Le aziende italiane sono alla ricerca di soluzioni sempre più smart, in risposta al problema di proteggere meglio infrastrutture, dati e applicazioni, ma anche reputazione e relazione con i clienti. A fronte di una domanda più matura, nasce l’opportunità per le startup innovative di crescere rapidamente sul mercato italiano e internazionale, come stanno dimostrando oggi diverse realtà nazionali.
Tra le startup innovative italiane della cybersecurity, la Certego di Modena da qualche anno affianca a un concetto di prevenzione di stampo tradizionale quello di rilevamento (Rapid Detection) e di capacità di risposta (Incident Response Coordination), all’interno di un modello definito “Adaptive Cyber Defense”, che va incontro alla domanda di molte aziende.
“Siamo nati 4 anni fa con l’obiettivo di sviluppare una nostra piattaforma, Certego PanOptikon, con un approccio diverso da quello seguito finora da system integrator e società di consulenza – commenta Bernardino Grignaffini, CEO e fondatore di Certego -. In pratica, siamo nati fin dall’inizio come Managed Security service provider, o meglio, secondo la definizione data da Gartner, come Managed Detection & response (MDR) service provider. Abbiamo sviluppato una piattaforma di Anomaly Detection e di Security Orchestration che si occupa di rilevare le circostanze sospette sui sistemi dei nostri clienti, di svolgere attività di Digital Investigation e di coordinare le operazioni di Incident Response per ridurre gli impatti degli attacchi sul business dei clienti”.
L’errore più diffuso commesso dalle aziende nell’impostare le strategie di difesa dagli attacchi informatici è quello di ragionare quasi esclusivamente in termini di controlli di tipo preventivo, ovvero di tecnologie e processi che riducono la probabilità di attacco. L’approccio di Certego, invece, consiste nella capacità di identificare rapidamente la presenza di attacchi in modo da ridurne gli impatti. “Abbiamo codificato centinaia di procedure di Incident Response (“playbook”), continuamente aggiornate e basate su best practices internazionali – aggiunge Grignaffini -. In questo modo, una volta identificato l’incidente e le sue possibili conseguenze, il team di Incident Response di Certego si occupa del coordinamento delle azioni correttive da intraprendere”.
La società ha registrato una crescita costante e sostenuta del business: conta oggi 70 clienti, di cui 50 in Italia (grandi banche, industrie, enti pubblici, università, enti sanitari pubblici e privati) e 20 in diversi Paesi esteri (tra cui Europa, Medio-oriente e Stati Uniti), il tutto grazie al modello di erogazione del servizio di tipo Cloud-based. “Per attivare il servizio, è sufficiente inviare al cliente un’appliance preconfigurata: per il resto, la fruizione del servizio avviene completamente attraverso la nostra piattaforma in cloud e le nostre app per IOS e Android.
Oltre all’attività di IR, svolgiamo servizi di Threat Intelligence che hanno particolare valore soprattutto per i clienti italiani in quanto ricavati da analisi condotte prevalentemente su reti e sistemi nazionali. La piattaforma di Threat Intelligence ci permette di studiare e codificare le tecniche, le tattiche e le procedure che caratterizzano gli attacchi più recenti e complessi, permettendoci quindi di rilevare rapidamente una condizione di compromissione e predisporre le misure di difesa più efficaci”.
Integrare attività di Threat Intelligence e pratiche di Incident Response è oggi un trend che sta incontrando sempre più interesse per i numerosi outcome positivi che offre. “La conoscenza che nasce da un’attività analitica continuativa sugli incidenti permette di impostare processi di risk management non più basati su best practice generiche ma di tipo Evidence-based – dice Bernardino Grignaffini – ovvero basati su evidenze reali acquisite su un ambito specifico. In questo modo è possibile comprendere quali sono i punti di forza e di debolezza di un’infrastruttura di sicurezza e capire come adattarla per essere sempre più resiliente ai diversi tipi di attacco. Parliamo appunto di “Adaptive Cyber Defense”, ovvero di una strategia di difesa non basata su pratiche generiche ma sull’analisi di dettagli degli attacchi subiti da una specifica organizzazione e sui loro effetti”. Un approccio che mette in discussione l’attuale ricorso saltuario a Vulnerability Assessment sui sistemi, molto frequente nelle aziende. “Non crediamo molto nell’utilità di un VA che rappresenta di fatto una fotografia istantanea della situazione, perché il profilo di rischio cambia dinamicamente, con il rilascio di nuove applicazioni, con l’evoluzione delle vulnerabilità e delle attività malevole. Quello che serve secondo noi è un monitoraggio continuativo degli attacchi e delle vulnerabilità”.
In prospettiva si prefigura un’esplosione di rischi cyber collegati all’Internet of Things. Quale situazione osservate in questo ambito? “In questo momento, l’attenzione principale dei cyber criminali è rivolta principalmente a quelle tipologie di attacco che garantiscono bassi rischi e alte prospettive di ricavi, come ad esempio gli attacchi di Ransomware. La nostra piattaforma è tuttavia già in grado di identificare minacce anche in ambito IoT e SCADA/ICS – aggiunge Grignaffini – Riteniamo infatti che sia solo una questione di tempo e che assisteremo ad un aumento di attacchi IoT e SCADA non appena la criminalità informatica sarà in grado di monetizzare efficacemente anche questo tipo di azioni”.
A cura di:
Elena Vaciago, The Innovation Group
