Cybersecurity : l’area più attraente e pericolosa per investire
Antivirus
Il modello più conosciuto di cybersicurezza è naturalmente il software antivirus come Norton, Trend Micro, McAfee. Un tempo onnipresente, il software tradizionale per la sicurezza degli endpoint ha visto un forte calo di popolarità a causa della sua limitata capacità di protezione. Le soluzioni tradizionali si basano su database di firme, codici identificativi unici associati a specifici tipi di malware, al fine di identificare e prevenire futuri attacchi di questo tipo. Si tratta di soluzioni limitate per natura, in quanto possono prevenire solo gli attacchi che utilizzano malware che sono stati precedentemente identificati e memorizzati nel database. Già molti anni fa divenne chiaro che gli approcci tradizionali stavano fallendo, poiché i database delle firme non potevano essere aggiornati allo stesso ritmo con cui veniva creato il nuovo malware. È quasi impossibile catalogare le centinaia di migliaia di nuove varianti di malware che emergono ogni giorno.
È a causa di questo fallimento che abbiamo visto nuovi fornitori di ultima generazione venire alla ribalta utilizzando l’apprendimento automatico e l’intelligenza artificiale per aiutare le organizzazioni a prevenire gli attacchi di tipo sconosciuto, o quello che viene definito zero-day. Ma il cosiddetto mercato dell’Endpoint Detection and Response (EDR) va un passo oltre la prevenzione per rilevare e rispondere anche al malware che si è già fatto strada nell’endpoint. Crowdstrike e SentinelOne sono due fornitori quotati di soluzioni EDR di prossima generazione con una piattaforma originaria cloud. Anche se teoricamente si può guadagnare con qualsiasi azione, cerchiamo sempre di evitare gli operatori già in crisi. Anche se lo spazio anti-virus non è diverso da qualsiasi altro spazio nel software in cui gli operatori storici si stanno muovendo verso soluzioni cloud per competere meglio, non è neanche diverso dal fatto che in genere conviene stare con i disgregatori nati dal cloud … Il rovescio della medaglia è la tipica valutazione troppo alta a cui tendono queste aziende. Per questo particolare mercato eviteremmo anche l’esposizione ai mercati finali dei consumatori, poiché sempre meno individui tendono a pagare per un antivirus e Microsoft incorpora persino il proprio sistema antivirus nel software Window. Ci piace il mercato finale aziendale in quanto i dati continuano a proliferare e questo software aiuta i clienti a proteggere i carichi di lavoro in esecuzione su una varietà di endpoint tra cui computer portatili, desktop, server, macchine virtuali e dispositivi IoT attraverso ambienti on-premise, ibridi e cloud.
Il castello della sicurezza aziendale sta crollando
Tradizionalmente le imprese hanno organizzato la loro sicurezza come una tipica struttura a fortezza. Ciò significa che considerano il quartier generale come il castello dove, una volta dentro, chiunque può vagare liberamente dove vuole. Fuori dal castello nessuno è affidabile e quindi si costruisce un fossato per tenere fuori i visitatori indesiderati. Questo fossato è il tipico prodotto firewall nel mondo della sicurezza. Si tratta di apparecchi, cioè software in bundle su hardware, server, per ospitare questo software. Alcuni fornitori di firewall tradizionali sono Cisco, Checkpoint e Palo Alto Networks. Questi firewall possono poi essere integrati da diverse soluzioni complementari come la gestione delle vulnerabilità (Tenable, Qualys sono alcune aziende quotate in questo ambito), la protezione degli endpoint (discussa nell’articolo precedente) e il SIEM (Security Identification and Event Management, Splunk è il leader in questo settore). I collaboratori che lavorano al di fuori della sede centrale e che hanno bisogno di connettersi a Internet o alle applicazioni interne sono in genere connessi tramite VPN (Virtual Private Network) o tecnologia MPLS (Multi-Protocol Label Switching). Tutto il traffico dai dipendenti in remoto o dalle filiali aziendali verrebbe reindirizzato alla sede centrale dove possono essere applicati tutti i controlli di sicurezza e le politiche aziendali.
Proprio come i player nati dal cloud Salesforce.com e Workday (e molti altri in un secondo tempo) sono entrati e hanno sconvolto il tradizionale mondo del software ERP dominato da SAP e Oracle più di un decennio fa, oggi sta accadendo di nuovo nel mondo della cybersecurity. I protagonisti della cybersecurity nati dal cloud come Zscaler e Cloudflare stanno scombussolando i player e le architetture tradizionali (maggiori informazioni in calce). Come si è scoperto, la sicurezza informatica può essere fornita tramite il cloud, eliminando la necessità di acquistare hardware costosi. Qualcuno potrebbe persino sostenere che la sicurezza basata sul cloud può essere ancora più efficace della tradizionale sicurezza basata su apparecchiature in loco. Oltre a ciò, gli impiegati sono sempre più fuori dalla sede centrale e usano sempre più dispositivi per farlo (pensate ai telefoni e agli iPad), rendendo l’approccio “castello e fossato” sempre più inefficiente, costoso e ingombrante. Ovviamente, questa tendenza ha ricevuto una spinta enorme dalla pandemia di Covid, quando i dipendenti hanno dovuto improvvisamente lavorare da casa, provocando ai dipartimenti IT aziendali grattacapi in termini di sicurezza e prestazioni.
Il problema sei tu
È molto divertente come molte persone pensino: “quanto stupidi si deve essere per aprire quella mail o cliccare su quel link”, facendo riferimento a un’ovvia truffa via e-mail di qualsiasi tipo. Tuttavia, secondo il Verizon 2021 Data Breach Investigations Report, il mezzo principale con cui un cattivo operatore entra in un’organizzazione sono le credenziali, con il 61% delle violazioni attribuite a credenziali rubate. I metodi e gli strumenti degli hacker sono spesso molto creativi e sofisticati, ma il loro successo è il risultato dell'”elemento umano”. Riutilizziamo le stesse password più e più volte, accediamo alle applicazioni aziendali su dispositivi personali non protetti, e ci rifiutiamo di adottare l’autenticazione a più fattori, e sì, a tutti è capitato di cliccare su mail che non ci siamo accorti essere dannose. Accanto al passaggio ai titoli nati dal cloud, crediamo anche che ci siano aree all’interno della cybersecurity che cresceranno in importanza nei prossimi due anni. Una di queste aree è l’Identity and Access Management, un software utilizzato per gestire le identità degli utenti e regolare l’accesso degli utenti all’interno di un’organizzazione. Okta è il leader di mercato nel segmento Single Sign-On, e Sailpoint e CyberArk sono i venditori leader rispettivamente nei segmenti Identity Governance e Privileged Access Management. Ping Identity e Forgerock sono IPO più recenti in questo settore.
Dato che gli esseri umani sono i vettori di attacco più comunemente sfruttati, un’altra area che crediamo vedrà una maggiore importanza negli anni a venire è il software di consapevolezza della sicurezza, che consente alle organizzazioni di formare i dipendenti per identificare e prevenire gli attacchi di ingegneria sociale. KnowBe4 è una recente IPO e leader di mercato in questo settore.
Come sempre nella tecnologia, compaiono nuove parole d’ordine.
Dato che le aziende stanno diventando sempre più digitali, utilizzando ambienti ibridi e multi-cloud, adottando più applicazioni basate sul cloud, avendo a che fare con una proliferazione di dispositivi e avendo dipendenti che operano sempre più al di fuori della rete aziendale principale, tutto questo ha dato origine a una nuova serie di parole d’ordine. Zero Trust Security e SASE (Secure Access Server Edge) sono due esempi di progetti di cui la maggior parte delle aziende menzionate in questo articolo parla spesso. Invece di supporre che tutto sia sicuro dietro il firewall aziendale (all’interno del castello), il modello Zero Trust presuppone la violazione, e il concetto principale alla base è “mai fidarsi, controllare sempre”. Il modello Zero Trust richiede che tutti gli utenti, sia all’interno che all’esterno della rete dell’organizzazione, siano autenticati, autorizzati e continuamente convalidati per la configurazione di sicurezza prima che sia concesso l’accesso ad applicazioni e dati. In effetti, quello che stiamo vedendo è un passaggio dalla tradizionale architettura a castello e fossato alla Zero Trust Architecture. Un’altra parola chiave ancora più recente è SASE, che si riduce alla convergenza di rete e servizi di sicurezza della rete in un unico servizio, il più delle volte erogato nel cloud. Zero trust è considerato parte integrante di SASE. Consideriamo SASE il modello definitivo a cui le aziende devono ora rivolgersi. Dato il clamore intorno a SASE, il numero di fornitori che affermano di offrire SASE è aumentato in modo significativo, ma non tutti i fornitori che affermano di offrire soluzioni SASE attualmente forniscono tutte le funzionalità richieste e consigliate. Inoltre, le capacità offerte da diversi fornitori non hanno lo stesso livello di funzionalità e maturità.
Quindi come ci assicuriamo l’alfa?
In questo periodo di transizione, i potenziali investitori dovranno sforzarsi di identificare vincitori e vinti. La complessità sta non solo nella comprensione delle varie tecnologie, ma anche nell’esistenza di ambienti ibridi. Ad esempio, preferiamo evitare l’esposizione ai tradizionali fornitori di firewall locali, ma questo segmento è ancora in crescita.
Infatti, sebbene le aziende si stiano orientando verso architetture di sicurezza basate su cloud e zero trust, c’è ancora una quantità crescente di dati che fluiscono attraverso i firewall tradizionali, il che aumenta anche la necessità di questi prodotti. C’è quindi una consistente base installata (investimenti in hardware e software) che non è destinata a scomparire. Inoltre, i prodotti e le aziende si evolvono. Per citare solo un esempio, Palo Alto ora offre una versione basata su cloud del suo firewall… E per rendere le cose ancora più preoccupanti, le tecnologie stesse stanno cambiando rapidamente rendendo obsolete quelle vecchie.
In Decalia la cybersecurity è uno dei sette temi principali del nostro fondo Sustainable SOCIETY (la S sta per security). Ci avviciniamo ai nostri investimenti nella cybersecurity attraverso un approccio diversificato, guidato da ricerca e competenza. Investiamo nei modelli di business basati su cloud più dirompenti e innovativi, come Zscaler. Il problema con queste aziende è che di solito sono costose. Investiamo quindi anche in società meno costose ma comunque ben posizionate. Per finire, applichiamo un framework ESG, sviluppato internamente, in modalità sottosettore, per tutti i nostri temi e sottotemi al fine di comprendere appieno ed evitare i rischi associati ai nostri investimenti.