Nuovi malware? Ecco i firewall di nuova generazione

Gli utenti aziendali, sempre più spesso accedono ad applicazioni esterne che sfuggono al controllo dei dispositivi di sicurezza tradizionali, ma che sono strategiche per la produttività e la competitività. E gli hacker ne approfittano. I Next generation firewall permettono una gestione della security globale e basata sull’identificazione di applicazioni, utenti e contenuti

Pubblicato il 30 Gen 2013

Malware di nuova generazione richiedono firewall di nuova generazione. I firewall tradizionali disseminati sulle reti aziendali, spesso sovraccarichi di regole create nello sforzo di adeguarli ai nuovi scenari Ict, sono sempre meno in grado di reggere il passo con le nuove minacce come gli zero-day exploit, il phishing o i famigerati Apt (advanced persistent threat). Basti pensare – come spiega il libro New Generation Firewall for Dummies di Lawrence C. Miller, promosso da Palo Alto Networks – che ormai oltre l’80% del codice maligno e dei tentativi di intrusione oggi fa leva sulle applicazioni utilizzate dagli utenti, ovvero è di tipo “application layer attack”, mentre le difese enterprise sono state concepite nell’ottica di “network layer defense”. Anche i firewall tradizionali si occupano di traffico applicativo, ma lo fanno cercando di identificare le fonti di minaccia attraverso i protocolli e le porte utilizzate dai pacchetti di dati. Questi firewall “port and protocol based” analizzano gli header dei primi pacchetti trasmessi in una sessione alla ricerca dei numeri di porta utilizzata, e in base alle regole inserite permettono o meno il passaggio di un determinato tipo di traffico dal “network untrusted” (internet) a “network trusted” (Lan aziendale) o viceversa. Con una metafora, Lawrence C. Miller paragona i firewall port e protocol based ai ponti levatoi del Medioevo che proteggevano gli antichi castelli. Come questi, alzandosi o abbassandosi, bloccavano o consentivano l’accesso alla cittadella, i firewall port based negano o consentono il fluire di determinati traffici di dati.

Infinite variazioni di grigio

Questo tipo di approccio andava bene in un’epoca in cui le applicazioni e i traffici di dati utilizzavano sempre le stesse porte. Oggi, invece, anche le applicazioni non maligne possono utilizzare porte non standard o saltare da una porta all’altra nel corso di una stessa sessione (port hopping). Un esempio del primo tipo è Yahoo! Messenger, che nella versione stand-alone utilizza la porta 5050, mentre nella versione integrata nel browser sfrutta la 80, tipica dell’Http. Un esempio del secondo tipo sono le applicazioni stand-alone che iniziano a essere utilizzate dopo un primo passaggio dal browser. Questo avviene spesso anche con le applicazioni legacy ridisegnate per avvantaggiarsi delle tecnologie Web. In una stessa sessione, quindi, tali applicazioni utilizzano due diversi tipi di porte. Infine ci sono malware che si annidano nei flussi di applicazioni che utilizzano protocolli criptati come l’Ssl (Secure Socket Layer).

Impiego di porte non standard, port hopping e tunneling in protocolli criptati, rende molto difficile, da parte dei firewall port e protocol based, l’identificazione esatta delle applicazioni usate e che possono essere utilizzare per veicolare delle minacce. I firewall tradizionali, come dicevamo, erano efficaci in un’epoca in cui le applicazioni usavano porte e protocolli standard e si potevano suddividere esattamente in due categorie: “buone” quelle aziendali e “cattive” quelle personali. Questo modello ha iniziato a decadere con la consumerizzazione dell’It, ovvero con la crescita dell’utilizzo di applicazioni e piattaforme nate nel mondo consumer (Skype, YouTube, i social media ecc.) anche nei processi collaborativi aziendali. Oggi anche piattaforme business, come Microsoft Sharepoint o Cisco WebEx, utilizzano tecnologie analoghe a quelle adottate da applicazioni consumer e spesso sono progettare per eludere i firewall.

Un nuova network protection

La capacità di identificare i traffici solo attraverso le porte e i protocolli utilizzati rende questo tipo di firewall anche un po’”presbiti”: capaci cioè di fermare le minacce alle porte dell’azienda se sono facilmente individuabili, ma inadatte a scoprirle se sono riuscite a eludere una sommaria identificazione. Funzionalità più avanzate quali la Stateful packet inspection o la Deep packet inspection rappresentano, secondo Lawrence C. Miller, solo miglioramenti di tipo incrementale alle capacità dei firewall. Consci di questi limiti, e non potendosi più permettere di negare tout court l’utilizzo di determinati protocolli e porte, negli anni i responsabili della sicurezza hanno iniziato a installare intorno ai firewall altre tecnologie di security dedicate a singoli rischi. In questo modo si è introdotto il rischio di un degrado delle prestazioni delle reti e di una gestione della security non integrata ma a silos. E senza una vera integrazione è difficile poter avere una visione complessiva dei rischi e gestire in modo efficace e granulare la definizione e l’applicazione di policy.

Oggi – secondo i sostenitori dei Next Generation Firewall, come Palo Alto Networks – il primo passo per mettere in protezione i dati e le risorse It aziendali è ottenere una visuale complessiva delle applicazioni utilizzate, del modo in cui ciascuna di esse viene impiegata dai singoli utenti o gruppi, e dei contenuti che transitano. Il secondo è – ovviamente – applicare le tecniche tradizionali dei firewall (packet filtering, network- and port- address translation, Vpn support, etc.) e degli Ips (vulnerabilità and threat-facing signature, euristics ecc.).

I Next Generation Firewall sono in grado di riconoscere tutte le applicazioni – comprese quelle Enterprise 2.0 – e si integrano con i sistemi di directory Ldap, fra i quali l’usatissimo Active Directory di Microsoft. In questo modo sono in grado di inserire anche l’identificazione dell’utente (attraverso l’integrazione fra numeri Ip, identità e ruoli) come parametro nella definizione e applicazione di policy. Un terzo pilastro dell’attività svolta dai Next Generation Firewall, non prevista nei firewall tradizionali, è l’identificazione dei contenuti, effettuata prima che gli interi file (non identificati meramente in base all’estensione) vengano scaricati o inviati. Questo consente una prevenzione real-time dalle minacce. L’analisi può entrare anche nel merito dei pattern dei contenuti e permettere così, per esempio, di individuare (ma non identificare naturalmente) i numeri di carte di credito, in modo che si sappia che in quel pacchetto di dati stanno transitando dati relativi a carte di credito, la cui comunicazione è soggetta a una normativa come il Pci-Dss (Payment Card Industry Data Security Standard) a cui un numero crescente di aziende deve essere compliant. Queste tecnologie, in questo modo, permettono di passare da una gestione della sicurezza molto vincolata a singoli aspetti tecnologici, a una più legata a una relazione più stringente tra It e business.

Infine, sia perché adottano un modello architturale concepito per il massimo throughput dei dati sia perché in grado di svolgere in modo integrato compiti finora appannaggio di distinte tecnologie di sicurezza, i Next Generation Firewall promettono anche una gestione integrata della sicurezza che diminuisce la latenza delle reti e i costi di possesso delle tecnologie.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3