Difendersi dal ransomware, intervista a Luca Besana di SentinelOne

L'obiettivo di SentinelOne è quello di assicurare elevati livelli di sicurezza degli endpoint e, in caso di attacco, di agevolare la comprensione degli eventi.

difendersi dal ransomware - Sentinel One

Come conferma il rapporto Clusit 2022, rilasciato proprio in questi giorni, il malware – e in particolare il ransomware, è lo strumento più utilizzato per un attacco informatico. Abbiamo fatto il punto della situazione con Luca Besana, Channel Business Manager per la Mediterranean Region di SentinelOne.

– Quanto è diffuso oggi il ransomware e come ci si può difendere?

Il ransomware effettivamente è molto diffuso, e il motivo della sua diffusione è semplicissimo. Delle varie categorie di malware, il ransomware oggi è quello più profittevole ed economico. Può essere inoculato via phishing, e quindi utilizzato anche in attacchi non mirati, ed è disponibile persino in modalità as-a-service. Esistono infatti organizzazioni che permettono di acquistare a prezzo contenuto, a volte addirittura tramite piattaforme come GitHub (quindi senza neppure doversi collegare al cosiddetto dark web), strumenti ransomware pronti all’uso. Ciò significa che gli attacchi ransomware possono essere sferrati con una spesa minima anche da chi non ha particolari competenze tecniche.

Proprio di recente abbiamo dimostrato ai nostri partner commerciali quanto sia facile oggi effettuare un attacco: in poco più di mezzora abbiamo creato il malware, poi l’abbiamo lanciato con successo verso un sistema di test che era – è importante sottolinearlo – non vulnerabile, quindi aggiornato con le patch di sicurezza più recenti. Abbiamo simulato un attacco di tipo supply chain: abbiamo colpito un ipotetico fornitore di questo cliente fittizio mostrando che l’aggiornamento software di una soluzione può portare all’installazione di un ransomware invece dell’aggiornamento legittimo. Il tutto ha richiesto circa un paio d’ore, e ha dimostrato un altro motivo della elevata diffusione degli attacchi ransomware: la loro velocità.

Per quanto riguarda la difesa, non esiste una risposta univoca. La problematica deve essere affrontata in una varietà di modi, dalla formazione delle persone – condizione necessaria ma certo non sufficiente – alla tecnologia, per arrivare alla presenza in azienda di figure dedicate espressamente alla sicurezza, presenza che non sempre riscontriamo.

Dovendo proprio dare una risposta binaria, la chiave di una difesa efficace è la velocità. Oggi, la cybersecurity è ancora affrontata in modo reattivo e spesso quello che viene definito dwell time, ovvero la distanza temporale che intercorre tra la presenza di un attaccante e il suo riconoscimento da parte del team di security supera in media i 150 giorni. Ridurre drasticamente questo periodo è fondamentale, in modo che l’attaccante abbia poco tempo per raccogliere informazioni e per diffondersi all’interno del network. Perché se da una parte ci sono gli attacchi ransomware basati sul phishing, che sono forse i più semplici da risolvere e i meno distruttivi, ce ne sono altri di tipo mirato, che prevedono un’analisi del target di lunga durata e sono ancora più pericolosi: essi la velocità di identificazione della minaccia e della successiva risposta in questi casi è critica.

– La cybersecurity è diventata una priorità per le aziende o viene ancora vista come un costo invece che come un investimento?

Io ho un metodo di analisi empirico, basato sulle cosiddette deal registration. Si tratta delle segnalazioni, da parte dei nostri partner, di potenziali clienti che hanno mostrato interesse e quindi di opportunità commerciali. Quello che vedo è che le dealer registration hanno un andamento che segue la situazione contingente. In questo momento di forte tensione geopolitica ho riscontrato un enorme innalzamento di queste segnalazioni.

Purtroppo sono convinto che si tratti di un qualcosa di momentaneo; l’attenzione c’è, ma è un’attenzione che passa in secondo piano quando viene meno l’urgenza. Ad esempio, quando c’è stato l’attacco alla Regione Lazio nell’agosto dello scorso anno la cybersecurity è stato un argomento al centro dell’interesse. Interesse che poi però si è spostato altrove. Quello che manca, secondo me, è la facilità di connettere la cybersecurity al business. Spesso è difficile per noi trasmettere al CEO o al CFO (il CISO naturalmente è molto più vicino a questo tema) il fatto che la mancata valutazione di aspetti legati alla cybersecurity potrebbero compromettere in modo inesorabile il business.

Noi parliamo molto di ROI; ovvero di ritorno sull’investimento, un elemento importante della nostra proposta. La nostra soluzione si basa sull’idea che l’essere umano non deve essere lasciato da solo a gestire la tecnologia: quest’ultima deve essere abilitante. L’impiego dell’intelligenza artificiale per noi deve diminuire l’impatto che la gestione di una tecnologia di security ha su un essere umano. Questa è una cosa che può essere monetizzata: se il team di security non lavora più in emergenza continua grazie a una tecnologia permette di anticipare le problematiche e risolverle prima che diventino critiche, il vantaggio in termini puramente economici è evidente.

Per tornare alla domanda principale, comunque, l’attenzione verso la cybersecurity sta sicuramente aumentando, ed è un processo inesorabile. Ci sono però dei picchi che sono ancora troppo vincolati alla situazione del momento. Questo per quanto riguarda il cliente finale, perché lato partner riscontriamo un livello di attenzione e di competenza tecnica in fortissimo aumento. Stiamo lavorando moltissimo sul tema dell’Incident Response, che è comunque una parte importante del nostro business, proprio grazie a una rete di partner locali molto qualificati.

ransomware

– Qual è l’elemento distintivo della vostra offerta? In che cosa vi distinguete dai competitor?

Noi abbiamo una proposta che è focalizzata sull’endpoint security. Il nostro obiettivo è far sì che un endpoint possa rimanere sicuro (quindi parliamo di prevenzione) e, in caso di attacco, possa essere facile capire che cosa è successo. Questo tipo di attività viene definita EDR (Endpoint Detection and Response).

La maggior parte dei nostri competitor considera la parte di response, ovvero di risposta all’attacco, come l’informazione trasmessa al team di security relativa al problema che deve essere risolto. La nostra proposizione va oltre: non ci limitiamo ad indicare qual è stato l’attacco e qual è il problema, per noi la “R” di EDR significa non solo response ma anche remediation e rollback, cioè risanamento e ripristino. Naturalmente abbiamo anche un’attività preventiva, basata sull’intelligenza artificiale: il nostro primo obiettivo è evitare che il sistema venga compromesso. Non possiamo però limitarci a questo, dato che nella guerra tra attaccante e difensore il difensore è inevitabilmente sempre un passo indietro.

Il nostro agente software, in maniera autonoma – quindi anche disconnesso dalla rete – può non solo verificare che cosa è successo ma anche bonificare la macchina e ripristinare tutto quello è stato compromesso dal software malevolo . Ad esempio, nel caso entri in azione un ransomware, l’agente SentinelOne lo riconosce, lo blocca, lo elimina, cancella grazie alla nostra tecnologia proprietaria Storyline le modifiche che è riuscito ad apportare e – nel caso di una macchina Windows – ripristina i documenti cancellati o cifrati, sfruttando il servizio Volume Shadow Copy. Tutto questo senza richiedere intervento umano. Il risultato, in termini economici, è una drastica riduzione di gestione dei costi delle minacce per le aziende di qualunque dimensione, piccole, medie o grandi.

– Quanto è efficace la vostra tecnologia nei confronti del ransomware?

Posso rispondere dicendo che non abbiamo un solo cliente, a livello globale, che sia stato mai compromesso da un ransomware. Questa non è solo una nostra affermazione, ma è anche quanto emerge nel rapporto “The Forrester New Wave: Extended Detection And Response (XDR) Providers” rilasciato alla fine dello scorso anno. Sempre Forrester, in un rapporto di poco più di un anno, fa ha rilevato che l’adozione di SentinelOne produce un ROI superiore al 350%.

La nostra tecnologia non si limita al semplice ripristino dei file, ma effettua anche un “rimedio chirurgico” di tutto quello che è avvenuto sulla macchina, sgravando il team IT da attività molto onerose in termini di tempo: bisogna prendere un sistema di riserva, ripristinarlo, caricare i dati e infine installarlo presso l’utente. Sono tutti costi che scompaiono. Bisogna anche considerare che le aziende, in seguito alla pandemia e al ricorso allo smart working, hanno di fatto aperto inconsapevolmente un numero enorme di “filiali remote” che magari ospitano asset critici e presso le quali l’intervento umano sarebbe ancor più disagevole e il tempo di risposta inevitabilmente più lungo. In questi casi avere un agente che dà una risposta autonoma anche in caso di indisponibilità della connessione al cloud è un vantaggio competitivo enorme.

SentinelOne

La soluzione SentinelOne è molto efficace, peraltro, anche sul fronte della prevenzione, e una conferma in questo senso arriva ad esempio dal rapporto MITRE Engenuity Enterprise Evaluation rilasciato a metà dello scorso anno. MITRE Engenuity è un’organizzazione non-profit USA che ha sviluppato dei framework in cui vengono catalogate tutte le tecniche e le procedure di attacco oggi note. Ogni anno rilascia un rapporto di valutazione delle tecnologie EDR nei confronti degli attacchi multifase, quindi particolarmente complessi. Per il rapporto dello scorso anno ha utilizzato due framework, uno per il mondo finanziario e uno per quello dell’healthcare, invitando i principali vendor a partecipare al test. Il rapporto finale comprende una valutazione del comportamento dei tool di sicurezza utilizzati: in particolare la capacità di identificare le 174 fasi che componevano i due attacchi e la qualità dell’analytic detection (cioè l’abilità di segnalare, nell’ordine, la presenza di un attore malevolo, la motivazione dell’attacco e la sua eventuale tipologia secondo la classificazione del MITRE).

Senza il ricorso a competenze umane, cioè senza impiegare servizi di Threat Hunting, la soluzione SentinelOne ha sbaragliato la concorrenza riuscendo a identificare tutte le 174 fasi che componevano gli attacchi e fornendo informazioni analitiche per 159 di esse. Vuol dire che out-of-the-box, così com’era stata installata e senza bisogno di personalizzazioni, la nostra soluzione non si è lasciata sfuggire nulla e in 159 casi ha verificato esattamente che cosa stava succedendo mappando gli attacchi in base alla classificazione del MITRE.

Come aiutate i vostri partner a rimanere aggiornati? Avete un programma di certificazione?

Abbiamo tre tipologie di formazione. Innanzitutto i nostri partner possono accedere ai nostri corsi di formazione online e gratuiti (anche se questo termine non mi piace perché il tempo che una persona dedica al corso di per sé è un costo). Ci sono poi due percorsi evolutivi pensati per i partner che fanno Incident Response, con l’obiettivo di dare qualità all’utente finale soprattutto nel momento della crisi.

Intervenire in fase di prevendita è facile: si fa vedere una demo, si lavora su un ambiente di test, e non vi è alcun impatto sul business. Fare attività di Incident Response quando il cliente è compromesso e magari si ritrova con dati crittografati abusivamente è ben altra storia. Abbiamo un programma specifico per i partner di questo tipo, di formazione sia sulla piattaforma sia sull’Incident Response e la Threat Intelligence, e un altro, chiamato SIREN (SentinelOne IR Engineer), che ha l’obiettivo di renderli autosufficienti nel risolvere le problematiche del cliente in caso di disastro.

Cloudflare e Zscaler nel marketplace Singularity SentinelOne

Facciamo anche formazione continua sia verso i clienti finali, con quella che chiamiamo SentinelOne University, sia verso i partner, ai quali rendiamo disponibili con cadenza trimestrale aggiornamenti sia sulle nostre soluzioni sia su quello che succede nel mondo della cybersecurity. In Italia, poi, in collaborazione con il nostro distributore Exclusive Networks, abbiamo istituito con i partner un appuntamento di tech update dalla cadenza minimo trimestrale.

– Qual è il vostro rapporto con il canale?

SentinelOne è un’azienda 100% canale. È una cosa in cui crediamo fermamente: anche i nostri servizi di Threat Hunting o di Threat Intelligence sono veicolati attraverso il canale. Il nostro modello di business non considera semplicemente i partner come strumento di accesso al cliente finale: per noi un partner è una leva di formazione e una leva di competenze affinché il nostro cliente finale sia soddisfatto. Ci tengo a sottolinearlo perché sotto questo aspetto stiamo facendo un lavoro un lavoro enorme. Operare in maniera coordinata con il nostro canale, in una situazione di reciproco rispetto e di win-win-win, ossia vantaggiosa per noi, per i nostri partner e per i clienti finali, non è assolutamente facile ma ci sta dando grandi soddisfazioni.