Una chiacchierata a tutto campo con il management della società per capire come sta evolvendo l’approccio alla luce delle nuove minacce informatiche
Autore: Edoardo Bellocchi
È in occasione dell’evento Sophos Day 2022, tenutosi a Milano a fine ottobre, che ImpresaCity ha avuto l’occasione di incontrare alcune persone dell’azienda per fare il punto sulle novità più recenti del vendor attivo nella cybersecurity as a Service. A cominciare da quella certamente più succosa, relativa all’annuncio di metà ottobre, in cui il servizio MDR, Managed Detection and Response, di Sophos diventa compatibile con le tecnologie di cybersicurezza di terze parti.
Questa compatibilità si realizza con l’integrazione, all'interno del Sophos Adaptive Cybersecurity Ecosystem, della telemetria delle tecnologie di terze parti per la protezione di endpoint, firewall, cloud, identità, email e altro. In questo modo, si evitano sprechi e si ottimizzano le risorse, in quanto gli addetti alla security dovranno interfacciarsi con una sola console, e si aumenta la possibilità di rilevare e neutralizzare gli attacchi in modo rapido e preciso in ambienti operativi e clienti diversificati.
Nel dettaglio, Sophos MDR diventa compatibile con la telemetria di vendor come Microsoft, CrowdStrike, Palo Alto Networks, Fortinet, Check Point, Rapid7, Amazon Web Services (AWS), Google, Okta, Darktrace e molti altri. La telemetria può essere automaticamente consolidata, correlata e prioritizzata con insight provenienti dal Sophos Adaptive Cybersecurity Ecosystem e dall'unità specializzata in threat intelligence Sophos X-Ops. Tali integrazioni sono rese possibili dalla tecnologia che Sophos ha acquisito attraverso SOC.OS nell'aprile 2022.
A David Mareels, CEO e Co-founder di SOC.OS e oggi a capo del product management SOC, chiediamo le motivazioni alla base dell’approccio all’integrazione delle tecnologie di terze parti: “si tratta di una richiesta che viene dal mercato, perché da tempo i clienti non hanno più un unico vendor di sicurezza all’interno delle loro aziende e organizzazioni, e questo a volte produce molto ‘rumore di fondo’ che ostacola la visibilità sugli eventuali attacchi. Con il nostro sistema, riusciamo ad avere maggiore visibilità lungo tutto lo stack della security, grazie a i dati che provengono dalle soluzioni e grazie all’expertise dei nostri team”.
Anche perché, prosegue Mareels, “nello scenario della cybersecurity di oggi, occorre avere sempre il quadro completo, in quanto anche le migliori soluzioni dei singoli vendor forniscono solo una immagine parziale, che occorre inserire nel contesto, che si può avere solo con una visibilità cross su tutto cioè che c’è in azienda, dalla rete fino ai firewall e agli endpoint”.
Sviluppando ulteriormente il discorso, David Mareels spiega che “come vendor siamo sempre stati presenti nell’ambito EDR, Endpoint Detection and Response, ma adesso con i servizi che abbiamo messo on top possiamo fornire servizi di tipo vendor agnostic su una gamma ampia di tool: attualmente ne copriamo 48, ma è un numero che cresce, anche per soddisfare le richieste che provengono dal mercato, con i clienti che ci chiedono continuamente di fornire servizi sulle soluzioni che hanno in casa”
Per questo, sfruttando tecniche su misura per l'elaborazione e la correlazione dei dati acquisiti attraverso tutte queste fonti di telemetria, il team Sophos MDR è in grado di capire rapidamente il chi, il cosa, il quando e il come di un attacco rispondendo alle minacce presenti nell'intero ecosistema dei clienti nell'arco di pochi minuti. Il team Sophos MDR può utilizzare anche la telemetria di altri vendor per la ricerca delle minacce e identificare comportamenti sospetti che siano riusciti a evadere il rilevamento dei toolset già presenti.
Non solo: Sophos MDR è customizzabile con differenti livelli di servizio e opzioni di risposta alle minacce. I clienti possono scegliere se affidare al team Sophos MDR l'esecuzione dell'intera risposta a un incidente, oppure ottenere assistenza collaborativa in caso di minacce confermate, o ancora ricevere alert dettagliati per allertare i propri team di sicurezza interni per un successivo intervento autonomo.
La necessità di maggiore interoperabilità dato lo scenario della cybersecurity di oggi è sottolineata anche da Peter Mackenzie, Director of Incident Response Team di Sophos, che ribadisce che “gli attacchi sono sempre più avanzati anche perché guardano molto alle infrastrutture, e provengono spesso da gang che mirano a trarre vantaggi economici con il ransomware, che riguarda un numero elevatissimo di casi, oppure provengono da Paesi che mirano ad acquisire proprietà intellettuale o anche a fare spionaggio di tipo più classico”.
Un altro tipo di attacco, prosegue Mackenzie, “è quello volto a entrare nelle reti, con quello che noi definiamo come ‘Initial Access Break’, che non ha conseguenze nell’immediato, ma serve ai malintenzionati a mappare le infrastrutture di rete delle aziende e delle organizzazioni, per poi utilizzare tali informazioni in momenti successivi oppure rivenderle sul mercato, talvolta anche a prezzi davvero ridicoli: abbiamo saputo di casi in cui la mappa della rete di un’azienda molto importante è stata venduta per soli 10 dollari”.
Infine, c’è anche l’occasione di uno scambio di battute con Marco D’Elia, Country manager di Sophos Italia, che esordisce con qualche dato di business: “nel corso dell'anno fiscale 2022, concluso a fine marzo scorso, abbiamo avuto una crescita superiore a un miliardo di dollari nel fatturato derivante da contratti a livello globale, e in Italia, rispetto all'anno precedente, si è avuta una crescita pari al 15% del fatturato derivante da contratti”.
Tra i fattori di questi successi, prosegue D’Elia, c’è quello di “non essere solo l’essere l’azienda più longeva nell’ambito della cybersecurity, visto che siamo attivi dal 1985, ma anche il fatto di aver da tempo adottato la scelta strategica di non essere più percepiti come azienda di prodotto, ma anche e soprattutto di servizi, con la nostra vasta proposta di Cybersecurity as a Service”.
Questo risponde a quello che è un problema tra i più sentiti di oggi: “quello della mancanza in molte aziende, a cominciare ovviamente dalle Piccole e Medie Imprese per arrivare talvolta anche a quelle di maggiori dimensioni, delle competenze sempre più necessarie in ambito cybersecurity. Si tratta essenzialmente di un problema di servizi, di tecnologie e di processi, che impone una scelta tra il ‘make’ e il ‘buy’, e se è ovvio che per le PMI la scelta è obbligata verso il buy, anche le aziende di maggiori dimensioni devono decidere il giusto compromesso tra le due scelte, e la nostra vasta offerta di Cybersecurity as a Service è la giusta risposta per tutti”, conclude Marco D’Elia.