La scorsa settimana siamo stati invitati al Cybertech di Roma, un evento internazionale dedicato alla cybersecurity e alle tecnologie di difesa informatica.
La conferenza ha riunito esperti del settore, rappresentanti governativi, leader aziendali e innovatori per discutere le ultime tendenze nella sicurezza informatica, tra cui la protezione delle infrastrutture critiche, la sicurezza delle reti e le nuove minacce digitali.
Durante l’evento abbiamo intervistato Paolo Arcagni, Director, Solutions Engineering Southern Europe di F5, multinazionale specializzata nella delivery e protezione delle applicazioni, sia on-premises che nel cloud. F5, fondata nel 1996, è riconosciuta per le sue soluzioni di sicurezza applicativa e gestione del traffico dati.
L’intervista, della durata di 45 minuti, ha toccato diversi aspetti della sicurezza informatica. È un pezzo molto tecnico per TechTalking, pensato per essere un sito divulgativo. Certi argomenti, però, li si può semplificare fino a un certo punto e chi di voi sia interessato al tema della cybersecurity, troverà senz’altro molti spunti di suo interesse.
Ma passiamo ora all’intervista vera e propria. Che è iniziata approfondendo F5, vera e propria eminenza grigia con la quale tutti noi ci siamo interfacciati almeno una volta senza neppure saperlo…
Paolo Arcagni: È proprio così. Pochi al di fuori del nostro ambiente sanno cosa sia F5, ma praticamente tutti la utilizzano. Se ti colleghi al tuo conto bancario tramite home banking o con un browser, è molto probabile che, dal punto di vista della consegna dell’applicazione all’utente finale (application delivery), tu stia parlando con un software di F5.
Potrebbe trattarsi di una soluzione hardware per ambienti on-premises, cioè per data center tradizionali, o di un formato software nel cloud. È vero che F5 non è conosciuto dal grande pubblico come Google, Microsoft, OpenAI o Facebook, ma viene usato ogni giorno, da quasi tutti.
Quando ci colleghiamo al nostro conto bancario tramite home banking o browser, è probabile che dietro la gestione della connessione e del traffico applicativo ci sia una soluzione software di F5.
Puoi fornirci delle cifre indicative sul traffico che gestite?
Paolo Arcagni: Non posso darti dati precisi perché è difficile da quantificare. Se però consideri che in Italia e nel Sud Europa la maggior parte delle grandi imprese, delle banche e dei service provider utilizza hardware, software o soluzioni “as a service” di F5, capisci che la quantità di traffico gestita è piuttosto significativa.
Perché un’azienda si rivolge a F5?
Paolo Arcagni: Ci sono due motivi fondamentali. Il primo è legato all’Application Delivery, cioè alla gestione e consegna delle applicazioni agli utenti finali, e il secondo riguarda l’Application Security, ovvero la sicurezza delle applicazioni. Sono due aspetti distinti, ma solitamente vanno di pari passo.
Faccio un esempio concreto: l’home banking. Quando accedi al tuo conto tramite telefono o computer, ti colleghi a un server. Ma quel server non è direttamente il server della banca, perché non potrebbe reggere il carico di tutte le richieste degli utenti. In realtà, è F5 a gestire questo processo, facendo da proxy e “impersonando” l’applicazione.
Una delle sue principali funzionalità è il load balancing, cioè il bilanciamento del carico, per distribuire le richieste su più server, garantendo che l’applicazione possa sostenere il picco di traffico. Per esempio, nel caso dell’home banking possono esserci un numero limitato di server coinvolti, mentre per piattaforme come Facebook l’architettura è molto più vasta, con migliaia di server distribuiti.
Facebook è un cliente di F5?
Paolo Arcagni: Abbiamo pubblicato casi d’uso interessanti realizzati con Facebook.
Oggi, clienti grandi come loro, quali sarebbero?
Paolo Arcagni: Potrei citare Verizon, il più grande service provider in America. In Italia, molte grosse aziende in diversi settori di mercato utilizzano soluzioni di application delivery di F5, come ad esempio SNAM nel mercato dell’energia.
Abbiamo parlato dell’Application Delivery: e poi?
Paolo Arcagni: Sempre in ambito Application Delivery, possiamo ad esempio parlare di ottimizzazione del traffico applicativo, un’azione fondamentale per garantire che l’applicazione rimanga sempre veloce e reattiva, indipendentemente dal numero di utenti connessi.
Voglio essere chiaro: noi non sviluppiamo applicazioni, ma le aziende si appoggiano alle nostre tecnologie per consegnare il traffico applicativo ai loro clienti. Quindi, se un’app è mal ottimizzata, potrebbe essere difficile fare qualcosa per migliorarla. Tuttavia, con alcuni accorgimenti, possiamo migliorare l’esperienza d’uso dell’applicazione da parte dell’utente finale.
Non è nostro compito intervenire direttamente sulle applicazioni, ma possiamo offrire strumenti di analisi. Questo è uno dei vantaggi per i clienti che adottano tecnologie come quelle di F5 o simili soluzioni di proxying.
All’interno di queste tecnologie, c’è un’analisi del protocollo che ottimizza le prestazioni e genera una serie di log e dati. Se questi dati vengono analizzati correttamente, possono indicare dove migliorare l’applicazione.
Quindi offrite una sorta di telemetria per migliorare le performance?
Paolo Arcagni: Esattamente. Siamo in grado, per esempio, di fornire una telemetria precisa su quali fasi applicative (come il login, la consultazione del saldo o la prenotazione di un volo) sono più lente rispetto ad altre.
Questo è un ulteriore beneficio derivante dall’Application Delivery. Il cliente può usare questi dati, oggi anche attraverso l’intelligenza artificiale, per analizzarli e dire ai propri sviluppatori o fornitori di applicazioni di ottimizzare quelle funzionalità che risultano troppo lente.
A questo punto manca il discorso della sicurezza…
Paolo Arcagni: Sì, esatto, l’Application Security è l’altro grande pilastro. Si tratta di un ambito molto ampio che copre vari scenari, sia a livello di networking che a livello applicativo.
F5 è particolarmente forte nel campo dell’Application Security, in particolare con il Web Application Firewall (WAF). Questo tipo di firewall, diverso da un firewall tradizionale, protegge le applicazioni da attacchi specifici che sfruttano vulnerabilità applicative, non di rete.
Il firewall tradizionale è più conosciuto dal grande pubblico, mentre il WAF non lo è altrettanto. Tuttavia, è essenziale per proteggere le applicazioni dagli attacchi che mirano a debolezze del codice applicativo. È importante che entrambe le protezioni – rete e applicazioni – lavorino insieme.
Nel passato, molte aziende si limitavano a proteggere la rete con un firewall, trascurando la sicurezza delle applicazioni. Recentemente la situazione è migliorata, ma ancora oggi sappiamo che uno degli attacchi più sfruttati per compromettere un’applicazione è la SQL injection, una tecnica nota da circa 30 anni.
Per difendersi da questo tipo di minacce, sono necessarie soluzioni come il Web Application Firewall, che è in grado di bloccarle.
Nelle aziende sta aumentando la consapevolezza dell’importanza della sicurezza digitale. Ma, come sottolinea Paolo Arcagni, ci sono voluti trent’anni perché ciò accadesse.
Perché, dopo 30 anni, c’è ancora chi non adotta queste soluzioni?
Paolo Arcagni: È una domanda che ci poniamo anche noi, che vendiamo queste soluzioni. Oggi le cose vanno decisamente meglio rispetto al passato, ma c’è ancora strada da fare.
Infatti, il vostro Digital Enterprise Maturity Index, che suggerisce che finalmente qualcosa sta migliorando in termini di consapevolezza…
Paolo Arcagni: È vero, ma siamo nel 2024. Io lavoro in questo settore da molti anni e ci è voluto davvero tanto perché le aziende capissero che la sicurezza non è un elemento accessorio, ma una priorità.
Ognuno di noi può essere bersaglio di un attacco informatico, anche attraverso gli IP pubblici della nostra connettività casalinga. Spesso questi attacchi non hanno successo perché non c’è nulla da compromettere, ma il punto è che le aziende solo negli ultimi anni hanno realizzato quanto questo problema sia serio.
Voi, come azienda di sicurezza, siete i “guardiani” che difendono gli altri. Ma siete anche voi vulnerabili? Dovete difendervi da attacchi?
Paolo Arcagni: Assolutamente sì. F5, come qualsiasi altra azienda, è potenzialmente vulnerabile agli attacchi informatici. Forniamo servizi online, abbiamo un sito web e offriamo soluzioni “as a service” ai nostri clienti. Dobbiamo proteggere i nostri sistemi proprio come facciamo per i nostri clienti.
Il nostro approccio è quello di mettere in pratica ciò che predichiamo: gli americani direbbero “eat your own dog food”. Siamo i nostri primi clienti.
Inoltre, la sicurezza è integrata in tutta la nostra filiera, sia hardware che software. Ad esempio, nel ciclo di vita del software, adottiamo strategie che includono la sicurezza fin dalle prime fasi dello sviluppo. Questo significa che, sin dal momento in cui decidiamo di sviluppare un prodotto, pensiamo alla sua sicurezza.
Spesso, nello sviluppo generico delle applicazioni, si inizia a programmare e solo successivamente si considera la sicurezza.
Noi, invece, predichiamo un approccio DevSecOps: non solo sviluppo e operatività (DevOps), ma anche sicurezza. Dobbiamo passare da “sviluppo l’applicazione e poi la metto in produzione” a “la sviluppo, la metto in sicurezza e poi la porto in produzione”.
Questo ciclo di vita, rappresentato dal simbolo dell’infinito che si vede spesso nelle presentazioni di security, dovrebbe avere la sicurezza come filo conduttore.
È importante pensare alla sua sicurezza del software fin dalle prime fasi dello sviluppo. Purtroppo, invece, prima si inizia a programmare e solo successivamente si considera la sicurezza.
Quando parli di applicazioni, non intendi le app del telefono. Puoi spiegare meglio questo concetto per il nostro pubblico?
Paolo Arcagni: Sì, giusto, è importante chiarire. Parliamo di diverse tipologie di applicazioni. Nel nostro contesto ci riferiamo principalmente ai server applicativi, ovvero l’infrastruttura che gestisce i dati e le operazioni dell’applicazione. Tuttavia, ci sono situazioni in cui possiamo intervenire anche sul device dell’utente, che sia un computer, un telefono o un tablet.
Esistono attacchi che sfruttano vulnerabilità nei dispositivi degli utenti, e in questi casi noi possiamo fornire strumenti come software development kit (SDK) di sicurezza, che lo sviluppatore può utilizzare per integrare controlli a livello di device. Ma il grosso del nostro lavoro si concentra sul back-end, cioè sul server che gestisce i dati e che gli utenti interrogano quando usano le loro applicazioni.
C’è un altro problema, quello delle API, che spesso vengono integrate nei software senza la consapevolezza dei possibili effetti collaterali…
Paolo Arcagni: Non sono completamente d’accordo sulla questione del rischio in termini generali. Le API sono davvero belle, sono un nuovo linguaggio che consente alle applicazioni di comunicare tra loro in modo indipendente da come sono state sviluppate.
Dal mio punto di vista, avendo sviluppato un po’ nel mio passato, le API rappresentano una grande rivoluzione nella comunicazione tra applicazioni. Per questo motivo stanno avendo un successo enorme.
Tuttavia, come accade coi grandi numeri, ci sono anche grandi sfide, specialmente dal punto di vista della sicurezza. Su questo devo darti ragione.
Adottare API comporta un certo rischio, che però è legato ancora una volta all’Application Security. Bisogna capire che le moderne API sono efficienti e veloci rispetto ai protocolli usati in passato, ma portano con sé rischi diversi, non necessariamente maggiori.
Negli ultimi anni, siamo stati abituati alle web app, che usano HTTP come protocollo di comunicazione. Oggi grazie alle API lo sviluppo di applicazioni, incluse quelle per smartphone, è diventato molto più rapido e facilitato.
Ormai anche molte applicazioni classiche che usiamo nei browser utilizzano API. Se uno è curioso e va a guardare cosa succede nel proprio browser, noterà che nella maggior parte dei casi le comunicazioni avvengono tramite API.
Le API però portano con sé nuove sfide di sicurezza applicativa. In passato si usava il Web Application Firewall (WAF) per proteggere le applicazioni web, ma oggi dobbiamo passare a soluzioni come il WAAP, Web Application and API Protection, perché proteggere le API richiede accorgimenti diversi rispetto alle applicazioni web tradizionali.
Per Lori MacVitte, Distinguished Engineer di F5, molte organizzazioni tendono a sottovalutare la loro sicurezza rispetto alle app tradizionali.
Paolo Arcagni: Hai fatto bene a parlare di questo argomento perché tocca un aspetto fondamentale della sicurezza: “non puoi proteggere ciò che non conosci”. Questo è un mantra nel settore della sicurezza.
Se sviluppi un’applicazione internamente, sai cosa c’è dentro, puoi monitorare i rischi. Ma se inizi a prendere dati o funzionalità da terze parti tramite API, ti stai portando in casa qualcosa che potrebbe essere vulnerabile.
Parliamo di transizione digitale. È sicuramente un processo necessario, ma sembra che in alcuni casi si esageri, con dati sparsi tra diversi servizi. Stiamo andando nella giusta direzione o qualche volta si pecca di eccessivo zelo?
Lori MacVitte ha osservato che se le API sono ben documentate, gli hacker possono usarle più facilmente per attaccare in grande scala.
Paolo Arcagni: Ottima domanda. In effetti, ci sono stati casi di trasformazioni digitali inutili. Lo vediamo anche dai report annuali di F5: molte grandi aziende stanno rivalutando il classico data center rispetto al public cloud, che per anni è stato un trend dominante.
Non esiste una soluzione perfetta in assoluto: bisogna valutare cosa serve davvero rispetto alle proprie esigenze. È comunque vero che l’adozione del cloud è stata a volte eccessiva e mal gestita, tant’è che alcune grandi aziende sono tornate a soluzioni on-premises.
F5, pur essendo diventata una software company, continua a credere nell’hardware. Questo perché il futuro non sarà solo multi-cloud, ma sempre più hybrid-cloud, con una combinazione di data center privati e cloud pubblici.
Anche quando la digital transformation è fatta bene, utilizzando le tecnologie in modo corretto, non sempre semplifica le cose. È efficiente dal punto di vista dei costi e della tecnologia ma introduce nuove complessità, come ad esempio la connettività tra data center privati e cloud pubblici.
Non a caso sono in crescita i servizi che proteggono la connettività col cloud…
Paolo Arcagni: Esattamente, e bisogna adottarli. Questa è una problematica emergente, soprattutto con l’esplosione dell’hybrid-cloud negli ultimi anni.
F5 opera anche in questo ambito, sia nell’application delivery che nella security. Un mantra molto caro al nostro CEO è che “F5 vuole fornire soluzioni di application delivery e security che siano estremamente semplici da implementare”.
Mi sembra un bel mantra…
Paolo Arcagni: Sì, e quello che mi piace di F5 è che vedo questa strategia realizzarsi sul campo. Abbiamo sviluppato prodotti che semplificano davvero la gestione dell’application security.
Ad esempio, se hai un’applicazione distribuita su più cloud, puoi proteggerla con servizi come il ‘WAAP (Web Application and API Protection) as a Service’ di F5, indipendentemente da dove sia configurata l’applicazione.
Un tuo commento sul concetto di Zero Trust?
Paolo Arcagni: Credo che lo Zero Trust sia una necessità. Come la digital transformation, è un’esigenza che comporta complicazioni. Implementare un buon Zero Trust richiede risorse e pianificazione, ma è fondamentale.
Non possiamo più fidarci di approcci tradizionali alla sicurezza. Anche F5 sta lavorando in questo campo, e penso che sia un mercato molto interessante.
Lo Zero Trust è un modello di sicurezza informatica che presuppone che nessun utente o dispositivo, interno o esterno alla rete aziendale, sia automaticamente affidabile. Richiede una verifica continua dell’identità e delle autorizzazioni per accedere alle risorse aziendali, superando il modello tradizionale che considerava sicuro tutto ciò che era all’interno del perimetro di rete.
Un altro settore che mi affascina è l’Internet of Things (IoT). Come lo presidia F5?
Paolo Arcagni: L’IoT è un mondo vasto. In F5 ci stiamo concentrando molto sull’edge computing o edge cloud, che facilita l’implementazione e la protezione di workload IoT in contesti con scarse infrastrutture.
Pensiamo, ad esempio, alla gestione e protezione dei dati prodotti da una catena di produzione in una fabbrica situata in una zona con poca connettività. F5 offre ai propri clienti soluzioni di edge cloud, che permettono di connettere questi siti in modo sicuro al cloud centralizzato di F5, consentendo anche una gestione locale dei dati generati da IoT tramite workload distribuiti.
Le minacce legate all’IoT sono in crescita o sono più teoriche che concrete?
Paolo Arcagni: La realtà è che la superficie di attacco continua ad espandersi. Per questo motivo l’edge cloud e l’edge security diventeranno sempre più importanti. Se prima un cybercriminale doveva attaccare un data center, ora può mirare al public cloud, all’edge cloud o ai dispositivi IoT, rendendo il suo lavoro più facile e il nostro lavoro di protezione sempre più complesso.
Un perimetro che non ha confini non è più un perimetro. Ha ancora senso usare questo concetto?
Paolo Arcagni: No, il concetto di perimetro è superato. Possiamo parlare di un “soft perimeter”, ma di fatto non esiste più un confine chiaro.
La sicurezza deve evolversi: non possiamo più contare su un modello di protezione fisica come un tempo. Oggi dobbiamo pensare alla protezione dei dispositivi mobili, perché se un telefono aziendale viene compromesso, ha accesso ai dati aziendali e può fare danni dall’interno.
Lo stesso vale per l’IoT: dispositivi su macchine o linee di produzione che caricano dati sui server aziendali devono essere protetti.
Parliamo di intelligenza artificiale. C’è chi la vede come una minaccia e chi come un aiuto. Qual è la tua visione?
Paolo Arcagni: È un argomento molto interessante. Personalmente, vedo l’intelligenza artificiale come uno strumento. È come una pinza: puoi usarla per riparare un oggetto o per fare del male. Dipende da come la utilizzi.
Non esiste un’IA che attacca di per sé; ma ci può sempre essere un attaccante che la sfrutta per semplificarsi il lavoro. Allo stesso modo, esistono prodotti software, come quelli di F5, che utilizzano l’intelligenza artificiale per imparare a riconoscere gli attacchi e proteggersi meglio.
Una volta, queste operazioni venivano fatte manualmente e con molta meno efficienza. L’IA è uno strumento molto potente che ci aiuta a fare cose in modo più efficiente rispetto al passato.
Paolo Arcagni ha sottolineato che è essenziale per chi si occupa di difesa utilizzare l’intelligenza artificiale, altrimenti si rischia di rimanere indietro rispetto agli attaccanti. Se questi ultimi impiegano strumenti più veloci ed efficienti, chi non adotta tali tecnologie si trova in una posizione di svantaggio sin dall’inizio.
Se dovessi mettere l’IA su una bilancia, da che parte penderebbe il piatto?
Paolo Arcagni: Per me pende ancora dal lato positivo, perché tutto dipende da come usiamo questo strumento. È vero che rende più facili certi attacchi, come il phishing, ma anche in passato avevamo rischi simili, solo che erano diversi.
Anche F5 utilizza l’intelligenza artificiale nei propri sistemi per ottimizzare la protezione e imparare dagli attacchi, migliorando costantemente la sicurezza delle applicazioni.
In alcune conferenze sento dire che l’IA aiuta gli attaccanti; in altre, che agevola i difensori. Qual è il tuo parere?
Paolo Arcagni: È proprio per questo che chi difende deve usare l’IA, altrimenti rimane indietro rispetto agli attaccanti. Se loro utilizzano strumenti più veloci ed efficienti e tu no, hai già perso in partenza.
D’altra parte, c’è anche un’altra questione: come possono le aziende di sicurezza, come F5, aiutare le imprese a proteggersi dagli attacchi basati sull’IA? Qui entra in gioco un nuovo concetto, come ad esempio quello della “prompt security”.
In F5 stiamo sviluppando tecnologie specifiche per la protezione delle inferenze e per l’ottimizzazione dell’utilizzo delle risorse, ad esempio nei cluster di GPU. L’IA richiede molta energia, ma con processi di load balancing possiamo ottimizzare il consumo e migliorare l’efficienza.
L’IA era il futuro, oggi è il presente. La ‘next-big thing’, a detta di tutti, sarà il quantum computing. Questo ti preoccupa, soprattutto in relazione alla sicurezza?
Paolo Arcagni: Il quantum computing potrebbe sembrare una minaccia incombente ma siamo ancora in una fase molto iniziale. Certo, cambierà il modo in cui gestiamo le password e altri aspetti della sicurezza, ma è un problema che riguarderà tanto chi attacca quanto chi difende. Come per l’IA, chi si occupa di protezione dovrà utilizzarlo per proteggersi.
Gli attacchi informatici sono sempre più frequenti e colpiscono grandi organizzazioni, come il Dipartimento di Giustizia americano o aziende come Verizon. La domanda è: sono vulnerabili loro o è impossibile difendersi da attacchi di Stato?
Paolo Arcagni: Il lavoro di chi difende è sempre più difficile di quello di chi attacca. Il difensore deve assicurarsi di proteggere l’intera catena; all’attaccante invece basta trovare un solo varco.
È possibile garantire la sicurezza totale in ambienti così complessi come quelli attuali? In teoria sì, in pratica è molto difficile.
Quello che posso dire è che, dal punto di vista dell’application security, se un’azienda riuscisse a proteggere tutte le sue applicazioni, sarebbe estremamente sicura: F5, con il suo portafoglio di soluzioni, consente proprio di fare questo nella maniera più semplice possibile.
