Cybertech Europe: la sicurezza informativa vista dai professionisti

Ottobre è il mese europeo dedicato alla cybersecurity (European Cyber Security Month), un'iniziativa attiva da anni che ha l'obiettivo di sensibilizzare cittadini e aziende sull'importanza della sicurezza informatica. Proprio per questo motivo in questo periodo si concentrano numerose iniziative da parte di aziende ed enti pubblici, come Cybertech Europe, evento che si è tenuto a Roma e al quale hanno partecipato numerose aziende attive nel settore della sicurezza informatica. 

Ne abbiamo approfittato per porre alcune domanda ai rappresentanti delle differenti imprese partecipanti, iniziando da Amir Rapaport, Founder ed Editor in Chief di Cybertech.

Cybertech Europe: il punto di vista del fondatore 

Edge9: Come sta cambiando la percezione della cybersecurity nelle imprese? Dal tuo punto di vista, ci sono maggiore consapevolezza e attenzione agli aspetti della sicurezza da parte dei manager?

AR: Personalmente, vedo una maggiore consapevolezza informatica e delle opportunità informatiche a tutti i livelli e in tutte le realtà, dal governo alle aziende più grandi, fino agli imprenditori, agli investitori e alle università che effettivamente preparano i futuri talenti del settore. Nel caso delle aziende, questa consapevolezza è notevole. L’idea è che il mondo cyber non sia una nicchia o un settore: è una nuova realtà, una nuova economia, un nuovo campo che crea opportunità che prima non esistevano. Anche le aziende nate prima dell’avvento dell’era cyber, in settori completamente diversi, si adattano a questa nuova fase dove tutto è connesso. Inoltre, lo spazio digitale sta diventando sempre più rilevante anche per settori prettamente fisici come quello dei trasporti, della salute, dell’aviazione, delle infrastrutture marine, ecc. Ovviamente, tra questi dobbiamo anche includere il mondo finanziario e altre aree più digital. La consapevolezza è che la cybersecurity è parte integrante del nostro mondo. Ecco perché vediamo enormi investimenti proprio nella cybersecurity da parte di aziende come Microsoft, Cisco (che ha acquistato Plank), IBM, Google, Leonardo e Accenture. Tutte sono cresciute in questo settore, che sta registrando un tasso di crescita impressionante e molto redditizio.

Edge9: L'IA sta diventando pervasiva in ogni settore, incluso quello della cybersecurity, e sta venendo utilizzata sia dagli attaccanti sia da chi sviluppa soluzioni per la difesa delle infrastrutture digitali. Che ruolo avrà secondo te l'IA nel futuro prossimo, sempre nell'ambito della cybersecurity?

AR: È un sentimento comune pensare che l'intelligenza artificiale sia uno dei più importanti cambiamenti nel settore informatico. Per quanto riguarda la sicurezza informatica, c’è una tendenza a pensare all'intelligenza artificiale come a uno strumento per gli hacker e non è irragionevole pensare che gli hacker utilizzeranno strumenti come ChatGPT per attacchi sempre più sofisticati. Sta già accadendo. È una gara tra loro e cyber-difensori che a loro volta utilizzano strumenti di intelligenza artificiale per migliorare la sicurezza informatica. A Cybertech abbiamo discusso un altro aspetto della protezione nei processi di apprendimento automatico. Poiché l'intelligenza artificiale si basa sull'apprendimento automatico, la raccolta dei dati è molto importante per garantire che non vi siano pregiudizi: è abbastanza facile disturbare i sistemi di intelligenza artificiale alimentando dati errati. Ciò richiede nuovi approcci e metodi per proteggere i sistemi di intelligenza artificiale da attacchi basati sull'invio di dati falsi. In generale, siamo solo all'inizio della corsa tra i buoni e i cattivi, anche per quanto riguarda l'utilizzo dell'intelligenza artificiale nella sicurezza informatica.

Edge9: Sempre più spesso si hanno notizie di attacchi informatici scagliati da gruppi che si suppongono essere legati ai governi. Come stanno rispondendo le istituzioni UE a queste minacce?

AR: Nel mondo cyber, a differenza del mondo delle guerre fisiche, è molto difficile sapere quando un attacco inizia e finisce, da dove viene e chi c'è dietro. Ci sono luoghi nel mondo in cui i gruppi di hacker, o la criminalità organizzata, godono di protezione o almeno sono ignorati e i governi concedono loro libertà d'azione. Di conseguenza, le linee di demarcazione tra i criminali e i governi sono confuse. Alcuni gruppi che agiscono come criminali informatici sono sotto l'egida stessa di governi. A volte i governi sono coinvolti negli attacchi per indebolire i Paesi rivali dal punto di vista economico, politico e sociale. Questo è stato evidente nelle attività della Russia negli Stati Uniti e in Iran. Questo fenomeno è già in atto e si può presumere che anche in Europa i Paesi stranieri sfruttino la libertà dei media e dei social network. I Paesi di tutto il mondo dovrebbero collaborare con i giganti del web per ripulire la rete da queste attività, o per applicare una regolamentazione, se necessario. L'Europa è leader nella regolamentazione, del mondo online, nella protezione della privacy e nei rapporti con i giganti di Internet. A mio parere, si tratta di una questione centrale di cui non abbiamo ancora visto molto, di cui non abbiamo visto l’apice, non in termini di attacchi sponsorizzati dagli Stati e di coinvolgimento di Stati contro altri Paesi, né nella difesa dei Paesi dalle influenze straniere. Siamo all'inizio di una nuova realtà. Prima l'Europa si familiarizzerà con quest'epoca, meglio è.

La sicurezza informatica secondo Michael Roytman, Distinguished Engineer di Cisco 

Edge9: Il problema della carenza di competenze è uno dei più sentiti dalle imprese, soprattutto in ambito cybersecurity. Come sta agendo la Cisco Networking Academy in questo ambito? Notate un maggior interesse da parte dei partecipanti ai corsi rispetto al passato?

MR: Assolutamente sì. Dal 1997 ha avuto un impatto su oltre 20 milioni di persone. Abbiamo fissato l'ambizioso obiettivo di fornire formazione sulle competenze digitali e di cybersicurezza a 25 milioni di persone nei prossimi 10 anni all’interno del programma Networking Academy. Sappiamo che funziona perché 3,57 milioni di studenti attribuiscono alla partecipazione ai nostri corsi la possibilità di trovare un lavoro. Ma l'Academy è solo uno dei modi in cui stiamo lavorando per colmare il divario di competenze. Il nostro nuovo prodotto XDR è costruito appositamente per consentire agli analisti dei Security Operations Center (SOC) di operare ad alto livello utilizzando l'apprendimento automatico che assiste il processo decisionale direttamente all’interno del prodotto.

Edge9: Con l'espandersi del perimetro da proteggere, mettere in sicurezza le infrastrutture IT e OT è sempre più complesso. Sia Cisco Umbrella sia Cisco Secure X sono proposte come piattaforme che semplificano la gestione e la risposta agli incidenti. Cosa le distingue, sotto il profilo dell'usabilità, da altre alternative sul mercato?

MR: I maggiori elementi di differenziazione in ambito IT e OT risiedono nella gestione delle vulnerabilità e nell'XDR. XDR si avvale di un solido modello di apprendimento automatico e di intelligenza artificiale che serve a scorrere gli eventi e gli avvisi provenienti da tutte le tecnologie di rilevamento, compresi i nostri prodotti concorrenti, fino agli avvisi essenziali e a più alto rischio. Grazie all'acquisizione di Kenna, disponiamo del primo modello brevettato sul mercato per la prioritizzazione delle vulnerabilità. Il bello dell'approccio di Cisco Vulnerability Management è che non abbiamo bisogno di scansionare le risorse per valutare il rischio delle vulnerabilità, consentendo così ai clienti in posizioni delicate di avere una visione completa del rischio delle loro vulnerabilità.

Edge9: Il costo della sicurezza può essere molto elevato per una tipica PMI, in particolare quelle italiane, caratterizzate da piccole dimensioni: quale approccio di sicurezza consiglieresti a realtà di questo tipo, che non possono contare su budget molto elevati?

MR: I costi più elevati di tutti i prodotti di sicurezza sono quelli relativi alle persone. Con modelli ML e AI per il monitoraggio delle e-mail, delle vulnerabilità e dell'XDR, siamo in grado di aumentare l'efficacia degli analisti in modo esponenziale: ecco perché questi prodotti sono perfetti per le PMI. Naturalmente, anche in Italia ci sono molte grandi aziende, critiche a livello globale, che sfruttano la nostra suite completa di offerte.

La sicurezza dell'OT secondo Umberto Pirovano, Sr.Manager, Systems Engineering di Palo Alto Networks

Edge9: I dati sui cyber attacchi indicano un crescente numero di violazioni agli ambienti OT, anche critici. Credi che le nuove regole che verranno imposte con la direttiva NIS 2 daranno un contributo alla messa in sicurezza di questi ambienti?

UP: Tra il 2021 e il 2022, il numero medio di attacchi subìti da ogni cliente nel settore manifatturiero, utility ed energia è aumentato del 238%, con una serie di fluttuazioni stagionali e un aumento generale del 27,5% delle minacce cyber rivolte a questi settori, su tutte le sessioni di rete, secondo i dati raccolti da Unit 42, il threat intelligence team di Palo Alto Networks. Per mitigare questi rischi, è essenziale che le organizzazioni implementino misure di sicurezza complete che coprano tutti gli aspetti dei loro sistemi OT, con valutazioni regolari dei rischi, test di vulnerabilità e formazione sulla sicurezza per tutti gli stakeholder coinvolti, adottando un approccio olistico e proattivo alla sicurezza OT. Le nuove norme rappresentano un significativo rafforzamento delle misure di sicurezza e una spinta alla convergenza dei due ambienti. Se finora l’attenzione degli ambienti OT è stata focalizzata sulla disponibilità dei dati per garantire continuità di servizio e produzione, mentre l’IT si è sempre concentrato sulla loro protezione, le aziende devono ora prepararsi a una convergenza dei criteri, per raggiungere una sicurezza a 360° che includa la salvaguardia di ogni ambito operativo e risorse di un’azienda.

Edge9: Se in ambito IT la percezione dei pericoli derivanti dagli attacchi informatici è piuttosto diffusa, come siamo messi sul fronte OT? Qual è la situazione delle PMI manifatturiere italiane sotto il profilo della sicurezza informatica?

UP: I sistemi di controllo industriale (ICS), i sistemi di controllo di supervisione e acquisizione dati (SCADA) e altri sistemi di tecnologia operativa (OT) sono obiettivi di alto valore per i cybercriminali. Sono tipicamente utilizzati in ambiti che presentano infrastrutture critiche come quello energetico, dei trasporti, manifatturiero e sanitario, in cui qualsiasi interruzione potrebbe avere gravi conseguenze per la sicurezza pubblica, l’ambiente e l’economia. Questi settori devono affrontare un’ampia gamma di minacce alla sicurezza, tra cui malware, ransomware, attacchi fisici, alla catena di approvvigionamento ed exploit di vulnerabilità. In caso di successo, i cybercriminali possono causare perdite di produzione, danni alle apparecchiature o ambientali, e persino mettere in pericolo l’incolumità delle singole persone. Se le grandi aziende sono più avanti nella presa di coscienza della pericolosità degli attacchi, che sono visti non più solo come rischio tecnologico ma capaci di compromettere il business e la produzione, le PMI in particolare sono ancora un po’ in ritardo nel percorso verso la digitalizzazione, nonostante ci sia una crescente consapevolezza del rischio informatico. Nelle realtà più piccole si ragiona ancora a compartimenti stagni, e il rischio è spesso percepito come esclusivamente tecnico, e non impattante sul business complessivo.

Edge9: La difesa degli ambienti OT richiede competenze differenti da quelle necessarie in ambito IT: quali sono, nello specifico? Arriveremo in futuro a una convergenza o rimarranno sempre due mondi separati?

UP: Proteggere i dispositivi OT rappresenta una sfida complessa, perché molti di essi sono sistemi chiusi dove è complesso introdurre un’architettura di cyber-difesa. Inoltre, la necessità di mantenere la continuità operativa limita spesso la possibilità di effettuare una regolare manutenzione della sicurezza. Gli ambienti OT risultano maggiormente a rischio anche quando le aziende adottano nuove tecnologie come il 5G, che consentono una connettività distribuita aumentando la superficie di attacco. Fare security in ambito OT oggi significa anche doverla eseguire in cloud, dal codice all’esecuzione. In Italia stiamo affrontando un contesto caratterizzato ancora dalla mancanza di competenze digitali, e in particolare di quelle specialistiche in sicurezza IT, che diventano sempre più necessarie per contrastare attività cybercriminali in costante evoluzione. Purtroppo, il nostro Paese si posiziona sempre agli ultimi posti nella classifica del numero di laureati in discipline STEAM e STEM, di conseguenza bisognerà impegnarsi in modo significativo, a partire dal settore educativo, per creare percorsi tecnici specializzati utili a formare nuove figure con le adeguate competenze in grado di gestire la sicurezza sotto ogni suo aspetto. Questo impegno dovrà essere ancora maggiore per lo sviluppo di nuove competenze nella sicurezza OT, campo finora ancora poco definito, ma che necessiterà presto di risorse preparate, con la più elevata conoscenza dei rischi e le capacità di affrontarli in modo efficace.

IA e cybersecurity. L'analisi di Marco Catino, Sales Engineer Manager Zscaler

Edge9: Che ruolo ha l'IA nella piattaforma Zscaler?

MC: In cybersecurity, IA e Machine Learning sono strumenti ampiamente utilizzati già da parecchi anni. In particolare, c'è una lunga storia di sfruttamento di questi algoritmi per migliorare la capacità di identificare minacce e riconoscere comportamenti malevoli. Già nel 2018, con l'acquisizione di TrustPath, un'azienda specializzata nello sviluppo di algoritmi di Machine Learning per la cybersecurity, Zscaler ha iniziato una velocissima evoluzione in questo campo. Oggi queste capability sono ampiamente sfruttate in tutte le nostre soluzioni per garantire il miglior livello di sicurezza ai nostri utenti. Sappiamo che alla base di un efficace utilizzo degli strumenti di Machine Learning, e in particolare dei Large Language Models (LLM), sono necessarie grandi moli di dati per l'addestramento. Zscaler elabora quotidianamente oltre 300 miliardi di transazioni, e gestisce il traffico di oltre 40 milioni di utenti. Una volta anonimizzati, questi dati forniscono una sorgente inesauribile di dati di addestramento che consentono di migliorare continuamente l'intelligenza artificiale, fino ad arrivare alla possibilità di prevedere l'aumento del rischio di compromissioni. Per effettuare tali previsioni viene utilizzato il Security Autopilot di Zscaler che è in grado di raccomandare policy di sicurezza e semplificare le security operation. Inoltre, Risk360 e Breach Prediction offrono due nuovi servizi che utilizzano l'intelligenza artificiale in combinazione con fonti di dati esterne per fornire suggerimenti su come mitigare attivamente i rischi. La visione olistica del panorama delle minacce, delle policy e delle configurazioni esistenti aiuta a identificare le lacune. In questo modo, le autorizzazioni di accesso con privilegi eccessivi ad applicazioni e dati sensibili possono essere ridotte e lo sforzo di correlazione manuale ridotto.

Edge9: l'IA è sempre più adottata nell'ambito della cybersecurity: la sua funzione è principalmente quella di automatizzare operazioni ripetitive (controllo e prioritizzazione degli alert, per esempio) oppure ci sono altri utilizzi, sempre in ambito di sicurezza informatica?

MC: L'evoluzione che vediamo oggi nell'utilizzo dell'Intelligenza Artificiale ci sta mostrando quali siano le reali capacità di questa tecnologia. Se fino a non molto tempo fa la usavamo per velocizzare e migliorare task che avremmo anche potuto fare manualmente, oggi abbiamo raggiunto un livello che l'essere umano non potrebbe replicare manualmente. Se, come accennavo in precedenza, pensiamo che alla base degli output di tali algoritmi ci sono basi di dati immense, capiamo immediatamente che manualmente non potremmo mai estrarre le stesse informazioni in tempi utili. Nell'ultimo anno e mezzo abbiamo avuto tutti accesso a strumenti avanzati di IA Generativa, come per esempio ChatGPT, e abbiamo iniziato a capire quali siano le possibilità di tali strumenti. E se sappiamo che i cybercriminali li usano per scrivere email di phishing più credibili o per simulare la voce dei CEO per ingannare il prossimo, la stessa tecnologia può essere utilizzata per la difesa. Per esempio, non e' difficile immaginare un chatbot addestrato su dati, policy e configurazioni di un'azienda, che sia in grado di rispondere immediatamente a domande complesse come: "ci sono attività anomale nella rete X da parte di utenti amministratori?". Penso che i prossimi anni saranno estremamente interessanti e ricchi di evoluzioni e utilizzi dell'intelligenza artificiale che oggi facciamo fatica anche a immaginare.

Edge9: L'IA può semplificare la scrittura di codice di malware, rendendolo accessibile anche ad attaccanti che non hanno grandi competenze: che impatto sta avendo l'adozione di chatGPT da parte dei criminali informatici?

MC: Scrivere exploit per vulnerabilità, confezionare email di phishing difficilmente distinguibili da email legittime, simulare la voce di qualcuno per fare un attacco di tipo vishing (phishing tramite una telefonata), sono tutte attività che la diffusione al pubblico generalista di ChatGPT e altri strumenti simili ha reso possibile. E per quanto ci sia un tuning alle spalle di questi strumenti mirato ad evitare utilizzi inappropriati, sappiamo che i criminali li usano per migliorare la propria capacità di attacco. Nel breve, penso che queste tecniche renderanno la vita più difficile a chi lavora nella cybersecurity, e sarà probabilmente necessario ri-addestrare tutti gli utenti, anche e soprattutto quelli non tecnologici, a riconoscere e difendersi da questo tipo di attacchi. Ma mentre gli strumenti di AI generativa sono accessibili a tutti, criminali compresi, le enormi basi di dati su cui utilizzarli sono appannaggio di pochi. Ed è questo il vantaggio che Zscaler e le altre aziende di cybersecurity avanzate possono sfruttare per mantenere una posizione di vantaggio anche in questo contesto in cui tecnologie avanzatissime sono disponibili per tutti.