Il presente e il futuro di Check Point Software: così possiamo definire i punti di vista di Gabi Reish e Tomi Teller, rispettivamente Vice President of Product Management, e Security Innovation Research Manager and Evangelist della specialista israeliana di IT Security, che abbiamo intervistato al recente evento CPX 2014 Barcelona. Reish infatti ha fatto il punto sull’offerta attuale di Check Point, mentre Teller ha parlato degli sviluppi tecnologici in corso.
Può chiarire il concetto di Software Defined Protection (SDP), e spiegare quali nuovi benefici può assicurare rispetto alle soluzioni di IT Security precedenti?
Reish: La Software Defined Protection è il risultato del lavoro svolto in un anno e mezzo. L’idea nasce dal dialogo con i clienti, da cui sono emersi due aspetti. Il primo è l’eterogeneità delle soluzioni e tecnologie che formano un tipico ambiente IT aziendale, cresciuto come un “tetris” per successive aggiunte legate a problemi specifici e del momento. Ci chiedono di rendere più semplice la gestione della sicurezza IT. La sicurezza IT dev’essere semplice, modulare, estendibile facilmente man mano che cresce l’organizzazione. Un altro problema molto sentito è come definire una security network da zero, o ridisegnarla completamente: questo succede per esempio quando si costruisce un nuovo data center, o quando due aziende si fondono. In questo caso serve un blueprint, un insieme di best practice, ed questo che fa la Software Defined Protection. Il concetto di base di SDP è fornire ai clienti un insieme di strumenti molto semplici e best practice su come costruire una security network. Come abbiamo mostrato stamattina ci sono diversi layer, di enforcement, di controllo, di intelligence, insomma servono “muscoli”, cioè strumenti, soluzioni, e “cervello”, cioè capire cosa sta succedendo nella rete, e usare subito questa comprensione per assicurare una buona protezione. E al di sopra di tutto uno strato di management.
Può spiegare in dettaglio come funziona Threat Cloud Intellistore, il “marketplace” che avete annunciato a Barcellona?
Reish: è profondamente connesso al concetto di SDP. Abbiamo detto che SDP assicura controllo e un buon livello di protezione: quest’ultimo si può ottenere solo con l’intelligence, ovvero la capacità di raccogliere e analizzare informazioni, e abbiamo diversi modi di raccogliere informazioni. Attraverso nodi e gateway nella nostra rete, altri feed e ricerche, e ora con IntelliStore attraverso le informazioni provenienti da altri partner, società che operano in nicchie molto specifiche dell’IT Security. IntelliStore introduce tre importanti innovazioni. Una è il fatto di mettere a disposizione dei nostri clienti molte informazioni che in precedenza per loro erano inaccessibili. Nello user center del nostro sito web c’è una lista di tutti i feed di intelligence, al momento sette partner che hanno aderito dopo soli 10 giorni, ciascuno con diverse caratteristiche, di collocazione geografica, di area e settore di specializzazione. I clienti possono scegliere i feed di loro interesse. Altra innovazione è che in precedenza informazioni e strumenti come questi si usavano solo mentre si era sotto attacco, o dopo l’attacco. Ora invece questi feed alimentano Threat Cloud, che a sua volta alimenta con informazioni il nostro security gateway. In questo modo le informazioni provenienti dai feed aiutano a proteggersi attivamente appena avviene l’attacco e anche a prevenirlo. Terza innovazione: l’informazione va a ogni security gateway automaticamente. Se il cliente sceglie un feed poi non deve fare altro. Noi forniamo strumenti per capire quale feed può essere più utile. Oggi sul mercato non c’è una soluzione simile, le uniche che ci sono riguardano l’event management, cioè il monitoraggio a posteriori di attacchi, non la prevenzione.
Qual è l’importanza della rete di VAR e reseller per Check Point?
Reish: abbiamo reseller e VAR in tutto il mondo, in molti casi sono il nostro front-end verso il mercato e i clienti. Da quando Check Point è nata facciamo affidamento sui partner, eventi come questo sono rivolti anche a loro, per aggiornarli e allinearli sulle nostre strategie, condividere informazioni, sia sui nostri sviluppi di prodotto che sullo scenario del malware e delle minacce alla sicurezza IT, avere feedback da loro e per definire iniziative congiunte di marketing.
Oggi il CEO Gil Shwed ha parlato di una strategia unificata di IT Security articolata in tre componenti: protezione multi-livello contro le minacce; intelligence sfruttata in tempo reale; e difesa dei dati su tutte le reti e device aziendali. Concretamente con quali soluzioni si realizza questo approccio?
Reish: abbiamo una piattaforma unica che copre gran parte delle funzioni utili di IT Security, e che è alla base dei nostri Gateway, Appliance e Software Blade. Inoltre offriamo anche funzioni di sicurezza sugli endpoint, cioè su desktop e laptop. Le due piattaforme ovviamente sono integrate e si completano: posso gestire alcuni aspetti di protezione sulla rete, altri sugli endpoint. Quindi threat prevention, web security e data security li gestiemo tramite i gateway, e un’altra parte di funzioni sugli endpoint in base alle attività di business che l’azienda deve fare appunto sui terminali.
Nel suo intervento al CPX 2014 di Barcellona il vostro CEO Gil Shwed ha detto che il Mobile è l’anello debole dell’IT Security: su cosa sta lavorando la ricerca in questo campo?
Teller: le tecnologie Mobile sono state sviluppate senza porsi il problema della loro controllabilità, quindi ora a posteriori è molto complicato “proteggere” un ambiente Mobile. Questo è il motivo per cui stiamo vedendo molte startup inventarsi nuove nicchie in questo campo, che comunque si possono ricondurre tutte all’ampio concetto di Mobile Device Management: non diamo all’utente accesso a tutti i dati, ma solo a quelli di cui ha bisogno secondo la sua azienda. Questo si realizza con diverse tecnologie, tra cui la containerization. Il fatto è che l’MDM è una buona soluzione ma non è sufficiente, perché quando sei fuori dall’azienda non sei protetto da tutti gli strumenti e sistemi che l’azienda implementa nel suo perimetro. Per questo Check Point propone una soluzione Cloud che estende la protezione a qualsiasi device anche se si trova fuori dall’azienda.
Uno dei trend più interessanti in corso nell’ICT è l’esplosione dell’ambito Internet of things: come cambierà il lavoro e le responsabilità del Chief Information Security Officer?
Teller: se il Bring Your Own Device è un incubo dal punto di vista della sicurezza, quello che possiamo chiamare il “bring your own thing” sarà peggio. Anche in questo caso gli “smart object” non sono sviluppati e prodotti ponendosi il problema della loro sicurezza IT, ma il fatto è che se una cosa può accedere alla rete e avere un indirizzo IP, fa parte della rete a tutti gli effetti, ed è esposta a tutti i rischi del caso. Tra poco tempo chi va a una conferenza avrà un “give-away”, un oggetto usa-e-getta con un indirizzo IP che potrà usare per connettersi alla rete e ad altre persone all’evento, scambiarsi dati e informazioni e così via. Come proteggere la comunicazione che avviene tra questi oggetti, e l’infrastruttura da attacchi che da essi possono provenire? Questo è uno degli aspetti su cui stiamo lavorando con il mio team.
Qual è secondo lei il rischio più sottovalutato nelle odierne strategie di IT Security nelle aziende?
Teller: è il “social engineering”, cioè il fattore umano. Ci concentriamo troppo sulla tecnologia, sull’automazione, e ci dimentichiamo sempre l’anello più debole. Quando parlo di social engineering intendo tutto ciò che è sotto il controllo di una persona, dai server alle reti. Man mano che le tecnologie di sicurezza evolvono, gli attacchi completamente automatizzati zero-day sono sempre più complessi: è più facile cercare un punto debole umano, qualcuno da corrompere.
Qual è secondo lei il più interessante sviluppo in corso nell’IT Security?
Teller: nel mio team sono in corso diversi progetti, ma forse il più interessante riguarda l’emulazione di attacchi e malware. Possiamo ingannare i malware, fargli eseguire cose innocue facendogli credere di star facendo i danni per cui sono stati pensati. Possiamo sviluppare dei “friendly malware” che “infettano” fittiziamente una macchina prima che arrivi il vero malware, il quale quindi non agisce.