Malware e tecniche di attacco avanzate richiedono soluzioni di sicurezza di nuova generazione. Il libro Cybersecurity for Dummies di Lawrence C. Miller, dopo un’analisi delle armi e delle tattiche con cui gli hacker attuali mettono a rischio i sistemi It delle aziende, spiega come creare una più efficace strategia di difesa.
La Next Generation Security implica una serie di obiettivi e identifica nel Next Generation Firewall l’arma più potente per conseguirli. Il primo, e il più importante dei traguardi, è ottenere “la visibilità e il controllo di tutto il traffico che si svolge sulla rete aziendale”, un’aspirazione praticamente utopistica con i tradizionali firewall port- e protocol-based. Questi ultimi, infatti, identificano le applicazioni solo attraverso i numeri delle porte utilizzate per default (mentre oggi molti programmi impiegati dagli utenti usano porte non standard o effettuano il port hopping) e non hanno la capacità di analizzare il contenuto dei traffici applicativi.
Illuminare gli spazi bui dove si mimetizzano i malware
Raggiungere “la visibilità e il controllo di tutto il traffico che si svolge sulla rete aziendale” significa innanzitutto riuscire a fare luce anche negli angoli più bui nei quali le minacce avanzate possono mimetizzarsi. Un primo passo suggerito dall’autore del libro è “ritornare a un controllo positivo” del traffico, una precauzione che – fino a un certo punto – si può attuare anche con i firewall tradizionali. Si tratta, infatti, di stabilire quali applicazioni possono essere utilizzate e quali no. Il risultato è “ridurre la superficie di attacco”. Questa metodologia ha una sua utilità, come vedremo anche in seguito, ma è sempre meno sufficiente a causa dell’aumento esponenziale delle applicazioni utilizzate dagli utenti sia per motivi di lavoro, sia per scopi personali. Parliamo, per esempio, di Facebook, Twitter o delle applicazioni Google che, peraltro, sono sempre meno utilizzate solo all’interno dell’impresa, ma vengono impiegate anche all’esterno. E per di più con dispositivi e sistemi operativi in misura crescente eterogenei, sui quali sono presenti dati e applicazioni dell’azienda e che si connettono al data center aziendale.
Perché, in questo contesto, i firewall di nuova generazione risultano avere una “vista” migliore rispetto a quelli tradizionali? Una delle ragioni è che sono dotati di “protocol decoder”, i quali consentono di “analizzare appieno il livello applicativo e classificare le applicazioni e il traffico”, indipendentemente dalle porte utilizzate. Il che, però, non deve disincentivare gli esperti di security dal perseguire il controllo positivo e la riduzione della superficie di attacco restringendo l’utilizzo di applicazioni ad alto rischio (come i software peer-to-peer) o determinate loro funzionalità, bandendo i programmi anonymizer o proxy (che consentono di navigare sul web senza essere controllati dai sistemi di security aziendali) e imponendo il più possibile alle applicazioni l’uso delle “porte di default”. Un modo, quest’ultimo, per consentire al next generation firewall di concentrare al meglio la propria potenza di fuoco per snidare malware e traffici nocivi o sospetti.
Quel che solo i firewall di nuova generazione possono
“Unknown” è una parola chiave quando si parla delle nuove minacce alla sicurezza e delle tecnologie per controbatterle. Grazie alla capacità di “sbucciare” i traffici di dati fino a vedere cosa c’è sotto la “scorza”, i next generation firewall possono classificare tutto ciò che gira sulla rete e rilevare i software e i protocolli sconosciuti. Dietro questi potrebbero celarsi non solo malware, ma anche programmi custom o di nuova adozione. Ecco, quindi, che i next generation firewall consentono ai responsabili della security di coniare delle nuove “signature” che in futuro verranno utilizzate per riconoscere e abilitare questi traffici utili per il business.
Un altro modo di operare tipico dei next generation firewall è l’”analisi di contesto”. I dispositivi più avanzati di questo tipo integrano, per questa finalità, tutte le discipline di security che negli ultimi anni le aziende hanno disseminato sulle reti per affrontare diversi tipi di minacce: application identity, malware and exploit detection, intrusion prevention, Url filtering, file types control, content inspection e così via. Miller sottolinea come quest’integrazione non rappresenti una semplice co-location, ma un’architettura che consente sia di bloccare immediatamente i malware e gli exploit conosciuti (sono sempre molto utilizzati anche per gli attacchi più sofisticati), sia per individuare anomalie nei pattern di comportamento di determinati traffici: per esempio il fatto che un host si connetta periodicamente a un indirizzo Ip sconosciuto o che si stia verificando in modo continuativo il remote control di sistema. A fronte di casi come questi, il firewall di nuova generazione è in grado di penetrare nel livello applicativo, al limite anche decrittando (laddove non espressamente vietato per ragioni di compliance) la comunicazione, e portare allo scoperto minacce come botnet o social engineering, preludio di attacchi tramite il drive-by-download.
Un’altra attività studiata per analizzare e classificare l”unknown” è il “sandboxing” di file sconosciuti che potrebbero essere malware nuovi o “mutati” per eludere signature rilasciate dai vendor di security. Con questa tecnica, il malware o il potenziale exploit, viene fatto eseguire in un ambiente virtuale separato dagli altri sistemi, al fine di analizzarlo. Il bello dei migliori next generation firewall è la capacità di applicare tutte queste discipline anche in modo automatico, senza degradare le performance delle reti grazie alla loro elevata capacità di throughput del traffico interno all’azienda e di quello che intercorre tra questa e un mondo esterno sempre più integrato nel network.
