In occasione dell’evento annuale #CPX360, Check Point Software Technologies ha celebrato i suoi 30 anni di storia all’insegna dell’innovazione - come ha sottolineato il nuovo Country Manager per l’Italia Elena Accardi – e della capacità di interpretare e adattarsi alle rivoluzioni tecnologiche che sono intervenute e che hanno imposto ai vendor di rispondere con soluzioni evolute e avanzate, come XDR Horizon e le novità che Check Point introduce in giornata.

Elena Accardi, Country Manager per l'Italia, e Roberto Pozzi, Regional VP Sales, Southern Europe di Check Point Software Technologies

L’anno dell’AI

Come ha sottolineato il CEO e fondatore di Check Point Software Technolgies, Gil Shwed, “il 2023 è l’anno dell’AI”. AI come conseguenza del fatto che è necessario rispondere in maniera adeguata al maggior numero di attacchi sviluppati in conseguenza dell’impennata del numero medio dei dispositivi connessi per persona a livello globale negli ultimi cinque anni. Non è solo una questione di quantità, ma anche di qualità: al contrario di quanto accadeva cinque anni fa, oggi un singolo attacco può mettere fuori uso un intero network e causare danni per milioni di dollari.

È quindi mandatorio che CISO, CIO tutto il top management aziendale si impegnino per trovare una soluzione capace di mettere al sicuro il proprio business. Un compito non facile, perché – sottolinea Shwed – installare i prodotti migliori, i cosiddetti “best of breed” non basta più. Se tali prodotti non comunicano fra loro e non lavorano insieme per rilevare e rispondere alle minacce il risultato non sarà una difesa efficace.

Il discorso è generalizzato ma non impreciso: Shwed evidenzia i tipi di minacce da cui ci si deve guardare oggi giorno, che sono principalmente divisibili in tre macro aree: Network, Multicloud e Utenti. Nel primo gruppo rientrano IoT i OT, l’email aziendale e gli endpoint. L’infrastruttura aziendale però non è più solo on-premise, quindi bisogna obbligatoriamente tenere in conto anche del Multicloud, a cui fanno capo il public cloud, le applicazioni SaaS e i workload. Network e Multicloud vegono ovviamente usati dagli utenti, che accedono, creano e modificano dati da remoto con dispostivi mobile, email cloud ed endpoint privati.

Tutte le sottocategorie dei tre gruppi principali sono soggette a vari tipi di attacchi da parte dei criminali informatici, legati all’obiettivo da colpire e al risultato che si vuole ottenere. Il malware, per esempio, minaccia il Network, ma anche il cloud pubblico, gli endpoint e i dispositivi mobile. Questi ultimi due sono target anche dei data leak, insieme alle email aziendali, e via dicendo. Il tutto con una complessità che è raddoppiata negli ultimi tre anni.

La risposta di Check Point è articolata su più livelli, e parte dalla piattaforma unica di cybersecurity annunciata già in tempo di COVID, il cui sviluppo è proseguito nel tempo. All’evento CPX360 del 2022 Shwed aveva parlato di ThreatCloud AI: ora permea tutta la soluzione di protezione del vendor, come una cupola che avvolge tutte le soluzioni Check Point, da Harmony a Horizon, passando per Infinity, rispondendo al paradigma delle tre C: Completezza, Consolidazione e Collaborazione.

Come suggerito dal nome, Completezza indica la trasversalità di ThreatCloud AI attraverso tutti i vettori di attacco e tutti gli asset, dal cloud al network passando per utenti, IoT e quant’altro. Consolidazione indica la console di controllo unificata, tramite la quale gestire tutte le operazioni di security dell’intera infrastruttura. Collaborazione indica l’apertura della piattaforma grazie alle API che permettono l’integrazione con soluzioni di terze parti.

Il nome lascia intendere che ThreatCloud è basata su Intelligenza Artificiale. O meglio, su un forte investimento dell’azienda che negli anni ha sviluppato 75 motori di threat prevention e 40 di AI (17 nuovi motori solo nel 2022), che permettono a ThreatCloud di prendere ogni giorno 2 miliardi di decisioni di security e di prevenire 2,5 miliardi di attacchi all’anno. Secondo il vendor, rispetto alle soluzioni concorrenti ThreatCloud AI quadruplica la capacità di prevenzione delle attività di phishing zero day e quintuplica quella di prevenzione degli attacchi DNS avanzati.

È questo che fa di ThreatCloud un’arma importante contro gli incidenti cyber, sotto forma di una AI centralizzata che serve tutte le soluzioni Check Point, che è distribuita via cloud e accessibile mediante abbonamento mensile. Non è casuale la ricorrenza della parola “prevenzione”: come ha sottolineato nel suo intervento Yaniv Shechtman, Head of Product Management – Threat Prevention di Check Point, ThreatCloud AI non svolge attività di detection, ma di prevention, per questo la soluzione è identificata con la sigla XPR, per distinguerla dalle soluzioni concorrenti di XDR.

Dal prodotto al servizio gestito

L’annuncio più ghiotto dell’evento CPX 2023 è stato tuttavia relativo ai servizi: il vendor ha annunciato Infinity Global Services, che amplia i servizi di end-to-end security di Check Point consentendo sia alle aziende sia agli MSP di migliorare le operazioni e i controlli di cybersecurity e di potenziare la resilienza informatica. Le fasi si cui contano i global services sono quattro: valutazione, ottimizzazione, master e Incident Response. Il primo consiste in una operazione di valutazione del rischio informatico che fornisce una visione globale sulla security di infrastrutture, sistemi e sull’applicazione delle best practice di security. Coinvolge tutti gli asset e le risorse del cliente, non solamente la security, per capire dive ci sono falle o posture da migliorare.

Segue l’ottimizzazione, ossia gli interventi consigliati per migliorare la threat prevention alla luce della situazione che si viene a rilevare nella fase precedente. È in questa fase che vengono erogati servizi di SOC-as-a-Service, Cyber Resilience-as-a-Service, sviluppo e ottimizzazione della sicurezza e CSPM gestito. La terza fase riguarda le competenze e le skill, con attività atte a migliorare le capacità del team di security mediante bootcamp di cloud security, formazione CISO, programmi di conoscenza informatica e altro. Chiude l’IR, ossia i servizi progettati per migliorare la pianificazione della risposta agli incidenti con valutazioni di compromissione, test di penetrazione, detection e risposta gestiti ed esercitazioni tabletop.

I servizi appena annunciati sono in via di costruzione. Quelli relativi alla prima fase vengono erogati anche dall’Italia, quindi in lingua italiana. La parte di IR, utile solo nel momento in cui l’azienda è sotto attacco, fa capo a Israele e al momento sarà erogata solo in inglese. David Gubiani, Regional Director Sales Engineering - EMEA Southern & Israel di Check Point, mette l’accento sul fatto che questa nuova proposizione aziendale non vuole penalizzare i system integrator o gli MSSP, anzi è l’opposto: chi eroga il servizio gestito tramite piattaforma Check Point lavora come sempre, in caso di cyber attacco ai danni di un cliente può contare su un supporto aggiuntivo H24, 365 giorni all’anno, per individuare la causa dell’attacco e giungere alla sua risoluzione.

Se il cliente invece è l’azienda, sarà il suo SOC interno a beneficiare della consulenza di Infinity Global Services. Il nuovo pacchetto di servizi, in sostanza, non va a sostituire il SOC interno della grande azienda o l’MSSP, ma agevola e supporta il personale di questi ultimi migliorandone l’efficienza e l’efficacia, con la certezza di un appoggio altamente qualificato con una esperienza di gran lunga superiore a quella di chi lavora in un panorama di security locale e non globale.