Gestione delle minacce (o, in gergo più tecnico, threat management) fa riferimento a una cultura della sicurezza aziendale molto spinta sulla letteratura delle vulnerabilità e degli attacchi e sulla tipologia di soluzione per monitorare e mitigare i rischi. Dal momento che nella sicurezza informatica non esisterà mai un punto di arrivo, rispetto alla gestione delle minacce la curva di apprendimento deve essere a modalità continua. Oltre ad avere una chiara mappatura dell’installato, presidiando configurazioni e modalità di accesso e di protezione, i responsabili dell’ecosistema informatico devono rimanere aggiornati su tutte le evoluzioni del cybercrime, per riconoscere le nuove strategie di attacco e tutte le debolezze connesse a dispositivi, sistemi, applicazioni, reti, servizi e procedure.
Gestione delle minacce: quale strategia perseguire?
Un’efficace e moderna strategia di gestione delle minacce richiede un approccio bimodale: da un lato bisogna proteggere l’azienda dalle minacce tradizionali, dall’altro è necessario tenere d’occhio le minacce e le vulnerabilità future (che potrebbero non essere ancora emerse).
Le minacce tradizionali
Dal punto di vista delle minacce tradizionali, la necessità di soddisfare i requisiti normativi e di conformità è una priorità assoluta per i team di sicurezza. Molte politiche di conformità mirano specificamente alla protezione dei dati sensibili e al contrastare le minacce provenienti da fonti esterne. In questi casi, l’integrazione di una strategia di gestione delle minacce per mitigare il rischio di corruzione o il furto dei dati è prioritaria. Nella maggior parte dei casi, lo sviluppo e l’applicazione di una strategia di conformità risulta semplice: esiste una pletora di società che offrono servizi progettati esclusivamente per aiutare le aziende a raggiungere un livello adeguato di conformità (generalmente basato su uno o più quadri di gestione della protezione dei dati).
Le minacce emergenti
Oltre alle minacce note affrontate nelle tradizionali strategie di gestione delle minacce è fondamentale pianificare i rischi per la sicurezza del futuro. Questo processo può rappresentare una grande sfida per i team di sicurezza in quanto si entra nel campo dell’ignoto. La tipologia di minacce emergenti si suddivide in due categorie. Può trattarsi di:
1) un nuovo modo di sfruttare una tecnologia attualmente implementata
2) una minaccia a software, hardware o architetture appena implementati. Una minaccia contro un dispositivo IoT è un tipico esempio di minaccia emergente. Altre tecnologie di minaccia emergenti includono attacchi ai cloud pubblici o all’utilizzo dei dispositivi mobili.
Guida alla gestione delle minacce
Per creare un’efficace strategia di gestione delle minacce, i team di sicurezza devono includere meccanismi di protezione sia per le minacce tradizionali che per quelle emergenti. Il che significa programmare tempo e risorse per fare:
- un’analisi delle vulnerabilità
- stabilire un piano di risk management per gli attacchi informatici
- valutare gli strumenti di supporto necessari
- identificare i responsabili di tutte le attività di monitoraggio, manutenzione e reazione ai possibili attacchi
UTM: che cos’è, come funziona ( e cosa non funziona)
La crescita addizionale di sistemi e strumenti a supporto della sicurezza informatica ha portato nel tempo una moltiplicazione di elementi, spesso presidiati da figure aziendali diverse. Per questo motivo le aziende hanno iniziato a razionalizzare l’installato, scegliendo un sistema di gestione unificata delle minacce (noto anche come UTM – Unified Threat Management). Un sistema unificato di gestione delle minacce (UTM) è un tipo di dispositivo che può essere costituito da hardware di rete, un dispositivo virtuale o un servizio cloud che combina e integra diverse tecnologie di sicurezza. Il problema è che un UTM offre un buon livello di sicurezza contro virus, malware, filtri Web e sistemi di protezione dei contenuti e della posta elettronica… ma non protegge da qualsiasi tipo di minaccia. Un altro aspetto negativo è che i prodotti UTM presentano anche un singolo punto di errore nel caso si verifichi un evento che non può essere gestito in modo proattivo o risolto rapidamente.
UTM versus firewall di nuova generazione
La linea di demarcazione tra sistemi unificati di gestione delle minacce e i firewall di nuova generazione è sempre più labile. I motivi sono diversi, legati all’uso che ne fanno le aziende. Vediamo più nel dettaglio le differenze, dal momento che l’elenco delle funzionalità di un sistema UTM è impressionante che va dal monitoraggio delle attività di rete alla prevenzione della perdita di dati (DLP). La rosa delle funzionalità include:
- Antivirus / antimalware: questo componente esegue la scansione di programmi dannosi e altri tipi di malware e lo mette in quarantena o lo rimuove.
- Antispam: Alcune appliance UTM includono anche funzioni antispam. Se lo scanner antimalware è basato sull’appliance (il che significa che il software risiede sull’appliance), le scansioni influiranno in qualche modo sulle prestazioni dell’unità. Alcuni fornitori utilizzano scanner antimalware nel cloud, il che riduce al minimo l’uso delle risorse dell’appliance UTM durante la scansione.
- Firewall: un firewall di nuova generazione si trova nel cuore di un’appliance UTM. Le velocità di throughput comuni sono comprese tra 600 Mbps e 200 Gbps, con diverse porte che possono includere Ethernet 10/100 a 1, 10, 40 e 100 Gigabit Ethernet.
- Prevenzione delle intrusioni: questo componente analizza i pacchetti di rete in entrata per le firme degli attacchi e valuta i risultati rispetto a una politica definita: i pacchetti non sicuri possono essere eliminati oppure una connessione può essere interrotta per proteggere la rete interna.
- Rete privata virtuale: questo componente gestisce le connessioni VPN per l’accesso remoto sicuro alla rete interna.
- Filtro Web: questo componente impedisce l’accesso a contenuti Web inappropriati. Un amministratore può definire URL / domini non consentiti (lista nera) oppure il filtro può comunicare con un servizio di reputazione costantemente aggiornato. Il filtro può anche intercettare tutte le richieste HTTP in una connessione TCP. Alcuni fornitori forniscono il filtro Web come parte del pacchetto principale, mentre altri fornitori richiedono una licenza di filtro Web aggiuntiva.
Altre caratteristiche incluse in specifici modelli UTM includono controllo delle applicazioni, gestione della larghezza di banda, prevenzione della perdita di dati, controllo degli accessi basato sull’identità, bilanciamento del carico e altro ancora. Queste funzionalità più avanzate si trovano generalmente nei sistemi di fascia alta rivolti a organizzazioni di medie e grandi dimensioni.
UTM: 3 cose da sapere
- I sistemi UTM sono molto scalabili e ricchi di funzionalità per le organizzazioni di grandi dimensioni. In molte situazioni, ottenere queste importanti capacità di sicurezza in un unico pacchetto è l’unico modo per giustificare l’implementazione, dal momento che l’acquisto di prodotti autonomi per ogni area da presidiare è troppo costoso. Detto questo, le aziende probabilmente non otterranno la migliore tecnologia assoluta per ciascuna delle aree di sicurezza. Questo al di là delle promesse di molti vendor.
- In secondo luogo, ogni sistema di sicurezza, applicazione e console univoci che un’organizzazione deve monitorare sottrae tempo e risorse: ad esempio bisogna imparare a gestire le interfacce ma anche la reportistica. Ogni fornitore ha le sue logiche per cui ogni volta è necessario capire nel dettaglio un’eterogeneità di dinamiche diverse. Una soluzione UTM propone una singola interfaccia per la gestione delle minacce, il che costituisce uno dei suoi maggiori punti di forza.
- Infine, le aziende devono considerare se la configurazione specifica sarà un singolo punto di errore di rete (e sicurezza) o meno. In tal caso, come verrà affrontato? L’hardware e il software possono anche essere abbastanza resistenti ma non c’è CISO che non sappia quanto impatti la componente umana: un sistema può crollare in ogni momento a causa di qualcuno che fa qualcosa di errato o attiva qualcosa nel momento sbagliato.
Le appliance UTM per la gestione delle minacce
È vero che le appliance unificate di gestione delle minacce semplificano la gestione garantendo agli amministratori di rete l’uso di un’interfaccia integrata per configurare e mantenere ogni componente. Il controllo centralizzato riduce anche la complessità e la probabilità di errori poiché i dettagli di ciascun componente sono chiaramente visibili su un cruscotto. Un amministratore può reagire rapidamente ai problemi di prestazioni che si presentano e può monitorare l’impatto delle modifiche su altri componenti. Oltre a ridurre i costi complessivi rispetto all’acquisizione di ciascun singolo componente le appliance UTM producono report di conformità coerenti alle normative, includendo la portabilità e la responsabilità dell’assicurazione sanitaria, la legge Sarbanes-Oxley e così via.
Next Generation FireWall: 3 cose da sapere
- Detto questo, ci sono alcune considerazioni sulle NGFW (Next Generation FireWall) che vanno tenute in debito conto, a partire dalle funzionalità del livello di applicazione granulare che possono aiutare a monitorare e controllare le applicazioni e i malware più complessi.
- Un altro plus degli NGFW è la disponibilità un’intelligenza di tipo superiore in merito alle minacce data la prevalenza di soluzioni NGFW tra le grandi imprese e le grandi agenzie governative.
- L’investimento potenziale in soluzioni di NGFW (spese di capitale iniziali e costi operativi correnti) è un inconveniente della tecnologia. Come fanno notare gli osservatori più esperti, più grande è il fornitore, più orgoglioso dei suoi prodotti e servizi e si fa pagare…
La decisione di acquistare un UTM o NGFW dovrebbe essere basata sul rischio e su ciò di cui la tua azienda ha più bisogno.
Infine, se un’organizzazione ha una persona (o un team) che gestisce i suoi NGFW, allora chi gestisce i controlli di sicurezza per altre esigenze di sicurezza, come DLP, VPN, filtro dei contenuti e-mail e simili? Le imprese avranno probabilmente risorse dedicate per quelli, il che è positivo, poiché ne hanno davvero bisogno per gestire sistemi così diversi.
UTM soprattutto per le PMI: vero o falso?
Il cavallo di battaglia del marketing IT è che l’UTM è la soluzione ideale per le PMI. Questo non significa che se un’azienda di più grandi dimensioni sta cercando di capire se un sistema UTM è in grado di gestire le sue esigenze di rete non possa prendere l’UTM come soluzione di riferimento. Specularmente molte aziende e agenzie governative che rientrano nella categoria delle PMI hanno reti relativamente grandi e complessità del sistema informativo ma comunque si basano su un UTM per gran parte dei loro controlli di sicurezza. Un altro vantaggio degli UTM è che sono molto scalabili e ricchi di funzionalità anche per organizzazioni di dimensioni considerevoli.
Threat management: qual è la soluzione migliore tra UTM e NGFW?
La scelta di acquistare un UTM o NGFW dovrebbe essere basata sull’analisi del rischio e su ciò che è necessario per l’azienda. Le seguenti domande possono essere d’aiuto:
- Quali rischi si stanno tentando di mitigare? Se non si è in grado di rispondere a questa domanda, significa che non si è ancora pronti per l’acquisto. È necessario eseguire una valutazione del rischio (tecnico e operativo) e determinare cosa è a rischio e cosa si può fare al riguardo.
- Quali sono le numeriche di throughput della rete, i requisiti dell’accordo sul livello di servizio e le esigenze uniche di visibilità e controllo della rete? I potenziali fornitori dovrebbero essere in grado di aiutare un’azienda a mappare i requisiti delle loro offerte.
- Quanto tempo è necessario dedicare alla distribuzione, gestione e risoluzione dei problemi di questi sistemi?
- Cosa dicono i report indipendenti del laboratorio di prova, le recensioni dei prodotti e le persone che utilizzano questi sistemi?
Le risposte a queste domande potrebbero benissimo essere contrarie a ciò che l’ingegnere di vendita o l’account manager di un fornitore ritiene siano le migliori per un’azienda. Ogni organizzazione conosce la propria rete meglio di chiunque altro: sa cos’è a rischio e cosa è possibile fare al riguardo. Soprattutto: prima di scegliere è importante coinvolgere più persone possibili per raccogliere tutte le informazioni giuste e identificare la soluzione migliore per raggiungere tutti gli obiettivi prefissati.
SIM, SEM, SIEM e SOAR: come e perché automatizzare la gestione delle minacce
Utilizzare strumenti automatici dedicati alla gestione delle minacce aiuta i responsabili della sicurezza a velocizzare la raccolta dati ma anche le analisi, supportando al meglio il triage in caso di necessità di intervento.
- Il SIM è una soluzione che automatizza il processo di raccolta e gestione dei log (ma non in tempo reale). I dati vengono raccolti e spediti ad un server centralizzato tramite l’utilizzo di software agent installati sui vari dispositivi del sistema monitorato. La possibilità di usufruire di spazi di archiviazione a lungo termine unita all’analisi dei dati consente la generazione di report personalizzati.
- Il SEM è una soluzione software che, in tempo reale, provvede al monitoraggio e alla gestione degli eventi che accadono all’interno della rete e sui vari sistemi di sicurezza, fornendo una correlazione e aggregazione tra essi. L’interfaccia è una console centralizzata, preposta ad attività di monitoraggio, segnalazione e risposta automatica a determinati eventi.
- I SIEM di ultima generazione, potenziati dall’Intelligenza Artificiale, offrono un approccio sistemico, alla sicurezza, combinando due funzionalità fondamentali: la componente SIM e la componente SEM.
- Al top dell’offerta troviamo le tecnologie SOAR (Security Orchestration, Automation and Response), che consentono alle organizzazioni di raccogliere dati e segnalazioni relative alle minacce alla sicurezza attingendo da diverse fonti e programmare azioni tempestive funzionali alle misure di protezione. L’analisi degli incidenti e il triage possono essere eseguiti utilizzando una combinazione di risorse umane e meccaniche che aiutano a definire, prioritizzare e guidare le attività di risposta agli incidenti secondo un flusso di lavoro standard. Implementare strumenti SOAR per esaminare le e-mail di phishing o gestire lo IAM diventa un elemento di semplificazione notevole per la governance.
L’importante è sapere che, anche con l’ausilio di strumenti di automazione per la gestione delle minacce non significa smettere di prestare attenzione alla sicurezza, mettendoci esperienza, competenza e professionalità in modalità continua.