Firewall o Intrusion Detection System?

Di fronte al crescente incremento delle minacce che viaggiano in rete, diventa prioritario investire in soluzioni che garantiscano un’adeguata protezione degli impianti industriali e di tutto il patrimonio conoscitivo prodotto da un’azienda.

Con la costante estensione dei sistemi digitali sono notevolmente aumentati i rischi che la rete di un’azienda possa essere oggetto di violazioni. Tenuto conto che il patrimonio intellettuale rappresenta, soprattutto nelle economie sviluppate, la principale ricchezza di un’impresa, diventa di fondamentale importanza proteggerlo da possibili attacchi dall’esterno. Le forme di tutela possono essere diverse e articolate su più livelli e in un’azienda può non essere sufficiente installare antivirus o anti malware come magari accade sui computer personali. Un’impresa deve dotarsi di una soluzione professionale per proteggere la propria rete informatica come un firewall, ovvero un sistema di difesa perimetrale.  Come dice il nome  si tratta di una sorta di “porta blindata”, ovvero di un sistema hardware e/o software, che tutela la rete informatica e blocca l’accesso ai tentativi di intrusione dall’esterno, applicando filtri che agiscono secondo determinate regole a loro volta definite dall’amministratore della rete. In realtà questi muri possono svolgere una doppia funzione: controllare il traffico proveniente dalla fonti esterne ma anche monitorare il flusso di dati generati all’interno, consentendo il passaggio solamente a ciò che viene esplicitamente autorizzato. In sostanza, è possibile connettere due o più reti (o sottoreti) definendo le regole per l’intercomunicazione tra esse. A seconda della natura del sistema da proteggere i firewall sono host-based o network based e ne esistono diverse tipologie. I più diffusi sono i packet filter firewall che analizzano ogni singolo pacchetto e applicano una lista di controllo degli accessi. Questo sistema di verifica è molto veloce ma il limite è che il filtro analizza solamente l’header e non l’intero contenuto. Gli stateful firewall o circuit-level gateway sono più complessi ma garantiscono un maggior grado di sicurezza in quanto tengono traccia di tutte le connessioni. Uno dei più interessanti e potenti è il proxy firewall: svolge la funzione di intermediario tra client e server e filtra in modo molto accurato tutti i contenuti poiché interrompe il traffico tra mittente e destinatario, analizzando il messaggio prima che arrivi a quest’ultimo. Un’altra tipologia è rappresentata dai next-generation firewall, ovvero piattaforme di network security integrate, basate su una combinazione di hardware e software che implementano le funzionalità tipiche degli UTM (Unified Threat Management). Queste soluzioni comprendono firewall, antivirus, filtraggio dei contenuti web per garantire, soprattutto alle grandi aziende, una copertura il più ampia possibile.

Prevenire e proteggere

Un’altra soluzione per garantire una protezione affidabile ai propri impianti industriali è l’Intrusion Detection System o IDS: si tratta di un dispositivo software e hardware (a volte la combinazione di tutti e due, sotto forma di sistemi stand-alone pre-installati e pre-configurati) utilizzato per identificare e prevenire i possibili tentativi di accedere in maniera non autorizzata a un computer o una rete aziendale. Questo tipo di tecnologia fu impiegata per la prima volta negli anni ’80 per proteggere le reti di computer centralizzate. La funzione di questa soluzione è di monitorare ogni sistema e device, riportare gli attacchi in tempo reale facendo un’analisi approfondita in base a specifici parametri del problema e segnale o attivare le procedure per fermare il tentativo di attacco informatico. Sono composti da una rete di sensori collocati in punti chiave della rete o sulle macchine che potrebbero essere oggetto di violazioni, una console impiegata per controllare lo stato della rete e dei device, un motore che a partire da un database, dove sono memorizzate le regole per identificare le violazioni, analizza i dati ricevuti dai sensori e individua le criticità. Come operano queste soluzioni? Per individuare situazioni anomale o potenzialmente pericolose analizzano il log di sistema, l’integrità dei file locali, i pacchetti destinati all’host, sia per reagire a pattern di attacco noti sia per accorgersi di un port scan remoto, che può essere un segnale di un tentativo di intrusione. L’analisi viene fatta attraverso due metodi: con la tecnica misuse detection l’analizzatore tenta di riconoscere tra i dati ricevuti degli schemi di attacco già noti che sono salvati in una banca dati separata. Per ogni schema il database fornisce informazioni sulla gravità degli attacchi. Il limite è che non è in grado di riconoscere le intrusioni che non sono presenti nel sistema. La tecnica dell’anomaly detection parte dal presupposto che, un accesso non autorizzato causa un comportamento del sistema anormale dal quale risultano dei valori diversi da quelli soliti. Dunque, per esempio, l’analizzatore può essere configurato in modo da lanciare l’allarme quando il carico della CPU o il tasso di accessi alle pagine supera un determinato valore.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here