Umberto Pirovano, Manager, Systems Engineering di Palo Alto Networks. affronta con 01net il tema del nuovo approccio importo al segmento firewall dalla nuova normalità causata dalla emergenza Covid-19.
Si parla da anni di trasformazione digitale, delle sue implicazioni, dei driver e conseguenze: la definizione utilizzata da Wikipedia è presa da una pubblicazione del 2004, ed è un ottimo punto di partenza per questa nostra chiacchierata sulla evoluzione della network security e la tecnologia più classica utilizzata, ovvero il firewall.
La cosa più evidente è la pervasività della trasformazione in essere, la seconda è il tempo da cui è evidente la trasformazione, ovvero che, limitandosi agli ambiti IT professionali, gli effetti della trasformazione erano già visibili più di 10 anni fa. La terza è che la definizione non include una delle principali conseguenze negative, ovvero l’impatto sulla sicurezza e i dati, che contengono sempre più informazioni man mano che il processo di trasformazione progredisce.
Questa di fondo fu una delle ragioni per cui Palo Alto Networks 13 anni fa rilasciò sul mercato una nuova tecnologia di firewall (il Next Generation Firewall) in rottura con la tecnologia precedente e che rispondeva alle nuove necessità derivanti dalla trasformazione digitale: comprendere le applicazioni, i dati scambiati e gli utenti per avere una visibilità completa su quello che stava accadendo nelle reti e poter identificare e prevenire al meglio situazioni di minacce e attacchi.
Creare una nuova tecnologia per una nuova esigenza significa avere il privilegio di poterla progettare e realizzare ottimizzata per quello scopo, svincolandosi dai limiti derivanti dall’evoluzione di tecnologie preesistenti. È quello che Palo Alto Networks ha fatto, introducendo nel mondo dei firewall un’architettura hardware con la parte logica della macchina separata da quella dedicata all’inoltro del traffico, con il beneficio di poter sviluppare nel tempo entrambi gli elementi in parallelo a seconda delle necessità evolutive.
Dall’altro il cuore software del Next Gen Firewall di Palo Alto Networks è stato pensato massivamente parallelo, in grado cioè di processare in single pass i flussi dati estraendo tutte le informazioni necessarie per operare le funzioni di sicurezza basate appunto sull’identificazione delle applicazioni, i dati trasportati e gli utenti con evidenti benefici in termini di performance e predicibilità di scalabilità sotto carichi di lavoro gravosi quali sono quelli del lavoro sul livello applicativo per un firewall.
Questo ha consentito a Palo Alto Networks di continuare a sviluppare e integrare funzioni di sicurezza evolute volte alla massima prevenzione di attacchi noti e non noti, coi riconoscimenti dei principali analisti di mercato (8 anni consecutivi nel MQ di Gartner come miglior Enterprise Firewall), ma anche di semplificare la vita agli amministratori di network security e agli analisti di sicurezza, avendo delle macchine che ragionano sugli stessi livelli di dati e informazioni sui quali viene richiesto loro di operare.
Lo step evolutivo naturale successivo è stato quello di lavorare sull’intelligenza del Next Gen Firewall, ovvero le funzioni di sicurezza da applicare alla mole di dati estratti in real time ed è apparso evidente che si poteva ancora una volta dividere in due il problema per gestirlo in maniera ottimale: continuare a sviluppare le capacità integrate nella macchina e in parallelo creare un secondo livello di processo sui dati estratti che fosse esterno, con maggiore capacità elaborativa, in grado ad esempio di fare esplodere eseguibili sospetti per valutarne i comportamenti e creare signature che potessero aggiornare le capacità di identificazione e blocco non solo dei firewall, ma anche degli agent di protezione degli endpoint a loro volta connessi a questo sistema esterno in cloud (Wildfire).
Nella prima versione, Wildfire era in grado di produrre signature ogni 24h circa a fronte di un sample malevolo identificato dal motore di sandboxing. Impressionante all’epoca, ma occorreva lavorare per avere verdetti e aggiornamenti più rapidi, per tener testa all’evoluzione delle tecniche degli attaccanti.
Siamo gradualmente scesi a un’ora e poi ancora a 5 minuti, introducendo tecnologie di ML/AI in Wildfire, fino a giungere all’ultimo rilascio avvenuto l’estate scorsa con la versione 10.0 del sistema operativo dei firewall Pan-OS.
Dopo 13 anni, occorreva un ulteriore salto quantico tecnologico per allineare le capacità di un firewall al nuovo livello di complessità derivate dalla fase di maturazione della trasformazione digitale, ovvero l’utilizzo di tecniche di ML in linea, nel cuore del firewall che lavorando sinergicamente con il ML in Wildfire fosse in grado di identificare e bloccare la maggior parte (95%) degli attacchi non noti visti dal firewall stesso.
Nel mondo di oggi dati e applicazioni sono nel cuore dei processi aziendali, sono presenti in un ambito IT condiviso, così come distribuiti e mobili sono gli utenti interni ed esterni che li lavorano o utilizzano. Lo smart working ha accelerato un fenomeno già in essere nel quale dati e applicazioni sono distribuiti tra cloud, data center interni e Saas, mentre in contemporanea la convergenza IT/OT e gli oggetti connessi hanno portato alla frantumazione del concetto di perimetro e all’aumento della superficie di attacco a disposizione.
Ancora una volta si tratta di una partita doppia: la trasformazione digitale incrementa in modo esponenziale i dati perché necessita di maggiori informazioni digitalizzate e la complessità della catena di manipolazione e scambio di questi dati aumenta, aprendo dall’altra parte la porta ai malintenzionati che possono inserirsi in più punti della catena con tecniche sempre più evolute.
Il firewall deve potersi adattare a questi scenari, ma non rovesciando questo nuovo livello di complessità su amministratori di sicurezza e analisti.
Pirovano rivela che Palo Alto Networks ha aumentato i cosiddetti “fattori di forma” dei nostri Next Gen Firewall (apparati tradizionali, in forma virtualizzata per i vari ambiti Software Defined DataCenter e containerizzata e con modalità di consumo Saas) mantenendo un unico sistema di gestione reso modulare tramite plugin, in grado di gestire in maniera coerente e uniforme qualunque tipologia di firewall i nostri clienti debbano adottare.
Ed ecco perché, oltre al nuovo motore di ML in linea con Pan-OS 10.0, la società ha integrato nel Next Gen Firewall un motore di protezione IoT in aggiunta alle altre funzioni già presenti ed sviluppate nel tempo, quali protezione dei DNS, Network e Behavior Traffic Analysis, URL filtering e anti malware con ML, funzioni di application security per il mondo OT.
Per la parte IoT l’automazione dei processi di sicurezza anche più semplici e tradizionali (l’applicazione di policy ad esempio) può assumere un livello di complessità elevato a causa della diversità di sistemi operativi, versioni utilizzate e dal numero impressionante di oggetti connessi.
Per questo motivo il Next Gen Firewall di Palo Alto Networks è in grado di identificare dispositivi IoT, i loro comportamenti e con il motore di ML indicare le policy di sicurezza più adeguate. Continua Pirovano, con i nuovi fattori di forma siamo in grado di coprire in maniera coerente le nuove esigenze derivanti dallo smart working: ad esempio è possibile connettere in maniera sicura, scalabile e flessibile utenti distribuiti e filiali connettendoli alla versione in cloud/Saas nel nostro Next Gen Firewall (Prisma Access).
Inoltre, il Next Gen Firewall in qualunque forma e l’Endpoint Protection di nuova generazione Palo Alto Networks (Cortex XDR) estraggono dati e operano in protezione sinergica di reti e host, sfruttando un motore di threat intelligence unificato (Wildfire) portando la gestione del perimetro frammentato nello smart working a un livello superiore. Ma anche i nuovi ambiti di sicurezza in linea (“di rete” si diceva un tempo) nelle porzioni di DC in cloud o negli ambienti container (con la versione containerizzata del Next Gen Firewall di Palo Alto Networks).
