Affrontare le minacce dall'interno: ripensare l'implementazione della protezione delle reti
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Whitepaper Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti Introduzione smartphone. Inoltre, sempre più spesso, la forza lavoro è costituita Le violazioni della sicurezza informatica si stanno manifestando su scala non solo da dipendenti, ma anche consulenti, collaboratori e industriale. Il volume sconfinato di violazioni informatiche, associato alla fornitori, i quali accedono indistintamente alla rete e alle risorse portata e all’entità del fenomeno, stanno costringendo l’intero settore IT dell’azienda. Questo semplice modello basato sull’attendibilità a riconsiderare le modalità per implementare, gestire e affrontare il presenta numerose falle e dimostra tutti i suoi limiti proprio quando tema della cyber sicurezza. Al centro di questa trasformazione troviamo la minaccia arriva da un dipendente o da un collaboratore. Il modello un fondamentale mutamento delle ipotesi e del modello di partenza tradizionale di attendibilità si basa inoltre sul concetto che le risorse adottati sino ad oggi per gestire la sicurezza informatica. IT aziendali possono essere considerate affidabili in quanto dotate di software e di antivirus adeguati. Oggi, tuttavia, per la produttività Il modello tradizionale è basato su concetti piuttosto semplici. aziendale i dipendenti non usano più solo risorse IT aziendali ma Tali concetti hanno portato a modelli di implementazione che, ricorrono sempre più spesso a dispositivi personali, come computer nell’attuale panorama della sicurezza informatica, si sono dimostrati portatili, tablet e smartphone. In altre parole, l’approccio Bring del tutto inadeguati per affrontare malware e cyber-violazioni di nuova Your Own Device (BYOD) sta contribuendo ad aumentare in modo generazione. Alcune di queste ipotesi di partenza sono riportate qui di significativo la produttività ma sta anche mettendo a dura prova le seguito: semplici ipotesi di partenza del modello basato sull’attendibilità. • Ambiente statico: Tradizionalmente, i dispositivi di sicurezza • Sicurezza basata su un perimetro di delimitazione: vengono installati in posizioni fisse. Questo riguarda firewall, Il modello tradizionale di sicurezza informatica si basa su sistemi di rilevamento/prevenzione delle intrusioni (IDS / IPS) e ipotesi semplicistiche legate alla creazione di un perimetro di altri strumenti di individuazione e neutralizzazione dei malware. delimitazione: tutto ciò che è al di fuori di questo perimetro è da Tipicamente, questi strumenti si basano su un perimetro fisso ritenere pericoloso, mentre ciò che si trova all’interno può essere o su un insieme di punti di “convergenza” predeterminati considerato sicuro. Il modello di sicurezza perimetrale viene attraverso cui si prevede che il traffico dovrà passare, e che tipicamente sviluppato attraverso l’implementazione di un firewall di conseguenza dovranno essere monitorati. Tuttavia, con sul punto di confine con la rete internet e di alcuni software di la crescente mobilità di utenti, dispositivi e applicazioni, protezione - ad esempio programmi anti-virus - a livello di dispositivo la prevedibilità dei modelli di traffico è diminuita. Inoltre, di utente. Tuttavia, per identificare i malware, la maggior parte l’adozione del cloud ha allargato i confini e i limiti perimetrali dei firewall perimetrali e delle soluzioni software di protezione grazie alla possibilità di allocare dinamicamente e on-demand le terminale si basa su regole e “firme”. Nell’attuale panorama, molti capacità all’interno del cloud. Ciò sta trasformando gli ambienti attacchi informatici sfruttano la cosiddetta vulnerabilità del “giorno- di lavoro in ecosistemi di gran lunga più dinamici, rendendo zero”. Tale termine indica tutte le vulnerabilità già rilevate, ma per sempre più difficile prevedere l’esatta ubicazione dei confini le quali ancora non sono stati implementati gli aggiornamenti dei e dei punti di convergenza. Di conseguenza, la capacità di vari elementi software o non sono state sviluppate firme o regole identificare in modo coerente e completo tutte le minacce in adeguate. Di conseguenza, per le soluzioni tradizionali a base base alla distribuzione statica delle applicazioni di sicurezza in perimetrale, è sempre più difficile contrastare attacchi e violazioni punti fissi è ormai largamente compromessa. da parte dei malware. • Modello semplificato di attendibilità: Il tradizionale modello Per prevenire le violazioni di rete, molte architetture aziendali di basto sull’attendibilità utilizzato nel campo della sicurezza sicurezza fanno ancora riferimento alle ipotesi tradizionali illustrate informatica prevede un approccio molto semplice: ritenere sopra, nonostante il venir meno di alcune di esse. Inoltre, nel corso attendibili i dipendenti dell’organizzazione e inattendibili tutti gli del tempo, anche la natura delle minacce informatiche è evoluta in altri utenti. Tuttavia, oggi, molti dipendenti utilizzano per esigenze modo significativo. In passato, i worm o i virus che violavano una rete di lavoro anche i dispositivi informatici personali, ad esempio gli si propagavano velocemente per fare più danno possibile nel più breve © 2015-2016 Tutti i diritti riservati. 1
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti tempo possibile. Questo consentiva di rilevare worm e virus più Accesso backdoor: Una volta che il sistema dell’utente è stato rapidamente proprio grazie alle tracce lasciate nel loro cammino compromesso dal download, il malware esplora le possibili di distruzione. Le violazioni odierne sono evolute su scala backdoor che permettono di superare i firewall. L’obiettivo è di industriale e sono diventate più subdole, sofisticate e distruttive. aprire un canale di comunicazione con un centro di comando e Molte di esse sono raggruppate sotto un ombrello denominato controllo, che potrebbe essere situato in qualsiasi parte del mondo. Advanced Persistent Threat (APT). Gli APT rappresentano l’origine Quando il canale di comunicazione è stabilito, vengono scaricati di molte delle recenti violazioni su larga scala. Questi attacchi altri malware e/o codici. tendono a utilizzare una varietà di metodi sofisticati per installarsi stabilmente e compromettere la rete nel lungo periodo. Proprio Movimento laterale: Il malware avvia quindi la valutazione e la da questo deriva il nome: Advanced Persistent Threat. clonazione interna, identificando altri sistemi che presentano delle vulnerabilità. Tuttavia, questo processo viene eseguito in modo Anatomia di un Advanced Persistent Threat furtivo e metodico, mascherando l’attività del malware e riducendo Molte delle odierne violazioni su larga scala tendono a al minimo l’impatto dell’attività. Questo processo può essere manifestarsi su più fasi e sul lungo periodo, cioè da settimane a effettuato nell’arco di settimane o addirittura mesi. In altre parole, mesi. Alcune delle fasi sono illustrate di seguito: il movimento laterale del malware è impercettibile e lento. Durante questa fase, possono essere aperte backdoor aggiuntive, anche Ricognizione: Durante questa fase, l’autore o l’esecutore nel caso in cui la backdoor iniziale sia stata scoperta ed eliminata. della violazione cerca di comprendere le varie attività effettuate online per individuare possibili obiettivi e cercare Raccolta dei dati: Una volta che il malware si è diffuso e ha avuto un modo per iniettare un malware. Ad esempio, l’autore accesso alle risorse critiche dell’infrastruttura, inizia il processo di potrebbe osservare a quali siti social o di homebanking identificazione dei dati critici da estrarre o registrare. accede l’utente, a quali gruppi d’interesse si iscrive e così via. Sulla base di queste informazioni, viene definito un profilo dei Estrazione: I dati raccolti vengono estratti in massa attraverso le possibili target. varie backdoor. A questo punto, le informazioni dell’organizzazione sono gravemente compromesse. L’autore della minaccia può Violazione iniziale: Questa è la fase iniziale in cui l’utente o chiedere un riscatto, rendere pubblici i dati classificati o riservati, il target viene compromesso. In genere, in base alle attività e oppure vendere le informazioni all’asta. al profilo dell’utente, viene formulata una e-mail o un post che invita a cliccare su un link. Aprendo il collegamento, l’utente In molti casi, dopo l’estrazione l’organizzazione è compromessa ed viene re-indirizzato a un sito web da cui viene scaricato un è esposta ad altri attacchi e violazioni. Infatti, in molti casi, a causa elemento di vulnerabilità “giorno-zero”. Questo attacco della natura estesa dell’attacco, molti sistemi continuano a rimanere viene in genere indicato come “phishing” (prendere all’amo). infetti e silenti anche dopo che la violazione è stata rilevata e rimossa. Anche altri attacchi simili - come il download drive-by - sono I sistemi compromessi possono poi essere resi accessibili attraverso all’ordine del giorno. Il loro scopo è di iniettare semplicemente siti “malware-as-a-service”, in cui singoli o gruppi di individui possono un codice malware nel sistema dell’utente. In molti casi, la acquistare gli elementi infetti. Il business del malware-as-a-service dimensione del malware è piuttosto ridotta: l’unico scopo del è cresciuto fino a diventare una importante industria. Esso offre a malware è infatti creare un canale di comunicazione, detto singoli individui e organizzazioni un semplice ed economico mezzo per “backdoor” (porta di servizio). sfruttare i sistemi compromessi per lanciare, ad esempio, attacchi DDoS. 1 2 3 4 5 6 Phishing & e attacco Movimento Raccolta Ricognizione Backdoor Estrazione giorno-zero laterale dei dati Figura 1: Anatomia di un Advanced Persistent Threat © 2015-2016 Tutti i diritti riservati. 2
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti Un recente studio di valutazione1 effettuato su 1.200 imprese in Aumento del traffico “est-ovest” 63 paesi, ha messo in evidenza che il 97% delle organizzazioni Un altro importante cambiamento riguarda i data center. Qui, sempre considerate ha subito una violazione durante il periodo di osservazione. più spesso, server e macchine virtuali (VM) dialogano sia tra di loro sia Di queste, il 75% aveva ancora dei processi di comando e controllo con sistemi database, di storage e con altre applicazioni: ciò comporta attivi. In un altro studio2 è stato constatato che il periodo medio che un cambiamento dei modelli di traffico, i quali stanno evolvendo trascorre dall’intrusione iniziale alla rilevazione della violazione è di verso una struttura sempre più spesso basata su flussi “est-ovest”. Il giorni, indicando che molte organizzazioni possono rimanere in uno traffico est-ovest in genere non transita attraverso il centro della rete, stato di violazione senza saperlo per dei mesi. dove potrebbe essere sottoposto a dei controlli di sicurezza, come IPS / IDS, per rilevare malware o minacce all’interno dei flussi. Inoltre, Tutto ciò indica la necessità di riconsiderare i modelli utilizzati per la il volume di traffico est-ovest sta rapidamente superando il volume sicurezza. Le aziende non possono più agire sul presupposto che di traffico nord-sud, cioè il traffico che scorre da e verso Internet. le minacce da temere provengano solo dall’esterno. Al contrario, le Ciò favorisce la diffusione “laterale”, all’interno del data center, del organizzazioni devono aumentare l’attenzione verso l’individuazione malware che ha violato un server non aggiornato o di generazione dei sistemi violati e il contenimento dei malware. A causa delle precedente. Il processo avviene in modo non rilevabile dalle misure tendenze in atto nel settore IT, identificare i sistemi compromessi è di sicurezza concepite per intercettare e controllare il traffico nord-sud sempre più difficile. (vedere figura 2). Tendenze IT che influenzano la sicurezza A titolo di esempio, Facebook gestisce 1 milione di processi L’evoluzione della forza lavoro e il concetto di BYOD “Mapreduce” al giorno.3. Il risultato è un significativo il traffico di Nel settore IT sono in atto diverse tendenze che impattano rete, che rimane confinato all’interno del data center. Benché la negativamente la capacità di affrontare la sicurezza dall’interno. maggior parte delle organizzazioni non si avvicini nemmeno a questi Come accennato in precedenza, la natura stessa della forza lavoro volumi, l’uso crescente di soluzioni di big-data da parte di molte è cambiata: dipendenti, consulenti o fornitori fanno ormai tutti parte grandi e medie imprese rappresenta una forza trainante di questo della forza lavoro di un’impresa. Questo ha reso più difficile per l’IT cambiamento dei modelli di traffico all’interno dei data center. Sempre adottare dei controlli basati sui ruoli. BYOD e la consumerizzazione a titolo di esempio, l’adozione della VDI (Virtual Desktop Infrastructure) dell’IT hanno compromesso notevolmente i severi controlli IT sulla da parte di varie organizzazioni ha portato l’ambiente desktop a girare sicurezza di computer, portatili, cellulari e altri dispositivi utilizzati per la direttamente nei data center. Di conseguenza il traffico client-server, produttività della forza lavoro. che tradizionalmente si basava su traffico nord-sud e che transitava Internet Firewall DMZ IPS Nessuna visibilità sulla IDS propagazione laterale delle violazioni! Switch centralizzato VM Spine VM Leaf VM Server Farm Figura 2: Traffico est-ovest all’interno dei data center 1 FireEye. 2015. Maginot revisited: More Real-World Results from Real-World Tests. https://www2.fireeye.com/WEB-2015RPTMaginotRevisited.html 2 Trustwave. 2014. Global Security Report. https://www2.trustwave.com/rs/trustwave/images/2014_Trustwave_Global_Security_Report.pdf 3 Wiener, Janet and Bronson, Nathan. “Facebook’s Top Open Data Problems.” Web blog post. research.facebook.com, Sept. 2014. https://research.facebook.com/ blog/1522692927972019/facebook-s-top-open-data-problems/ © 2015-2016 Tutti i diritti riservati. 3
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti attraverso il nucleo della rete e punti di concentrazione ben definiti, di sicurezza sono ciechi al traffico crittografato: di conseguenza, è ormai diventato traffico est-ovest tra istanze desktop virtuali e l’uso della crittografia da parte dei malware è in aumento. Dove le applicazioni, entrambe ospitate all’interno del data center. Tutto applicazioni di sicurezza sono in grado di ispezionare il traffico criptato questo traffico sta “volando” sotto l’area di copertura dei radar delle SSL, le prestazioni subiscono un impatto significativo a causa della applicazioni di sicurezza, le quali non hanno possibilità di accedere a tali natura computazionalmente complessa della decifrazione SSL. Un flussi di rete. rapporto Gartner 4 ha previsto che entro il 2017 oltre il 50% degli attacchi di rete utilizzerà traffico cifrato per aggirare i controlli. Mobilità La mobilità aggrava ulteriormente la sfida legata alla protezione La combinazione di questi fattori - vale a dire la natura sofisticata ed delle reti moderne. Oggi, utenti, dispositivi e applicazioni sono evoluta delle minacce, i cambiamenti nei modelli di traffico di rete, estremamente mobili. Ad esempio, un’applicazione organizzata la mobilità, il crescente utilizzo delle tecnologie SSL e di crittografia come macchina virtuale può essere trasferita con un clic, o anche da parte dei malware, e l’uso di un modello di attendibilità obsoleto in modo completamente automatizzato, tra rack, righe, schede, o per progettare l’architettura di protezione - sta portando ad ambienti addirittura data center. Questo può avvenire senza che il team di estremamente esposti alle violazioni. sicurezza ne sia informato. Uno strumento di protezione, ad esempio un IDS o un IPS, collegato direttamente su un link all’interno di un Affrontare la sfida data center e focalizzato sul controllo del traffico delle applicazioni, Per affrontare al meglio questa sfida, le ipotesi fondamentali di può essere reso inefficace quando l’applicazione stessa si sposta attendibilità della sicurezza informatica devono essere riconsiderate. Le in una posizione diversa all’insaputa del team di sicurezza. In altre moderne strategie di sicurezza devono essere forgiate sull’assunto che parole, nella distribuzione delle soluzioni per la sicurezza, l’ubicazione le violazioni sono ormai inevitabili. In altre parole, oltre alla prevenzione sta diventando meno rilevante. Ciò riguarda anche i confini a livello degli attacchi, occorre prestare una crescente attenzione al loro campus, dove utenti e dispositivi sono mobili. rilevamento e al loro contenimento “dall’interno”. Dal momento che la rete è il mezzo principale per collegare gli Cresce l’uso della crittografia ambienti fisici, virtuali e cloud, il traffico di rete sta assumendo un ruolo Occorre infine considerare il crescente utilizzo di tecnologie di fondamentale di “breccia per malware e violazioni. Molti fornitori di crittografia, come SSL, da parte delle organizzazioni. Sebbene la sicurezza si sono concentrati solo su questo, analizzando la presenza crittografia dei dati mobili offra la protezione agli sguardi indiscreti, i nel traffico di rete di minacce, anomalie e movimenti laterali di malware. canali di comunicazione protetti possono essere sfruttati anche dai Tuttavia, indipendentemente dal grado di sofisticazione, tali soluzioni malware per celarsi sotto l’ombrello della riservatezza. Molti strumenti sono valide solo in relazione al traffico di rete che riescono a “vedere”. Sistema di Internet IPS rilevamento (Inline) intrusioni Router Prevenzione Anti-Malware perdita di dati Switch "Spine" Switch "Leaf" Rilevamento minacce e-mail Analisi forense Server farm virtualizzata Figura 3: Un approccio ad-hoc e non strutturato per l’implementazione della sicurezza 4 FD’Hoinne, Jeremy and Hils, Adam. ‘Security Leaders Must Address Threats From Rising SSL Traffic’. Gartner Report, 9 Dec 2013. © 2015-2016 Tutti i diritti riservati. 4
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti Approccio di generazione precedente alla protezione dall’interno Security Delivery Platform: un nuovo modello di L’approccio di generazione precedente prevede il collegamento dei distribuzione della sicurezza dispositivi di sicurezza direttamente alla rete tramite un TAP di rete Man mano che l’industria si orienta alla ricerca dei malware all’interno o una porta SPAN/mirror su uno switch di rete/router. Assicurare un della rete, l’attenzione si concentra sulla sofisticazione delle soluzioni maggior accesso al traffico di rete significava distribuire un numero di sicurezza. Per tali soluzioni non vi sono state molte riflessioni in notevolmente superiore di applicazioni di sicurezza di rete in più punti merito all’architettura di distribuzione, e questo ha portato a molte della rete stessa. Tuttavia, la natura multidimensionale della sicurezza delle sfide individuate in precedenza. In passato le esigenze di questo si presta all’uso di una varietà di diversi tipi di soluzioni di sicurezza di settore sono state largamente disattese, eppure è fondamentale rete per aumentare la copertura. Ciò impone diverse sfide in termini di controllare all’interno della rete la presenza di malware e violazioni. Per modello di implementazione per queste soluzioni di sicurezza (vedere affrontare le sfide sopra illustrate, è richiesto un approccio basato su figura 3). Alcune di queste includono: piattaforma strutturata capace di offrire la visibilità sul traffico per una moltitudine di applicazioni di sicurezza, in modo scalabile pervasivo ed • Contesa tra i diversi dispositivi di sicurezza per l’accesso al economico. La soluzione dovrebbe comprendere i seguenti elementi: traffico dagli stessi punti della rete. In altre parole, collegarsi direttamente a un TAP di rete o a una porta SPAN/mirror • Offrire visibilità sul traffico proveniente da ambienti fisici e permette l’accesso al traffico solo da parte di un’applicazione virtuali in modo coerente anche quando gli utenti, i dispositivi e alla volta. le applicazioni sono di natura mobile. • Mancata corrispondenza tra la capacità di elaborazione delle • Evitare congetture in merito a dove posizionare le soluzioni di applicazioni di sicurezza e il volume di traffico che il dispositivo sicurezza, cioè evitare la dipendenza dai punti di concentrazione di sicurezza deve elaborare. statici all’interno della rete, soprattutto inconsiderazione del • Punti ciechi e visibilità incoerente del traffico. Le applicazioni dinamismo degli ambienti moderni, caratterizzati dalla mobilità di sicurezza collegate in punti specifici della rete non possono di utente/dispositivo/applicazione. avere visibilità sul traffico proveniente da altri punti della rete • Fornire una soluzione per decifrare le comunicazioni criptate o da utenti o applicazioni che si sono trasferiti in altri punti in modo che gli strumenti di sicurezza siano in grado di rilevare della rete. il malware che sfrutta i canali di comunicazione codificati, e • Aumento del numero di falsi positivi. Più applicazioni di allo stesso tempo garantendo che le informazioni sensibili non sicurezza significano più falsi positivi, soprattutto per le vengano compromesse. applicazioni inclini a questo problema • Assicurare la capacità di distribuire solo i flussi di traffico • Rapido aumento degli oneri in seguito alla proliferazione degli rilevanti per i tipi specifici di applicazioni di sicurezza. Ad strumenti di sicurezza in tutta la rete e conseguente aumento esempio, una soluzione di sicurezza e-mail non deve vedere della complessità e dei costi di gestione. il traffico di YouTube. Inviare solo il traffico rilevante permette • Interruzioni di rete quando le installazioni passano da una alle soluzioni di sicurezza di operare in modo più efficace e modalità di monitoraggio out-of-band a una modalità di di sprecare larghezza di banda e risorse nell’elaborazione di protezione inline. informazioni irrilevanti. IPS Anti-Malware Prevenzione Sistema di Analisi Rilevamento Internet (Inline) perdita di dati rilevamento forense minacce intrusioni e-mail A P I Router Switch Security Delivery Platform "Spine" Switch "Leaf" Copertura completa Estrazione scalabile Isolamento delle Visibilità sul By-pass inline di tutta la rete: dei metadati applicazioni per traffico criptato per applicazioni fisica e virtuale per una migliore un'ispezione per il rilevamento di protezione Server farm analisi forense mirata delle violazioni connesse virtualizzata Figura 4: Security Delivery Platform: Componenti principali © 2015-2016 Tutti i diritti riservati. 5
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti • Generare un’analisi dettagliata di flussi e sessioni in base al GigaSECURE e ricevono un flusso fedele di traffico significativo da traffico reale e non solo a un campione del traffico. tutta l’infrastruttura di rete. All’interno di GigaSECURE viene anche • Supportare implementazioni di sicurezza di rete inline e out-of- effettuata l’estrazione dei meta-dati del traffico di rete, esportando i band dalla stessa piattaforma; offrire al contempo la possibilità record verso i vari strumenti di sicurezza e di analisi. Vedere Figura 5. di bilanciare il carico delle applicazioni di sicurezza sia in linea sia out-of-band oltre alla capacità di bypassare le applicazioni di GigaSECURE supporta una varietà di soluzioni di sicurezza che sicurezza in linea in caso di guasto. possono collocarsi esternamente al flusso di traffico della rete di produzione, rilevando malware, movimenti laterali e attività estrazione, effettuando analisi forensi post-incidente, e svolgendo altre iniziative Una Security Delivery Platform capace di rispondere alle considerazioni di sicurezza. Inoltre, GigaSECURE anche come una piattaforma per la sopra esposte assicura un potente strumento per implementare una distribuzione di un insieme diversificato di soluzioni di sicurezza che serie diversificata di soluzioni di sicurezza scalabili che si spinge oltre le hanno l’esigenza di collocarsi inline sul traffico di rete. Le soluzioni architetture tradizionali. Una tale Security Delivery Platform garantisce di sicurezza inline offrono in genere la possibilità di adottare misure la visibilità sul movimento laterale dei malware, accelera il rilevamento preventive in tempo reale per il rilevamento di attacchi, malware di attività di estrazione e permette di ridurre significativamente o comportamenti anomali. GigaSECURE è in grado di supportare sovrastrutture, complessità e costi associati a una vasta gamma di implementazioni sia inline sia out-of-band in parallelo. In caso di implementazioni di sicurezza (vedere Figura 4). Nell’attuale panorama implementazioni di sicurezza inline, GigaSECURE offre funzionalità di minacce informatiche industrializzate e ben organizzate, non è più complete di protezione e di distribuzione del carico secondo sufficiente concentrarsi esclusivamente sulle applicazioni di sicurezza. varie modalità. Concentrarsi su come queste soluzioni vengono implementate e su come possono accedere in modo costante ai dati rilevanti, rappresenta Componenti della piattaforma un termine essenziale dell’equazione. In questo senso, la Security La piattaforma GigaSECURE è costituita da nodi di visibilità, software Delivery Platform è un elemento fondamentale di qualsiasi strategia di GigaVUE OS™ con tecnologia brevettata Flow Mapping®, funzioni sicurezza informatica. di analisi del traffico alimentate da GigaSMART ® e controllore centralizzato di struttura (GigaVUE-FM). Questi elementi sono descritti GigaSECURE come Security Delivery Platform di seguito. GigaSECURE ® è la Security Delivery Platform di Gigamon. La piattaforma GigaSECURE si connette alla rete attraverso infrastrutture • Nodi di visibilità virtualizzati: GigaVUE-VM è un nodo fisiche e virtuali e distribuisce il traffico a tutte le applicazioni che virtualizzato che offre la capacità di garantire visibilità sul lo richiedono. Qualunque sia la loro velocità di interfacciamento, i traffico nei centri di lavoro virtualizzati. La soluzione GigaVUE- sistemi di protezione si collegano semplicemente alla piattaforma IPS Anti-malware SIEM / Sistema di Analisi Rilevamento Internet (in linea) (in linea) Big Data rilevamento forense minacce e-mail intrusioni A P I Router "Switch Security Delivery Platform GigaSECURE spine" "Switch GigaVUE- Nodi Engine Filtraggio Decodifica Bypass leaf" GigaVUE & VM per metadati sessione applicativa SSL inline "Server farm virtualizzata" Figura 5: Security Delivery Platform GigaSECURE © 2015-2016 Tutti i diritti riservati. 6
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti VM permette di tracciare le macchine virtuali quando si dei canali di comunicazione criptati può essere effettuata in spostano da un server all’altro. Attraverso politiche di Follow- modo più efficace all’interno della Security Delivery Platform the-VM è possibile garantire che il traffico delle applicazioni GigaSECURE. Ciò permette di eseguire il processo una sola volta sia sempre inviato agli strumenti di sicurezza anche se le VM e ad altissime prestazioni, eliminando così questo punto cieco si spostano. contemporaneamente per più applicazioni di sicurezza sprovviste • Nodi di visibilità scalabili e convenienti: I nodi di visibilità delle capacità necessarie per affrontare le comunicazioni criptate. GigaVUE TA, insieme a GigaVUE-OS e agli switch Ethernet Grazie alla Security Delivery Platform GigaSECURE, le applicazioni whitebox, offrono una soluzione conveniente per assicurare una di sicurezza che sono invece dotate di tali capacità, possono essere visibilità di tipo scalabile sul traffico. Grazie alla potenza della alleggerite dell’impegnativo carico computazionale legato alla tecnologia Flow Mapping® questi nodi offrono sofisticate funzioni ripetizione del processo. di aggregazione, filtraggio e replica a fronte di un costo conveniente, • Filtraggio sessione applicativa: Molte soluzioni di sicurezza consentendo di ottenere un modello di distribuzione in cui il traffico non hanno bisogno di analizzare i flussi completi, specialmente di tutta l’infrastruttura può essere canalizzato verso applicazioni di se questi sono considerati attendibili o non elaborabili. sicurezza specifiche. Attraverso la funzione di Application Session Filtering, la • La combinazione tra GigaVUE-VM e GigaVUE Serie TA assicura Security Delivery Platform GigaSECURE offre la possibilità la visibilità sul traffico est-ovest e la visibilità sulle reti interne a di analizzare in profondità il pacchetto a livello applicativo, livello di campus e di data center. Le due soluzioni affrontano d’identificare i flussi sulla base di qualsiasi configurazione anche i problemi di mobilità e mettono a disposizione una arbitraria, e di dirottare intere sessioni (vale a dire tutti i fonte costante di traffico ad alta fedeltà per le applicazioni pacchetti che appartengono alla sessione, anche se i pacchetti di sicurezza, le quali hanno ora la possibilità di monitorare la successivi o precedenti non corrispondono alla particolare propagazione laterale delle minacce e attraverso una visione configurazione) ad una soluzione di sicurezza specifica, o pervasiva d’insieme dell’interno dell’infrastruttura. di scartare l’intera sessione. Questa potente funzionalità garantisce un controllo preciso dei tipi di dati da inviare agli • Funzioni di analisi del traffico alimentate da GigaSMART: strumenti di sicurezza sulla base dei contenuti L4-L7 e di altri Laddove i prodotti delle serie GigaVUE-VM e GigaVUE TA metodi di corrispondenza più sofisticati. Ciò permette alle consentono di ottenere in modo scalabile e conveniente dei applicazioni di sicurezza di concentrarsi sul traffico di rete riscontri di traffico da tutta l’infrastruttura, le piattaforme GigaVUE più rilevante e contemporaneamente di evitare processi di Serie H alimentate dalla tecnologia GigaSMART offrono la elaborazione su grandi volumi di dati irrilevanti. L’identificazione possibilità di agire sui flussi e di eseguire un insieme di funzioni per di ciò che è rilevante o meno può essere personalizzata per alleggerire e ottimizzare una vasta gamma di soluzioni di sicurezza. ogni applicazione di sicurezza. Alcune delle funzioni avanzate di GigaSMART che possono essere utilizzate dalle soluzioni di sicurezza comprendono: • Protezione inline e bilanciamento del carico: Molte applicazioni di sicurezza lavorano in linea con il traffico di rete • Generazione metadati e Netflow ad alte prestazioni (IPFIX): per prevenire in tempo reale malware e attività ostili. Molte altre IPFIX è una potente tecnologia basata su standard che si sta applicazioni di sicurezza lavorano in modalità out-of-band per facendo strada nel settore della sicurezza di rete per l’analisi scopi legati al rilevamento degli incidenti. La Security Delivery forense, per l’analisi di tendenza e per il rilevamento delle anomalie. Platform GigaSECURE Security mette a disposizione una IPFIX esamina i pacchetti di rete grezzi e deriva sofisticati meta-dati piattaforma comune per distribuire il traffico alle applicazioni di basati sul flusso, quali registrazioni di conversazioni tra gli endpoint, sicurezza sia inline sia out-of-band. Quando si tratta di alimentare durata delle conversazioni, canali di comunicazione, eccetera. le implementazioni di sicurezza inline, la piattaforma GigaSECURE GigaSECURE centralizza la funzione di generazione di questi record offre la possibilità di bilanciare il traffico tra più soluzioni di sicurezza, in modo coerente per le infrastrutture più eterogenee e disparate. I così come la capacità di configurarle in daisy chain, ciascuna con record di flusso possono essere distribuiti a una varietà di soluzioni diversi livelli di protezione. Il traffico può essere distribuito alle di sicurezza per l’analisi dei metadati. La generazione dei metadati applicazioni di sicurezza sulla base di una serie di criteri, garantendo avviene ad altissima velocità. Ciò permette di generare registrazioni nel contempo che il traffico da e verso un determinato flusso ad alta fedeltà, aspetto essenziale per una buona analisi di sicurezza. raggiunga sempre la stessa applicazione di sicurezza. La piattaforma La soluzione consente anche di sviluppare modelli personalizzati garantisce anche flessibilità e protezione nel caso in cui una definibili in modo tale che le informazioni che possono essere qualsiasi delle applicazioni di sicurezza inline subisca un’anomalia, ricavate dal traffico siano organizzate in base all’ambiente sia in modalità a carico bilanciato sia quando in configurazione dell’implementazione specifica. daisy chain. Ciò permette di inoltrare il traffico di rete senza • Decodifica SSL: Il volume di malware che sfrutta canali di interruzioni in caso di guasto. Le applicazioni di sicurezza possono comunicazione crittografati aumenta. Di conseguenza, aumenta anche senza essere riconfigurate dalla modalità out-of-band alla anche la necessità di analizzare tali canali. La decifrazione modalità inline e viceversa, senza interruzioni alla rete. Si tratta di © 2015-2016 Tutti i diritti riservati. 7
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti Whitepaper: Addressing the Threat Within: Rethinking Network Security Deployment una potente funzionalità della piattaforma che unifica e semplifica • consente aggiornamenti, modifiche o variazioni di modalità da out- l’implementazione di una varietà di applicazioni di sicurezza inline e of-band a inline senza impattare le soluzioni di sicurezza di rete. load-balanced out-of-band, mode as offrendo well as scenari when inline di flessibilità appliances e gestione areanomalie delle daisy • Delivers traffic to the security appliances, eliminating the • riduce i falsi positivi in modo significativo grazie al chained therebyefficaci. estremamente ensuring that network traffic forwarding does guesswork on where to place security appliances for getting consolidamento di molteplici soluzioni di sicurezza in un not get disrupted in the event of a failure. Security appliances relevant traffic feeds. • Controller centralizzato della struttura (GigaVUE-FM): insieme più piccolo di tipo centralizzato e basato su Security can also seamlessly be moved from out-of-band mode to inline • Enables GigaVUE-FM funge da controllore centralizzato che offre la Delivery upgrades, Platform. changes, or moves from out-of-band to mode and vice versa with no disruption to the network. This is a inline without impacting the network security solutions. capacità di unificare le diverse componenti della piattaforma • evita punti ciechi in relazione a mobilità e crittografia. powerful capability of the platform that unifies and simplifies the Security Delivery Platform GigaSECURE. Esso si propone come • Reduces false positives significantly due to consolidation of deployment of a variety of inline and out-of-band security solutions • offre una fonte costante di pacchetti dati e di flussi per tutte le punto centralizzato di definizione delle policy per i nodi di visibilità multiple security solutions to a smaller set that is centralized while addressing resiliency and failure scenarios very effectively. applicazioni di sicurezza. virtualizzati e fisici. GigaVUE-FM espone un insieme di API in and leverages the Security Delivery Platform. • direzione Centralized nord Fabric Controller (GigaVUE-FM): che consentono GigaVUE-FM alle soluzioni di sicurezza di mettere • evita le contese sul traffico: il traffico rilevante viene replicato e • Eliminates blind spots associated with mobility as well serves as the centralized controller that provides a punto quasi in tempo reale le distribuzioni di traffico the ability to unify che stanno distribuito a tutte le soluzioni di sicurezza. as encryption. the different ricevendo percomponents regolare la loroof the GigaSECURE visibilità Security Delivery nell’infrastruttura di rete e • migliora l’efficacia delle soluzioni di sicurezza eliminando i Platform. It serves as a centralized policy definition point for the • Provides a consistent source of packet and flow data for all IT sulla base delle anomalie, delle violazioni e delle condizioni che riscontri di traffico irrilevanti per le soluzioni stesse. virtualized and physical visibility nodes. GigaVUE-FM exposes a set security appliances. stanno osservando in tempo reale. In altre parole, le API offrono un of northbound APIs that allow security solutions to fine-tune in near • Eliminates contention for traffic—relevant traffic is replicated grado di automazione che consente agli strumenti di sicurezza di real time the Sommario and delivered to all security solutions. controllare le traffic feeds that distribuzioni they are di traffico receiving ricevuto dallaso as to be Delivery able to Platform adjust I cambiamenti delle condizioni che minacciano la sicurezza informatica Security in base a condizioni dinamiche in tempo reale o in tempoon their visibility into the network and IT infrastructure based • Improves efficacy of security solutions by elimination of stanno alimentando l’esigenza di un cambiamento fondamentale del quasi real-time what reale. anomalies, threats and conditions they are seeing. irrelevant traffic feeds to those solutions. In other words, the APIs enable a degree of automation that allows modello basato sull’attendibilità. Man mano che le organizzazioni security tools to control the traffic feeds they receive from the accettano l’inevitabilità delle violazioni di rete, la loro attenzione si La Security Delivery Platform GigaSECURE affronta le esigenze non Security Delivery Platform based on the dynamic conditions they Summary concentra sulle architetture di sicurezza concepite per rilevare e ancora soddisfatte di una piattaforma scalabile e conveniente capace The changing rispondere cyber security a malware threat e violazioni conditions che possono are drivingall’interno insorgere a need for see in real time or near real time. di espandersi simultaneamente per mettersi alla portata di molteplici a fundamental shiftstessa. dell’organizzazione in the trust Questo model for security. richiede una visioneAs organizations molto più applicazioni di sicurezza, affrontando le sfide legate all’eliminazione accept the inevitability approfondita e una maggiore of network breaches, copertura di tuttatheir focus is shifting l’infrastruttura rispetto GigaSECURE delle contese, allaSecurity riduzioneDelivery Platform dei costi addresses the delle e alla semplificazione under- to security a quanto architectures for tradizionalmente detecting ottenibile: di malware conseguenza, and threats within ciò implica served, yet di architetture much needed requirement implementazione. L’approccio of aadottato scalable and cost- migliora in modo thenuovo un organization, modelloand perresponding la distribuzioneto mitigate risk. Doing delle soluzioni this requires di sicurezza. effective platform that simultaneously expands the significativo il modello di copertura per la protezione di rete, offrendo reach of far deeper Questo insight modello andaffrontare deve far greateruncoverage approccio across the infrastructure pervasivo alla rete, e ciò multiple in tal modo security appliances una migliore while visibilità sulleaddressing the challenges minacce interne e sulla loroof than traditionally comporta feasible l’esplosione dei and volumiconsequently di traffico eal’aumento new model forcontese delle eliminating contention, propagazione laterale. helping to reduce cost, and simplifying deploying da parte dei security solutions. vari strumenti. UnThis model strutturato approccio must address pervasive e architetturale deployment architectures. The approach significantly improves reach alla to thepervasiva visibilità network, sullaexploding trafficl’accesso rete facilita volumes da andparte contention delle for the coverage model for network security thereby providing better Vantaggi visibility into internal threats and lateral threat propagation. the trafficdiby soluzioni multipleconsentendo sicurezza tools. A structured and architectural di modulare i costi in modo approach efficace. I vantaggi legati all’adozione di un tale approccio architetturale - e a to I vantaggi legati alla maggiore sicurezza e all’efficacia economicawhile pervasive network visibility gives security solutions access una piattaforma orientata alle implementazioni di sicurezza - sono enabling superiorethem stanno to rendendo scale costdieffectively. conseguenza Thelabenefits SecurityofDelivery increased Benefits numerosi. La soluzione: security Platform and cost effectiveness un elemento fondamentale are making the Security Delivery per l’implementazione delle There are several • fornisce benefits una visibilità to taking such immediata an architectural- e pervasiva sul traffico anddi Platform per soluzioni consequently la sicurezza. a foundational GigaSECUREbuilding blockDelivery è la Security to deploying Platform platform-oriented approach for security deployments. rete all’interno di un’organizzazione e su tutta la propagazione The solution: security solutions. GigaSECURE is a Security Delivery di Gigamon. Essa rappresenta, a livello di settore, la prima soluzione Platform laterale del malware. from Gigamon, capace di offrire an industry capacità first combination di elaborazione of compute, e filtraggio as well dei pacchetti, • Provides immediate and pervasive insight into network as packet filtering tracciando la stradacapabilities that is the waydiforward verso l’implementazione servizi diforsicurezza securityper • distribuisce il traffico verso le applicazioni di sicurezza, traffic within an enterprise and with it visibility into all lateral services delivery le reti in grado in networks di rilevare being equipped e rispondere alle minacce.to detect and respond. eliminando le congetture su dove posizionarle per ottenere movement by malware. riscontri di traffico rilevanti. Join us Entra a faralong parte with our partner dei nostri Ecosytem Partners to di ecosistema: turn the sconfiggi tables informatici i criminali on cyber criminals at wefightsmart.com con le loro stesse armi, wefightsmart.com © 2015-2016 Gigamon. Tutti i diritti riservati. Gigamon e il logo Gigamon sono marchi di Gigamon negli Stati Uniti e/o in altri paesi. Ulteriori marchi Gigamon sono disponibili su 3163-02 09/16 www.gigamon.com/legal-trademarks. Tutti gli altri marchi appartengono ai rispettivi titolari. Gigamon si riserva il diritto di cambiare, modificare, trasferire o rivedere la presente © 2015-2016 Gigamon. pubblicazione All rights reserved. Gigamon and the Gigamon logo are trademarks of Gigamon in the United States and/or senza preavviso. 3163-04 04/16 other countries. Gigamon trademarks can be found at www.gigamon.com/legal-trademarks. All other trademarks are the trademarks 3300 Olcott of their respective owners. Gigamon Street, reserves Santa the right to Clara, change,CA 95054 modify, USA | or+1otherwise transfer, (408) 831-4000 | www.gigamon.com revise this publication without notice.
Puoi anche leggere