Forescout, l’Enterprise of Things al sicuro

Siamo nell’era dell’Enterprise of Things. Organizzazioni in cui la trasformazione digitale ha portato a una crescita esplosiva di asset IT, OT, IoT e IoMT connessi alla rete. Una proliferazione spinta anche dalle nuove modalità di lavoro, che agli utenti offrono la possibilità di connettersi ovunque, con qualunque tipo di device: un’iperconnessione che, da un lato, ha aumentato l’efficienza operativa delle aziende, ma dall’altro ha anche espanso la loro superficie d’attacco. Inevitabile, quindi, che nell’era dell’Enterprise of Things, la sicurezza rappresenti la preoccupazione numero ‘Uno’ per chi deve garantire la continuità del business.

Il risultato è che oggi quasi tutte le aziende dispongono di un framework di security, spesso un mix di best practice della propria industry, obblighi stabiliti dal board, requisiti normativi da rispettare e buone pratiche di gestione del rischio. La difficoltà è riuscire a mantenersi costantemente allineati a questo framework nonostante i cambiamenti continui dovuti all’introduzione di nuovi dispositivi, al decadimento di quelli vecchi, a vulnerabilità del software e al turn over dei dipendenti, cui vanno ad aggiungersi operazioni dal forte impatto organizzativo, come fusioni o acquisizioni. “Si tratta di piccoli e grandi cambiamenti che vanno a impattare costantemente sulla postura di sicurezza delle aziende, con conseguenze immediate sulla loro esposizione al rischio. Il tutto a fronte di una generale carenza di risorse e competenze specifiche all’interno dei team di security, ormai sempre più assottigliati” afferma Pierfrancesco De Loiro (nella foto in alto), country manager Italy di Forescout Technologies, convinto che non sia possibile eliminare completamente la finestra di rischio, ma solo mettersi nella condizione di ridurla al massimo. Partendo da un punto indiscutibile: la cybersecurity non è uno stato, ma un processo. Non è sufficiente acquistare tecnologia, occorre procedere con verifiche continue sulla propria postura e appoggiarsi a strumenti pensati per accompagnare costantemente nel processo di conformità.

Visibilità, ma non solo

Con oltre 20 anni di presenza sul mercato, Forescout è nata focalizzandosi da subito nel settore del Network access control, ambito in cui è velocemente diventata un brand di riferimento per poi espandere il proprio focus al tema della visibilità, comunque sempre abbinato al controllo degli accessi. Oggi il vendor conta oltre 3.200 clienti a livello globale, il 30% dei quali appartenenti alla Fortune 100. Più di 66 milioni i device protetti e oltre 39 miliardi i data point monitorati. Numeri da capo giro che testimoniano la solidità di una tecnologia nata per offrire una difesa attiva all’Enterprise of Things attraverso il rilevamento, la classificazione e la valutazione di ogni dispositivo collegato alla rete fino ad arrivare a garantire l’orchestrazione dei workflow di security, automatizzando anche le risposte. “A renderci unici è la capacità di garantire visibilità totale su ogni tipo di asset, riconoscendo il 100% dei device connessi a reti campus, data center, cloud e ambienti OT, IoT e IoMT. Una visibilità completa che rappresenta il primo e fondamentale passo per mettere in sicurezza i contesti operativi aziendali, di cui viene restituita una fotografia in tempo reale e in modalità agentless, per poi coordinare le azioni necessarie alla riduzione del rischio informatico legato ai dispositivi rilevati” spiega De Loiro, chiarendo come tutto avvenga attraverso un assessment continuo del livello di sicurezza dei device e del loro rispetto delle policy di compliance aziendale.

Finance, Utility e PA, i settori più presidiati in Italia

In Italia, dove è presente con una filiale operativa, Forescout è cresciuta negli ultimi anni a ritmi vertiginosi. Nel 2017 la filiale fatturava circa 800.000 euro, oggi il suo giro d’affari ha raggiunto quota 15 milioni: un risultato che rispecchia il crescente livello di adozione delle sue tecnologie da parte del mercato, soprattutto da parte del Finance, dove vanta referenze nei primi dieci istituti bancari, e nel settore delle Utility, dove è oggi uno standard de facto. Ma il suo presidio si estende anche a importanti realtà manifatturiere, alla Pubblica Amministrazione e, più in generale, alle grandi infrastrutture critiche del Paese. “A causa delle frequenti operazioni di merge & acquisition, uno dei mal di testa più ricorrenti nel settore bancario (ma non solo) è la gestione degli ambienti di rete, che per la loro eterogeneità rendono difficile identificare correttamente tutti i dispositivi collegati, sollevando pesanti problematiche di sicurezza. La nostra tecnologia aiuta a risolvere questo tipo di situazioni, offrendo piena visibilità su tutti i device in uso, classificandoli automaticamente, indipendentemente dalla loro tipologia. Una classificazione che permette di raggrupparli e gestirli con un unico sistema, applicando policy di accesso generalizzate oppure specifiche caso per caso” evidenzia De Loiro. Per esempio, è possibile concedere autorizzazioni diverse ai laptop rispetto ai pc fisso o ai tablet e sottoporre a quarantena tutti i device che tentano di accedere alla rete, in modo da riuscire a prevenire qualsiasi spostamento laterale: una buona pratica per individuare e gestire le possibili minacce prima che si diffondano in rete.

Forescout Continuum, tra monitoring, assessment e governance

Disegnata per allineare ogni realtà digitale al proprio framework di sicurezza, la piattaforma Continuum di Forescout automatizza il monitoring, l’assessment e la governance di tutti gli asset aziendali, riducendo così la finestra di rischio. “Ogni ambiente operativo è differente, ma gli step per allineare la propria realtà digitale al framework di sicurezza segue lo stesso continuum” puntualizza il country manager. Innanzitutto, occorre disporre di una visibilità totale, per sapere cosa si collega esattamente alla rete e dove è collocato, fisicamente e logicamente. D’altra parte, non si può proteggere quello che non si vede. Una volta ottenuta questa visibilità, occorre procedere a una verifica di ‘asset compliance’: i device dispongono di agent? Sono configurati correttamente? Sui dispositivi sono caricate applicazioni non autorizzate? In altre parole, per ridurre la finestra di rischio, occorre essere certi che gli asset siano correttamente configurati. A questo punto si può passare alla fase di risk compliance: l’asset è critico per il business? Quanto è vulnerabile? Non si può pensare di mitigare i rischi senza conoscere i punti critici. Verificata questa parte, si può procedere con la segmentazione della rete, analizzando le connessioni utilizzate, le porte e i protocolli in uso. La segmentazione è fondamentale: attraverso l’applicazione di policy specifiche si possono ridurre, infatti, le superfici d’attacco senza causare interruzioni nei flussi di lavoro. Qui si apre il capitolo Network Access Control: controlli proattivi, che possono autorizzare gli accessi e assegnare dinamicamente utenti e dispositivi a segmenti di rete, mettendo in quarantena i device in funzione della loro postura di sicurezza. Il passo successo è rappresentato dalla security orchestration: quali informazioni si possono ottenere dalle soluzioni di cybersecurity in uso? Solo incrociandole tutte è possibile prendere le decisioni migliori. E per farlo, occorrono strumenti interoperabili. Da questo punto di vista, Forescout garantisce l’integrazione con gran parte degli strumenti di sicurezza esistenti, come firewall, XDR, SIEM/SOAR e altri sistemi di rilevamento delle intrusioni, oltre a numerose piattaforme di gestione. Chiude il processo, l’automazione dei workflow: operazione che ancora una volta richiede l’accesso a tutti i dati dei prodotti di security in uso per attivare ticketing automatici, gestioni automatizzate degli asset e azioni di remediation automatiche.

La piattaforma di Forescout aiuta a mettere in fila tutti questi step, superando le tipiche difficoltà legate alla scarsa visibilità sugli asset, alla frammentazione delle informazioni di security dovute all’uso di più strumenti e all’incapacità di applicare le giuste policy di controllo in un mix sempre più eterogeneo di tecnologie. “La nostra è una piattaforma aperta e dialogante, in grado di offrire un alto livello di flessibilità, che le permette di adeguarsi alle diverse e specifiche necessità di ogni azienda” spiega De Loiro, ricordando come il servizio di analisi avanzato di threat detection di Forescout sia basato su log provenienti anche da sistemi di terze parti, con una riduzione significativa del workload del SOC e del rumore di fondo. Instancabile, poi, il lavoro dei Vedere Labs, un gruppo interno dedicato alla ricerca continua e alla gestione delle minacce Zero-Day, con ben 43 vulnerabilità scoperte nel solo 2023.

Zero Trust innanzitutto

Per quanto riguarda le policy di accesso, vale la pena precisare che la piattaforma Forescout applica un modello di sicurezza Zero Trust, ossia fiducia zero: un modello basato sul principio che ogni richiesta di accesso debba essere sempre verificata e autorizzata. Questo approccio, che aiuta a proteggere ambienti particolarmente eterogenei e frammentati, presuppone che le minacce possano essere non solo esterne, ma anche interne alla rete. Ovviamente, per implementare questo modello Zero Trust, occorre conoscere ogni utente connesso, ogni dispositivo utilizzato e a quali dati viene chiesto di accedere. Ancora una volta il tema della visibilità risulta, quindi, fondamentale e rappresenta l’elemento imprescindibile per poter elaborare controlli e policy automatiche che abbiano veramente efficacia.

Obiettivo, tempo zero tra detection e reaction

Con il 30% delle revenue da sempre destinate alla ricerca e sviluppo, oggi Forescout prosegue la sua corsa sul mercato con l’obiettivo di supportare qualsiasi nuovo dispositivo si affacci nel panorama IT, pronto a connettersi alle reti. “Siamo in uno stato di evoluzione costante. E a richiederlo è la stessa cybersecurity, che obbliga a un processo di aggiornamento continuo. Attraverso la nostra ricerca e sviluppo puntiamo anche ad azzerare il tempo tra attività di detection e di reaction. Un obiettivo che l’intelligenza artificiale può aiutare a raggiungere, non solo velocizzando l’identificazione e la prioritizzazione delle vulnerabilità da gestire, ma anche avviando possibili attività di remediation, che in alcuni casi possono essere totalmente automatizzate, mentre in altri richiedere processi autorizzativi” conclude De Loiro, ribadendo il doppio impegno di Forescout nella gestione del rischio cyber e nella mitigazione delle minacce.

Gli ultimi annunci: Forescout REM e Forescout TDR

Sono due gli ultimi annunci con cui Forescout ha rafforzato il suo presidio in ambito cybersecurity: Forescout Risk and Exposure Management e Forescout Threat Detection & Response.

Il primo è uno strumento di asset intelligence specificatamente pensato per analizzare la postura di sicurezza della propria azienda. Potenziata da un motore di intelligenza artificiale, la soluzione traccia l’efficacia delle azioni di risposta in tutto l’ecosistema di sicurezza, riducendo l’esposizione grazie a un approccio automatizzato, basato sul rischio, per rimediare alle vulnerabilità. Con questo strumento le organizzazioni vanno, quindi, oltre la visibilità, valutando, classificando e quantificando accuratamente la gravità dei rischi; verificando la conformità alle politiche specifiche del settore (per esempio nel settore finanziario con normative come SWIFT, PCI-DSS, DORA, e altre); e riducendo il tempo impiegato nell’investigazione degli incidenti e nella progettazione di policy di risposta proattiva.

Forescout Threat Detection & Response aiuta, invece, ad alleviare il carico sui team SOC, consentendo di rilevare, indagare e rispondere in modo efficace alle minacce, ottimizzando l’utilizzo delle risorse disponibili. La soluzione automatizza, infatti, il rilevamento, l’indagine, la ricerca e la risposta alle minacce avanzate su tutti gli asset connessi (IT, OT/ICS, IoT e IoMT). Forestcout TDR combina tecnologie e funzioni SOC all’interno di una piattaforma unificata, cloud-native, visualizzabile e accessibile da un’unica console. Il valore di business della soluzione sta nella sua capacità di ridurre i rischi di business, ottimizzare le operation di security, ridurre i costi operativi e, infine, supportare la compliance.