Andrea Buscemi di Infosecbox spiega Ultimate Securebox: l’architettura, la modalità di integrazione in rete e la logica dietro una scelta assolutamente controcorrente
Nel mercato della sicurezza informatica per le piccole imprese, la proposta di Infosecbox si distingue per l'approccio hardware-first: un appliance fisico dedicato, installato on-premise presso il cliente, che affianca o sostituisce soluzioni puramente cloud-based per il monitoraggio del traffico di rete. Andrea Buscemi, R&D Manager dell'azienda, ha illustrato l'architettura e le scelte progettuali alla base di Ultimate SecureBox.
Su quale piattaforma hardware si basa Ultimate SecureBox e quali sono le specifiche principali del dispositivo?
La soluzione si basa su una piattaforma dedicata, progettata per garantire prestazioni di analisi elevate, affidabilità operativa e scalabilità in funzione della crescita infrastrutturale del cliente. Il cuore del sistema è un processore multi-core ottimizzato per workload di analisi del traffico e servizi di sicurezza, con memoria dedicata a task specifici. La scelta di dimensionare generosamente la memoria risponde a un requisito preciso: consentire buffering, analisi comportamentale e correlazione degli eventi in tempo reale senza dover scaricare il carico elaborativo su infrastrutture remote. Lo storage ad alta affidabilità viene utilizzato per logging locale, caching sicuro e conservazione temporanea dei dati — caratteristiche queste essenziali per un dispositivo destinato a operare in continuo in ambienti non presidiati come le sedi di una piccola impresa.
Quali sono le specifiche delle interfacce di rete e come si integra il dispositivo nella LAN aziendale?
Il dispositivo integra due interfacce Ethernet RJ45 con supporto fino a 2,5 Gbit/s per porta, un throughput che copre agevolmente le esigenze di PMI con traffico elevato e monitoraggio continuativo. L'integrazione nella rete aziendale può avvenire in modalità inline oppure in mirroring: quest'ultima è la configurazione che raccomandiamo, in quanto consente l'analisi passiva del traffico senza introdurre l'appliance nel percorso dati critico, riducendo il rischio di costituire un singolo punto di guasto. La documentazione completa degli schemi di collegamento è accessibile tramite QR code presente direttamente sul dispositivo fisico.
Il dispositivo integra funzionalità specifiche per la resilienza e la protezione fisica? Quali garanzie offrite sul ciclo di vita e sugli aggiornamenti?
Sul fronte della protezione, il sistema incorpora watchdog software per il monitoraggio continuo dei servizi critici, meccanismi di cifratura dei dati elaborati o archiviati localmente, e un hardening del sistema operativo orientato alla riduzione della superficie di attacco. I principi guida sono la minimizzazione dei servizi esposti, la protezione dell'integrità del sistema e la segregazione dei dati di monitoraggio — un approccio di solito adottato nei dispositivi edge destinati ad ambienti con supervisione IT limitata. Il dispositivo è aggiornato periodicamente con patch di sicurezza, miglioramenti funzionali e aggiornamenti delle capacità di detection, allineati ai requisiti della direttiva NIS2. È attualmente in sviluppo l'integrazione di funzionalità MSSP per estendere i servizi SOC/MDR anche verso ambienti multi-tenant.
Nel contesto attuale, un appliance fisico ha ancora senso per una microPMI o una piccola realtà senza IT interno?
La risposta è sì, e per ragioni concrete. Un dispositivo fisico on-premise consente di aumentare la visibilità reale del perimetro di rete, intercettando traffico interno — movimenti laterali, comportamenti anomali — che le soluzioni esclusivamente cloud non riescono a vedere. Integra inoltre funzionalità di deception technology tramite simulazione controllata di servizi vulnerabili, i cosiddetti honeypot: una tecnica che in contesti enterprise richiede infrastrutture dedicate, ma che in Ultimate SecureBox viene proposta in forma compatta e gestita. Il posizionamento è quello di un sensore intelligente e autonomo, capace di supportare le attività di un servizio SOC esterno anche dove non esiste personale IT interno. Per una microPMI, questo si traduce in un nodo di visibilità on-premise gestito in outsourcing: un equilibrio tra la semplicità operativa del cloud e la necessità di monitorare ciò che resta fisicamente dentro la rete aziendale.
