Abbiamo incontrato Giovanni Vigna, Senior Director of Threat Intelligence della BU Networking and Security di VMware, da venti anni negli Stati Uniti, in occasione del suo recente viaggio nel nostro Paese.
Oltre al suo ruolo in VMware, Vigna è Direttore dell’NSF AI Institute for Agent-based Cyber Threat Intelligence and Operation (ACTION) e professore di Computer Science all’Università della California, a Santa Barbara, e svolge attività di ricerca e sviluppo di tecnologie di sicurezza, occupandosi di analisi del malware, sicurezza web, valutazione delle vulnerabilità e rilevamento delle intrusioni.
Nel 2011 ha fondato la società di cybersecurity Lastline, acquisita, due anni fa, proprio da VMware.
Lo abbiamo incontrato in occasione della sua visita ai nostri uffici di Milano e ne abbiamo approfittato per scambiare quattro chiacchiere.
Qual è il motivo della tua visita in Italia?
L’Italia è il mio Paese di origine e torno sempre volentieri. Questo viaggio è stata l’occasione per incontrare alcuni clienti e sentire dalla loro voce quale fosse la loro percezione del mercato, anche alla luce della situazione economica internazionale e delle complesse vicende politiche che stiamo vivendo. È stata l’occasione per parlare di sicurezza, del suo livello di adozione, delle esigenze che le organizzazioni italiane manifestano. Ho avuto inoltre l’opportunità di incontrare le persone che lavorano in VMware Italia. È sempre importante e utile scambiare opinioni, condividere conoscenza e insight.
Quali sono le principali minacce e sfide nel campo della cybersecurity che le organizzazioni e gli individui devono affrontare oggi, e come si sono evolute nel corso degli ultimi anni?
Le minacce evolvono costantemente e presentano una vasta varietà, poiché coesistono attaccanti singoli, gruppi organizzati e i Nation-State. L'attaccante singolo è l'hacker, proprio come lo immaginiamo, ma poi si è verificata una prima evoluzione con la formazione di gruppi organizzati che spesso collaborano tra loro. Infine, si è raggiunta l'evoluzione finale con gli Stati nazionali, intere nazioni che attaccano in modo organizzato per ottenere informazioni di intelligence.
Con uno scenario così stratificato, diventa quindi estremamente importante disporre di un Threat Model che tenga in considerazione quali dati sono protetti all’interno di una organizzazione per riconoscere quali possono essere i probabili attaccanti. Le misure di protezione, infatti, devono sempre avere una corrispondenza specifica, un match, con l’attaccante che si prefiggono di combattere. Ad esempio, un’organizzazione può avere un sistema di rilevamento intrusioni che usa delle firme di base, ma se desidera individuare attacchi sofisticati avrà bisogno dell’Anomaly Detection, ovvero un sistema di machine learning che crea una baseline della rete da proteggere e identifica le nuove anomalie non precedentemente identificate. Pertanto, possiamo affermare che il panorama delle minacce si è evoluto e le misure di protezione devono evolversi di conseguenza.
Con l'aumento dei cyberattacchi su larga scala e delle violazioni dei dati sensibili, quali sono le misure e le strategie chiave che le aziende e gli utenti possono adottare per proteggersi in modo efficace? In che modo VMware può supportare le aziende in questo obiettivo?
Ci sono due aspetti fondamentali da considerare. Il primo riguarda l'educazione dell'utente. Un'organizzazione può avere i sistemi di protezione più sofisticati, ma se gli utenti non sono adeguatamente formati per adottare comportamenti in linea con la missione aziendale e la sicurezza, tali soluzioni possono diventare inutili.
Il secondo aspetto riguarda l'adozione di un sistema integrato. Ad esempio, VMware fornisce un sistema di controllo e rilevamento delle minacce sia per la rete che per i programmi. Attraverso una network sandbox, è possibile estrarre i comportamenti dei programmi e correlarli con la rete fornendo un'unica interfaccia, un single pane, in cui tutti gli aspetti legati alla sicurezza (EDR, NDR, XDR) possono essere presentati in modo organico e integrato all'utente. Ciò è importante perché, quando un utente deve utilizzare strumenti diversi per esaminare aspetti diversi dello stesso problema, si verifica una dispersione dell'attenzione. L'attacco stesso è uno, ma le prove dell'attacco possono essere disseminate e se tali prove non vengono collegate tra loro, si rischia di perdere componenti e variabili importanti della minaccia in azione.
La tecnologia sta avanzando rapidamente, con l'Intelligenza Artificiale che svolge un ruolo sempre più cruciale. Quali sono gli impatti di queste tecnologie sull'ambito della cybersecurity, e quali nuove sfide emergono a causa di tali sviluppi?
L'intelligenza artificiale risolve due problemi fondamentali: la scala e la velocità di risposta. L'intelligenza artificiale replica i comportamenti umani che riguardano la protezione di una rete. Il problema fondamentale è che non disponiamo di abbastanza persone ed esperti in grado di rispondere efficacemente a questi continui attacchi da parte di cybercriminali di diversi livelli, e soprattutto farlo in tempi sufficientemente rapidi per prevenire conseguenze disastrose. Di conseguenza, l'intelligenza artificiale rappresenta uno strumento che consente di “catturare” l'intelligenza umana dell'esperto e di applicarla in modo rapido e su larga scala.
Recentemente, si è assistito a uno sviluppo di queste tecniche di Generative AI (intelligenza artificiale generativa), che utilizzano i cosiddetti Large Language Model (LLM), come Chat GPT, per generare interazioni con gli esseri umani che siano più facili da gestire. Esiste un problema di gap semantico tra ciò che viene mostrato all'utente in termini di eventi rilevati e ciò che effettivamente rappresenta il problema che tali eventi rivelano. La promessa di questi chatbot e di questi LLM è proprio quella di catturare la correlazione tra questi eventi molto astratti e l'effetto reale sulla rete. Al momento, siamo ancora agli albori di questo tipo di tecnologie e abbiamo osservato alcuni sviluppi iniziali da parte di grandi player internazionali. Anche VMware sta lavorando per utilizzare tali tecnologie al fine di offrire un servizio migliore agli utenti, un servizio che può contestualizzare gli attacchi, spiegarne gli effetti e suggerire i passaggi necessari per rimediare con successo alla situazione.
Bonus: Cosa ti manca di più dell’Italia?
La ricotta e la mozzarella di qualità, non riesco a trovarle negli Stati Uniti!