuri.

Fortinet: l'intelligenza artificiale dà un vantaggio ai "buoni"

Edge9: l'intelligenza artificiale può essere usata per lanciare attacchi più sofisticati che in passato e creare delle vere e proprie "fabbriche" di malware e di attacco alle aziende. Dall'altro lato, però, può anche essere utile per reagire più velocemente alle minacce. In che modo aiuta a combattere il cybercrimine? È davvero la risposta al crescente numero di attacchi o serve anche un forte contributo umano?

Shpirer: La contrapposizione tra "white hat" e "black hat" è sempre esistita e continuerà a esistere. Il cybercrimine è parecchio redditizio. Sempre più risorse e conoscenze vengono utilizzate dalle organizzazioni criminali. L'IA è decisamente uno degli strumenti su cui si sta investendo e attualmente viene utilizzata per gestire l'immensa quantità di dati sugli attacchi.

Noi raccogliamo questi dati nei nostri laboratori, i FortiGuard Labs, e insegniamo all'IA a categorizzare i comportamenti che vediamo come "buoni" o "sospetti" o "malevoli" e così via. Oggigiorno l'utilizzo più importante dell'IA sta nello sfruttare questi dati per comprendere quello che sta accadendo. Ed è molto efficiente, nel senso che se l'IA è ben scritta e ben addestrata, può trovare pattern, minacce e attività malevole. Tuttavia bisogna considerare come ci sia sempre un consistente intervento umano.

L'IA oggi è ancora piuttosto limitata in quello che può fare: può aiutare a gestire la mole di minacce e di dati che vediamo, ma quando entrano in gioco nuovi elementi su cui l'IA non è stata addestrata entra in gioco il fattore umano.

Ci può però aiutare a ridurre i falsi positivi. Un esempio è quello di un'applicazione web: bisogna capire come funziona, come interagisce con gli utenti, con i backup, con il sistema di back office. Si tratta di un processo lungo che deve essere fatto correttamente, altrimenti si aumenta il rischio di falsi positivi. Ad esempio, il firewall FortiWeb ha due motori di intelligenza artificiale che imparano localmente, sulle applicazioni specifiche che proteggono, in aggiunta alle informazioni che ricevono dalla "grande IA" di Fortinet che a sua volta riceve dati da tutto il mondo. L'intelligenza artificiale del firewall combina i dati locali e remoti e crea una soluzione di sicurezza che è addestrata sì su quanto avviene nel mondo, ma anche su quello che succede nel singolo ambiente, nella singola applicazione, nella singola azienda, ed è quindi su misura per il singolo caso. Di conseguenza è più efficace, ci sono meno falsi positivi.

Dal punto di vista dei cybercriminali c'è effettivamente la possibilità di creare minacce più avanzate. L'IA aggiungerà una nuova dimensione, una nuova profondità agli attacchi che vedremo. Questa corsa tra i "buoni" e i "cattivi" va avanti da sempre e qualunque tecnologia che possa essere utilizzata da una delle due parti verrà utilizzata anche dall'altra. In questo momento i "buoni" hanno un vantaggio nell'uso dell'IA rispetto ai "cattivi", ma questa corsa non avrà mai fine.