Autore: Carlos Lillo, direttore di ClickCiber News e AM di Telefónica per Ingecom
Negli ultimi tempi, una nuova speranza è arrivata per completare il puzzle delle soluzioni avanzate di cybersecurity. Ci riferiamo al Network Detection and Response (NDR), che secondo Gartner giocherà un ruolo rilevante, essendo il terzo vertice del triangolo della virtù insieme a EDR e SIEM.
ClickCiber ha intervistato il responsabile per il mercato Iberico e italiano di ExtraHop, uno dei produttori che sta avendo maggior successo, stando ai riconoscimenti ricevuti a livello mondiale.
Intervista a Christian Buhrow, Sales Director DACH per Pensiola Iberica e Italia
DOMANDA.- Il triangolo della virtù formato da NDR, EDR e SIEM è davvero così importante?
Sì, perché se vuoi recuperare il tuo ambiente al 100%, non c'è altra alternativa. I nostri clienti confermano continuamente che l'analisi dei file di log e gli agenti di tipo EDR rispondono solo al 60% delle esigenze. Il grande buco nero che rimane scoperto può essere completamente protetto utilizzando l'analisi del traffico. La rete è quasi sempre il gateway e il mezzo di trasmissione delle minacce. Se non si ha questa visibilità, si può essere molto vulnerabili.
DOMANDA.- In che modo ExtraHop completa un EDR o un SIEM?
Proprio come dicevo prima, è necessario individuare la parte scoperta a livello di rilevamento e poi integrarla con il SIEM e gli EDR. Questo SOC Visibility Triad, descritto da Gartner, deve essere chiuso attraverso l'integrazione bidirezionale delle soluzioni. NDR e SIEM sono meccanismi di rilevamento che sono tipicamente poco reattivi. Quindi, la risposta deve risiedere in EDR, NAC o Firewall, che possono rispondere alle minacce. Per questo motivo bisogna integrare la parte di rilevamento con strumenti di risposta automatica.
DOMANDA.- Un NGFW non può avere questa funzione?
Un NGFW non è progettato per questa funzione, non ha la visibilità e nemmeno la capacità di fare analisi continue dal livello 2 al livello 7. Per esempio, ci sono FW che possono fare un TCPdump, ma questo è molto diverso in un NDR, che monitora continuamente i movimenti nella rete, supportato dal machine learning. Inoltre, gli FW lavorano normalmente solo con il traffico nord-sud.
ExtraHop analizza ogni movimento e ogni comunicazione nel traffico Est-Ovest e comprende i protocolli dal livello 2 al 7. In questo modo sappiamo quando c'è un'irregolarità o un'anomalia nelle comunicazioni.
DOMANDA.- Qual è la proposta di ExtraHop per il mercato spagnolo?
La Spagna è la quarta economia più grande d'Europa. Ci sono aziende molto sofisticate con una maturità impressionante. Altre aziende meno pronte, così come altri paesi dell'UE, stanno lentamente iniziando a concepire il problema del rilevamento.
L'era NDR è iniziata nel 2020: la varietà di attacchi dell'anno scorso, come lo “tsunami” dei ransomware, Ripple20, Zerologon, Solarwinds, Sunburst, ecc. rendono molto chiaro che le tecnologie esistenti non erano sufficienti. Ci vuole qualcosa di più efficace e ora capiamo che l’NDR è esattamente ciò che serve per una miglior visibilità, per capire la provenienza di questi attacchi e per essere in grado di monitorare e reagire allo stesso tempo. Tutte le aziende che hanno subito attacchi nel 2020, avevano un SIEM attivo e non sono state in grado di rilevare per tempo gli attacchi che hanno subito.
DOMANDA.- Perché i SIEM non hanno funzionato?
La risposta è semplice: perché i dati rilevanti non passano attraverso i registri. Il dettaglio è nei pacchetti di rete, ma non nei log.
DOMANDA.- Lei gestisce paesi molto diversi: Germania, Svizzera, Spagna, Grecia, Italia... Ci sono differenze tra loro che vorrebbe sottolineare?
Onestamente, sono contento dei clienti spagnoli. Sono interessati, curiosi e aperti a nuove idee e tecnologie: ascoltano e pensano. Sfortunatamente, non sempre hanno budget disponibili per le innovazioni, ma lo capiscono e pianificano le loro strategie.
I tedeschi, per esempio, sono molto più lenti: sono buoni ingegneri, ma pessimi informatici. Anche se può sembrare il contrario, non è uno scherzo. In Germania, le aziende hanno troppa gerarchia, il che rende difficile la velocità e la flessibilità. Il modo di lavorare tedesco include la pianificazione del 2023 sulla base delle tecnologie del 2019.
Tra i territori sotto la mia responsabilità, la Grecia è un paese molto aperto e flessibile, ma con meno potere d'acquisto. Dipende molto dal mercato turistico, bloccato purtroppo al momento dal Covid. Sembra che il buon olio d'oliva apra la mente delle persone!
DOMANDA.- Allo stato attuale, dove a causa del Covid-19 l'attività di business è stata delocalizzata con molti dipendenti a casa, che impatto avrà l'adozione di soluzioni NDR?
Il nuovo ambiente mutevole costringe le aziende a improvvisare, implementando soluzioni in modo molto flessibile e veloce, come la migrazione al cloud pubblico, le connessioni remote, i token e le VPN, ecc. Tutto questo richiede tecnologie che supportino la sicurezza, la flessibilità e il monitoraggio delle prestazioni con dati affidabili che, casualmente, possono essere estratti attraverso l'analisi del traffico.
DOMANDA.- C'è qualcos'altro che vorresti aggiungere?
Sì, vorrei concludere con un'ultima parola: visibilità! Sono convinto che sia la chiave del potere:
Nessuna tecnologia fornisce tanta visibilità quanto l'analisi del traffico a livello di pacchetto. ExtraHop è il leader mondiale nel fornire tale possibilità in modo accurato e in tempo reale.
Puoi leggere all'intervista originale sul sito di ClickCiber.