Il 2016 è stato caratterizzato da numerosi attacchi subiti in ambito cybersecurity. Molti di noi sono convinti di avere una buona dimestichezza con i vari rischi che minacciano la sicurezza delle nostre attività, ma la realtà potrebbe essere diversa. L’implementazione delle nuove tecnologie, lo sviluppo dei servizi di cloud computing e il cambiamento nelle abitudini lavorative dei nostri collaboratori hanno aperto la porta ad una miriade di vulnerabilità, di cui spesso non vi è consapevolezza.
Il perimetro di sicurezza dei sistemi informatici aziendali che esisteva una volta oggi non esiste più. L’utilizzo di dispositivi personali (Byod), il lavoro da remoto o da molteplici luoghi, combinato alla dipendenza da applicazioni cloud-based come Office 365 e Salesforce e servizi cloud pubblici come Amazon Aws o MS Azure hanno contribuito alla creazione di un ambiente decentralizzato, che consente di accedere ai dati aziendali e alle applicazioni praticamente da ogni dispositivo e su qualsiasi rete.
Molte aziende, senza esserne a conoscenza, hanno creato numerosi punti deboli nel loro perimetro di sicurezza, diventando così non solo potenzialmente vulnerabili, ma completamente esposte agli attacchi. Inoltre, poiché questi cambiamenti sono avvenuti nel corso degli anni, molte organizzazioni non hanno ben compreso, o forse hanno sottostimato, la gravità dei rischi potenziali cui stanno andando incontro, pensando che se i propri sistemi sono stati così sicuri nel passato non ci sono oggi motivazioni concrete per dover modificare l’impianto. Purtroppo, questo approccio non prende in giusta considerazione la nuova ondata di attacchi alla sicurezza verso le nostre aziende.
Tecnologia Firewall. Una delle tante aree in cui si applica la sicurezza IT è la tecnologia firewall, che ha dovuto evolversi per affrontare questa nuova generazione di minacce. Il firewall, che ha svolto perfettamente il proprio dovere negli ultimi cinque anni, potrebbe non essere più sufficiente per proteggere il nostro business in futuro. Per esempio, firewall installati oggi in un ambiente multi-sito, dovrebbero essere in grado di offrire funzionalità extra, come la capacità di ottimizzare ed evitare che il traffico business-critical sia sommerso da attività in rete di minore importanza. Così, idealmente, il nostro active firewall dovrebbe fornire funzionalità standard quali compressione, deduplica dei dati o l’assegnazione delle priorità basate su applicazioni e garanzie di banda. Nel frattempo, le aziende stanno fronteggiando un’ondata di attacchi ransomware senza precedenti, che normalmente arrivano tramite email, ma potrebbe anche accadere che i computer si colleghino al server Command & Control (C&C) per installare inavvertitamente malware nascosti. Con l’implementazione del giusto firewall – spesso descritto come di next generation – queste attività possono essere scoperte e bloccate. In aggiunta alla protezione sul perimetro, è possibile installare più firewall interni per creare la segmentazione in zone, una caratteristica che rende più difficile il superamento dei confini della rete a malware e aggressoriSpesso è opportuno distaccarsi dal tradizionale approccio di accesso centralizzato per consentire l’accesso diretto alle applicazioni cloud da ogni ufficio remoto. Permettere l’accesso a Internet dalle filiali, può significare oggi installare firewall in questi uffici.
Le difficoltà pratiche in questo caso sono triplici: Il firewall “più piccolo” installato in ogni filiale garantisce tutti i controlli di sicurezza necessari ed è ancora conveniente? Funzionalità chiave, come il controllo delle applicazioni, consapevolezza dell’utente, l’Ips integrato, l’abilità di intercettare Ssl, e l’individuazione di minacce avanzate e malware, potrebbero essere necessarie nei firewall di prossima generazione. Questi strumenti possono essere efficacemente gestiti da un’interfaccia utente centrale? Questo è importante, perché significa definire e mantenere un’unica policy di sicurezza per tutti i firewall installati, anche se l’applicazione viene utilizzata in molteplici luoghi. Qual è il costo operativo associato? Sui firewall è necessario fare del troubleshooting, i log devono essere gestiti, gli aggiornamenti effettuati ecc.
I Firewall di prossima generazione. Come tutte le componenti IT, i firewall di nuova generazione (Ngfw) sono soggetti più a campagne promozionali che all’affermazione delle caratteristiche offerte. Molti sono ricchi di funzionalità, mentre altri sono versioni rivisitate di tecnologie più vecchie e, nonostante ci sia varietà di scelta, potrebbe esserci poca chiarezza circa le capacità e le prestazioni offerte.
Ogni cliente dovrebbe partire con la definizione delle proprie esigenze, che cambiano a seconda del tipo di azienda, dimensione, prestazioni richieste, preoccupazioni sugli aspetti di sicurezza e ovviamente sui requisiti di compliance. Sebbene ci sia un’ampia fascia di prezzi per i Ngfw, spesso questi non sono direttamente collegati alle capacità, motivo per cui le considerazioni sulle necessità precedono il budget.
Con il rischio di creare una noiosa lista di funzionalità, tra gli elementi da considerare e rendere prioritari per i firewall di next generation vi sono: application firewalling (utilizzando ispezione deep packet), prevenzione delle intrusioni, ispezione del traffico criptato Tls/Ssl, filtering del sito, gestione della banda e integrazione della gestione delle identità di terze parti (Ldap, Radius active directory, etc.). Altre funzionalità possono includere antivirus, sandbox filtering, strumenti per il log e l’audit, controllo degli accessi di rete, protezione DDoS e, naturalmente, capacità cloud.
Naturalmente ogni azienda avrà differenti necessità, in base alla specifica dimensione e ai requisiti di performance e sicurezza richiesti. A causa dell’ampia gamma di soluzioni disponibili sul mercato, la difficoltà può spesso essere la scelta, specialmente con l’elevato numero di nuovi fornitori che presentano offerte innovative. Tuttavia, queste offerte potrebbero creare confusione, con il rischio concreto che questi fornitori, se hanno una soluzione realmente innovativa, siano acquistati da un player più grande. Il budget e la gestione delle capacità sono anch’essi elementi chiave in questa equazione. Un firewall spesso è installato per un periodo superiore ai tre anni, è quindi fondamentale prendere la decisione giusta per proteggere il vostro ambiente, non solo dalle minacce di oggi, ma anche da quelle che saranno protagoniste degli attacchi in futuro.
Occupandomi di sicurezza da oltre 40 anni, il mio suggerimento è quello di seguire l’approccio conservativo di scegliere un fornitore affidabile che possa investire nella difesa dalle minacce e in aggiornamenti e che continuerà a farlo. Ci sono molti vendor affidabili che rispondono a questo progetto, tra cui Barracuda Networks, Check Point e WatchGuard Technologies, per nominarne solo alcuni. In base alla dimensione e al costo potenziale della vostra installazione, valutare uno o più fornitori con una completa Poc (proof of concept) prima della decisione può essere un investimento molto efficace per proteggere la vostra azienda in un ambiente di rischio completamente diverso rispetto a tre anni fa, e che continuerà a cambiare ad una velocità potenzialmente ancora più alta.