Corrado Broli – Intervista al Forum ICT Security 2017
20 novembre 2017
StrongPity, un Advanced Persistent Threat macchiato di sangue
22 novembre 2017

Email Security – La tecnologia italiana Libra ESVA tra i migliori sistemi di protezione e analisi dei contenuti della posta elettronica al mondo

Intervista a Paolo Frizzi, CEO di Libraesva società leader nello sviluppo di soluzioni avanzate di email security posizionata tra i più importanti brand nel mondo della sicurezza informatica. La soluzione ESVA –Email Security Virtual Appliance è stata riconosciuta dal prestigioso Virus Bulletin come uno dei migliori ed efficaci sistemi di protezione e analisi dei contenuti della posta elettronica al mondo ed è risultata per quattro anni consecutivi assegnataria dei Computing Security Awards per la categoria “Best Anti Spam Solution of the Year”. È stato inoltre premiato da riviste internazionali di riferimento del settore quali SC Magazine (5 stars), IT Pro (Best Value), PC Pro (Recommended)

Nella vostra presentazione all’ultima edizione del Forum ICT Security è stato ricordato come il business dei malware muova centinaia di milioni di euro a livello globale e come ogni giorno abbiano luogo innumerevoli attacchi, che nella gran parte dei casi sono veicolati da mail provenienti da link a siti legittimi o mittenti conosciuti. Credete che sia davvero possibile essere preparati, al cospetto di queste minacce in continua evoluzione?

Parto da una cosiderazione apparentemente banale: se intorno al malware si è sviluppato un business milionario è perché esiste un terreno fertile, che attrae intelligenze di primo livello e sviluppa minacce sempre più raffinate.

Oltre alla qualità, anche il volume è impressionante: parlando di dati dell’ultimo trimestre in Italia, la percentuale di spam si aggira intorno al 95% del volume totale dei messaggi di posta scambiati. Fortunatamente, le soluzioni per prevenire e contrastare i rischi ci sono e aumentano ogni giorno, com’è testimoniato dal fatto che oggi sentiamo parlare quotidianamente di cose che soltanto due anni fa nessuno conosceva (artificial intelligence, machine learning, natural language processing…)

Restano però due grossi problemi: uno imputabile, ahimé, all’industria della security – che ancora oggi rincorre le minacce già verificatesi anziché impegnarsi ad anticiparle, con costi elevatissimi per le aziende – e l’altro attribuibile ai comportamenti degli utenti.

In base alla vostra esperienza, quanto è diffusa la consapevolezza circa le minacce informatiche a cui aziende e privati si espongono quotidianamente utilizzando i server di posta elettronica? In questo senso, vi capita di rilevare differenze tra l’Italia e il resto del mondo?

Manca quasi del tutto la condivisione di esperienze ed errori tra operatori di cybersecurity. Si pensi al comparto aeronautico, dove dal 1978 ad oggi la condivisione di analisi approfondite degli errori, condotta congiuntamente dalle diverse compagnie, ha consentito di ridurre dell’85% i numeri degli incidenti aerei. Nel campo della security questo non avviene: nel tentativo di mantenere riservate le proprie tecnologie e di proteggere i profili di vulnerabilità aziendale, si rinuncia a una collaborazione – che potrebbe rivelarsi preziosa – con gli altri operatori di settore. I “cattivi” cooperano molto di più tra loro, e i risultati si vedono.

Noi di Libraesva in questo abbiamo scelto un approccio controcorrente, puntando sulla trasparenza per diffondere una nuova cultura della security: ogni nostro prodotto è accompagnato da un’analisi in chiaro delle tecnologie che vi stanno dietro. Va detto che – come anticipavo – esiste un problema anche sul versante degli utenti, che risulta differenziato in base ai vari settori: se ad esempio nelle imprese bancarie e assicurative esiste ormai un approccio piuttosto consapevole nel gestire i temi della security, nel comparto produttivo e manifatturiero questa è assente o comunque piuttosto trascurata.

Mi chiedeva poi delle differenze con l’estero: avendo un ufficio in Inghilterra noi vediamo sicuramente uno sforzo e una consapevolezza maggiore negli utenti di quel Paese, che però – non va dimenticato – è supportato anche da maggiori investimenti pubblici in ricerca e innovazione, come è evidente anche osservando la vivacità della ricerca universitaria britannica sul tema.

Con un’impressionante percentuale del 99.99% di Spam Catch Rate e zero falsi positivi, la vostra soluzione Libra ESVA – che promette di mettere le mail private e aziendali al sicuro da tentativi di Phishing e Virus utilizzando una protezione multilivello ottimizzata per gli ambienti cloud – si è guadagnata attenzioni e riconoscimenti a livello internazionale. Su quale tecnologia si basa questo prodotto e quanto è facile il suo utilizzo, anche per i “non addetti ai lavori”?

Il prodotto è stato pensato partendo da un’esperienza diretta con i prodotti Enterprise, chiedendoci perché questi debbano sempre essere così complicati. Per questo abbiamo mantenuto una particolare attenzione alla semplicità: il nostro prodotto non richiede particolari configurazioni e può essere messo in attività con un’ora di lavoro, attraverso una procedura guidata estremamente intellegibile.

Opera tramite un sistema di moduli che lavorano in sequenza – un po’ come un collegio di giudici, ognuno dei quali formula la propria opinione prima della pronuncia congiunta finale – attivando l’analisi di contenuti, allegati e tutto il panorama di malware che utilizza le mail come vettore di trasmissione. Non è un prodotto desktop, che l’utilizzatore finale “vede” sul proprio Pc, ma opera come un firewall a un livello intermedio, interponendosi tra mondo esterno e server aziendale e creando uno scudo virtuale che tutela tutto il traffico di posta aziendale.

Sappiamo quanta importanza rivesta il fattore umano nel campo della cybersecurity e della prevenzione dei rischi da attacco informatico. Sappiamo anche che gli strumenti tradizionali, come blocklists e fingerprinting, sono spesso inefficaci contro attacchi sempre più mirati e “personalizzati” che fanno leva sulla psicologia umana del destinatario: è il caso del Whaling, in cui il mittente della mail che fa da vettore al malware si identifica con un conoscente o superiore del destinatario, impartendogli un comando o innescando una Call-to-action Come è possibile intervenire su questo aspetto nell’ottica di minimizzare i rischi?

Il fattore umano è tanto importante quanto quello tecnico: nessun attacco può essere portato a termine senza un comportamento attivo dell’utente. Si possono limitare i rischi di attacchi tramite soluzioni tecnologiche – ad esempio le ipotesi di Whaling possono essere prevenute tramite controlli di similitudine di indirizzi e domini dei mittenti di posta, prevedendo anche un’analisi di tipo semantico – ma la formazione del personale a comportamenti corretti resta necessaria, a partire dai dirigenti che troppo spesso sono i primi a ignorare le regole di sicurezza: in questo senso le scelte di security impongono anche adeguate scelte di politica aziendale.

Aggiungo che spesso sul tema esiste troppo allarmismo: non per sminuire minacce assolutamente reali, ma pensiamo che la consapevolezza non si costruisca spaventando gli utenti quanto, piuttosto, diffondendo una cultura della prevenzione che è nell’interesse di tutti.

Libra Esva gestisce un traffico mail estremamente eterogeneo: tra i vostri clienti ci sono attori istituzionali, realtà accademiche, imprese di ogni dimensione… qual è la vostra strategia per personalizzare i servizi a seconda delle differenti esigenze? Come riuscite a contemperare il fattore tecnico con le molteplici variabili umane in gioco?

La nostra soluzione, in ragione della sua natura complessa, non può essere personalizzata; contiene però profili di adaptive technology in grado di  modellarsi sul traffico da cui è attraversata (ad esempio le mail promozionali saranno tendenzialmente sempre considerate spam per il server di un istituto di ricerca, mentre possono essere utili per una società commerciale).

Il prodotto “impara” e migliora continuamente se stesso, plasmandosi sul traffico concretamente processato dal server dei diversi utenti e adattandosi alle esigenze dell’utente  finale.

Perché un’azienda dovrebbe scegliere di tutelare il proprio traffico mail tramite la tecnologia Sandbox? Può spiegarci come funzionano concretamente i vostri modelli di protezione URLSAND e QUICKSAND?

Le soluzioni Sandbox Libra Esva hanno un approccio innovativo: la Urlsand Sandbox analizza  i link inseriti all’interno dei messaggi di posta elettronica, riscrivendoli e indirizzandoli a una nostra Sandbox Cloud a cui l’utente è rediretto all’ultimo momento utile (ovvero al momento in cui clicca sul link) osservando in tempo reale gli eventuali comportamenti indicativi di una compromissione.

La Quicksand Sandbox, più delicata, si occupa degli allegati MS Office e dei file PDF presenti  nelle mail. Nel campo dell’analisi documentale l’approccio Sandbox tradizionale ha grande valore in termini di ricerca e sviluppo, ma non lo abbiamo ritenuto vincente nell’analisi in linea: troppo complesso, dispendioso in termini di tempo e non risolutivo nel caso delle minacce “a tempo”. La battaglia tra chi crea malware e chi li contrasta si è infatti ormai spostata all’interno delle Sandbox, dove i malware hanno tutto il tempo di prosperare, spesso attivandosi solo ad analisi completate. È per questo che, con un approccio opposto a quello delle Sandbox tradizionali, abbiamo creato un prodotto in grado di stabilire in tempo reale eventuali contenuti malevoli dei documenti trasmessi – come macro, script, oggetti sospetti – risalendo direttamente alla sorgente dei documenti e dei contenuti attivi; il contenuto originale viene sempre trattenuto nella quarantena del prodotto e può essere rilasciato in qualunque momento nel suo formato originale.

Inoltre, trattandosi di documenti aziendali abbiamo voluto tutelare al massimo l’aspetto della privacy mantendendo tutto il traffico all’interno del prodotto: nulla viene inviato al di fuori del gateway Libra Esva, né viene salvato sul cloud. Il nostro approccio si è rivelato vincente ed è stato confermato anche dalle osservazioni ascoltate alla conferenza mondiale di Virus Bulletin a Madrid, a cui abbiamo partecipato lo scorso ottobre.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.