“Potenziare l’analista umano Defender” Marco Ramilli (Yoroi) spiega la sua strategia per la cybersecurity

Parafrasando un famoso meme inglese potremmo dire “Italians do CybersecurITy Better” perchè Yoroi italianissima azienda che opera nella sicurezza informatica, fondata da Marco Ramilli nel 2015 ha ottenuto da Trusted Introducer (la rete di fiducia dei CERT mondiali) la certificazione di qualità del proprio CERT, il Computer Emergency Response Team, raggiungendo il terzo livello, il SIM3 (Security Incident Management Maturity Model). Ad oggi è l’unica in Italia rispetto agli altri operatori italiani, ad aver conseguito questo livello di risultato, dopo tre anni di percorso di accreditamento applicato da Trusted Introducer, mediante visite e audit in presenza e da remoto, (causa pandemia) finalizzati a qualificare le buone pratiche, favorire la collaborazione in rete tra team di sicurezza per la risposta agli incidenti informatici. D’altra parte, Yoroi non è ignota in ambito internazionale, essendo stata scelta da Google, nel 2019 per adottare Yomi nella sua la piattaforma di analisi malware Virus Total.

Yomi che effettua malware hunting in qualità di sandbox, conduce un’analisi multilivello di tipo statico, dinamico e comportamentale, sui software malevoli, per aiutare gli analisti umani a comprendere la dinamica dell’esecuzione del codice dannoso risparmiando tempo e denaro.  Marco Ramilli stesso, oggi Amministratore Delegato di Yoroi, è un informatico con una grande esperienza di hacking. Ingegnere Informatico con un Dottorato di Ricerca in Sicurezza Informatica presso l’Università di Bologna ha lavorato per il governo degli Stati Uniti (presso NIST, Divisione Security) e ha collaborato in ambito privato con aziende U.S. prima di fondare Yoroi in Italia, un service provider di Cyber Security dotato di un centro deputato alla difesa Cyber. Recentemente è stata perfezionato la cessione del 60% del capitale a Tinexta, insieme ai marchi Cybaze, Emaze e @Mediaservice.net.

Abbiamo voluto intervista Marco Ramilli per approfondire l’impostazione alla Cybersecurity che Yoroi ha avuto fin dalla sua nascita e in aggiunta alla storia imprenditoriale, che può essere di esempio per altri startupper in questo ambito professionale, capire anche le evidenze della minaccia osservate da parte chi lavora day by day alla analisi e difesa.

La vision di Yoroi è sempre stata quella di potenziare l’analista umano Defender. Data la sua esperienza può spiegare perché la tecnologia da sola non basta e perché deve abilitare lo specialista “umano” che fa sempre la differenza? 

Oggi come non mai la presenza dell’essere umano è fondamentale in ogni aspetto tecnologico. Un sistema informatico è migliore degli esseri umani nel processare grandi moli di informazioni strutturate e nel percepire piccoli “rumori” (dati n.d.r.) e questo sia dal punto di vista della precisione sia della performance. Tuttavia, sono gli esseri umani che fanno la differenza, sebbene imperfetti, imprevedibili e con una capacità sensoriale che ammette imprecisioni, perché sono proprio loro a trarre beneficio da un attacco informatico piuttosto che un sistema automatico. Dunque, secondo questo principio, solo un altro essere umano, con le sue imprecisioni ed impredicibilità, ha la facoltà di comprendere il fine ultimo nella motivazione di un attacco e decidere se e come bloccarlo. La tecnologia resta tuttavia centrale in quanto abilita gli analisti a comprendere in anticipo ciò che accade e ad offrire una pronta risposta. Ma la sola tecnologia non è la soluzione, secondo il mio punto di vista.

Seguendo questa specializzazione del gruppo di risposta agli incidenti (CERT), può raccontarci della certificazione recentemente ottenuta da Trusted Introducer e spiegare come si arriva a questo riconoscimento in relazione all’ importanza che riveste in ambito internazionale? 

La certificazione ottenuta, appartenente al network internazionale Trusted Introducer, è una certificazione alquanto complessa da raggiungere. Non è una certificazione personale, ove è necessario sostenere uno o più esami, ma è piuttosto una certificazione aziendale per la quale è necessario coinvolgere diversi aspetti dell’organizzazione, al fine di garantire processi e tecnologie di elevata qualità e duraturi nel tempo. Abbiamo investito un anno prima di riuscire ad avviare i processi necessari alla corretta implementazione, come richiesto dalla certificazione. La TI (Trusted Introducer) è una rete internazionale in cui può accedere solo chi ha almeno tre organizzazioni, già partner, che confermano la qualità del richiedente. Lo standard con il quale viene approcciato il metodo di detection, identification e di risposta all’incidente è il SIM3 (Security Incident Management Maturity Model), una metodologia di misura continua dell’efficacia e di continuo miglioramento che abilita l’elevato standard di qualità nella gestione dell’incidente, introdotta ed ampiamente utilizzata da ENISA.

Un ulteriore risultato internazionale si era verificato quando Google aveva incluso la vostra tecnologia Yomi nella sua piattaforma Virus Total. Come ci si fa notare da Google? 

Per la verità non saprei come ci si possa fare notare da big G, come un’unica “ricetta”. Noi abbiamo fatto tante analisi parallele ai motori presenti su VirusTotal e man mano che notavamo come numerose analisi della nostra tecnologia risultassero migliori in termini di qualità rispetto alle analisi già presenti, abbiamo iniziato a proporle facendo notare le differenze. Alla fine, siamo riusciti a farci notare: prima ci hanno chiesto di utilizzare la nostra infrastruttura aziendale per processare le loro analisi e successivamente ci hanno inserito nella loro infrastruttura core. L’enorme mole di sample sottomessi sulla piattaforma VirusTotal ci ha permesso di imparare moltissimo sulla scalabilità della nostra soluzione e ci ha permesso di confrontarci continuamente con tecnologie affini aiutandoci a migliorare in modo crescente sia nelle tecniche di analisi sia nella tecnologia a supporto.

Quali sono i prossimi investimenti in innovazione di Yoroi?

L’intelligenza artificiale in aiuto degli analisti è sicuramente uno dei punti focali in Yoroi. Già ampiamente studiata, utilizzata e rivisitata continua ad essere un elemento sul quale Yoroi investe. Tuttavia, assieme ad importanti università e centri di ricerca stiamo studiando e realizzando nuove ed interessanti tecnologie, alcune orientate al mondo dell’industria (terreno molto conosciuto da Yoroi) ed alcune tecnologie difensive pensate, in particolar modo, per ambienti governativi.

Studiando il panorama della minaccia a cosa ci si deve preparare maggiormente come impatto imminente?

Il panorama delle minacce continua ad essere molto variopinto e di difficile previsione. Le e-mail continuano ad essere uno dei principali vettori di attacco per circa il 92% dei casi totali. Dal 2020 le e-mail hanno subito un graduale bilanciamento nella tipologia di paylod di attacco che veicolano, passando da una fase principalmente costituita da allegati di posta elettronica, alla propagazione di “phishing web site”. Certo, questi ultimi sono ben distinti se confrontati con la propagazione di Malware, da fogli Excel (o da file ZIP, Word e Scripting), ma si nota un forte utilizzo di strumenti sofisticati come PhishingKIT che rendono più complesso e completo l’attacco risultante. Sono invece molto diversificati i comportamenti di attacco in funzione della tipologia della vittima e del suo core business, anche in relazione alla propagazione in termini temporali. La seguente immagine è tratta dall’annual Cybersecurity Report di Yoroi, (di prossima pubblicazione n.d.r.) e mostra come le distribuzioni di attacco cambiano notevolmente sui rispettivi verticali di business. Vi sono specifici verticali come per esempio: Oil/Gas and Household Goods che subiscono regolarmente attacchi distribuiti durante tutto l’anno, mentre altri verticali di business come per esempio Airline, Beverages e Food&Drug che subiscono la maggior parte degli attacchi in momenti be definiti. Per approfondire i dettagli suggerisco di scaricare gratuitamente lo Yoroi Annual Report 2021 disponibile nella sezione download del nostro sito fra poche settimane.

Cosa consiglierebbe ai giovani startupper che vorrebbero seguire le sue orme e quelle di Yoroi? 

Ho avuto la grandissima fortuna di vivere tutti i momenti della vita di una azienda. Dalla sua fondazione, fino al progetto di vendita passando per momenti molto complessi dovuti all’integrazione di più realtà e tematiche relative a scale-up. Ho avuto così la fortuna di crescere moltissimo sia dal punto di vista imprenditoriale, sia da quello manageriale e proprio per questo posso confermare che fare impresa è una attività estremamente complessa e soprattutto totalizzante. Chi si accinge ad avviare una propria Start-up deve essere consapevole che:

• Ci vuole passione. Tantissima passione. Essa si manifesta in differenti modi, personalmente si manifestava come un “innamoramento”, pensavo sempre e solo a lei, a Yoroi. Rivivevo le situazioni vissute durante il lavoro, più volte, per comprenderne gli errori e per capire come evitare di compierli in futuro.
• Essere pronti a lasciare tutto. Questo è un processo che non si manifesta istantaneamente, ma fare impresa, nel tempo, diventa totalizzante. Non c’è spazio per nient’altro, soprattutto all’inizio, tutto è finalizzato alla tua organizzazione. Passioni, sport, famiglia, inizia a gravitare tutto intorno ad un nuovo centro che tende ad attirare a sé molti aspetti della vita dell’imprenditore. Solo ad un certo punto si realizza che il baricentro della vita si è spostato ed allora si interviene.
• Le persone sono tutto. Non importa quanta tecnologia la tua organizzazione produca, ma essa risulta essere una narrazione delle persone che vi lavorano. Ognuna è differente ed ognuna ha esigenze specifiche. Non potrai soddisfarle tutte, ma almeno provaci, ne vale sempre la pena.
• Preparati ad essere impreparato. Non importa quanti libri tu possa studiare sul fare impresa, arriverà sempre la situazione che non trova uno stereotipo da seguire. In quel momento devi improvvisare e fare la cosa giusta per la tua impresa. È necessario comprendere che non esiste una vera e propria preparazione ma al contrario, che bisogna aspettarsi sempre qualche cosa di nuovo, ammettere l’errore e comprendere che la complessità da risolvere si racchiude nell’imprecisione quotidiana.