L’approccio euristico e proattivo all’identificazione di minacce sconosciute non è esattamente una novità. Si tratta del tentativo di riconoscere nuove minacce, e situazioni potenzialmente pericolose, senza ricorrere a firme digitali di malware già identificato. Già una quindicina di anni fa i primi moduli di questo tipo affiancavano alcuni pacchetti antivirus con risultati non sempre soddisfacenti e un gran numero di falsi positivi.
Oggi però le condizioni appaiono particolarmente favorevoli allo sviluppo di questi strumenti. Da un lato perché le aziende sono combattute tra la necessità di restare connesse con un numero sempre maggiore di soggetti esterni e la difficoltà di proteggere un perimetro che si fa via via più indistinto. Dall’altro gli algoritmi di machine learning si sono molto evoluti, certamente più di quanto non abbiano fatto i sistemi di protezione tradizionali.
Inoltre la varietà delle minacce e i mezzi sempre più sofisticati a disposizione dei malintenzionati, stanno mettendo in crisi soluzioni che fino a qualche anno fa sembravano più che adeguate.

Per questo quasi tutti i produttori di applicazioni per la sicurezza hanno in catalogo almeno una soluzione proattiva, capace di indagare l’ignoto.
Ci sono però nuove realtà che hanno fatto di questo aspetto della protezione il loro core business, brevettando algoritmi fortemente innovativi e mettendo da parte ogni approccio tradizionale.
Tra queste c’è Darktrace, società nata nel 2013 con sedi a Cambridge e San Francisco. Una realtà ancora in crescita, con 230 dipendenti nel mondo, un migliaio di installazioni e una ventina di uffici locali in altrettanti paesi, tra cui l’Italia.
Per capire le prospettive di questo nuovo approccio, e l’impatto che potrà avere sul futuro della sicurezza, abbiamo parlato con Corrado Broli, country manager italiano della società.

L’approccio di Darktrace è assolutamente innovativo, tanto che abbiamo dovuto inventarci una nuova categoria tecnologica che chiamiamo Enterprise Immune System. Basandoci sul machine learning e sulla matematica di algoritmi statistici, riusciamo a calcolare la probabilità che si verifichi un determinato evento. Sfruttiamo quindi l’analisi della deviazione statistica rispetto al comportamento normale. È un processo adattativo che si evolve in continuazione, perché anche i comportamenti dei dispositivi connessi cambiano di continuo, per cui il sistema deve essere in grado di aggiornarsi costantemente. Per questo possiamo parlare di machine learning.”

quasi tutti i produttori di applicazioni per la sicurezza hanno in catalogo almeno una soluzione proattiva

In pratica il software è un analizzatore del traffico e delle attività della rete aziendale, che dopo un certo periodo di apprendimento è in grado di riconoscere le anomalie, che segnala ai responsabili che possono avviare indagini più approfondite. Secondo la comunicazione di Darktrace, il sistema agisce come un sistema immunitario. “Alla stregua del sistema immunitario del corpo umano, è sempre operativo e avvisa qualora ci sia l’aggressione da parte del corrispettivo di un virus o un batterio. Inoltre consente alle aziende di non isolarsi sotto una campana di vetro, mantenendo un elevato livello di interazione con soggetti esterni, senza timore di essere contagiate.”

La ricerca dell’affidabilità

Il grado di utilità di un’applicazione di questo tipo, è direttamente proporzionale alla capacità dei suoi algoritmi di evitare inutili allarmismi, e allo stesso tempo di non lasciarsi sfuggire potenziali minacce. “Gli algoritmi statistici di Darktrace vengono sviluppati da persone che provengono dall’università di Cambridge, dove abbiamo i laboratori, ma è importante anche l’apporto di personale proveniente da ambienti dell’intelligence britannica e statunitense. Sono queste competenze che ci hanno consentito di conquistare in tempi davvero brevi quote di mercato interessanti.”

Del resto, se funziona bene, un sistema di questo tipo ha un impatto minimo sulle prestazioni della rete, molto minore del sistema di scansione tipico degli antimalware tradizionali, e risulta applicabile a un gran numero di aziende, di ogni settore e dimensione. “La discriminate vera per scegliere Darktrace è la tipologia dei dati e delle informazioni che devono essere protette. Quindi potrebbe servire benissimo un’azienda di dimensioni medio-piccole, tipica della realtà italiana, che si trova a dover proteggere segreti industriali, brevetti, progetti e disegni. Oppure aziende che devono partecipare a bandi di gara, affrontando il rischio che qualcuno possa entrare e carpire informazioni sull’offerta segreta e sui prezzi con cui verrà presentata. Per contro potrebbe esserci un’azienda molto grossa che non ha un particolare know-how da proteggere e risulta meno sensibile alle questioni di sicurezza.”

Va detto che nella stragrande maggioranza dei casi Darktrace lavora affiancando in modo complementare sistemi di sicurezza tradizionali, e non è in grado di sostituirsi ad essi. Ma in futuro?
“Non abbiamo in mente uno scenario un cui Darktrace soppianta tutti i sistemi tradizionali, e non so se arriveremo a questo punto. La realtà attuale è di integrazione e valorizzazione dei sistemi di sicurezza esistenti. Di certo continuiamo a sviluppare i nostri algoritmi. L’ultima novità si chiama Antigena, che proponiamo a chi abbia già Darktrace. Antigena consente ai clienti di agire contro le minacce rilevate dal sistema, per esempio bloccando attività sospette o mettendo in quarantena un sistema o un device. Il meccanismo non agisce comunque prendendo decisioni autonome ma può essere completamente configurato e automatizzato per adattarsi alle esigenze.”

Quanto è richiesto un sistema come Darktrace in Italia?

“Il periodo per noi è particolarmente stimolante e stiamo lavorando moltissimo. Del resto il nostro business funziona molto con il passaparola. Recentemente abbiamo scoperto una rilevante criticità in un grosso centro di ricerca sul territorio nazionale, e questo ci ha portato immediatamente nuovi contatti.”

Tra i clienti italiani Broli cita Paybay che fa parte di Qui Group, famoso per i ticket restaurant, con un fatturato di 750 milioni di euro. “La società, che deve gestire oltre 700 milioni di transazioni, usa la tecnologia Darktrace non solo per difendersi, ma anche come strumento di comunicazione commerciale nei confronti dei clienti, che si sentono più sicuri.”

un sistema di questo tipo ha un impatto minimo sulle prestazioni della rete, molto minore del sistema di scansione tipico degli antimalware tradizionali

Altro cliente di Darktrace è HBG Gaming, società romana che si occupa di apparecchiature per il gioco d’azzardo (slot machines e videolottery), che aveva l’esigenza di proteggersi da attacchi provenienti dall’esterno e dall’interno, assicurandosi al contempo piena visibilità della propria rete.

Darktrace offre infatti anche questa possibilità. Avendo la capacità di monitorare tutti i dispositivi che sono connessi alla rete, il sistema dà a colpo d’occhio, con un’interfaccia comoda, la possibilità di vedere in qualsiasi istante tutto quel che accade nella rete.

Quindi può servire per controllare la produttività dei dipendenti o il loro uso della rete? “No, non è progettato per questo, anche se lo strumento ha teoricamente anche questa possibilità. Noi offriamo la capacità di monitorare i flussi in entrata e in uscita in modo tale da verificare se il comportamento dei dispositivi o degli utenti si discosta da quello abituale.”

Velocità ed errori

A questo punto viene spontaneo chiedersi quanto impiega l’intelligenza del sistema prima di capire cosa è la normalità di un’azienda, e ridurre al minimo i falsi allarmi. “Il setup e l’installazione sono davvero molto brevi. C’è una curva di apprendimento necessaria affinché il sistema crei il modello della normalità. Una fase di rodaggio che può richiedere da alcune ore a qualche giorno, in dipendenza dalla complessità della rete aziendale. Quanto al problema dei falsi positivi, questi vengono ridotti drasticamente dagli algoritmi statistici. In ogni caso le soglie di avviso di anomalie e quelle di intervento di Antigena sono completamente configurabili.”