Hackmageddon.com

Se immaginassimo per un attimo che non esista Antitrust, concentrandoci ad immaginare il framework di sicurezza ideale, potremmo suddividere un offerta completa di sicurezza in 6 domini:

• Sicurezza degli Endpoint (EPP) che include le funzioni di Antivirus, Personal Firewall/Network Access Control, Host IPS, DLP, Cifratura per tutte le classi di dispositivi, mobili o fissi;
• Sicurezza della rete e dei contenuti (NP) che include le funzioni di Firewall, IPS, Web and Email Protection;
• Sicurezza applicativa  (AP) che include le aree di analisi del codice, WEB/XML/Database Firewall;
• Compliance: che include le funzioni di assessment e verifica della sicurezza delle postazioni e delle applicazioni
• Identity & Access Management (IAM) che include le funzi0ni di autenticazione, accesso sicuro ai dati, etc.
• Gestione & Management che inclide la funzione di gestione unificata dei domini delineati in precedenza.

Rappresentando graficamente il modello, per ogni offerta di sicurezza da parte di un produttore è possibile associare tre livelli di conformità (conforme, parzialmente conforme, non conforme). Il modello di sicurezza unificato (che vede la sicurezza come un processo end-to-end) è quello a cui stanno tendendo i produttori:  se si mappano gli stessi in 3 livelli (Colossi,  Leader e Niche Player) è interessante notare come i vendor stiano tendendo verso il modello, ove possibile tramite prodotti interni, oppure mediante acquisizioni mirate a colmare eventuali lacune della propria offerta.

• I “Colossi” sono produttori dotati delle capacità tecnologiche e finanziarie tali da poter costruire una offerta completa. Liquidità e capitalizzazione sono tali da poter acquisire una o più aziende per colmare un Gap all’interno della loro offerta. Rientrano in questa categoria aziende con capitalizzazione attorno o superiore a 100 miliardi di dollari, quali il nuovo arrivato Intel e vecchie conoscenze come Cisco, IBM, Microsoft, HP.

• I “Leader”: rientrano in questa categoria i player focalizzati sulla sicurezza che offrono, nel proprio segmento, soluzioni best of breed. I player appartenenti a queta categoria sono di dimensioni tali da effettuare acquisizioni per costruire una offerta completa ma non abbastanza grandi per non essere loro stessi oggetti del desiderio dei colossi in una situazione di mercato complessa come l’attuale. Esempi rampanti sono le compiante McAfee e ISS (acquisite rispettivamente da Intel e IBM) e gli oggetti del desiderio Symantec e Checkpoint.

• I “Niche Player: rientrano in questa categoria i produttori di Nicchia che ci sono specializzati in specifici segmenti in cui hanno raggiunto livelli tecnologici eccellenti e che di conseguenza potrebbero far gola a rappresentanti delle categorie sopra riportate. Rientrano in questa categoria ad esempio Kasperky, Trend Micro,  etc…

In realtà ai colossi andrebbe aggiunta una ulteriore categoria, quella degli “outsider”. Gli outsider sono aziende dotate di vasta capitalizzazione ma ad oggi non sufficientemente focalizzate sulla sicurezza (ovvero potenziali colossi come era Intel sino a qualche mese fa) oppure fortemente focalizzate sulla sicurezza, ma con una capitalizzazione che le rende inappetibili ai Colossi. In queste personalissima classificazione appartengono alla prima categoria Oracle e EMC, mentre appartiene alla seconda categoria Juniper. Entrambi gli appartenenti a questa categoria potrebbero fare acquisizioni da un momento all’altro ma ad oggi hanno, nel modello di sicurezza unificata, più di due caselle rosse.

Esaminando la mappa delle acquisizioni dei colossi si può avere un quadro chiaro delle loro strategia: in rigoroso ordine alfabetico:

Cisco

Punti di Forza: notevoli risorse e Ability to Execute, crescia esponenziale nella sicurezza di rete e dei contenuti.

Punti di debolezza: Gestione Frammentata, Strategia sull’Endpoint incerta, Offerta IAM Parziale

HP

Punti di Forza: Disponibilità di Risorse per Acquisizioni. Presenza nell’Application Security con Soluzione Leader.

Punti di debolezza: Mancanza di copertura per l’Endpoint, copertura parziale nella sicurezza di rete (limitata all’IPS ma la strategia è incerta).

IBM

Punti di Forza: Dispnibilità di Risorse, Offerta completa su Sicurezza delle Applicazioni e su IAM.

Punti di debolezza: Offerta su Endpoint, Compliance e Rete Parziale (Mancano Antivirus, DLP, e soluzioni di Content Security.

Intel

Punti di Forza: Gestione Unificata Estesa, Offerta Completa

Punti di debolezza: Strategia Incerta e Fantascientifica dopo l’acquisizione di McAfee (Focalizzazione sul Mobile o Antivirus Hardware Integrato sul processore), Difficoltà nell’integrare le acquisizioni, Offerta IAM Assente, Offerta Application Security Limitata.

 

 

Microsoft

Punti di Forza: Risorse Notevoli, vasta base di installato (!!) da utilizzare come punto di partenza

Punti di debolezza: Funzioni parziali su tutti i domini (‘Antitrust?).

 

Noi balliamo da sole

Di seguito le aziende di sicurezza che maggiormente suscitano l’attenzione degli analisti e puntualmente sono al centro di voci di mercato: Checkpoint, Fortinet e Symantec. Questi player partono da approcci opposti (rispetttivamente rete per i primi due ed endpoint per il terzo) e potrebbero far gola ad uno dei player sopra indicati (come accaduto a McAfee) oppure ad un Outsider. Anche se non perfettamente partinente in questa categoria è stata inserita anche Juniper. In realtà è praticamente impossibile che Juniper venga acqquisita da un colosso, tuttavia, come capitalizzazione è più vicina a questi player (pur valendo circa 20 volte Fortinet) che hai colossi.

Checkpoint

Punti di Forza: Forte focalizzazione sulla rete. Modello di gestione unificata Esemplare. Precursore del modello di unificazione della sicurezza unificata sull’endpoint.

Punti di Debolezza: Stenta a imporsi come venditore di soluzioni Endpoint. Carente su Application Security, Compliance e IAM.

Fortinet

Punti di Forza: Forte focalizzazione sulla sicurezza di rete e dei contenuti.

Punti di Debolezza: Copertura deole degli altri domini.

Juniper

Punti di Forza: Forte focalizzazione sulla sicurezza di rete e dei contenuti.

Punti di Debolezza: Copertura debole degli altri domini.

Symantec

Punti di Forza: Forte focalizzazione sull’endpoint.

Punti di Debolezza: Strategia e focalizzazione sulla sicurezza da ricostruire dopo l’acquisizione di Veritas. Strategia Altalenante per la sicurezza di rete.

 

 

E quindi?

E quindi vederemo se i fuochi di artificio sono finiti qui o continueranno nel corso del 2011. Certo è che soprattutto  HP, IBM e la stessa Microsoft necessitano di una o più acquisizioni per riempire il gap rispetto al modello unificato ideale (all’inizio di novembre si è parlato di un interessamento, in seguito smentito, di IBM verso Fortinet), tramite una unica acquisizione, come fatto da Intel con McAfee o facendo shopping tra i produttori di nicchia.

Il titolo di questo post riporta alla memoria la frase prinicipale del bel film “Higlander, L’Ultimo Immortale”, il capolavoro fantasy di Russel Mulcahy che nell’ormai lontanto 1986 rapì la mente di noi geek adolescenti con i suoi improbabili duelli tra le montagne scozzesi, duelli avvolti tra la bruma e la bellissima colonna sonora dei Queen (Who wants to live forever?). Se ripenso al film e guardo il mercato della sicurezza informatica direi che la frase  essenza si adatta perfettamente alla situazione attuale, con la sola non trascurabile differenza che ai tempi di Connor MacLeod, non esisteva l’Antitrust.

All’inizio erano il firewall e l’antivirus…

L’inizio del mercato della sicurezza informatica (si parla del termine degli anni ’90) vedeva tecnologie con ruoli ben distinti, rivolte alla risoluzione di problemi di sicurezza inerenti alla rete ed ai sistemi. Esisteva un modello di sicurezza informatica basato su un approccio “a silo”, ovvero un approccio che prevedeva tecnologie verticali e trovava la massima espressione nel firewall e l’antivirus (a sua volta declinato in antivirus di rete e antivirus di sistema). In quegli anni formidabili, nel 99% dei casi un progetto di sicurezza informatica poteva dirsi completo se prevedeva queste due componenti che con il passare del tempo erano anche in grado di dialogare tra loro (oggi diremmo in modo non efficiente, ma allora i protocolli di content vectoring erano il massimo che la tecnologia poteva garantire). Certo la gestione non era ottimale, ma con l’ausililo della tecnologia consentita dall’epoca, si ponevano le basi per un modello unitario.

Poi vennero gli IDS…

E si realizzò ben presto che il firewall e l’antivirus non potevano tutto: all’interno delle regole consentite era possibile veicolare minacce invisibili in grado di sfruttare le vulnerabilità dei sistemi. Di conseguenza fu necessario innalzare il livello di protezione mediante l’inserimento di sistemi di difesa dedicati in grado di scansionare il traffico ad un livello superiore rispetto a quanto consentito dai firewall. Sorsero così i primi produttori dedicati ai sistemi IDS. Questi produttori utilizzavano la tecnologia nata per scansionare i sistemi alla ricerca di vulnerabilità per proteggere i sistemi stessi. Con questo approccio nel 1998 Internet Security Systems mise in commercio i primi sensori di rete, sensori che con il passare degli anni divennero apparati dedicati, sempre più evoluti, in grado di estendere il proprio livello di protezione verso l’endpoint (Host IPS). Nel contempo, e in modo del tutto analogo, i produttori di dispositivi firewall si apprestavano, anche essi, ad aggredire gli endpoint con soluzioni di Personal Firewall. Endpoint che prima di allora sembravano appannaggio esclusivo dei produttori di antivirus.

E le applicazioni inscure e magari anche mobili…

Nella seconda metà degli anni 2000, la crescita prepotente del Web 2.0 e l’evoluzione tecnologica dei dispositivi mobili (che hanno allargato notevolmente il livello di esposizione dell informazioni) hanno reso necessaria l’introduzione di un ulteriore livello di sicurezza per la protezione delle applicazioni (al livello 7 della pila OSI direbbero gli esperti) e dell’utenza mobile. Questa piccola rivoluzione copernicana ha portato all’introduzione di soluzioni tecnologiche atte a focalizzare l’analisi su applicazioni WEB, database, transazioni XML e soprattutto, più in generale, ad introdurre la sicurezza nel ciclo di sviluppo del Software e nel processo di accesso alle informazioni. Nel contempo si è cominciato a guardare con interesse a soluzioni di protezione dell’endpoint fissi e mobili più evolute, in grado di garantire cifratura, protezione dei dispositivi rimovibili e, specialmente negli ultimi tre anni, dedicate ad impedire la perdita o il furto di informazioni (Wikileaks docet).

E alla fine la necessità di avere una gestione unificata

La crescita del modello di sicurezza end-to-end ha reso infine necessaria l’introduzione di un modello di gestione unificata (qualcuno una volta diceva “La Potenza è nulla senza il controllo”) poiché gestire in modo disomogeneo (per l’appunto con un approccio “a silo”) le numerose componenti è costoso, inefficiente e inefficace (ed è altrettanto improbabile che giustifichi investimenti cospicui in tecnologia di sicurezza). E’ importante inoltre considerare il problema dell’analisi dei dati: soluzioni di protezione eterogenee non devono offrire solamente un unico punto di amministrazione, ma anche un unico punto di raccolta e analisi dei dati.

La conseguenza del trend sopra descritto è stata che nel corso degli anni si è assistito a numerose scosse di mercato: i produttori di sicurezza (generalisti o verticali) dotati di adeguate capacità finanziarie, hanno avviato importanti campagne di acquisizione  e/o fusione con lo scopo di realizzare il modello di sicurezza unificato sopra citato ed utilizzare lo stesso come base per altre strategie, estendendo nel contempo la propria sfera di azione su segmenti di mercato non precedentemente coperti. Naturalmente in alcuni casi le campagne di acquisizione sono state effettuate anche per garantire crescite  di fatturato in un epoca di congiuntura economica non certo esaltante  (ma questa è un altra storia).

La conseguenza, per quanto riguarda i produttori di sicurezza informatica, è stato uno sconvolgimento del panorama tecnologico ed economico da parte di tre forze contrastanti:

• I produttori provenienti dalla “sicurezza di rete” si sono estesi verso l’endpoint (approccio network-centric). Per questa classe di produttori la sicurezza dell’endpoint rappresenta l’estensione del proprio modello strategico che parte dalla rete: questa rileva le minacce che vengono utilizzate per proteggere gli endpoint, il tutto effettuato tramite una gestione unificata.

• I produttori provenienti dalla “sicurezza dell’endpoint” si sono estesi verso la rete (approccio endpoint-centric). Per questi produttori l’estensione alla rete rappresenta il mezzo per realizzare un modello unico di correlazione delle informazioni di sicurezza a partire dai dati raccolti nei nodi terminali (siano essi fissi o mobili, client o server).

• I colossi produttori di hardware, software e servizi hanno si sono estesi verso la sicurezza per realizzare un modello unico di che parte dallo sviluppo del software e dall’accesso sicuro alle applicazioni, e si estende verso la rete e i sistemi per offire un modello end-to-end.

La descrizione dello scenario è estremamente complessa e merita un capitolo a parte, per cui, dopo aver elencato le ragioni, nel prossimo post cercherò di far luce sulla mappa delle acquisizioni e le mie personalissime considerazioni sulle relative strategie.

Nel frattempo però prendo il mio Androide e mi cerco un bel posto per il brunch…