L’evoluzione delle minacce digitali impone alle aziende di ripensare la protezione degli endpoint, puntando su soluzioni capaci di adattarsi davvero alle esigenze operative e ai comportamenti degli utenti. Bitdefender ha presentato GravityZone Proactive Hardening and Attack Surface Reduction (PHASR) proprio con questo obiettivo: una tecnologia che personalizza la sicurezza in tempo reale, in modo da ridurre la superficie d’attacco senza ostacolare la produttività. In questa intervista, Fulvio Fabi, National Channel Manager di Bitdefender Italia, spiega come PHASR stia cambiando le regole del gioco nella cybersecurity aziendale.

Fulvio Fabi, National Channel Manager di Bitdefender Italia

Che cos’è PHASR e perché è stato creato?

"PHASR è la prima soluzione di questo genere, riconosciuta anche da Gartner, che lavora in modo dinamico per ridurre la superficie d'attacco. Agisce in modo semplice: utilizzando la componente di Threat Intelligence di Bitdefender abbinata all'Intelligenza Artificiale, PHASR analizza il comportamento di ogni singolo utente e capisce esattamente cosa fa ciascun utente con il suo account. Allo stesso modo, identifica tutte quelle funzioni che non vengono utilizzate, ma che costituiscono una vulnerabilità sfruttabile dall'esterno per tentare un attacco malevolo. Si tratta sia di applicazioni Windows sia di software installati sul PC, che sono autorizzati ad essere presenti, ma che potenzialmente possono costituire un veicolo di ingresso per attività che poi possono diventare malevole".

L’esempio lampante di quello che s’intende per software autorizzati, ma potenzialmente sfruttabili dagli attaccanti, è PowerShell, corretto?

“PowerShell è un agente di Windows che serve a tutti e a nessuno. L’esempio che portiamo ai clienti è il seguente: una persona delle risorse umane che lavora semplicemente con la posta elettronica e con tutta la suite di Office 365 non fa uso di PowerShell. Dato che la presenza di PowerShell (presente per default in tutti i sistemi Windows) potrebbe esporre il sistema ad attacchi dall’esterno, nel momento in cui PHASR si rende conto che non viene usato lo blocca. Diverso invece è per un profilo tecnico, come uno sviluppatore software o un addetto al supporto, che invece ha bisogno di utilizzare PowerShell: in questo caso viene mantenuto abilitato".

Quindi PHASR è una soluzione dinamica che va a lavorare sulle attività del singolo utente?

"Sì, queste attività vengono poi analizzate anche tramite il nostro EDR e viene definita una sorta di whitelist delle applicazioni utilizzabili. Si tratta di una soluzione dinamica perché, se domani un dipendente cambia incarico in azienda e per la nuova mansione necessita di utilizzare PowerShell, il manager che gestisce le autorizzazioni controlla che effettivamente la richiesta di attivazione provenga da un dipendente e che sia appropriata, quindi la attiva. Contrariamente, se proviene da un’utenza sospetta la blocca e avvia un’indagine sul device del dipendente per gestire un potenziale problema di sicurezza".

La base resta comunque l’analisi comportamentale?

"È corretto. Anche perché se il dipendente si collega per qualsiasi motivo da remoto, con un device diverso dal suo abituale, il sistema riconosce la sua login e adegua in modo adattivo i permessi, con il risultato che la nuova macchina lavorerà esattamente con le stesse regole che ci sono sul device abituale. Tuttavia, il sistema campiona anche le abitudini, quindi nel momento in cui l’utente fa qualcosa che non ha mai fatto, viene segnalato un potenziale problema di sicurezza all’IT manager che gestisce la console.

Nel momento in cui svolge un’azione fuori dall’ordinario – per esempio la persona delle risorse umane che usa PowerShell - il dipendente stesso visualizza un messaggio che lo informa che PowerShell non può partire perché è stato disabilitato. Spetterà al dipendente, se legittimamente necessita di PowerShell, chiarire con l’IT manager le proprie necessità. Ovviamente PowerShell è un esempio: valo lo stesso per Netsh, Bitsadmin e in generale per tutti quei comandi residenti in Windows che sono potenzialmente utilizzabili da tutti, anche se non servono a tutti, e che vengono usati per gli attacchi di Living off the Land, un’alternativa valida e 'pulita' per accedere ai device abusando del sistema operativo, rispetto ai classici malware e Trojan che sono più facili da individuare e bloccare".

Qual è l’impatto di PHASR sull’esperienza d’uso?

“PHASR necessita dell’installazione della GravityZone Enterprise perché per funzionare ha bisogno del modulo EDR. Per questo motivo, in assenza dell’EDR, PHASR non viene nemmeno venduto. Nelle prime due settimane di attività sui sistemi, PHASR svolge un’analisi che gli consente una profilazione dell’utente al 90%. La statistica conferma che questo tempo è sufficiente per conoscere la abitudini dell’utente, che salvo eccezioni tipicamente utilizza sempre gli stessi applicativi. Al termine dell’analisi PHASR dà un feedback e sulla base di quest’ultimo viene applicata la regola.

Ovviamente c’è sempre spazio per le richieste particolari, proprio per la natura dinamica della soluzione, come nell’esempio di PowerShell riportato sopra. Detto questo, PHASR non limita nulla e non rallenta le attività. La percezione del mercato è talmente alta che a due settimane dall’annuncio c’è già stata la prima vendita in Europa.

Gli analisti hanno definito lungimirante la nostra soluzione, merito del fatto che oltre il 60% dei dipendenti di Bitdefender è impegnato in ricerca e sviluppo, e che Bitdefender dispone di una delle più ricche intelligence mondiali. Inoltre, Bitdefender ha accordi con oltre 200 vendor in OEM e ha migliaia di sensori sparsi per il mondo che forniscono informazioni sulle tipologie di attacco, sui segmenti verticali del mercato maggiormente sotto attacco. Analizziamo oltre 30 miliardi di query ogni giorno".

Dato che PHASR è subordinato alla piattaforma GravityZone, ricordiamo se la piattaforma è aperta e se è multitenant?

"GravityZone è una piattaforma che ha sia una console in cloud che on-premise. Sulla piattaforma in cloud è multitenant (sia la versione tradizionale che quella MSP), quindi ciascun partner può monitorare tutti i suoi clienti. Per quanto riguarda l’interoperabilità con altre soluzioni, nella roadmap di quest’anno è incluso l’obiettivo di vedere i log di terze parti nella nostra console. È una risposta alla chiara esigenza di mercato di avere una console unica per evitare il problema del lock-in.

Per la parte di multitenant: il canale può gestirla, proporla, capitalizzarla. Bitdefender è un vendor di canale e proprio per questo facciamo sempre in modo che tutto passi per i partner, incluso il servizio MDR, perché alla fine è il partner che svolge tutto il lavoro presso il cliente. Capita che il cliente non abbia idea di come sia fatta la sua infrastruttura; spesso, in caso di MDR, il cliente non è strutturato per intervenire nel weekend, durante le ferie, di notte. Per noi il partner è il centro dell’ecosistema e in questi giorni di Partner Day l’abbiamo messo in evidenza tantissimo".

Restando sul canale, quali sono i benefici che la soluzione PHASR apporta?

"Il beneficio di PHASR è che per i nostri partner è più semplice proporlo, soprattutto a chi ha già la piattaforma Bitdefender, di cui è un add-on. A settembre sono in programma eventi mirati su PHASR. Essendo i primi, non abbiamo comparazione con la concorrenza, quindi quello che stiamo suggerendo ai partner è di proporre un upselling ai clienti che hanno già la piattaforma Bitdefender.

Per i nuovi clienti il discorso è più lungo e complicato proprio per l’assenza di concorrenza. In questo caso il consiglio è di coinvolgete i nostri SE per aiutare i partner a far comprendere il valore della soluzione, perché in Italia spesso si fa la comparazione solo sul prezzo e sarebbe un errore. Peraltro, PHASR è molto semplice da raccontare commercialmente, e tecnicamente è facile da far capire".

Quali sono le figure italiane che supportano e affiancano partner e clienti?

"Bitdefender ha consolidato la propria presenza in Italia attraverso due sedi operative, a Milano e Roma, supportate da un team locale altamente qualificato e strategicamente strutturato. L’organico italiano comprende infatti due Channel Account Manager, tre Sales Engineer, due Territory Account dedicati al mercato enterprise e una Field & Channel Marketing Manager. A questo si affianca un team da remoto altrettanto fondamentale, composto da una PR Manager, due Inside Territory Account Manager (iTAM), un referente MSP e due figure dedicate ai rinnovi. Questo assetto testimonia l’impegno concreto di Bitdefender nel rispondere in modo efficace e capillare alle esigenze del mercato italiano, attraverso un approccio consulenziale, tecnico e commerciale di altissimo livello".

Bitdefender ha annunciato anche Compliance Manager. Puoi spiegare come funziona?

"Compliance Manager è un add-on di GravityZone; non necessita di EDR. Analizza ciascun device e valuta quanto sia compliance con le regolamentazioni italiane ed europee, come NIS2, DORA, PCI DSS, CIS V8, ISO 27001. Lavora in modo intelligente perché analizza quanto siano corrette le attività svolte da ciascun utente singolo. Per capire: un account commerciale che accede alle risorse in cloud, secondo i dettami NIS2 dovrebbe avere visibilità solo alle cartelle sales. Se ha i permessi per accedere anche alle cartelle amministrazione, tecnico, eccetera, non è in linea con la normativa. Compliance Manager rileva questa anomalia nell’analisi preliminare e la segnala all’IT manager che può decidere di conseguenza. Questo vale per la NIS2, GDPR, CIS V8, 27001, per l’ambiente bancario con DORA, per PCI DSS. Siamo stati i primi al mondo a vendere un modulo di questo tipo e per questo ha attirato tantissima attenzione.

Del resto, Bitdefender è una soluzione europea certificata ACN e ricordiamo che lo Stato italiano ha definito regole di applicazione che danno priorità alle realtà italiane, europee, Nato e amici della Nato. Per noi è un vanto essere una realtà europea, siamo bravi a fare il nostro lavoro (non lo diciamo solo noi, lo dice il mercato), quindi siamo un vendor ideale con cui collaborare in questo momento".