La sicurezza perimetrale oggi non basta. Una combinazione di sensori Ips e firewall può essere una valida strategia di protezione per le Pmi
In qualsiasi moderno ambiente aziendale è oggi piuttosto facile trovare
tecnici in grado di dirvi esattamente quali server sono installati sulla intranet
e quali funzioni supportano. Ma se chiedete a queste stesse persone di descrivere
in dettaglio il tipo di traffico che attraversa quella intranet, è molto
meno probabile che sappiano fornirvi una risposta precisa. Questo avviene perché
chi è dotato di un’eccellente protezione perimetrale tende a non
curarsi troppo di questi dettagli, convinto che essa basti a proteggere l’azienda
da qualsiasi attacco proveniente da Internet. Purtroppo, invece, anche le difese
perimetrali più robuste oggi non sono sufficienti. Un solo utente con
il suo notebook può causare innumerevoli problemi all’azienda.
Egli potrebbe, infatti, utilizzare questo portatile fuori dall’ufficio
e contrarre un’infezione di qualche tipo che, quando il pc viene riconnesso
alla rete interna si propaga sui computer a essa collegati. La sicurezza perimetrale
viene così bypassata. Ecco perché è essenziale che le reti
aziendali comprendano anche meccanismi di protezione interna in grado di mettere
le aziende al riparo da problematiche di questo tipo. Infatti, la protezione
perimetrale, per quanto robusta, nel contesto attuale non è più
in grado di offrire protezione sufficiente.
Le problematiche più frequenti
Ma mentre le grandi imprese possono permettersi potenti sistemi di gestione
in grado di monitorare lo stato globale delle reti interne, le Pmi non hanno
sufficienti risorse economiche da investire nella protezione della intranet.
Proviamo, quindi, a esaminare alcune problematiche comuni a tali realtà.
Innanzi tutto, queste aziende devono poter vedere esattamente cosa accade sulle
loro intranet. A questo scopo, il posizionamento oculato di sensori Ips può
aiutare a rivelare molto sui flussi della rete interna. I moderni sistemi Ips
(Intrusion prevention system) non generano più il gran numero di falsi
positivi dei vecchi sistemi Ids (Intrusion detection system) e non è
più necessario disseminare sensori Ips ovunque sulla rete interna, in
una sorta di approccio “a mitraglia” alla sicurezza anti-intrusione.
Le organizzazioni devono, invece, installare gli Ips in punti chiave quali,
ad esempio, all’interno dell’area delimitata dal firewall, nella
Dmz (zona demilitarizzata) o di fronte ai server strategici. È questione
di buon senso e di piazzare i dispositivi dove è più importante
che siano. I sistemi Ips saranno, quindi, in grado di riportare esattamente
quali attività avvengono sulle intranet.
Un’altra questione importante è come prevenire il traffico indesiderato
(worm, programmi P2P, e così via) all’interno della rete interna.
Una risposta è di segmentare le intranet usando dei firewall. In questo
modo, un’organizzazione potrebbe, ad esempio, isolare il reparto contabilità
e finanza dal resto della intranet in modo che eventuali infezioni non possano
propagarsi ai segmenti di rete più critici per l’azienda.
Se sensori Ips e firewall fossero implementati in modo tale da poter cooperare
più strettamente, insieme potrebbero essere usati per rafforzare la sicurezza
della intranet. I sensori Ips possono mostrare cosa attraversa la intranet ispezionando
il traffico addirittura fino al livello applicativo. Se ben collocati (ad esempio
davanti ai server critici)i sensori Ips sono in grado di bloccare qualsiasi
traffico dannoso. Nei casi in cui non coprano l’intero percorso del traffico,
essi possono comunque allertare i firewall interni per bloccare l’ulteriore
traffico indesiderato sulla intranet e sul perimetro. Poiché i moderni
Ips e firewall sono molto granulari, sono in grado di bloccare tutto il traffico
dannoso, consentendo al traffico legittimo di fluire senza interruzioni.
Spesso le intranet sono utilizzate dalle imprese per connettere le reti di
diversi uffici distaccati, dove però la sicurezza può risultare
meno efficace rispetto alla sede centrale. Come mai? Perché per queste
sedi spesso le aziende acquistano soluzioni di sicurezza distinte e gestite
localmente. Nel tempo, ciò può erodere i princìpi generali
sui quali si basa la sicurezza. Ogni soluzione ottimale per la sicurezza, infatti,
usa funzioni di gestione centralizzata, che fanno sì che tutte le sedi
remote usino le stesse regole di accesso e prevenzione delle intrusioni impiegate
presso la sede centrale. Una gestione centralizzata permette di raccogliere
tutti i log di sicurezza in log server locali, mostrando centralmente informazioni
sui log automaticamente aggregate da tutti i log server, per una reportistica
rapida e accurata. Ciò, tra l’altro, aiuta le aziende a ottemperare
a normative quali ad esempio le policy Pci (Payment card industry) stabilite
da Visa e MasterCard o Sox.
A conclusione, quanto sopra descritto consente di offrire una perfetta strategia
di protezione anche alle Pmi, oltre che un modo semplice e veloce per verificare
la sicurezza delle reti interne.
