A partire dagli accessi fino al controllo del traffico, le tecnologie di protezione devono essere introdotte sin dalla fase progettuale. L’importanza della “prevenzione”.
Solo il sistema isolato può ritenersi sicuro al 100%, ma è evidente che non risulterebbe particolarmente utile alla comunicazione aziendale. Se è necessario aprirsi, peraltro, è opportuno farlo con le dovute cautele.
La fonte primaria degli attacchi alla sicurezza dell’It aziendale è Internet o, meglio, la disponibilità di un accesso online al sistema. L’infrastruttura d’accesso è quindi il primo punto in cui porre uno sbarramento difensivo. Il firewall rappresenta senz’altro la forma di protezione perimetrale più diffusa in Italia e all’estero nonché la prima a essere stata sviluppata nell’era Internet. In realtà, il controllo degli accessi è da sempre la chiave delle strategie per la sicurezza aziendale, a partire da quella fisica, per arrivare a quella logica, che è partita con la definizione di una coppia di parametri, username e password, e prosegue con lo sviluppo di tecnologie di autenticazione sempre più sofisticate.
Un approccio progettuale
L’approccio alla sicurezza, peraltro, non può basarsi esclusivamente sul controllo degli accessi, perché recenti attacchi hanno dimostrato come sia relativamente facile per una minaccia superare le prime barriere. Spesso, poi, le violazioni provengono dall’interno stesso dell’azienda, sia per negligenza sia per intenzione dolosa.
È necessario un approccio sistemico che abbracci il problema nel suo complesso e che prenda in considerazione il livello di rischio cui è sottoposta l’azienda. La rete deve essere, comunque, il nodo nevralgico del sistema che si andrà a definire. Essa, infatti, quando non è il bersaglio diretto degli attacchi ne è il mezzo di propagazione. Per questo, sin dalla fase progettuale è opportuno abbinare sinergicamente le funzioni di trasporto della rete con quelle di sicurezza, anche al fine di aumentare l’efficacia di queste ultime senza penalizzare eccessivamente le prestazioni delle prime.
Con un approccio progettuale, inoltre, la sicurezza risulta essere un elemento intrinseco della rete, pervasivo a tutta l’infrastruttura. L’obiettivo ideale è quello di costruire una rete che non può funzionare se non in sicurezza. Altrimenti l’alternativa sembra essere aggiungere l’It security come un livello applicativo che si somma agli altri e, come tale, “disattivabile” in qualsiasi momento. I rischi di una simile situazione sono palesi e sono tanto più alti quanto maggiore è il livello di integrazione dei servizi sulla rete, cioè a dire nel caso di reti convergenti.
Le sinergie che è possibile attivare in un progetto di rete sicura riguardano molto da vicino l’affidabilità della rete stessa. Non bisogna dimenticare, infatti, che questa esiste in funzione del servizio che fornisce e che acquista sempre più una vitale importanza per l’impresa.
Una rete sicura, pertanto, coinvolge architetture e tecnologie che garantiscono la business continuity, sino alla definizione di soluzioni di di-saster recovery. Sono proprio queste un esempio di come sicurezza e prestazioni vadano a braccetto: si consideri, infatti, l’importanza di realizzare un’infrastruttura che garantisca tempi di ripristino adeguati, ridistribuisca su altri nodi il carico di una tratta eventualmente caduta, isoli tentativi di attacco e che, in sintesi, assicuri la continuità operativa.
La protezione perimetrale deve essere opportunamente parte di un sistema di sicurezza end-to-end, che arrivi fino al cuore della rete. In fase progettuale si può pertanto definire un modello a più livelli concentrici, che presenta anche il vantaggio di semplificare l’introduzione delle tecnologie e la valutazione delle soluzioni proposte dai fornitori.
Si possono identificare tecnologie come le Vpn, gli antivirus e i firewall che vanno posti sul perimetro esterno dell’infrastruttura, dove devono essere abbinati e accompagnati da servizi di rete come l’accesso wireless e i Service level agreement. Su un anello più centrale andranno collocati sistemi di controllo degli accessi alle applicazioni o di single sign on, accompagnati dai vari metodi di autenticazione adottati in azienda, dalla progettazione di Vlan (Virtual Lan) e dalla definizione di policy. Via via si può proseguire ad affinare le tecniche di protezione, fino a collocare soluzioni direttamente al livello delle applicazioni.
Tra le tecniche di protezione che riguardano direttamente le applicazioni, una crescente importanza stanno assumendo quelle cosiddette preventive, che si preoccupano di analizzare il traffico e verificarne la coerenza con il contesto.
Più in generale, si tratta di tecniche di anomaly detection, che tentano di prevenire le intrusioni osservando il comportamento di applicazioni e/o della rete, individuando quegli eventi che tipicamente precedono un attacco o ne sottintendono l’imminenza. Esistono poi altre soluzioni che, più tradizionalmente, basano la prevenzione sul controllo del traffico, alla ricerca di pattern da confrontare con signature contenuti in appositi database: sono gli Intrusion prevention system, che tentano di rilevare i tentativi di intrusione in funzione del contenuto dei pacchetti che sono inviati per preparare l’attacco.
Prevenire è meglio che curare
In entrambi i casi è evidente l’esistenza di una stretta dipendenza dalla rete: i sistemi di anomaly detection basati sul comportamento devono conoscerlo e, pertanto, operare a livello di rete, spesso a livello binario. Gli Ips che analizzano i pacchetti a maggior ragione impattano sul traffico.
La tendenza, inoltre, è quella della progressiva diffusione di appliance che vengono introdotte spesso a livello di backbone (in line), in modo da sfruttare al massimo le capacità di blocking automatico degli attacchi. Ovviamente, tale opportunità è legata al livello di affidabilità della soluzione, che deve fornire un grado di falsi positivi quasi nullo.
L’utilizzo di appliance, in generale, è mirato alla semplificazione dell’architettura del sistema di sicurezza ma anche all’ottimizzazione delle prestazioni. Si consideri, infatti, che un Ips analizza ogni pacchetto che lo attraversa ispezionandolo fino al livello 7 della pila Osi. Le soluzioni di più recente introduzione, dunque, cercano di effettuare l’ispezione una volta per tutti i tipi di controllo che devono essere effettuati, riducendo i tempi di analisi e massimizzando le prestazioni. Non a caso, sono state sviluppate soluzioni abbinate a sistemi di load balancing oltre che a switch.
