La sicurezza delle app riscuote ancora poca importanza, ma la sua considerazione aumenterà nel prossimo futuro perché è la chiave per difendere al meglio le aziende. La parola all’esperto.
Dal perimetro alle app, la sicurezza cyber si sta evolvendo velocemente. Con la stessa rapidità si devono evolvere le difese informatiche. In uno scenario post pandemico in cui i perimetri sono ormai dissolti, cloud e multicloud hanno preso il sopravvento e le applicazioni legacy hanno ceduto il passo allo sviluppo Agile, proteggere le app è diventata un’esigenza critica che richiede soluzioni specializzate. Ne abbiamo parlato con Marco Urciuoli, Country Manager per l’Italia e Malta di F5, multinazionale nata a metà degli anni ’90 come produttrice di sistemi hardware di load balancing, che da tempo ha perso la connotazione “Networks” alla luce della fortissima evoluzione che ha portato ad accentrare l’attenzione sul tema delle applicazioni e del software, con particolare attenzione su performance, visibilità e sicurezza.
Come spiega Urciuoli “il concetto di datacenter è profondamente cambiato rispetto al presidio fisico e ben definito del passato. Con l’avvento del cloud e l’esternalizzazione di un’ampia gamma di servizi, per le aziende è sempre più inappropriato ragionare in termini di perimetro”; da qui l’evoluzione di F5, che ha fatto il suo ingresso nel nuovo mondo con due importanti acquisizioni: Nginx e Volterra. Nginx è una piattaforma open source di cui F5 ha acquisito i marchi, ed è il web server più utilizzato al mondo, adottato in quasi tutte le architetture di pubblicazione delle applicazioni su Internet. “In qualità di piattaforma per la pubblicazione e lo sviluppo di applicazioni – argomenta Urciuoli - Nginx si propone come la soluzione ideale per il momento storico in cui viviamo, caratterizzato dalla trasformazione delle applicazioni da infrastrutture monolitiche ad architetture moderne basate su concetti di containerizzazione”.
Partecipa agli ItalianSecurityAwards 2024 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
È la naturale evoluzione di Big-IP, la tecnologia F5 che storicamente si occupa della performance availability delle applicazioni monolitiche. Quelle, per intenderci, che implicano un blocco operativo per ciascun aggiornamento da distribuire. Lo sviluppo Agile ha cambiato questo modello con micro-aggiornamenti continui che non ostacolano in alcun modo la continuità del flusso produttivo. Questo ha aumentato la complessità per l’estrema frammentazione delle applicazioni in centinaia di migliaia di micro-servizi. Per chi è abituato a tenere in considerazione la security è difficile ragionare in termini di applicazione, cosa che invece fa F5.
Marco Urciuoli, Country Manager per l’Italia di F5
A tale riguardo Urciuoli sottolinea che “se il focus è mettere in sicurezza le applicazioni, dev’essere messo in sicurezza il componente minimo di ciascun micro-servizio, che è l’API, ossia quel frammento di codice che permette di mettere in correlazione fra loro le applicazioni, di integrare servizi e funzioni. Le API all’interno di un’applicazione possono essere così numerose da essere perse di vista persino da chi il software lo produce (Shadow API), con il conseguente decadimento della sicurezza”.
La piattaforma NginX aiuta proprio a mettere in sicurezza ogni singolo micro-servizio di ogni applicazione di nuova generazione, esattamente come le soluzioni native del produttore mettevano in sicurezza il mondo legacy. Un passaggio necessario, dato che tutte le aziende si stanno muovendo dall’applicazione monolitica alle applicazioni moderne. Urciuoli rimarca che con questa soluzione F5 “è addirittura in grado di garantire uno sviluppo sicuro, a partire dall’inizio quando si entra nella pipeline CI/CD e si sta per rendere fruibile l’applicazione agli utenti, in automatico si possono già avere tutte le configurazioni pronte a garantirne la sicurezza”. In sostanza c’è la garanzia di uno sviluppo sicuro.
Le applicazioni moderne aprono a uno scenario più complesso, che è quello del dell'Edge as-a-Service e degli ambienti complessi del multicloud. Questo si lega alla seconda acquisizione citata sopra: Volterra, che ha dato vita agli F5 Distributed Cloud Services, un sistema che garantisce di avere delle applicazioni sicure, performanti e disponibili ovunque esse siano. Urciuoli sintetizza che “NginX estende la sicurezza, le performance e la disponibilità delle applicazioni ‘qualunque’ esse siano, F5 Distributed Cloud fa lo stesso lavoro, ma ‘ovunque’ esse siano”, quindi introduce il tema della collocazione geografica. In quest’ultimo caso si abbraccia quindi il noto concetto dell’edge computing e del cloud distribuito.
Il nuovo paradigma dei dati aziendali è quindi quello dell’ambiente ibrido complesso, con datacenter distribuiti sempre più snelli, pochi dati rimasti on-premise (che probabilmente permarranno tali) e un numero crescente di tenant cloud distribuiti fra pubblico e privato. Per la gestione di questa situazione, argomenta Urciuoli, “F5 ha creato una backbone privata a cui i clienti si possono appoggiare, in affiancamento al cloud pubblico dei vari hyperscaler che ben conosciamo. Grazie alle soluzioni F5 la serie di funzionalità che viene rappresentata tramite regional edge e customer edge può essere rappresentata anche on-premise presso il cliente. Funzionalità che comprendono per esempio il multicloud networking che consente di indirizzare a livello applicativo la comunicazione fra tutti gli indirizzi IP riconducibili all’azienda cliente senza errori, con poche configurazioni e garantendo alle persone del network di lavorare con questo indirizzo IP a livello applicativo senza pesare sugli sviluppatori”.
Sviluppando il concetto di edge computing, inoltre, le soluzioni F5 sono in grado di portare i dati vicino all’utente in maniera semplice e trasparente così da semplificare e accrescere l’efficienza delle persone che fanno uso di applicazioni remote. I vantaggi di questo approccio emergono anche sul fronte della sicurezza, tutta la parte di WAF (Web Application Firewall) e WAP (Wireless Application Protocol) viene garantita su tutta la filiera indipendentemente da dove questa si trovi fisicamente. Significa fare sicurezza applicativa come la si faceva nel vecchio mondo legacy, estendendo il concetto al mondo intero com’è progredito oggi.
Non dimentichiamo poi che Intelligenza Artificiale e machine learning permeano tutte le soluzioni F5, come componenti immancabili capaci di ridurre i falsi positivi, oltre che il carico di lavoro sugli analisti.
Gli MSSP devono essere in grado di erogare un servizio di sicurezza coerente, efficace e veloce. “F5 è in grado di fornire loro soluzioni specifiche che garantiscono di poter erogare servizi come il distributed cloud (che è già in SaaS) in maniera personalizzabile verso tutti i propri clienti grazie alla scalabilità, al multitenant e alla granularità prevista dall’interfaccia di controllo. La formazione e le conseguenti certificazioni garantiscono l’elevata qualità del servizio erogato dai partner in totale autonomia” sottolinea Urciuoli.
L’offerta per gli MSSP include anche la sicurezza, con tutta la parte WAF e WAP e di negazione del servizio (DoS e DDoS) calibrati specificatamente per il mondo dei servizi gestiti. “Il valore aggiunto di F5 parte da queste tipologie di servizi di cui non dispongono tutti i vendor di cybersecurity – argomenta Urciuoli - a cui si aggiunge la visione completa di F5 dovuta proprio alle sue origini e al know-how accumulato in oltre 25 anni di esperienza sul campo, che unifica tre mondi: Big-IP che abbraccia tutto il mondo legacy, NginX per la sicurezza delle applicazioni moderne, e distributed cloud che fa da collante fra le due precedenti. Esistono competitor per ciascuno di questi tre mondi preso singolarmente. Quello che è importante valutare per i clienti è la visione unica di F5 dei tre mondi uniti fra loro, che significa avere la capacità di accompagnare e assister il cliente nella migrazione al nuovo mondo. All’interno di questa visione ci sono poi le punte di eccellenza che noi riteniamo equivalgano a una superiorità tecnologica”.
Alla luce della sua esperienza, Urciuoli assicura che l’escalation degli attacchi, per numero e complessità, non si fermerà. Per comprendere la dinamica alla base di questa certezza basta fare un raffronto con il mondo reale, dove la presenza di antifurti sempre più efficaci non basta per bloccare il fenomeno dei furti. Il progresso, com’è corretto che sia, sta proiettando sempre di più la nostra vita sul mondo digitale e questo ha trasformato ormai da tanto tempo gli attaccanti in persone che aumentano la superficie di attacco e le tattiche impiegate per meglio monetizzare la propria attività.
“Crescerà in maniera smisurata una serie di tipologie di attacchi ben nota, come per esempio il ransomware” prosegue Urciuoli, “e questo porta a non dover mai sottovalutare il valore delle informazioni che deteniamo all’interno delle aziende. Il punto di partenza migliore per rendersi conto di che cosa fare e quanto vale la pena spendere in security è la valutazione del rischio, ossia essere coscienti delle conseguenze a cui si va incontro quando accadrà qualcosa. Quello da ricercare è il corretto equilibrio fra la spesa e il risultato, dando per assunto che il risultato minimo accettabile è il ritorno all’operatività piena a seguito di un incidente cyber”.
C’è poi tutta una serie di tematiche nuove legate alla MFA, che resta tuttora un sistema estremamente forte ma è sempre più oggetto di tentativi di violazione, forzatura e bypass. I ransomware restano la minaccia principale fra quelle tradizionali, mentre per il mondo delle applicazioni occorrerà una sempre maggiore attenzione al DevOps/DevSecOps e avere un occhio di riguardo verso le soluzioni protettive come application firewall e affini.
Per quanto riguarda il mercato, ci sono stati investimenti massicci post-pandemia in cybersecurity, “ma nei prossimi anni aumenterà l’interesse verso l’application security perché finora ci siamo incentrati molto sul perimetro, ma manca la cultura della sicurezza delle app che sta diventando invece fondamentale per la sicurezza aziendale e che non è intrinseca nella protezione perimetrale come erroneamente qualcuno pensa” aggiunge Urciuoli, che conclude nicchiando: “occorre un prodotto specializzato che garantisca un controllo importante su tutto quello che fa parte di un’applicazione e che ormai include milioni di micro servizi e in questo F5 è leader”.