Un vademecum su come orientarsi tra le diverse offerte di soluzioni di autenticazione, sistemi anti intrusione e protezione. Gli aspetti tecnologici non vanno sottovalutati, ma occorre prestare attenzione anche alla formazione e all’assistenza post vendita.
Come orientarsi nella scelta di strumenti che consentono di garantire un accesso ai dati elettronici che sia condiviso ma anche sicuro. Per quanto riguarda la protezione perimetrale e di retroguardia, partendo dal presupposto che gli investimenti in Intrusion detection systems stanno considerevolmente aumentando, è necessario prendere in considerazione alcuni fattori di valutazione. Un criterio fondamentale per operare una scelta consapevole è dato dalla valutazione della richiesta di calcolo.
Si tratta di un parametro che identifica la potenza di Cpu richiesta oggettivamente per la gestione dello strumento e quella, per contro, effettivamente fornita dal security vendor. In pratica, cioè, si deve valutare la differenza tra "quello che è" e "quello che dovrebbe essere". In molti casi si nota una certa corrispondenza tra il necessario e il reale. Ciò accade particolarmente quando ci si trova di fronte a un appliance, un apparato dedicato, contenente un sistema operativo ottimizzato per il particolare tipo di hardware presente in configurazione. In tal caso, comunque, l’ottimizzazione è reciproca e interessa anche altre componenti dell’hardware come la memoria Ram. Un altro fattore che dovrebbe orientare la scelta è la tipologia del modello di detection. Allo stato attuale ci si dirige su Network/host/agent based Intrusion detection system. Tutto dipende dall’origine del dato, cioè dal punto in cui è collocato il sensore.
Mai come in questo periodo la comunità tecnica opta e consiglia un approccio distribuito a questo tipo di strumento. In pratica, al fine di assicurare un deployment efficace, dopo aver studiato a tavolino gli obiettivi a maggior rischio, risulta consigliabile distribuire sensori di varia tipologia all’interno del proprio ambiente. Non va, inoltre, omesso di prendere in considerazione l’aggiornamento delle signature. Comportandosi, di fatto, come un prodotto quasi del tutto simile a un tool di protezione antivirale di tipo pattern recognition and matching, un Ids di questo tipo deve garantire la massima capacità di aggiornamento delle signature. Quanto più le firme degli attacchi sono up-to-date, tanto maggiore è la possibilità di gestire le reazioni in maniera ottimale.
Recenti ricerche di enti scientifici, quali il Computer Emergency Response Team (Cert) americano, facente capo all’Università di Carnegie Mellon, hanno rinnovato l’appello a una maggiore "reattività" agli attacchi da parte degli amministratori della sicurezza informatica. Il fattore "aggiornamento signature" risulta, pertanto, fondamentale. In questo contesto, il giudizio si basa sia sulla frequenza di aggiornamento sia sulla fonte di approvvigionamento di signature. Nella valutazione delle alternative di Ids non va, inoltre, sottovalutato l’aspetto della possibilità di personalizzare signature e policy offerte dai vendor.
Ad attacchi distribuiti e granulari si deve rispondere (nell’accezione difensiva del termine) con tecniche altrettanto differenziate. Se esistono, quindi, degli strumenti in grado di fornire all’operatore della sicurezza la possibilità di customizzare policy e firme di attacco, questo rappresenterà sicuramente un plus. Infine, siccome l’intervento del personale interno all’azienda assume un ruolo di primo piano nel corretto funzionamento di queste soluzioni, il decisore non può trascurare di valutare l’offerta di servizi di training post vendita. Un prodotto di cui non si conoscono a pieno le potenzialità è privo di efficacia. L’unico modo per raggiungere un buon livello di operatività è, quindi, aver ben chiare le idee sul suo funzionamento. Per raggiungere lo scopo, il training diventa un fattore imprescindibile. L’erogazione dei corsi può essere fatta dal vendor medesimo o da un suo fornitore di fiducia.
Nel primo caso, comunque, i security vendor si occupano altresì di certificare gli istruttori e i relativi corsisti, anche dopo il superamento di un esame specifico. Un consiglio va però dato: se si deve fare un investimento in tal senso, è sempre meglio procedere con interlocutori di chiara fama.
Firewall e sistemi di autenticazione
Alcuni dei parametri analizzati sono richiamabili anche nella gestione delle problematiche di ricerca e acquisto di firewall e sistemi di autenticazione. Se per questi ultimi è decisamente importante supportare crittografia diffusa, robusta e soprattutto attenta agli standard (come IpSec, Pki, Aes e simili), per la parte di difesa perimetrale "pura" esistono, invece, degli indici di valutazione ben specifici. Il sistema operativo supportato può essere proprietario nel senso stretto del termine, oppure un open source di tipo "stripped down", cioè volutamente privato di opzioni e/o configurazioni non necessarie, così come script e caratteristiche presenti di default e potenzialmente pericolose. In pratica, si tratta di una particolare metodica di hardening, ovvero di una procedura di rafforzamento dei sistemi operativi. Altri firewall si appoggiano, invece, su sistemi operativi già esistenti dei quali effettuano anche una procedura di rafforzamento al momento dell’installazione.
L’importanza del filtering
La tipologia di filtraggio è un’altra discriminante fondamentale. Ne esistono diverse tipologie, variabili in funzione del livello Iso/Osi (o anche Internet) su cui "viaggia" l’ispezione. Allo stato attuale, un punto di riferimento è costituito dalla stateful inspection.
Il packet filtering "puro" può presentare dei limiti di natura identificativa e restrittiva di alcune violazioni quali, per esempio, determinate tipologie di spoofing (mascheramento degli indirizzi Ip) e attacchi a frammentazione. Le due tecniche sopra citate possono essere anche combinate tra loro e dar luogo a neologismi più o meno altisonanti. A tal proposito è consigliabile analizzare le funzionalità presentate in sede di prevendita, aiutandosi con white paper.
Dovendo raggiungere l’obiettivo della disponibilità di servizio, fondamentale anche per mitigare alcuni potenziali problemi di bypassing della protezione perimetrale, non va altresì sottovalutata la presenza di soluzioni di High availability e bilanciamento dei carichi. Non tutti i firewall sono in grado di garantire delle funzionalità di questo tipo che, di solito, sono disonibili come opzioni sulle soluzioni di fascia alta. Se, infine, training e assistenza post vendita seguono gli stessi princìpi validi per gli Ids, la gestibilità da una postazione o una console centralizzata e l’integrazione con il Virtual private networking stanno avendo sempre maggior importanza.
Vulnerability scanner e assessment tool
Per ciò che attiene agli strumenti di ausilio alla gestione delle vulnerabilità, va chiarito che il solo utilizzo non è sufficiente per condurre un vulnerability assessment che possa definirsi al pieno delle sue potenzialità. Il tool è soltanto un ausilio alla metodica. Anche in questo caso, ovviamente, esistono delle domande da porsi per operare la scelta migliore. Anzitutto, occorre prendere in esame le diverse tipologie di prodotto. Le categorie generali prevedono una distinzione tra scanner attivi, host based, hardener automatici e policy compliance tool. Per ognuna di queste tipologie esistono delle metodiche di comparazione tra il risultato ottenuto dopo la scansione e la cosiddetta baseline, cioè una base iniziale di configurazione e/o di assetto ottimale del sistema scansionato. In seconda battuta, occorre porre attenzione alla gamma di sistemi operativi supportati.
In questo caso, si guarda al parametro da una duplice prospettiva: quella della console di utilizzo e quella del target. Per entrambe vale il discorso che più sono le piattaforme supportate, migliore è la potenzialità di utilizzo. Un aspetto da non trascurare è la verifica della tipologia di attacchi supportati. Il set da simulare nella scansione viene definito solitamente sotto il nome di policy. Si tratta di un’impostazione personalizzabile. La maggior parte dei tool di un certo livello pone anche attenzione verso la fase di information gathering, cioè di approvviggionamento delle informazioni logiche presenti sul target. In ultima istanza, va verificata la presenza di soluzioni di reportistica per quanto attiene ai risultati. L’output di questo tipo di procedura è fornito, in via generale, ai tecnici e al management. Ovviamente, la prospettiva di analisi di entrambi differisce a seconda della categoria. Per quanto riguarda il secondo segmento, inoltre, risulta necessario un "impatto coreografico appropriato", visto che da quest’ultimo può dipendere anche la scelta dell’investimento. L’ideale, in questo caso, è la possibilità di gestire più report con una suddivisione per tipologia di destinatario. Esistono alcuni strumenti commerciali che consentono questo tipo di opzione.
