Affrontare le minacce dall'interno: ripensare l'implementazione della protezione delle reti
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Whitepaper
Affrontare le minacce dall’interno: ripensare
l’implementazione della protezione delle reti
Introduzione smartphone. Inoltre, sempre più spesso, la forza lavoro è costituita
Le violazioni della sicurezza informatica si stanno manifestando su scala non solo da dipendenti, ma anche consulenti, collaboratori e
industriale. Il volume sconfinato di violazioni informatiche, associato alla fornitori, i quali accedono indistintamente alla rete e alle risorse
portata e all’entità del fenomeno, stanno costringendo l’intero settore IT dell’azienda. Questo semplice modello basato sull’attendibilità
a riconsiderare le modalità per implementare, gestire e affrontare il presenta numerose falle e dimostra tutti i suoi limiti proprio quando
tema della cyber sicurezza. Al centro di questa trasformazione troviamo la minaccia arriva da un dipendente o da un collaboratore. Il modello
un fondamentale mutamento delle ipotesi e del modello di partenza tradizionale di attendibilità si basa inoltre sul concetto che le risorse
adottati sino ad oggi per gestire la sicurezza informatica. IT aziendali possono essere considerate affidabili in quanto dotate
di software e di antivirus adeguati. Oggi, tuttavia, per la produttività
Il modello tradizionale è basato su concetti piuttosto semplici. aziendale i dipendenti non usano più solo risorse IT aziendali ma
Tali concetti hanno portato a modelli di implementazione che, ricorrono sempre più spesso a dispositivi personali, come computer
nell’attuale panorama della sicurezza informatica, si sono dimostrati portatili, tablet e smartphone. In altre parole, l’approccio Bring
del tutto inadeguati per affrontare malware e cyber-violazioni di nuova Your Own Device (BYOD) sta contribuendo ad aumentare in modo
generazione. Alcune di queste ipotesi di partenza sono riportate qui di significativo la produttività ma sta anche mettendo a dura prova le
seguito: semplici ipotesi di partenza del modello basato sull’attendibilità.
• Ambiente statico: Tradizionalmente, i dispositivi di sicurezza
• Sicurezza basata su un perimetro di delimitazione: vengono installati in posizioni fisse. Questo riguarda firewall,
Il modello tradizionale di sicurezza informatica si basa su sistemi di rilevamento/prevenzione delle intrusioni (IDS / IPS) e
ipotesi semplicistiche legate alla creazione di un perimetro di altri strumenti di individuazione e neutralizzazione dei malware.
delimitazione: tutto ciò che è al di fuori di questo perimetro è da Tipicamente, questi strumenti si basano su un perimetro fisso
ritenere pericoloso, mentre ciò che si trova all’interno può essere o su un insieme di punti di “convergenza” predeterminati
considerato sicuro. Il modello di sicurezza perimetrale viene attraverso cui si prevede che il traffico dovrà passare, e che
tipicamente sviluppato attraverso l’implementazione di un firewall di conseguenza dovranno essere monitorati. Tuttavia, con
sul punto di confine con la rete internet e di alcuni software di la crescente mobilità di utenti, dispositivi e applicazioni,
protezione - ad esempio programmi anti-virus - a livello di dispositivo la prevedibilità dei modelli di traffico è diminuita. Inoltre,
di utente. Tuttavia, per identificare i malware, la maggior parte l’adozione del cloud ha allargato i confini e i limiti perimetrali
dei firewall perimetrali e delle soluzioni software di protezione grazie alla possibilità di allocare dinamicamente e on-demand le
terminale si basa su regole e “firme”. Nell’attuale panorama, molti capacità all’interno del cloud. Ciò sta trasformando gli ambienti
attacchi informatici sfruttano la cosiddetta vulnerabilità del “giorno- di lavoro in ecosistemi di gran lunga più dinamici, rendendo
zero”. Tale termine indica tutte le vulnerabilità già rilevate, ma per sempre più difficile prevedere l’esatta ubicazione dei confini
le quali ancora non sono stati implementati gli aggiornamenti dei e dei punti di convergenza. Di conseguenza, la capacità di
vari elementi software o non sono state sviluppate firme o regole identificare in modo coerente e completo tutte le minacce in
adeguate. Di conseguenza, per le soluzioni tradizionali a base base alla distribuzione statica delle applicazioni di sicurezza in
perimetrale, è sempre più difficile contrastare attacchi e violazioni punti fissi è ormai largamente compromessa.
da parte dei malware.
• Modello semplificato di attendibilità: Il tradizionale modello Per prevenire le violazioni di rete, molte architetture aziendali di
basto sull’attendibilità utilizzato nel campo della sicurezza sicurezza fanno ancora riferimento alle ipotesi tradizionali illustrate
informatica prevede un approccio molto semplice: ritenere sopra, nonostante il venir meno di alcune di esse. Inoltre, nel corso
attendibili i dipendenti dell’organizzazione e inattendibili tutti gli del tempo, anche la natura delle minacce informatiche è evoluta in
altri utenti. Tuttavia, oggi, molti dipendenti utilizzano per esigenze modo significativo. In passato, i worm o i virus che violavano una rete
di lavoro anche i dispositivi informatici personali, ad esempio gli si propagavano velocemente per fare più danno possibile nel più breve
© 2015-2016 Tutti i diritti riservati. 1Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti
tempo possibile. Questo consentiva di rilevare worm e virus più Accesso backdoor: Una volta che il sistema dell’utente è stato
rapidamente proprio grazie alle tracce lasciate nel loro cammino compromesso dal download, il malware esplora le possibili
di distruzione. Le violazioni odierne sono evolute su scala backdoor che permettono di superare i firewall. L’obiettivo è di
industriale e sono diventate più subdole, sofisticate e distruttive. aprire un canale di comunicazione con un centro di comando e
Molte di esse sono raggruppate sotto un ombrello denominato controllo, che potrebbe essere situato in qualsiasi parte del mondo.
Advanced Persistent Threat (APT). Gli APT rappresentano l’origine Quando il canale di comunicazione è stabilito, vengono scaricati
di molte delle recenti violazioni su larga scala. Questi attacchi altri malware e/o codici.
tendono a utilizzare una varietà di metodi sofisticati per installarsi
stabilmente e compromettere la rete nel lungo periodo. Proprio Movimento laterale: Il malware avvia quindi la valutazione e la
da questo deriva il nome: Advanced Persistent Threat. clonazione interna, identificando altri sistemi che presentano delle
vulnerabilità. Tuttavia, questo processo viene eseguito in modo
Anatomia di un Advanced Persistent Threat furtivo e metodico, mascherando l’attività del malware e riducendo
Molte delle odierne violazioni su larga scala tendono a al minimo l’impatto dell’attività. Questo processo può essere
manifestarsi su più fasi e sul lungo periodo, cioè da settimane a effettuato nell’arco di settimane o addirittura mesi. In altre parole,
mesi. Alcune delle fasi sono illustrate di seguito: il movimento laterale del malware è impercettibile e lento. Durante
questa fase, possono essere aperte backdoor aggiuntive, anche
Ricognizione: Durante questa fase, l’autore o l’esecutore nel caso in cui la backdoor iniziale sia stata scoperta ed eliminata.
della violazione cerca di comprendere le varie attività
effettuate online per individuare possibili obiettivi e cercare Raccolta dei dati: Una volta che il malware si è diffuso e ha avuto
un modo per iniettare un malware. Ad esempio, l’autore accesso alle risorse critiche dell’infrastruttura, inizia il processo di
potrebbe osservare a quali siti social o di homebanking identificazione dei dati critici da estrarre o registrare.
accede l’utente, a quali gruppi d’interesse si iscrive e così via.
Sulla base di queste informazioni, viene definito un profilo dei Estrazione: I dati raccolti vengono estratti in massa attraverso le
possibili target. varie backdoor. A questo punto, le informazioni dell’organizzazione
sono gravemente compromesse. L’autore della minaccia può
Violazione iniziale: Questa è la fase iniziale in cui l’utente o chiedere un riscatto, rendere pubblici i dati classificati o riservati,
il target viene compromesso. In genere, in base alle attività e oppure vendere le informazioni all’asta.
al profilo dell’utente, viene formulata una e-mail o un post che
invita a cliccare su un link. Aprendo il collegamento, l’utente In molti casi, dopo l’estrazione l’organizzazione è compromessa ed
viene re-indirizzato a un sito web da cui viene scaricato un è esposta ad altri attacchi e violazioni. Infatti, in molti casi, a causa
elemento di vulnerabilità “giorno-zero”. Questo attacco della natura estesa dell’attacco, molti sistemi continuano a rimanere
viene in genere indicato come “phishing” (prendere all’amo). infetti e silenti anche dopo che la violazione è stata rilevata e rimossa.
Anche altri attacchi simili - come il download drive-by - sono I sistemi compromessi possono poi essere resi accessibili attraverso
all’ordine del giorno. Il loro scopo è di iniettare semplicemente siti “malware-as-a-service”, in cui singoli o gruppi di individui possono
un codice malware nel sistema dell’utente. In molti casi, la acquistare gli elementi infetti. Il business del malware-as-a-service
dimensione del malware è piuttosto ridotta: l’unico scopo del è cresciuto fino a diventare una importante industria. Esso offre a
malware è infatti creare un canale di comunicazione, detto singoli individui e organizzazioni un semplice ed economico mezzo per
“backdoor” (porta di servizio). sfruttare i sistemi compromessi per lanciare, ad esempio,
attacchi DDoS.
1 2 3 4 5 6
Phishing & e attacco Movimento Raccolta
Ricognizione Backdoor Estrazione
giorno-zero laterale dei dati
Figura 1: Anatomia di un Advanced Persistent Threat
© 2015-2016 Tutti i diritti riservati. 2Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti
Un recente studio di valutazione1 effettuato su 1.200 imprese in Aumento del traffico “est-ovest”
63 paesi, ha messo in evidenza che il 97% delle organizzazioni Un altro importante cambiamento riguarda i data center. Qui, sempre
considerate ha subito una violazione durante il periodo di osservazione. più spesso, server e macchine virtuali (VM) dialogano sia tra di loro sia
Di queste, il 75% aveva ancora dei processi di comando e controllo con sistemi database, di storage e con altre applicazioni: ciò comporta
attivi. In un altro studio2 è stato constatato che il periodo medio che un cambiamento dei modelli di traffico, i quali stanno evolvendo
trascorre dall’intrusione iniziale alla rilevazione della violazione è di verso una struttura sempre più spesso basata su flussi “est-ovest”. Il
giorni, indicando che molte organizzazioni possono rimanere in uno traffico est-ovest in genere non transita attraverso il centro della rete,
stato di violazione senza saperlo per dei mesi. dove potrebbe essere sottoposto a dei controlli di sicurezza, come
IPS / IDS, per rilevare malware o minacce all’interno dei flussi. Inoltre,
Tutto ciò indica la necessità di riconsiderare i modelli utilizzati per la il volume di traffico est-ovest sta rapidamente superando il volume
sicurezza. Le aziende non possono più agire sul presupposto che di traffico nord-sud, cioè il traffico che scorre da e verso Internet.
le minacce da temere provengano solo dall’esterno. Al contrario, le Ciò favorisce la diffusione “laterale”, all’interno del data center, del
organizzazioni devono aumentare l’attenzione verso l’individuazione malware che ha violato un server non aggiornato o di generazione
dei sistemi violati e il contenimento dei malware. A causa delle precedente. Il processo avviene in modo non rilevabile dalle misure
tendenze in atto nel settore IT, identificare i sistemi compromessi è di sicurezza concepite per intercettare e controllare il traffico nord-sud
sempre più difficile. (vedere figura 2).
Tendenze IT che influenzano la sicurezza A titolo di esempio, Facebook gestisce 1 milione di processi
L’evoluzione della forza lavoro e il concetto di BYOD “Mapreduce” al giorno.3. Il risultato è un significativo il traffico di
Nel settore IT sono in atto diverse tendenze che impattano rete, che rimane confinato all’interno del data center. Benché la
negativamente la capacità di affrontare la sicurezza dall’interno. maggior parte delle organizzazioni non si avvicini nemmeno a questi
Come accennato in precedenza, la natura stessa della forza lavoro volumi, l’uso crescente di soluzioni di big-data da parte di molte
è cambiata: dipendenti, consulenti o fornitori fanno ormai tutti parte grandi e medie imprese rappresenta una forza trainante di questo
della forza lavoro di un’impresa. Questo ha reso più difficile per l’IT cambiamento dei modelli di traffico all’interno dei data center. Sempre
adottare dei controlli basati sui ruoli. BYOD e la consumerizzazione a titolo di esempio, l’adozione della VDI (Virtual Desktop Infrastructure)
dell’IT hanno compromesso notevolmente i severi controlli IT sulla da parte di varie organizzazioni ha portato l’ambiente desktop a girare
sicurezza di computer, portatili, cellulari e altri dispositivi utilizzati per la direttamente nei data center. Di conseguenza il traffico client-server,
produttività della forza lavoro. che tradizionalmente si basava su traffico nord-sud e che transitava
Internet
Firewall DMZ
IPS
Nessuna visibilità sulla
IDS
propagazione laterale
delle violazioni!
Switch
centralizzato
VM Spine VM
Leaf
VM
Server Farm
Figura 2: Traffico est-ovest all’interno dei data center
1
FireEye. 2015. Maginot revisited: More Real-World Results from Real-World Tests. https://www2.fireeye.com/WEB-2015RPTMaginotRevisited.html
2
Trustwave. 2014. Global Security Report. https://www2.trustwave.com/rs/trustwave/images/2014_Trustwave_Global_Security_Report.pdf
3
Wiener, Janet and Bronson, Nathan. “Facebook’s Top Open Data Problems.” Web blog post. research.facebook.com, Sept. 2014. https://research.facebook.com/
blog/1522692927972019/facebook-s-top-open-data-problems/
© 2015-2016 Tutti i diritti riservati. 3Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti
attraverso il nucleo della rete e punti di concentrazione ben definiti, di sicurezza sono ciechi al traffico crittografato: di conseguenza,
è ormai diventato traffico est-ovest tra istanze desktop virtuali e l’uso della crittografia da parte dei malware è in aumento. Dove le
applicazioni, entrambe ospitate all’interno del data center. Tutto applicazioni di sicurezza sono in grado di ispezionare il traffico criptato
questo traffico sta “volando” sotto l’area di copertura dei radar delle SSL, le prestazioni subiscono un impatto significativo a causa della
applicazioni di sicurezza, le quali non hanno possibilità di accedere a tali natura computazionalmente complessa della decifrazione SSL. Un
flussi di rete. rapporto Gartner 4 ha previsto che entro il 2017 oltre il 50% degli
attacchi di rete utilizzerà traffico cifrato per aggirare i controlli.
Mobilità
La mobilità aggrava ulteriormente la sfida legata alla protezione La combinazione di questi fattori - vale a dire la natura sofisticata ed
delle reti moderne. Oggi, utenti, dispositivi e applicazioni sono evoluta delle minacce, i cambiamenti nei modelli di traffico di rete,
estremamente mobili. Ad esempio, un’applicazione organizzata la mobilità, il crescente utilizzo delle tecnologie SSL e di crittografia
come macchina virtuale può essere trasferita con un clic, o anche da parte dei malware, e l’uso di un modello di attendibilità obsoleto
in modo completamente automatizzato, tra rack, righe, schede, o per progettare l’architettura di protezione - sta portando ad ambienti
addirittura data center. Questo può avvenire senza che il team di estremamente esposti alle violazioni.
sicurezza ne sia informato. Uno strumento di protezione, ad esempio
un IDS o un IPS, collegato direttamente su un link all’interno di un Affrontare la sfida
data center e focalizzato sul controllo del traffico delle applicazioni, Per affrontare al meglio questa sfida, le ipotesi fondamentali di
può essere reso inefficace quando l’applicazione stessa si sposta attendibilità della sicurezza informatica devono essere riconsiderate. Le
in una posizione diversa all’insaputa del team di sicurezza. In altre moderne strategie di sicurezza devono essere forgiate sull’assunto che
parole, nella distribuzione delle soluzioni per la sicurezza, l’ubicazione le violazioni sono ormai inevitabili. In altre parole, oltre alla prevenzione
sta diventando meno rilevante. Ciò riguarda anche i confini a livello degli attacchi, occorre prestare una crescente attenzione al loro
campus, dove utenti e dispositivi sono mobili. rilevamento e al loro contenimento “dall’interno”.
Dal momento che la rete è il mezzo principale per collegare gli
Cresce l’uso della crittografia ambienti fisici, virtuali e cloud, il traffico di rete sta assumendo un ruolo
Occorre infine considerare il crescente utilizzo di tecnologie di fondamentale di “breccia per malware e violazioni. Molti fornitori di
crittografia, come SSL, da parte delle organizzazioni. Sebbene la sicurezza si sono concentrati solo su questo, analizzando la presenza
crittografia dei dati mobili offra la protezione agli sguardi indiscreti, i nel traffico di rete di minacce, anomalie e movimenti laterali di malware.
canali di comunicazione protetti possono essere sfruttati anche dai Tuttavia, indipendentemente dal grado di sofisticazione, tali soluzioni
malware per celarsi sotto l’ombrello della riservatezza. Molti strumenti sono valide solo in relazione al traffico di rete che riescono a “vedere”.
Sistema di
Internet IPS
rilevamento (Inline)
intrusioni
Router
Prevenzione Anti-Malware
perdita di dati
Switch
"Spine"
Switch "Leaf"
Rilevamento
minacce e-mail Analisi
forense
Server farm
virtualizzata
Figura 3: Un approccio ad-hoc e non strutturato per l’implementazione della sicurezza
4
FD’Hoinne, Jeremy and Hils, Adam. ‘Security Leaders Must Address Threats From Rising SSL Traffic’. Gartner Report, 9 Dec 2013.
© 2015-2016 Tutti i diritti riservati. 4Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti
Approccio di generazione precedente alla protezione dall’interno Security Delivery Platform: un nuovo modello di
L’approccio di generazione precedente prevede il collegamento dei
distribuzione della sicurezza
dispositivi di sicurezza direttamente alla rete tramite un TAP di rete
Man mano che l’industria si orienta alla ricerca dei malware all’interno
o una porta SPAN/mirror su uno switch di rete/router. Assicurare un
della rete, l’attenzione si concentra sulla sofisticazione delle soluzioni
maggior accesso al traffico di rete significava distribuire un numero
di sicurezza. Per tali soluzioni non vi sono state molte riflessioni in
notevolmente superiore di applicazioni di sicurezza di rete in più punti
merito all’architettura di distribuzione, e questo ha portato a molte
della rete stessa. Tuttavia, la natura multidimensionale della sicurezza
delle sfide individuate in precedenza. In passato le esigenze di questo
si presta all’uso di una varietà di diversi tipi di soluzioni di sicurezza di
settore sono state largamente disattese, eppure è fondamentale
rete per aumentare la copertura. Ciò impone diverse sfide in termini di
controllare all’interno della rete la presenza di malware e violazioni. Per
modello di implementazione per queste soluzioni di sicurezza (vedere
affrontare le sfide sopra illustrate, è richiesto un approccio basato su
figura 3). Alcune di queste includono:
piattaforma strutturata capace di offrire la visibilità sul traffico per una
moltitudine di applicazioni di sicurezza, in modo scalabile pervasivo ed
• Contesa tra i diversi dispositivi di sicurezza per l’accesso al
economico. La soluzione dovrebbe comprendere i seguenti elementi:
traffico dagli stessi punti della rete. In altre parole, collegarsi
direttamente a un TAP di rete o a una porta SPAN/mirror
• Offrire visibilità sul traffico proveniente da ambienti fisici e
permette l’accesso al traffico solo da parte di un’applicazione
virtuali in modo coerente anche quando gli utenti, i dispositivi e
alla volta.
le applicazioni sono di natura mobile.
• Mancata corrispondenza tra la capacità di elaborazione delle
• Evitare congetture in merito a dove posizionare le soluzioni di
applicazioni di sicurezza e il volume di traffico che il dispositivo
sicurezza, cioè evitare la dipendenza dai punti di concentrazione
di sicurezza deve elaborare.
statici all’interno della rete, soprattutto inconsiderazione del
• Punti ciechi e visibilità incoerente del traffico. Le applicazioni dinamismo degli ambienti moderni, caratterizzati dalla mobilità
di sicurezza collegate in punti specifici della rete non possono di utente/dispositivo/applicazione.
avere visibilità sul traffico proveniente da altri punti della rete
• Fornire una soluzione per decifrare le comunicazioni criptate
o da utenti o applicazioni che si sono trasferiti in altri punti
in modo che gli strumenti di sicurezza siano in grado di rilevare
della rete.
il malware che sfrutta i canali di comunicazione codificati, e
• Aumento del numero di falsi positivi. Più applicazioni di allo stesso tempo garantendo che le informazioni sensibili non
sicurezza significano più falsi positivi, soprattutto per le vengano compromesse.
applicazioni inclini a questo problema
• Assicurare la capacità di distribuire solo i flussi di traffico
• Rapido aumento degli oneri in seguito alla proliferazione degli rilevanti per i tipi specifici di applicazioni di sicurezza. Ad
strumenti di sicurezza in tutta la rete e conseguente aumento esempio, una soluzione di sicurezza e-mail non deve vedere
della complessità e dei costi di gestione. il traffico di YouTube. Inviare solo il traffico rilevante permette
• Interruzioni di rete quando le installazioni passano da una alle soluzioni di sicurezza di operare in modo più efficace e
modalità di monitoraggio out-of-band a una modalità di di sprecare larghezza di banda e risorse nell’elaborazione di
protezione inline. informazioni irrilevanti.
IPS Anti-Malware Prevenzione Sistema di Analisi Rilevamento
Internet (Inline) perdita di dati rilevamento forense minacce
intrusioni e-mail
A
P
I
Router
Switch Security Delivery Platform
"Spine"
Switch
"Leaf"
Copertura completa Estrazione scalabile Isolamento delle Visibilità sul By-pass inline
di tutta la rete: dei metadati applicazioni per traffico criptato per applicazioni
fisica e virtuale per una migliore un'ispezione per il rilevamento di protezione
Server farm analisi forense mirata delle violazioni connesse
virtualizzata
Figura 4: Security Delivery Platform: Componenti principali
© 2015-2016 Tutti i diritti riservati. 5Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti
• Generare un’analisi dettagliata di flussi e sessioni in base al GigaSECURE e ricevono un flusso fedele di traffico significativo da
traffico reale e non solo a un campione del traffico. tutta l’infrastruttura di rete. All’interno di GigaSECURE viene anche
• Supportare implementazioni di sicurezza di rete inline e out-of- effettuata l’estrazione dei meta-dati del traffico di rete, esportando i
band dalla stessa piattaforma; offrire al contempo la possibilità record verso i vari strumenti di sicurezza e di analisi. Vedere Figura 5.
di bilanciare il carico delle applicazioni di sicurezza sia in linea
sia out-of-band oltre alla capacità di bypassare le applicazioni di GigaSECURE supporta una varietà di soluzioni di sicurezza che
sicurezza in linea in caso di guasto. possono collocarsi esternamente al flusso di traffico della rete di
produzione, rilevando malware, movimenti laterali e attività estrazione,
effettuando analisi forensi post-incidente, e svolgendo altre iniziative
Una Security Delivery Platform capace di rispondere alle considerazioni
di sicurezza. Inoltre, GigaSECURE anche come una piattaforma per la
sopra esposte assicura un potente strumento per implementare una
distribuzione di un insieme diversificato di soluzioni di sicurezza che
serie diversificata di soluzioni di sicurezza scalabili che si spinge oltre le
hanno l’esigenza di collocarsi inline sul traffico di rete. Le soluzioni
architetture tradizionali. Una tale Security Delivery Platform garantisce
di sicurezza inline offrono in genere la possibilità di adottare misure
la visibilità sul movimento laterale dei malware, accelera il rilevamento
preventive in tempo reale per il rilevamento di attacchi, malware
di attività di estrazione e permette di ridurre significativamente
o comportamenti anomali. GigaSECURE è in grado di supportare
sovrastrutture, complessità e costi associati a una vasta gamma di
implementazioni sia inline sia out-of-band in parallelo. In caso di
implementazioni di sicurezza (vedere Figura 4). Nell’attuale panorama
implementazioni di sicurezza inline, GigaSECURE offre funzionalità
di minacce informatiche industrializzate e ben organizzate, non è più
complete di protezione e di distribuzione del carico secondo
sufficiente concentrarsi esclusivamente sulle applicazioni di sicurezza.
varie modalità.
Concentrarsi su come queste soluzioni vengono implementate e su
come possono accedere in modo costante ai dati rilevanti, rappresenta
Componenti della piattaforma
un termine essenziale dell’equazione. In questo senso, la Security
La piattaforma GigaSECURE è costituita da nodi di visibilità, software
Delivery Platform è un elemento fondamentale di qualsiasi strategia di
GigaVUE OS™ con tecnologia brevettata Flow Mapping®, funzioni
sicurezza informatica.
di analisi del traffico alimentate da GigaSMART ® e controllore
centralizzato di struttura (GigaVUE-FM). Questi elementi sono descritti
GigaSECURE come Security Delivery Platform
di seguito.
GigaSECURE ® è la Security Delivery Platform di Gigamon. La
piattaforma GigaSECURE si connette alla rete attraverso infrastrutture
• Nodi di visibilità virtualizzati: GigaVUE-VM è un nodo
fisiche e virtuali e distribuisce il traffico a tutte le applicazioni che
virtualizzato che offre la capacità di garantire visibilità sul
lo richiedono. Qualunque sia la loro velocità di interfacciamento, i
traffico nei centri di lavoro virtualizzati. La soluzione GigaVUE-
sistemi di protezione si collegano semplicemente alla piattaforma
IPS Anti-malware SIEM / Sistema di Analisi Rilevamento
Internet (in linea) (in linea) Big Data rilevamento forense minacce e-mail
intrusioni
A
P
I
Router
"Switch
Security Delivery Platform GigaSECURE
spine"
"Switch GigaVUE- Nodi Engine Filtraggio Decodifica Bypass
leaf" GigaVUE & VM per metadati sessione applicativa SSL inline
"Server farm
virtualizzata"
Figura 5: Security Delivery Platform GigaSECURE
© 2015-2016 Tutti i diritti riservati. 6Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti
VM permette di tracciare le macchine virtuali quando si dei canali di comunicazione criptati può essere effettuata in
spostano da un server all’altro. Attraverso politiche di Follow- modo più efficace all’interno della Security Delivery Platform
the-VM è possibile garantire che il traffico delle applicazioni GigaSECURE. Ciò permette di eseguire il processo una sola volta
sia sempre inviato agli strumenti di sicurezza anche se le VM e ad altissime prestazioni, eliminando così questo punto cieco
si spostano. contemporaneamente per più applicazioni di sicurezza sprovviste
• Nodi di visibilità scalabili e convenienti: I nodi di visibilità delle capacità necessarie per affrontare le comunicazioni criptate.
GigaVUE TA, insieme a GigaVUE-OS e agli switch Ethernet Grazie alla Security Delivery Platform GigaSECURE, le applicazioni
whitebox, offrono una soluzione conveniente per assicurare una di sicurezza che sono invece dotate di tali capacità, possono essere
visibilità di tipo scalabile sul traffico. Grazie alla potenza della alleggerite dell’impegnativo carico computazionale legato alla
tecnologia Flow Mapping® questi nodi offrono sofisticate funzioni ripetizione del processo.
di aggregazione, filtraggio e replica a fronte di un costo conveniente, • Filtraggio sessione applicativa: Molte soluzioni di sicurezza
consentendo di ottenere un modello di distribuzione in cui il traffico non hanno bisogno di analizzare i flussi completi, specialmente
di tutta l’infrastruttura può essere canalizzato verso applicazioni di se questi sono considerati attendibili o non elaborabili.
sicurezza specifiche. Attraverso la funzione di Application Session Filtering, la
• La combinazione tra GigaVUE-VM e GigaVUE Serie TA assicura Security Delivery Platform GigaSECURE offre la possibilità
la visibilità sul traffico est-ovest e la visibilità sulle reti interne a di analizzare in profondità il pacchetto a livello applicativo,
livello di campus e di data center. Le due soluzioni affrontano d’identificare i flussi sulla base di qualsiasi configurazione
anche i problemi di mobilità e mettono a disposizione una arbitraria, e di dirottare intere sessioni (vale a dire tutti i
fonte costante di traffico ad alta fedeltà per le applicazioni pacchetti che appartengono alla sessione, anche se i pacchetti
di sicurezza, le quali hanno ora la possibilità di monitorare la successivi o precedenti non corrispondono alla particolare
propagazione laterale delle minacce e attraverso una visione configurazione) ad una soluzione di sicurezza specifica, o
pervasiva d’insieme dell’interno dell’infrastruttura. di scartare l’intera sessione. Questa potente funzionalità
garantisce un controllo preciso dei tipi di dati da inviare agli
• Funzioni di analisi del traffico alimentate da GigaSMART:
strumenti di sicurezza sulla base dei contenuti L4-L7 e di altri
Laddove i prodotti delle serie GigaVUE-VM e GigaVUE TA
metodi di corrispondenza più sofisticati. Ciò permette alle
consentono di ottenere in modo scalabile e conveniente dei
applicazioni di sicurezza di concentrarsi sul traffico di rete
riscontri di traffico da tutta l’infrastruttura, le piattaforme GigaVUE
più rilevante e contemporaneamente di evitare processi di
Serie H alimentate dalla tecnologia GigaSMART offrono la
elaborazione su grandi volumi di dati irrilevanti. L’identificazione
possibilità di agire sui flussi e di eseguire un insieme di funzioni per
di ciò che è rilevante o meno può essere personalizzata per
alleggerire e ottimizzare una vasta gamma di soluzioni di sicurezza.
ogni applicazione di sicurezza.
Alcune delle funzioni avanzate di GigaSMART che possono essere
utilizzate dalle soluzioni di sicurezza comprendono: • Protezione inline e bilanciamento del carico: Molte
applicazioni di sicurezza lavorano in linea con il traffico di rete
• Generazione metadati e Netflow ad alte prestazioni (IPFIX):
per prevenire in tempo reale malware e attività ostili. Molte altre
IPFIX è una potente tecnologia basata su standard che si sta
applicazioni di sicurezza lavorano in modalità out-of-band per
facendo strada nel settore della sicurezza di rete per l’analisi
scopi legati al rilevamento degli incidenti. La Security Delivery
forense, per l’analisi di tendenza e per il rilevamento delle anomalie.
Platform GigaSECURE Security mette a disposizione una
IPFIX esamina i pacchetti di rete grezzi e deriva sofisticati meta-dati
piattaforma comune per distribuire il traffico alle applicazioni di
basati sul flusso, quali registrazioni di conversazioni tra gli endpoint,
sicurezza sia inline sia out-of-band. Quando si tratta di alimentare
durata delle conversazioni, canali di comunicazione, eccetera.
le implementazioni di sicurezza inline, la piattaforma GigaSECURE
GigaSECURE centralizza la funzione di generazione di questi record
offre la possibilità di bilanciare il traffico tra più soluzioni di sicurezza,
in modo coerente per le infrastrutture più eterogenee e disparate. I
così come la capacità di configurarle in daisy chain, ciascuna con
record di flusso possono essere distribuiti a una varietà di soluzioni
diversi livelli di protezione. Il traffico può essere distribuito alle
di sicurezza per l’analisi dei metadati. La generazione dei metadati
applicazioni di sicurezza sulla base di una serie di criteri, garantendo
avviene ad altissima velocità. Ciò permette di generare registrazioni
nel contempo che il traffico da e verso un determinato flusso
ad alta fedeltà, aspetto essenziale per una buona analisi di sicurezza.
raggiunga sempre la stessa applicazione di sicurezza. La piattaforma
La soluzione consente anche di sviluppare modelli personalizzati
garantisce anche flessibilità e protezione nel caso in cui una
definibili in modo tale che le informazioni che possono essere
qualsiasi delle applicazioni di sicurezza inline subisca un’anomalia,
ricavate dal traffico siano organizzate in base all’ambiente
sia in modalità a carico bilanciato sia quando in configurazione
dell’implementazione specifica.
daisy chain. Ciò permette di inoltrare il traffico di rete senza
• Decodifica SSL: Il volume di malware che sfrutta canali di interruzioni in caso di guasto. Le applicazioni di sicurezza possono
comunicazione crittografati aumenta. Di conseguenza, aumenta anche senza essere riconfigurate dalla modalità out-of-band alla
anche la necessità di analizzare tali canali. La decifrazione modalità inline e viceversa, senza interruzioni alla rete. Si tratta di
© 2015-2016 Tutti i diritti riservati. 7Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti
Whitepaper: Addressing the Threat Within: Rethinking Network Security Deployment
una potente funzionalità della piattaforma che unifica e semplifica • consente aggiornamenti, modifiche o variazioni di modalità da out-
l’implementazione di una varietà di applicazioni di sicurezza inline e of-band a inline senza impattare le soluzioni di sicurezza di rete.
load-balanced
out-of-band, mode as
offrendo well as
scenari when inline
di flessibilità appliances
e gestione areanomalie
delle daisy • Delivers traffic to the security appliances, eliminating the
• riduce i falsi positivi in modo significativo grazie al
chained therebyefficaci.
estremamente ensuring that network traffic forwarding does guesswork on where to place security appliances for getting
consolidamento di molteplici soluzioni di sicurezza in un
not get disrupted in the event of a failure. Security appliances relevant traffic feeds.
• Controller centralizzato della struttura (GigaVUE-FM): insieme più piccolo di tipo centralizzato e basato su Security
can also seamlessly be moved from out-of-band mode to inline • Enables
GigaVUE-FM funge da controllore centralizzato che offre la Delivery upgrades,
Platform. changes, or moves from out-of-band to
mode and vice versa with no disruption to the network. This is a inline without impacting the network security solutions.
capacità di unificare le diverse componenti della piattaforma • evita punti ciechi in relazione a mobilità e crittografia.
powerful capability of the platform that unifies and simplifies the
Security Delivery Platform GigaSECURE. Esso si propone come • Reduces false positives significantly due to consolidation of
deployment of a variety of inline and out-of-band security solutions • offre una fonte costante di pacchetti dati e di flussi per tutte le
punto centralizzato di definizione delle policy per i nodi di visibilità multiple security solutions to a smaller set that is centralized
while addressing resiliency and failure scenarios very effectively. applicazioni di sicurezza.
virtualizzati e fisici. GigaVUE-FM espone un insieme di API in and leverages the Security Delivery Platform.
• direzione
Centralized nord Fabric Controller (GigaVUE-FM):
che consentono GigaVUE-FM
alle soluzioni di sicurezza di mettere • evita le contese sul traffico: il traffico rilevante viene replicato e
• Eliminates blind spots associated with mobility as well
serves as the centralized controller that provides
a punto quasi in tempo reale le distribuzioni di traffico the ability to unify
che stanno distribuito a tutte le soluzioni di sicurezza.
as encryption.
the different
ricevendo percomponents
regolare la loroof the GigaSECURE
visibilità Security Delivery
nell’infrastruttura di rete e • migliora l’efficacia delle soluzioni di sicurezza eliminando i
Platform. It serves as a centralized policy definition point for the • Provides a consistent source of packet and flow data for all
IT sulla base delle anomalie, delle violazioni e delle condizioni che riscontri di traffico irrilevanti per le soluzioni stesse.
virtualized and physical visibility nodes. GigaVUE-FM exposes a set security appliances.
stanno osservando in tempo reale. In altre parole, le API offrono un
of northbound APIs that allow security solutions to fine-tune in near • Eliminates contention for traffic—relevant traffic is replicated
grado di automazione che consente agli strumenti di sicurezza di
real time the Sommario
and delivered to all security solutions.
controllare le traffic feeds that
distribuzioni they are
di traffico receiving
ricevuto dallaso as to be
Delivery able to
Platform
adjust I cambiamenti delle condizioni che minacciano la sicurezza informatica
Security in base a condizioni dinamiche in tempo reale o in tempoon
their visibility into the network and IT infrastructure based • Improves efficacy of security solutions by elimination of
stanno alimentando l’esigenza di un cambiamento fondamentale del
quasi real-time
what reale. anomalies, threats and conditions they are seeing. irrelevant traffic feeds to those solutions.
In other words, the APIs enable a degree of automation that allows modello basato sull’attendibilità. Man mano che le organizzazioni
security tools to control the traffic feeds they receive from the accettano l’inevitabilità delle violazioni di rete, la loro attenzione si
La Security Delivery Platform GigaSECURE affronta le esigenze non
Security Delivery Platform based on the dynamic conditions they
Summary
concentra sulle architetture di sicurezza concepite per rilevare e
ancora soddisfatte di una piattaforma scalabile e conveniente capace The changing
rispondere cyber security
a malware threat
e violazioni conditions
che possono are drivingall’interno
insorgere a need for
see in real time or near real time.
di espandersi simultaneamente per mettersi alla portata di molteplici a fundamental shiftstessa.
dell’organizzazione in the trust
Questo model for security.
richiede una visioneAs organizations
molto più
applicazioni di sicurezza, affrontando le sfide legate all’eliminazione accept the inevitability
approfondita e una maggiore of network breaches,
copertura di tuttatheir focus is shifting
l’infrastruttura rispetto
GigaSECURE
delle contese, allaSecurity
riduzioneDelivery Platform
dei costi addresses the delle
e alla semplificazione under-
to security
a quanto architectures for
tradizionalmente detecting
ottenibile: di malware
conseguenza, and threats within
ciò implica
served, yet di
architetture much needed requirement
implementazione. L’approccio of aadottato
scalable and cost-
migliora in modo thenuovo
un organization,
modelloand perresponding
la distribuzioneto mitigate risk. Doing
delle soluzioni this requires
di sicurezza.
effective platform that simultaneously expands the
significativo il modello di copertura per la protezione di rete, offrendo reach of
far deeper
Questo insight
modello andaffrontare
deve far greateruncoverage
approccio across the infrastructure
pervasivo alla rete, e ciò
multiple
in tal modo security appliances
una migliore while
visibilità sulleaddressing the challenges
minacce interne e sulla loroof than traditionally
comporta feasible
l’esplosione dei and
volumiconsequently
di traffico eal’aumento
new model forcontese
delle
eliminating contention,
propagazione laterale. helping to reduce cost, and simplifying
deploying
da parte dei security solutions.
vari strumenti. UnThis model strutturato
approccio must address pervasive
e architetturale
deployment architectures. The approach significantly improves
reach
alla to thepervasiva
visibilità network, sullaexploding trafficl’accesso
rete facilita volumes da andparte
contention
delle for
the coverage model for network security thereby providing better
Vantaggi
visibility into internal threats and lateral threat propagation.
the trafficdiby
soluzioni multipleconsentendo
sicurezza tools. A structured and architectural
di modulare i costi in modo approach
efficace.
I vantaggi legati all’adozione di un tale approccio architetturale - e a to
I vantaggi legati alla maggiore sicurezza e all’efficacia economicawhile
pervasive network visibility gives security solutions access
una piattaforma orientata alle implementazioni di sicurezza - sono enabling
superiorethem stanno to rendendo
scale costdieffectively.
conseguenza Thelabenefits
SecurityofDelivery
increased
Benefits
numerosi. La soluzione: security
Platform and cost effectiveness
un elemento fondamentale are making the Security Delivery
per l’implementazione delle
There are several
• fornisce benefits
una visibilità to taking such
immediata an architectural-
e pervasiva sul traffico anddi Platform per
soluzioni consequently
la sicurezza. a foundational
GigaSECUREbuilding blockDelivery
è la Security to deploying
Platform
platform-oriented approach for security deployments.
rete all’interno di un’organizzazione e su tutta la propagazione The solution: security solutions. GigaSECURE is a Security Delivery
di Gigamon. Essa rappresenta, a livello di settore, la prima soluzione Platform
laterale del malware. from Gigamon,
capace di offrire an industry
capacità first combination
di elaborazione of compute,
e filtraggio as well
dei pacchetti,
• Provides immediate and pervasive insight into network as packet filtering
tracciando la stradacapabilities that is the waydiforward
verso l’implementazione servizi diforsicurezza
securityper
• distribuisce il traffico verso le applicazioni di sicurezza,
traffic within an enterprise and with it visibility into all lateral services delivery
le reti in grado in networks
di rilevare being equipped
e rispondere alle minacce.to detect and respond.
eliminando le congetture su dove posizionarle per ottenere
movement by malware.
riscontri di traffico rilevanti.
Join us
Entra a faralong
parte with our partner
dei nostri Ecosytem Partners to
di ecosistema: turn the
sconfiggi tables informatici
i criminali on cyber criminals at wefightsmart.com
con le loro stesse armi, wefightsmart.com
© 2015-2016 Gigamon. Tutti i diritti riservati. Gigamon e il logo Gigamon sono marchi di Gigamon negli Stati Uniti e/o in altri paesi. Ulteriori marchi Gigamon sono disponibili su 3163-02 09/16
www.gigamon.com/legal-trademarks. Tutti gli altri marchi appartengono ai rispettivi titolari. Gigamon si riserva il diritto di cambiare, modificare, trasferire o rivedere la presente
© 2015-2016 Gigamon.
pubblicazione All rights reserved. Gigamon and the Gigamon logo are trademarks of Gigamon in the United States and/or
senza preavviso. 3163-04 04/16
other countries. Gigamon trademarks can be found at www.gigamon.com/legal-trademarks. All other trademarks are the trademarks
3300 Olcott
of their respective owners. Gigamon Street,
reserves Santa
the right to Clara,
change,CA 95054
modify, USA | or+1otherwise
transfer, (408) 831-4000 | www.gigamon.com
revise this publication without notice.Puoi anche leggere
