©2025 Akamai Technologies
Se la vostra azienda si occupa di servizi finanziari, retail e gaming, vi serve un approccio agile alla sicurezza tale da combinare risorse interne e soluzioni di terze parti. La società di trading online CMC Markets non fa eccezione.
In una recente conversazione con Akamai, Philip Yeo, responsabile della sicurezza di CMC Markets, ha spiegato come l'azienda combina una vigilanza continua con reazioni immediate quando si verifica un incidente zero-day .
Inoltre, parla del ruolo svolto da Akamai nella protezione dell'azienda e di come le autorità di regolamentazione e gli assicuratori stanno rispondendo alla continua minaccia di attacchi zero-day.
Per leggere l'intera conversazione, consultate la trascrizione riportata di seguito.
Natalie Billingham: Sono entusiasta di parlare con Phil Yeo, responsabile della sicurezza di CMC Markets. Phil, vuoi presentarti e dirci qualcosa in più su quello che fai?
Philip Yeo: Certo, grazie. Sono il responsabile della sicurezza di CMC Markets. Siamo una società di commercio al dettaglio online globale. Dal punto di vista della sicurezza, siamo un po' come la vendita al dettaglio, perché abbiamo molti utenti finali che accedono ai nostri servizi da molti tipi diversi di dispositivi. Siamo anche un po' come i servizi finanziari perché siamo regolamentati come le società di servizi finanziari. E siamo un po' come il gaming, nel senso che gran parte dell'interazione dei nostri utenti è molto sensibile al tempo. Un'interruzione della connessione o una disconnessione comporterebbe un'experience insoddisfacente.
NB: Come hai iniziato il tuo rapporto con Akamai?
PY: CMC Markets esiste da qualche tempo e ha sviluppato la sua tecnologia, piattaforma e prodotti nel Regno Unito. Ora abbiamo clienti da molti paesi in Asia ed Europa, nonché Australia e Canada. Questi clienti desiderano lo streaming e la creazione di grafici dei prezzi in tempo reale e la possibilità di fare trading durante la giornata. La qualità della connessione e delle performance complessive è davvero importante per noi.
Abbiamo fatto eseguire l'implementazione iniziale di una CDN da un altro fornitore che non ha avuto esiti brillanti. Ma abbiamo imparato che non volevamo gestire le reti edge da soli. Abbiamo preso in considerazione anche Akamai in un momento in cui stavamo sviluppando le nostre tecnologie WAF. Anche le vulnerabilità DDoS e DNS erano nella mia agenda. Quando abbiamo esaminato Akamai, abbiamo visto che potevamo ottenere la piattaforma di distribuzione dei contenuti, il data center, la protezione dagli attacchi DDoS, Site Shield e il WAF come servizio gestito. Non ci ho pensato due volte.
Per cominciare, ci siamo concentrati sulla protezione di un paio di prodotti destinati ai mercati del Regno Unito e dell'Australia. Ma per la tipologia del contratto, una volta completate le fasi più complicate, avremmo potuto avere il livello di sicurezza Akamai per proteggere tutto. Ormai di default ci affidiamo ad Akamai per tutto quello che riguarda Internet e le interazioni con il pubblico.
Il personale addetto al web, al marketing e SEO non ha avuto problemi perché le nostre performance sono state più coerenti e c'è stata una riduzione dei reclami da parte dei nostri clienti interni. Questa è la cosa migliore dal punto di vista della sicurezza interna.. Quando gli addetti al marketing e ai prodotti non si lamentano della sicurezza, è una vittoria!
Anche i servizi gestiti di Akamai ci hanno aiutato a raggiungere questo obiettivo. Durante le modifiche mensili, hanno mostrato una chiara comprensione del nostro profilo di rischio. Soprattutto aiutandoci a evitare falsi positivi, che possono essere un grosso problema se causano il blocco di un cliente legittimo e di alto valore.
NB: Quando pensi ad altre sfide alla sicurezza informatica che il settore finanziario sta affrontando, quali sono le cose che ti vengono in mente?
PY: Sono davvero tante le cose che possono andare storte. La minaccia del ransomware è reale. Stiamo cercando di impedire alle persone di subire attacchi di phishing e al malware di penetrare nel nostro ambiente. Quindi la pressione normativa è sempre presente e il regime di audit sembra ininterrotto.
NB: Il mondo dei servizi finanziari impone alcune pressioni particolarmente rigorose da affrontare. Come è possibile superarle senza rivelare nulla di confidenziale?
PY: Penso che l'ideologia Zero Trust sia molto utile. Abbiamo pensato di implementare una sorta di gestione degli accessi con privilegi, ma richiede molto lavoro e per ottenerla sono necessarie più soluzioni. Non esistono bacchette magiche. Ma se qualcuno sa qual è, per favore me lo dica!
Il caso più positivo è quello in cui è presente un'eredità di sviluppo interno e data center on-premise che devono essere gestiti. Ma i casi in cui abbiamo dovuto affrontare una trasformazione adottando tecnologie cloud e una situazione in cui diverse unità aziendali sfornano prodotti il più rapidamente possibile, rappresentano un'ulteriore sfida per la sicurezza.
Come possiamo migliorare il nostro gioco se vogliamo una sicurezza eccellente? E come possiamo farlo senza rallentare il ciclo di vita dello sviluppo? Ci sono molte cose che è possibile integrare nella conformità automatica per applicare le policy di governance e sicurezza nella pipeline di distribuzione. Poi possiamo anche affidarci alla piattaforma edge WAF di Akamai.
NB: Succedono sempre molte cose. Soprattutto quando si è cavallo tra così tanti mercati e attività diverse. Anche se fai parte del settore dei servizi finanziari, come hai detto, sei vicino al settore del gaming. Come gestisci gli eventi ad alto rischio e i picchi nelle attività dei consumatori?
PY: Abbiamo dovuto dare la priorità alla capacità perché se non sei online, i tuoi clienti possono andare altrove. Abbiamo dei dipendenti qualificati che si occupano del monitoraggio della capacità e stanno esaminando i momenti più frenetici della giornata, la latenza delle transazioni e la capacità di cui abbiamo bisogno. Abbiamo creato numerosi modelli di capacità e poi ci siamo assicurati di avere un aiuto esterno con la tecnologia CDN e la protezione DDoS.
NB: Prima hai menzionato i dipendenti. Una delle cose che abbiamo osservato tutti nel settore della sicurezza è la sfida di trovare addetti alla sicurezza qualificati.. In che modo Akamai ti ha aiutato a liberare risorse interne in modo da poterti concentrare su più progetti ad alta priorità?
PY: Con il nostro precedente provider, la domanda era chi avrebbe gestito la policy su tutte le applicazioni? Pensando che potessimo farlo noi. Ma siamo arrivati al punto di discutere se lasciare ai team di sviluppo la gestione di alcune di queste policy e ci siamo resi conto che non era fattibile. Questo è stato il punto di svolta che ci ha portato a utilizzare Kona Site Defender come servizio gestito, senza doverci concentrare sulle modifiche.
Ho esaminato molto l'outsourcing e i provider di servizi gestiti con il mio capo nel corso degli anni. Bisogna trovare la soluzione adatta a te perché affidi la tua sicurezza ad altre persone.
Volevamo trovare aree da poter esternalizzare o collaborare con un provider di servizi che aggiungesse valore, con senza perdere il controllo necessario per rimanere reattivi. Se c'è un problema, vogliamo parlare immediatamente con le persone.
NB: Sì, parliamo spesso di questo con i clienti. Desiderano controllo, servizi e intimità con i clienti. Ma vogliono anche mantenere la propria agilità e capacità di esecuzione. Con i sistemi di sicurezza che diventano sempre più complessi e specializzati, tale partnership fidata diventa più importante.
PY: Senza dubbio. La stiamo trovando per alcune delle altre aree che abbiamo considerato per l'outsourcing. Vogliamo essere in grado di eseguire l'override, il deployment o il rollback ogni volta che vogliamo. Se non possiamo farlo, non sarà molto comodo. D'altra parte, non disponiamo delle competenze nell'intero stack per tutti i prodotti.
NB: Questo è un buon consiglio. Se ci fossero altri clienti Akamai nella stanza, cosa dovrebbero richiedere da noi o da qualsiasi provider per creare tale fiducia?
PY: Akamai ha una credibilità globale. Avete avuto un incidente l'anno scorso e anche se ci ha influenzato un po', il modo in cui l'avete ammesso, il resoconto successivo all'incidente e la trasparenza generale, sono tante le cose attualmente in atto che ci mostrano che lo prendete sul serio . E anche voi ne avete risentito.
NB: E quando pensi al panorama dei tuoi fornitori per la sicurezza in generale, ci sono aree particolari su cui ti concentri?
PY: Ho lavorato nella sicurezza informatica per 15 anni e la retorica delle vendite a volte è palesemente falsa. Non fornirai una protezione al 100% con zero falsi positivi: non è semplicemente realistico. Questo non è utile. Abbiamo bisogno che i fornitori sostengano le proprie affermazioni o ci forniscano ciò di cui abbiamo bisogno per provare e valutare.
NB: Penso che si tratti di trovare la soluzione giusta per la tua attività, vero? Dato che stiamo entrando nell'area dei consigli, gli ultimi due anni sono stati un po' insoliti sotto molti aspetti. Cosa hai imparato? Che consiglio daresti ai tuoi colleghi?
PY: Sono sicuro che non c'è niente che tu non abbia già sentito! Il ritmo della risposta sta aumentando. Abbiamo parlato con uno dei nostri broker assicurativi dello stato attuale delle cose, ed è stato interessante perché a volte sembra che le autorità di regolamentazione stiano dicendo una cosa e gli standard un'altra. È come quando gli assicuratori pagano per gli attacchi ransomware e tu sai che stanno pagando. Fanno domande piuttosto mirate sulle nostre misure di sicurezza.
Una delle cose che hanno detto di aver osservato è una massiccia riduzione di tempo tra la compromissione di una rete e il verificarsi dei danni. È necessario rispondere più rapidamente.
È necessario rilevare un'intrusione il prima possibile quando si verifica. E se non riesci a dare una risposta entro un ragionevole lasso di tempo, non va bene. Il tempo a disposizione per limitare i danni è sempre più breve.
È utile poter sfruttare la saggezza della comunità più ampia di addetti alla sicurezza informatica preparati. Twitter è utile a volte in questi casi. Chi è stato colpito per primo? L'hai capito? Esiste una regola per questo? Posso distribuirlo? Log4J sarebbe un buon esempio dei danno causati. Ma avevamo implementato il nostro WAF e vi abbiamo contattato telefonicamente e questo ci ha dato un po' di respiro.
NB: È un bel po' di cui occuparsi, vero? Cercare di essere reattivi, in particolare sul lato ransomware. Soprattutto con la diminuzione del tempo di risposta e gli assicuratori che ti stanno col fiato sul collo.
PY: Durante la pandemia, tutti hanno aumentato sempre più le ore. Ti alzi prima, lavori tutto il giorno e poi le persone hanno iniziato a rendersi conto: "Aspetta, c'è una persona". Stiamo strutturando i nostri team in modo che possano rispondere rapidamente e stare sempre al passo. Ma come possiamo anche adottare misure senza appesantire i dipendenti?
NB: E come pensi di fare?
PY: Continuo a confrontarmi con i dirigenti, a cui dico: "Quante volte riesci a risolvere un "quasi incidente" grazie a poche persone che agiscono da supereroi?" Vogliamo responsabilizzare più persone, svilupparle, formarle e imparare dalle altre persone.
NB: È sensato. Guardando al futuro, cosa vedi all'orizzonte?
PY: Gli errori di base continuano a verificarsi. Per uno sviluppatore web, non esistono barriere. Gli errori fatti 30 anni fa, si fanno a fare. La fascia alta sta diventando più difficile e complessa.
Stai parlando di assicurazione e sicurezza informatica, il che è strano perché nel mondo fisico penseresti: "Non dovrei preoccuparmi del fatto che verrò derubato e non posso farci nulla?" Ma quali governi stanno collaborando per cambiare tale panorama? In realtà, ci sono molte aziende tecnologiche che dettano il passo, il che è interessante. Ma desideriamo davvero che i nostri regolamenti siano stabiliti dalle aziende tecnologiche? Non lo so.
NB: Sì, c'è molto lavoro in corso sulla definizione delle politiche pubbliche. Poi le normative sono diverse tra UE, Regno Unito e Stati Uniti. È un'area affascinante in questo momento, considerando la guerra in Ucraina. Stai valutando di utilizzare tecnologie particolari in futuro?
PY: Dipende da cosa consideriamo. Se avessi un progetto senza vincoli, ricomincerei in modo molto diverso. Penso molto al modello Zero Trust, in particolare alla microsegmentazione. Sono interessato a parlare di cosa si può fare anche con i carichi di lavoro senza server.
NB: Qualcuno tra il pubblico ha qualche domanda per Phil?
Pubblico: Per quanto riguarda l'automazione e l'intelligenza artificiale, quanto ti senti a tuo agio a percorrere la strada dell'automazione? Quale livello di integrazione può avere nel tuo panorama della sicurezza?
PY: Non ci fa affatto paura. Stiamo parlando di modelli euristici di apprendimento automatico che sono solo approssimazioni matematiche. Se sai cosa stai usando e dove lo stai usando, allora può essere utile o meno. Dipende dalla situazione. Puoi avere una regola rigida o una regola più complicata. La corrispondenza dei modelli è adatta per alcune situazioni e non adatta in altre.
Ciò che stiamo sviluppando internamente come azienda sarà una soluzione proprietaria. Ma ci servono fornitori con cui lavorare in dettaglio e da formare. Trascorriamo ore a cercare di individuare ciò che è anomalo e questo è davvero utile per la capacità di risoluzione e la prevenzione degli errori.
Uno dei miei colleghi ha creato molti strumenti di monitoraggio per la ricerca di anomalie. Non avevamo bisogno dei classici modelli di apprendimento automatico per fare progressi. Quindi penso che ci sia ancora un elemento di clamore intorno alla tecnologia. Ma nel complesso, non avrei paura di un servizio che utilizza l'apprendimento automatico.
Pubblico: Hai menzionato il modo in cui comunichi con gli altri in situazioni di crisi utilizzando Twitter. Quanto ritieni sarà importante questa community in futuro e quale ritieni possa essere il ruolo di un fornitore come Akamai?
PY: Twitter è fantastico. Non sono un utente particolarmente importante, ma parlo con persone che conosco usando quei canali. Mi piace quando qualcuno trova qualcosa come una stringa dannosa che può condividere con il resto della community. Ci sono fornitori che mettono insieme le informazioni, facendo quello che possono. Molti analisti della sicurezza sono eccellenti e sono sempre aggiornati. Voglio imparare da chi ha già risolto un problema. Da parte nostra, vogliamo condividere quando c'è qualcosa che potrebbe avvantaggiare la community.
NB: Phil, grazie davvero per il tempo dedicato a parlare con noi.
PY: Grazie.