Affrontare le minacce dall'interno: ripensare l'implementazione della protezione delle reti

Pagina creata da Nicola Rubino
 
CONTINUA A LEGGERE
Affrontare le minacce dall'interno: ripensare l'implementazione della protezione delle reti
Whitepaper
Affrontare le minacce dall’interno: ripensare
l’implementazione della protezione delle reti
Introduzione                                                                     smartphone. Inoltre, sempre più spesso, la forza lavoro è costituita
Le violazioni della sicurezza informatica si stanno manifestando su scala        non solo da dipendenti, ma anche consulenti, collaboratori e
industriale. Il volume sconfinato di violazioni informatiche, associato alla     fornitori, i quali accedono indistintamente alla rete e alle risorse
portata e all’entità del fenomeno, stanno costringendo l’intero settore          IT dell’azienda. Questo semplice modello basato sull’attendibilità
a riconsiderare le modalità per implementare, gestire e affrontare il            presenta numerose falle e dimostra tutti i suoi limiti proprio quando
tema della cyber sicurezza. Al centro di questa trasformazione troviamo          la minaccia arriva da un dipendente o da un collaboratore. Il modello
un fondamentale mutamento delle ipotesi e del modello di partenza                tradizionale di attendibilità si basa inoltre sul concetto che le risorse
adottati sino ad oggi per gestire la sicurezza informatica.                      IT aziendali possono essere considerate affidabili in quanto dotate
                                                                                 di software e di antivirus adeguati. Oggi, tuttavia, per la produttività
Il modello tradizionale è basato su concetti piuttosto semplici.                 aziendale i dipendenti non usano più solo risorse IT aziendali ma
Tali concetti hanno portato a modelli di implementazione che,                    ricorrono sempre più spesso a dispositivi personali, come computer
nell’attuale panorama della sicurezza informatica, si sono dimostrati            portatili, tablet e smartphone. In altre parole, l’approccio Bring
del tutto inadeguati per affrontare malware e cyber-violazioni di nuova          Your Own Device (BYOD) sta contribuendo ad aumentare in modo
generazione. Alcune di queste ipotesi di partenza sono riportate qui di          significativo la produttività ma sta anche mettendo a dura prova le
seguito:                                                                         semplici ipotesi di partenza del modello basato sull’attendibilità.
                                                                               • Ambiente statico: Tradizionalmente, i dispositivi di sicurezza
• Sicurezza basata su un perimetro di delimitazione:                             vengono installati in posizioni fisse. Questo riguarda firewall,
  Il modello tradizionale di sicurezza informatica si basa su                    sistemi di rilevamento/prevenzione delle intrusioni (IDS / IPS) e
  ipotesi semplicistiche legate alla creazione di un perimetro di                altri strumenti di individuazione e neutralizzazione dei malware.
  delimitazione: tutto ciò che è al di fuori di questo perimetro è da            Tipicamente, questi strumenti si basano su un perimetro fisso
  ritenere pericoloso, mentre ciò che si trova all’interno può essere            o su un insieme di punti di “convergenza” predeterminati
  considerato sicuro. Il modello di sicurezza perimetrale viene                  attraverso cui si prevede che il traffico dovrà passare, e che
  tipicamente sviluppato attraverso l’implementazione di un firewall             di conseguenza dovranno essere monitorati. Tuttavia, con
  sul punto di confine con la rete internet e di alcuni software di              la crescente mobilità di utenti, dispositivi e applicazioni,
  protezione - ad esempio programmi anti-virus - a livello di dispositivo        la prevedibilità dei modelli di traffico è diminuita. Inoltre,
  di utente. Tuttavia, per identificare i malware, la maggior parte              l’adozione del cloud ha allargato i confini e i limiti perimetrali
  dei firewall perimetrali e delle soluzioni software di protezione              grazie alla possibilità di allocare dinamicamente e on-demand le
  terminale si basa su regole e “firme”. Nell’attuale panorama, molti            capacità all’interno del cloud. Ciò sta trasformando gli ambienti
  attacchi informatici sfruttano la cosiddetta vulnerabilità del “giorno-        di lavoro in ecosistemi di gran lunga più dinamici, rendendo
  zero”. Tale termine indica tutte le vulnerabilità già rilevate, ma per         sempre più difficile prevedere l’esatta ubicazione dei confini
  le quali ancora non sono stati implementati gli aggiornamenti dei              e dei punti di convergenza. Di conseguenza, la capacità di
  vari elementi software o non sono state sviluppate firme o regole              identificare in modo coerente e completo tutte le minacce in
  adeguate. Di conseguenza, per le soluzioni tradizionali a base                 base alla distribuzione statica delle applicazioni di sicurezza in
  perimetrale, è sempre più difficile contrastare attacchi e violazioni          punti fissi è ormai largamente compromessa.
  da parte dei malware.
• Modello semplificato di attendibilità: Il tradizionale modello               Per prevenire le violazioni di rete, molte architetture aziendali di
  basto sull’attendibilità utilizzato nel campo della sicurezza                sicurezza fanno ancora riferimento alle ipotesi tradizionali illustrate
  informatica prevede un approccio molto semplice: ritenere                    sopra, nonostante il venir meno di alcune di esse. Inoltre, nel corso
  attendibili i dipendenti dell’organizzazione e inattendibili tutti gli       del tempo, anche la natura delle minacce informatiche è evoluta in
  altri utenti. Tuttavia, oggi, molti dipendenti utilizzano per esigenze       modo significativo. In passato, i worm o i virus che violavano una rete
  di lavoro anche i dispositivi informatici personali, ad esempio gli          si propagavano velocemente per fare più danno possibile nel più breve

© 2015-2016 Tutti i diritti riservati.                                                                                                                   1
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti

tempo possibile. Questo consentiva di rilevare worm e virus più             Accesso backdoor: Una volta che il sistema dell’utente è stato
rapidamente proprio grazie alle tracce lasciate nel loro cammino            compromesso dal download, il malware esplora le possibili
di distruzione. Le violazioni odierne sono evolute su scala                 backdoor che permettono di superare i firewall. L’obiettivo è di
industriale e sono diventate più subdole, sofisticate e distruttive.        aprire un canale di comunicazione con un centro di comando e
Molte di esse sono raggruppate sotto un ombrello denominato                 controllo, che potrebbe essere situato in qualsiasi parte del mondo.
Advanced Persistent Threat (APT). Gli APT rappresentano l’origine           Quando il canale di comunicazione è stabilito, vengono scaricati
di molte delle recenti violazioni su larga scala. Questi attacchi           altri malware e/o codici.
tendono a utilizzare una varietà di metodi sofisticati per installarsi
stabilmente e compromettere la rete nel lungo periodo. Proprio              Movimento laterale: Il malware avvia quindi la valutazione e la
da questo deriva il nome: Advanced Persistent Threat.                       clonazione interna, identificando altri sistemi che presentano delle
                                                                            vulnerabilità. Tuttavia, questo processo viene eseguito in modo
Anatomia di un Advanced Persistent Threat                                   furtivo e metodico, mascherando l’attività del malware e riducendo
Molte delle odierne violazioni su larga scala tendono a                     al minimo l’impatto dell’attività. Questo processo può essere
manifestarsi su più fasi e sul lungo periodo, cioè da settimane a           effettuato nell’arco di settimane o addirittura mesi. In altre parole,
mesi. Alcune delle fasi sono illustrate di seguito:                         il movimento laterale del malware è impercettibile e lento. Durante
                                                                            questa fase, possono essere aperte backdoor aggiuntive, anche
    Ricognizione: Durante questa fase, l’autore o l’esecutore               nel caso in cui la backdoor iniziale sia stata scoperta ed eliminata.
    della violazione cerca di comprendere le varie attività
    effettuate online per individuare possibili obiettivi e cercare          Raccolta dei dati: Una volta che il malware si è diffuso e ha avuto
    un modo per iniettare un malware. Ad esempio, l’autore                   accesso alle risorse critiche dell’infrastruttura, inizia il processo di
    potrebbe osservare a quali siti social o di homebanking                  identificazione dei dati critici da estrarre o registrare.
    accede l’utente, a quali gruppi d’interesse si iscrive e così via.
    Sulla base di queste informazioni, viene definito un profilo dei        Estrazione: I dati raccolti vengono estratti in massa attraverso le
    possibili target.                                                       varie backdoor. A questo punto, le informazioni dell’organizzazione
                                                                            sono gravemente compromesse. L’autore della minaccia può
     Violazione iniziale: Questa è la fase iniziale in cui l’utente o       chiedere un riscatto, rendere pubblici i dati classificati o riservati,
    il target viene compromesso. In genere, in base alle attività e         oppure vendere le informazioni all’asta.
    al profilo dell’utente, viene formulata una e-mail o un post che
    invita a cliccare su un link. Aprendo il collegamento, l’utente      In molti casi, dopo l’estrazione l’organizzazione è compromessa ed
    viene re-indirizzato a un sito web da cui viene scaricato un         è esposta ad altri attacchi e violazioni. Infatti, in molti casi, a causa
    elemento di vulnerabilità “giorno-zero”. Questo attacco              della natura estesa dell’attacco, molti sistemi continuano a rimanere
    viene in genere indicato come “phishing” (prendere all’amo).         infetti e silenti anche dopo che la violazione è stata rilevata e rimossa.
    Anche altri attacchi simili - come il download drive-by - sono       I sistemi compromessi possono poi essere resi accessibili attraverso
    all’ordine del giorno. Il loro scopo è di iniettare semplicemente    siti “malware-as-a-service”, in cui singoli o gruppi di individui possono
    un codice malware nel sistema dell’utente. In molti casi, la         acquistare gli elementi infetti. Il business del malware-as-a-service
    dimensione del malware è piuttosto ridotta: l’unico scopo del        è cresciuto fino a diventare una importante industria. Esso offre a
    malware è infatti creare un canale di comunicazione, detto           singoli individui e organizzazioni un semplice ed economico mezzo per
   “backdoor” (porta di servizio).                                       sfruttare i sistemi compromessi per lanciare, ad esempio,
                                                                         attacchi DDoS.

                        1                     2                 3             4                     5                    6
                                     Phishing & e attacco                Movimento              Raccolta
                Ricognizione                                 Backdoor                                                 Estrazione
                                         giorno-zero                      laterale               dei dati

Figura 1: Anatomia di un Advanced Persistent Threat

© 2015-2016 Tutti i diritti riservati.                                                                                                              2
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti

Un recente studio di valutazione1 effettuato su 1.200 imprese in                                    Aumento del traffico “est-ovest”
63 paesi, ha messo in evidenza che il 97% delle organizzazioni                                      Un altro importante cambiamento riguarda i data center. Qui, sempre
considerate ha subito una violazione durante il periodo di osservazione.                            più spesso, server e macchine virtuali (VM) dialogano sia tra di loro sia
Di queste, il 75% aveva ancora dei processi di comando e controllo                                  con sistemi database, di storage e con altre applicazioni: ciò comporta
attivi. In un altro studio2 è stato constatato che il periodo medio che                             un cambiamento dei modelli di traffico, i quali stanno evolvendo
trascorre dall’intrusione iniziale alla rilevazione della violazione è di                           verso una struttura sempre più spesso basata su flussi “est-ovest”. Il
giorni, indicando che molte organizzazioni possono rimanere in uno                                  traffico est-ovest in genere non transita attraverso il centro della rete,
stato di violazione senza saperlo per dei mesi.                                                     dove potrebbe essere sottoposto a dei controlli di sicurezza, come
                                                                                                    IPS / IDS, per rilevare malware o minacce all’interno dei flussi. Inoltre,
Tutto ciò indica la necessità di riconsiderare i modelli utilizzati per la                          il volume di traffico est-ovest sta rapidamente superando il volume
sicurezza. Le aziende non possono più agire sul presupposto che                                     di traffico nord-sud, cioè il traffico che scorre da e verso Internet.
le minacce da temere provengano solo dall’esterno. Al contrario, le                                 Ciò favorisce la diffusione “laterale”, all’interno del data center, del
organizzazioni devono aumentare l’attenzione verso l’individuazione                                 malware che ha violato un server non aggiornato o di generazione
dei sistemi violati e il contenimento dei malware. A causa delle                                    precedente. Il processo avviene in modo non rilevabile dalle misure
tendenze in atto nel settore IT, identificare i sistemi compromessi è                               di sicurezza concepite per intercettare e controllare il traffico nord-sud
sempre più difficile.                                                                               (vedere figura 2).

Tendenze IT che influenzano la sicurezza                                                           A titolo di esempio, Facebook gestisce 1 milione di processi
L’evoluzione della forza lavoro e il concetto di BYOD                                             “Mapreduce” al giorno.3. Il risultato è un significativo il traffico di
Nel settore IT sono in atto diverse tendenze che impattano                                         rete, che rimane confinato all’interno del data center. Benché la
negativamente la capacità di affrontare la sicurezza dall’interno.                                 maggior parte delle organizzazioni non si avvicini nemmeno a questi
Come accennato in precedenza, la natura stessa della forza lavoro                                  volumi, l’uso crescente di soluzioni di big-data da parte di molte
è cambiata: dipendenti, consulenti o fornitori fanno ormai tutti parte                             grandi e medie imprese rappresenta una forza trainante di questo
della forza lavoro di un’impresa. Questo ha reso più difficile per l’IT                            cambiamento dei modelli di traffico all’interno dei data center. Sempre
adottare dei controlli basati sui ruoli. BYOD e la consumerizzazione                               a titolo di esempio, l’adozione della VDI (Virtual Desktop Infrastructure)
dell’IT hanno compromesso notevolmente i severi controlli IT sulla                                 da parte di varie organizzazioni ha portato l’ambiente desktop a girare
sicurezza di computer, portatili, cellulari e altri dispositivi utilizzati per la                  direttamente nei data center. Di conseguenza il traffico client-server,
produttività della forza lavoro.                                                                   che tradizionalmente si basava su traffico nord-sud e che transitava

                                                                             Internet

                                                               Firewall                             DMZ

                                                                  IPS
                                                                                                                                      Nessuna visibilità sulla
                                                                                                         IDS
                                                                                                                                      propagazione laterale
                                                                                                                                      delle violazioni!
                                                              Switch
                                                            centralizzato

              VM                                                 Spine                                                                                       VM

                             Leaf
              VM

              Server Farm

Figura 2: Traffico est-ovest all’interno dei data center

1
  FireEye. 2015. Maginot revisited: More Real-World Results from Real-World Tests. https://www2.fireeye.com/WEB-2015RPTMaginotRevisited.html
2
  Trustwave. 2014. Global Security Report. https://www2.trustwave.com/rs/trustwave/images/2014_Trustwave_Global_Security_Report.pdf
3
  Wiener, Janet and Bronson, Nathan. “Facebook’s Top Open Data Problems.” Web blog post. research.facebook.com, Sept. 2014. https://research.facebook.com/
blog/1522692927972019/facebook-s-top-open-data-problems/

© 2015-2016 Tutti i diritti riservati.                                                                                                                                       3
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti

attraverso il nucleo della rete e punti di concentrazione ben definiti,                                  di sicurezza sono ciechi al traffico crittografato: di conseguenza,
è ormai diventato traffico est-ovest tra istanze desktop virtuali e                                      l’uso della crittografia da parte dei malware è in aumento. Dove le
applicazioni, entrambe ospitate all’interno del data center. Tutto                                       applicazioni di sicurezza sono in grado di ispezionare il traffico criptato
questo traffico sta “volando” sotto l’area di copertura dei radar delle                                  SSL, le prestazioni subiscono un impatto significativo a causa della
applicazioni di sicurezza, le quali non hanno possibilità di accedere a tali                             natura computazionalmente complessa della decifrazione SSL. Un
flussi di rete.                                                                                          rapporto Gartner 4 ha previsto che entro il 2017 oltre il 50% degli
                                                                                                         attacchi di rete utilizzerà traffico cifrato per aggirare i controlli.
Mobilità
La mobilità aggrava ulteriormente la sfida legata alla protezione                                        La combinazione di questi fattori - vale a dire la natura sofisticata ed
delle reti moderne. Oggi, utenti, dispositivi e applicazioni sono                                        evoluta delle minacce, i cambiamenti nei modelli di traffico di rete,
estremamente mobili. Ad esempio, un’applicazione organizzata                                             la mobilità, il crescente utilizzo delle tecnologie SSL e di crittografia
come macchina virtuale può essere trasferita con un clic, o anche                                        da parte dei malware, e l’uso di un modello di attendibilità obsoleto
in modo completamente automatizzato, tra rack, righe, schede, o                                          per progettare l’architettura di protezione - sta portando ad ambienti
addirittura data center. Questo può avvenire senza che il team di                                        estremamente esposti alle violazioni.
sicurezza ne sia informato. Uno strumento di protezione, ad esempio
un IDS o un IPS, collegato direttamente su un link all’interno di un                                    Affrontare la sfida
data center e focalizzato sul controllo del traffico delle applicazioni,                                Per affrontare al meglio questa sfida, le ipotesi fondamentali di
può essere reso inefficace quando l’applicazione stessa si sposta                                       attendibilità della sicurezza informatica devono essere riconsiderate. Le
in una posizione diversa all’insaputa del team di sicurezza. In altre                                   moderne strategie di sicurezza devono essere forgiate sull’assunto che
parole, nella distribuzione delle soluzioni per la sicurezza, l’ubicazione                              le violazioni sono ormai inevitabili. In altre parole, oltre alla prevenzione
sta diventando meno rilevante. Ciò riguarda anche i confini a livello                                   degli attacchi, occorre prestare una crescente attenzione al loro
campus, dove utenti e dispositivi sono mobili.                                                          rilevamento e al loro contenimento “dall’interno”.
                                                                                                        Dal momento che la rete è il mezzo principale per collegare gli
Cresce l’uso della crittografia                                                                         ambienti fisici, virtuali e cloud, il traffico di rete sta assumendo un ruolo
Occorre infine considerare il crescente utilizzo di tecnologie di                                       fondamentale di “breccia per malware e violazioni. Molti fornitori di
crittografia, come SSL, da parte delle organizzazioni. Sebbene la                                       sicurezza si sono concentrati solo su questo, analizzando la presenza
crittografia dei dati mobili offra la protezione agli sguardi indiscreti, i                             nel traffico di rete di minacce, anomalie e movimenti laterali di malware.
canali di comunicazione protetti possono essere sfruttati anche dai                                     Tuttavia, indipendentemente dal grado di sofisticazione, tali soluzioni
malware per celarsi sotto l’ombrello della riservatezza. Molti strumenti                                sono valide solo in relazione al traffico di rete che riescono a “vedere”.

                                            Sistema di
                                                                            Internet                                                           IPS
                                            rilevamento                                                                                      (Inline)
                                              intrusioni

                                                                             Router

                                            Prevenzione                                                                                    Anti-Malware
                                           perdita di dati
                                                                            Switch
                                                                            "Spine"

                                                             Switch "Leaf"
                                            Rilevamento
                                           minacce e-mail                                                                                    Analisi
                                                                                                                                             forense
                                                               Server farm
                                                               virtualizzata

Figura 3: Un approccio ad-hoc e non strutturato per l’implementazione della sicurezza

4
    FD’Hoinne, Jeremy and Hils, Adam. ‘Security Leaders Must Address Threats From Rising SSL Traffic’. Gartner Report, 9 Dec 2013.

© 2015-2016 Tutti i diritti riservati.                                                                                                                                                 4
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti

Approccio di generazione precedente alla protezione dall’interno                          Security Delivery Platform: un nuovo modello di
L’approccio di generazione precedente prevede il collegamento dei
                                                                                          distribuzione della sicurezza
dispositivi di sicurezza direttamente alla rete tramite un TAP di rete
                                                                                          Man mano che l’industria si orienta alla ricerca dei malware all’interno
o una porta SPAN/mirror su uno switch di rete/router. Assicurare un
                                                                                          della rete, l’attenzione si concentra sulla sofisticazione delle soluzioni
maggior accesso al traffico di rete significava distribuire un numero
                                                                                          di sicurezza. Per tali soluzioni non vi sono state molte riflessioni in
notevolmente superiore di applicazioni di sicurezza di rete in più punti
                                                                                          merito all’architettura di distribuzione, e questo ha portato a molte
della rete stessa. Tuttavia, la natura multidimensionale della sicurezza
                                                                                          delle sfide individuate in precedenza. In passato le esigenze di questo
si presta all’uso di una varietà di diversi tipi di soluzioni di sicurezza di
                                                                                          settore sono state largamente disattese, eppure è fondamentale
rete per aumentare la copertura. Ciò impone diverse sfide in termini di
                                                                                          controllare all’interno della rete la presenza di malware e violazioni. Per
modello di implementazione per queste soluzioni di sicurezza (vedere
                                                                                          affrontare le sfide sopra illustrate, è richiesto un approccio basato su
figura 3). Alcune di queste includono:
                                                                                          piattaforma strutturata capace di offrire la visibilità sul traffico per una
                                                                                          moltitudine di applicazioni di sicurezza, in modo scalabile pervasivo ed
• Contesa tra i diversi dispositivi di sicurezza per l’accesso al
                                                                                          economico. La soluzione dovrebbe comprendere i seguenti elementi:
  traffico dagli stessi punti della rete. In altre parole, collegarsi
  direttamente a un TAP di rete o a una porta SPAN/mirror
                                                                                          • Offrire visibilità sul traffico proveniente da ambienti fisici e
  permette l’accesso al traffico solo da parte di un’applicazione
                                                                                            virtuali in modo coerente anche quando gli utenti, i dispositivi e
  alla volta.
                                                                                            le applicazioni sono di natura mobile.
• Mancata corrispondenza tra la capacità di elaborazione delle
                                                                                          • Evitare congetture in merito a dove posizionare le soluzioni di
  applicazioni di sicurezza e il volume di traffico che il dispositivo
                                                                                            sicurezza, cioè evitare la dipendenza dai punti di concentrazione
  di sicurezza deve elaborare.
                                                                                            statici all’interno della rete, soprattutto inconsiderazione del
• Punti ciechi e visibilità incoerente del traffico. Le applicazioni                        dinamismo degli ambienti moderni, caratterizzati dalla mobilità
  di sicurezza collegate in punti specifici della rete non possono                          di utente/dispositivo/applicazione.
  avere visibilità sul traffico proveniente da altri punti della rete
                                                                                          • Fornire una soluzione per decifrare le comunicazioni criptate
  o da utenti o applicazioni che si sono trasferiti in altri punti
                                                                                            in modo che gli strumenti di sicurezza siano in grado di rilevare
  della rete.
                                                                                            il malware che sfrutta i canali di comunicazione codificati, e
• Aumento del numero di falsi positivi. Più applicazioni di                                 allo stesso tempo garantendo che le informazioni sensibili non
  sicurezza significano più falsi positivi, soprattutto per le                              vengano compromesse.
  applicazioni inclini a questo problema
                                                                                          • Assicurare la capacità di distribuire solo i flussi di traffico
• Rapido aumento degli oneri in seguito alla proliferazione degli                           rilevanti per i tipi specifici di applicazioni di sicurezza. Ad
  strumenti di sicurezza in tutta la rete e conseguente aumento                             esempio, una soluzione di sicurezza e-mail non deve vedere
  della complessità e dei costi di gestione.                                                il traffico di YouTube. Inviare solo il traffico rilevante permette
• Interruzioni di rete quando le installazioni passano da una                               alle soluzioni di sicurezza di operare in modo più efficace e
  modalità di monitoraggio out-of-band a una modalità di                                    di sprecare larghezza di banda e risorse nell’elaborazione di
  protezione inline.                                                                        informazioni irrilevanti.

                                                                    IPS         Anti-Malware     Prevenzione       Sistema di         Analisi       Rilevamento
                           Internet                               (Inline)                      perdita di dati    rilevamento        forense         minacce
                                                                                                                     intrusioni                         e-mail
                                                                                                                                                                    A
                                                                                                                                                                    P
                                                                                                                                                                    I

                           Router

                           Switch                                                  Security Delivery Platform
                           "Spine"

                  Switch
                  "Leaf"
                                                              Copertura completa Estrazione scalabile   Isolamento delle       Visibilità sul     By-pass inline
                                                                 di tutta la rete:   dei metadati       applicazioni per     traffico criptato   per applicazioni
                                                                fisica e virtuale  per una migliore       un'ispezione      per il rilevamento    di protezione
               Server farm                                                          analisi forense           mirata          delle violazioni      connesse
               virtualizzata

Figura 4: Security Delivery Platform: Componenti principali

© 2015-2016 Tutti i diritti riservati.                                                                                                                                  5
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti

• Generare un’analisi dettagliata di flussi e sessioni in base al                   GigaSECURE e ricevono un flusso fedele di traffico significativo da
  traffico reale e non solo a un campione del traffico.                             tutta l’infrastruttura di rete. All’interno di GigaSECURE viene anche
• Supportare implementazioni di sicurezza di rete inline e out-of-                  effettuata l’estrazione dei meta-dati del traffico di rete, esportando i
  band dalla stessa piattaforma; offrire al contempo la possibilità                 record verso i vari strumenti di sicurezza e di analisi. Vedere Figura 5.
  di bilanciare il carico delle applicazioni di sicurezza sia in linea
  sia out-of-band oltre alla capacità di bypassare le applicazioni di               GigaSECURE supporta una varietà di soluzioni di sicurezza che
  sicurezza in linea in caso di guasto.                                             possono collocarsi esternamente al flusso di traffico della rete di
                                                                                    produzione, rilevando malware, movimenti laterali e attività estrazione,
                                                                                    effettuando analisi forensi post-incidente, e svolgendo altre iniziative
Una Security Delivery Platform capace di rispondere alle considerazioni
                                                                                    di sicurezza. Inoltre, GigaSECURE anche come una piattaforma per la
sopra esposte assicura un potente strumento per implementare una
                                                                                    distribuzione di un insieme diversificato di soluzioni di sicurezza che
serie diversificata di soluzioni di sicurezza scalabili che si spinge oltre le
                                                                                    hanno l’esigenza di collocarsi inline sul traffico di rete. Le soluzioni
architetture tradizionali. Una tale Security Delivery Platform garantisce
                                                                                    di sicurezza inline offrono in genere la possibilità di adottare misure
la visibilità sul movimento laterale dei malware, accelera il rilevamento
                                                                                    preventive in tempo reale per il rilevamento di attacchi, malware
di attività di estrazione e permette di ridurre significativamente
                                                                                    o comportamenti anomali. GigaSECURE è in grado di supportare
sovrastrutture, complessità e costi associati a una vasta gamma di
                                                                                    implementazioni sia inline sia out-of-band in parallelo. In caso di
implementazioni di sicurezza (vedere Figura 4). Nell’attuale panorama
                                                                                    implementazioni di sicurezza inline, GigaSECURE offre funzionalità
di minacce informatiche industrializzate e ben organizzate, non è più
                                                                                    complete di protezione e di distribuzione del carico secondo
sufficiente concentrarsi esclusivamente sulle applicazioni di sicurezza.
                                                                                    varie modalità.
Concentrarsi su come queste soluzioni vengono implementate e su
come possono accedere in modo costante ai dati rilevanti, rappresenta
                                                                                    Componenti della piattaforma
un termine essenziale dell’equazione. In questo senso, la Security
                                                                                    La piattaforma GigaSECURE è costituita da nodi di visibilità, software
Delivery Platform è un elemento fondamentale di qualsiasi strategia di
                                                                                    GigaVUE OS™ con tecnologia brevettata Flow Mapping®, funzioni
sicurezza informatica.
                                                                                    di analisi del traffico alimentate da GigaSMART ® e controllore
                                                                                    centralizzato di struttura (GigaVUE-FM). Questi elementi sono descritti
GigaSECURE come Security Delivery Platform
                                                                                    di seguito.
GigaSECURE ® è la Security Delivery Platform di Gigamon. La
piattaforma GigaSECURE si connette alla rete attraverso infrastrutture
                                                                                    • Nodi di visibilità virtualizzati: GigaVUE-VM è un nodo
fisiche e virtuali e distribuisce il traffico a tutte le applicazioni che
                                                                                      virtualizzato che offre la capacità di garantire visibilità sul
lo richiedono. Qualunque sia la loro velocità di interfacciamento, i
                                                                                      traffico nei centri di lavoro virtualizzati. La soluzione GigaVUE-
sistemi di protezione si collegano semplicemente alla piattaforma

                                                                IPS         Anti-malware         SIEM /        Sistema di           Analisi    Rilevamento
               Internet                                      (in linea)       (in linea)        Big Data      rilevamento          forense    minacce e-mail
                                                                                                                intrusioni
                                                                                                                                                                A
                                                                                                                                                                P
                                                                                                                                                                I

               Router

                 "Switch
                                                                                       Security Delivery Platform GigaSECURE
                  spine"

     "Switch                                                GigaVUE- Nodi          Engine              Filtraggio            Decodifica        Bypass
       leaf"                                                GigaVUE & VM         per metadati     sessione applicativa          SSL             inline

"Server farm
virtualizzata"

Figura 5: Security Delivery Platform GigaSECURE

© 2015-2016 Tutti i diritti riservati.                                                                                                                          6
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti

   VM permette di tracciare le macchine virtuali quando si                      dei canali di comunicazione criptati può essere effettuata in
   spostano da un server all’altro. Attraverso politiche di Follow-             modo più efficace all’interno della Security Delivery Platform
   the-VM è possibile garantire che il traffico delle applicazioni              GigaSECURE. Ciò permette di eseguire il processo una sola volta
   sia sempre inviato agli strumenti di sicurezza anche se le VM                e ad altissime prestazioni, eliminando così questo punto cieco
   si spostano.                                                                 contemporaneamente per più applicazioni di sicurezza sprovviste
• Nodi di visibilità scalabili e convenienti: I nodi di visibilità              delle capacità necessarie per affrontare le comunicazioni criptate.
  GigaVUE TA, insieme a GigaVUE-OS e agli switch Ethernet                       Grazie alla Security Delivery Platform GigaSECURE, le applicazioni
  whitebox, offrono una soluzione conveniente per assicurare una                di sicurezza che sono invece dotate di tali capacità, possono essere
  visibilità di tipo scalabile sul traffico. Grazie alla potenza della          alleggerite dell’impegnativo carico computazionale legato alla
  tecnologia Flow Mapping® questi nodi offrono sofisticate funzioni             ripetizione del processo.
  di aggregazione, filtraggio e replica a fronte di un costo conveniente,     • Filtraggio sessione applicativa: Molte soluzioni di sicurezza
  consentendo di ottenere un modello di distribuzione in cui il traffico        non hanno bisogno di analizzare i flussi completi, specialmente
  di tutta l’infrastruttura può essere canalizzato verso applicazioni di        se questi sono considerati attendibili o non elaborabili.
  sicurezza specifiche.                                                         Attraverso la funzione di Application Session Filtering, la
• La combinazione tra GigaVUE-VM e GigaVUE Serie TA assicura                    Security Delivery Platform GigaSECURE offre la possibilità
  la visibilità sul traffico est-ovest e la visibilità sulle reti interne a     di analizzare in profondità il pacchetto a livello applicativo,
  livello di campus e di data center. Le due soluzioni affrontano               d’identificare i flussi sulla base di qualsiasi configurazione
  anche i problemi di mobilità e mettono a disposizione una                     arbitraria, e di dirottare intere sessioni (vale a dire tutti i
  fonte costante di traffico ad alta fedeltà per le applicazioni                pacchetti che appartengono alla sessione, anche se i pacchetti
  di sicurezza, le quali hanno ora la possibilità di monitorare la              successivi o precedenti non corrispondono alla particolare
  propagazione laterale delle minacce e attraverso una visione                  configurazione) ad una soluzione di sicurezza specifica, o
  pervasiva d’insieme dell’interno dell’infrastruttura.                         di scartare l’intera sessione. Questa potente funzionalità
                                                                                garantisce un controllo preciso dei tipi di dati da inviare agli
• Funzioni di analisi del traffico alimentate da GigaSMART:
                                                                                strumenti di sicurezza sulla base dei contenuti L4-L7 e di altri
  Laddove i prodotti delle serie GigaVUE-VM e GigaVUE TA
                                                                                metodi di corrispondenza più sofisticati. Ciò permette alle
  consentono di ottenere in modo scalabile e conveniente dei
                                                                                applicazioni di sicurezza di concentrarsi sul traffico di rete
  riscontri di traffico da tutta l’infrastruttura, le piattaforme GigaVUE
                                                                                più rilevante e contemporaneamente di evitare processi di
  Serie H alimentate dalla tecnologia GigaSMART offrono la
                                                                                elaborazione su grandi volumi di dati irrilevanti. L’identificazione
  possibilità di agire sui flussi e di eseguire un insieme di funzioni per
                                                                                di ciò che è rilevante o meno può essere personalizzata per
  alleggerire e ottimizzare una vasta gamma di soluzioni di sicurezza.
                                                                                ogni applicazione di sicurezza.
  Alcune delle funzioni avanzate di GigaSMART che possono essere
  utilizzate dalle soluzioni di sicurezza comprendono:                        • Protezione inline e bilanciamento del carico: Molte
                                                                                applicazioni di sicurezza lavorano in linea con il traffico di rete
• Generazione metadati e Netflow ad alte prestazioni (IPFIX):
                                                                                per prevenire in tempo reale malware e attività ostili. Molte altre
  IPFIX è una potente tecnologia basata su standard che si sta
                                                                                applicazioni di sicurezza lavorano in modalità out-of-band per
  facendo strada nel settore della sicurezza di rete per l’analisi
                                                                                scopi legati al rilevamento degli incidenti. La Security Delivery
  forense, per l’analisi di tendenza e per il rilevamento delle anomalie.
                                                                                Platform GigaSECURE Security mette a disposizione una
  IPFIX esamina i pacchetti di rete grezzi e deriva sofisticati meta-dati
                                                                                piattaforma comune per distribuire il traffico alle applicazioni di
  basati sul flusso, quali registrazioni di conversazioni tra gli endpoint,
                                                                                sicurezza sia inline sia out-of-band. Quando si tratta di alimentare
  durata delle conversazioni, canali di comunicazione, eccetera.
                                                                                le implementazioni di sicurezza inline, la piattaforma GigaSECURE
  GigaSECURE centralizza la funzione di generazione di questi record
                                                                                offre la possibilità di bilanciare il traffico tra più soluzioni di sicurezza,
  in modo coerente per le infrastrutture più eterogenee e disparate. I
                                                                                così come la capacità di configurarle in daisy chain, ciascuna con
  record di flusso possono essere distribuiti a una varietà di soluzioni
                                                                                diversi livelli di protezione. Il traffico può essere distribuito alle
  di sicurezza per l’analisi dei metadati. La generazione dei metadati
                                                                                applicazioni di sicurezza sulla base di una serie di criteri, garantendo
  avviene ad altissima velocità. Ciò permette di generare registrazioni
                                                                                nel contempo che il traffico da e verso un determinato flusso
  ad alta fedeltà, aspetto essenziale per una buona analisi di sicurezza.
                                                                                raggiunga sempre la stessa applicazione di sicurezza. La piattaforma
  La soluzione consente anche di sviluppare modelli personalizzati
                                                                                garantisce anche flessibilità e protezione nel caso in cui una
  definibili in modo tale che le informazioni che possono essere
                                                                                qualsiasi delle applicazioni di sicurezza inline subisca un’anomalia,
  ricavate dal traffico siano organizzate in base all’ambiente
                                                                                sia in modalità a carico bilanciato sia quando in configurazione
  dell’implementazione specifica.
                                                                                daisy chain. Ciò permette di inoltrare il traffico di rete senza
• Decodifica SSL: Il volume di malware che sfrutta canali di                    interruzioni in caso di guasto. Le applicazioni di sicurezza possono
  comunicazione crittografati aumenta. Di conseguenza, aumenta                  anche senza essere riconfigurate dalla modalità out-of-band alla
  anche la necessità di analizzare tali canali. La decifrazione                 modalità inline e viceversa, senza interruzioni alla rete. Si tratta di

© 2015-2016 Tutti i diritti riservati.                                                                                                                      7
Whitepaper: Affrontare le minacce dall’interno: ripensare l’implementazione della protezione delle reti
                                                                  Whitepaper: Addressing the Threat Within: Rethinking Network Security Deployment
   una potente funzionalità della piattaforma che unifica e semplifica                                   • consente aggiornamenti, modifiche o variazioni di modalità da out-
   l’implementazione di una varietà di applicazioni di sicurezza inline e                                  of-band a inline senza impattare le soluzioni di sicurezza di rete.
   load-balanced
   out-of-band,        mode as
                    offrendo        well as
                                 scenari       when inline
                                           di flessibilità      appliances
                                                             e gestione       areanomalie
                                                                            delle   daisy                • Delivers traffic to the security appliances, eliminating the
                                                                                                         • riduce i falsi positivi in ​​modo significativo grazie al
   chained therebyefficaci.
   estremamente           ensuring that network traffic forwarding does                                    guesswork on where to place security appliances for getting
                                                                                                           consolidamento di molteplici soluzioni di sicurezza in un
   not get disrupted in the event of a failure. Security appliances                                        relevant traffic feeds.
• Controller centralizzato della struttura (GigaVUE-FM):                                                   insieme più piccolo di tipo centralizzato e basato su Security
   can also seamlessly be moved from out-of-band mode to inline                                          • Enables
   GigaVUE-FM funge da controllore centralizzato che offre la                                              Delivery upgrades,
                                                                                                                     Platform. changes, or moves from out-of-band to
   mode and vice versa with no disruption to the network. This is a                                        inline without impacting the network security solutions.
   capacità di unificare le diverse componenti della piattaforma                                         • evita punti ciechi in relazione a mobilità e crittografia.
   powerful capability of the platform that unifies and simplifies the
   Security Delivery Platform GigaSECURE. Esso si propone come                                           • Reduces false positives significantly due to consolidation of
   deployment of a variety of inline and out-of-band security solutions                                  • offre una fonte costante di pacchetti dati e di flussi per tutte le
   punto centralizzato di definizione delle policy per i nodi di visibilità                                multiple security solutions to a smaller set that is centralized
   while addressing resiliency and failure scenarios very effectively.                                     applicazioni di sicurezza.
   virtualizzati e fisici. GigaVUE-FM espone un insieme di API in                                          and leverages the Security Delivery Platform.
• direzione
   Centralized nord Fabric    Controller (GigaVUE-FM):
                       che consentono                               GigaVUE-FM
                                               alle soluzioni di sicurezza      di mettere               • evita le contese sul traffico: il traffico rilevante viene replicato e
                                                                                                         • Eliminates blind spots associated with mobility as well
   serves    as  the  centralized    controller     that  provides
   a punto quasi in tempo reale le distribuzioni di traffico          the ability  to unify
                                                                            che stanno                     distribuito a tutte le soluzioni di sicurezza.
                                                                                                           as encryption.
   the  different
   ricevendo     percomponents
                      regolare la loroof the    GigaSECURE
                                            visibilità            Security Delivery
                                                        nell’infrastruttura   di rete e                  • migliora l’efficacia delle soluzioni di sicurezza eliminando i
   Platform.    It serves    as  a centralized     policy   definition  point for the                    • Provides a consistent source of packet and flow data for all
   IT sulla base delle anomalie, delle violazioni e delle condizioni                  che                  riscontri di traffico irrilevanti per le soluzioni stesse.
   virtualized   and physical      visibility  nodes.    GigaVUE-FM        exposes     a set               security appliances.
   stanno    osservando       in tempo     reale.   In altre  parole, le API   offrono    un
   of  northbound      APIs    that allow    security    solutions   to fine-tune    in near             • Eliminates contention for traffic—relevant traffic is replicated
   grado di automazione che consente agli strumenti di sicurezza di
   real time the                                                                                         Sommario
                                                                                                           and delivered to all security solutions.
   controllare    le traffic feeds that
                     distribuzioni          they are
                                      di traffico        receiving
                                                     ricevuto   dallaso  as to be
                                                                       Delivery      able to
                                                                                  Platform
   adjust                                                                                                I cambiamenti delle condizioni che minacciano la sicurezza informatica
   Security in base a condizioni dinamiche in tempo reale o in tempoon
            their  visibility  into the  network       and  IT infrastructure    based                   • Improves efficacy of security solutions by elimination of
                                                                                                         stanno alimentando l’esigenza di un cambiamento fondamentale del
   quasi real-time
   what   reale.       anomalies, threats and conditions they are seeing.                                    irrelevant traffic feeds to those solutions.
   In other words, the APIs enable a degree of automation that allows                                    modello basato sull’attendibilità. Man mano che le organizzazioni
   security tools to control the traffic feeds they receive from the                                     accettano l’inevitabilità delle violazioni di rete, la loro attenzione si
La Security Delivery Platform GigaSECURE affronta le esigenze non
   Security Delivery Platform based on the dynamic conditions they
                                                                                                         Summary
                                                                                                         concentra sulle architetture di sicurezza concepite per rilevare e
ancora soddisfatte di una piattaforma scalabile e conveniente capace                                     The   changing
                                                                                                         rispondere           cyber security
                                                                                                                          a malware                threat
                                                                                                                                         e violazioni       conditions
                                                                                                                                                          che  possono are       drivingall’interno
                                                                                                                                                                            insorgere      a need for
   see in real time or near real time.
di espandersi simultaneamente per mettersi alla portata di molteplici                                    a fundamental shiftstessa.
                                                                                                         dell’organizzazione           in the trust
                                                                                                                                                Questo model     for security.
                                                                                                                                                           richiede    una visioneAs organizations
                                                                                                                                                                                       molto più
applicazioni di sicurezza, affrontando le sfide legate all’eliminazione                                  accept the inevitability
                                                                                                         approfondita        e una maggiore of network      breaches,
                                                                                                                                                    copertura     di tuttatheir  focus is shifting
                                                                                                                                                                            l’infrastruttura    rispetto
GigaSECURE
delle  contese, allaSecurity
                        riduzioneDelivery     Platform
                                      dei costi            addresses the delle
                                                   e alla semplificazione      under-
                                                                                                         to security
                                                                                                         a quanto          architectures for
                                                                                                                      tradizionalmente             detecting
                                                                                                                                               ottenibile:    di malware
                                                                                                                                                                 conseguenza,  and threats     within
                                                                                                                                                                                     ciò implica
served,    yet di
architetture    much     needed requirement
                   implementazione.          L’approccio of aadottato
                                                               scalable    and cost-
                                                                        migliora    in modo              thenuovo
                                                                                                         un    organization,
                                                                                                                       modelloand    perresponding
                                                                                                                                          la distribuzioneto mitigate     risk. Doing
                                                                                                                                                               delle soluzioni            this requires
                                                                                                                                                                                   di sicurezza.
effective    platform    that    simultaneously         expands     the
significativo il modello di copertura per la protezione di rete, offrendo reach   of
                                                                                                         far deeper
                                                                                                         Questo           insight
                                                                                                                    modello          andaffrontare
                                                                                                                                  deve     far greateruncoverage
                                                                                                                                                            approccio  across     the infrastructure
                                                                                                                                                                           pervasivo    alla rete, e ciò
multiple
in tal modo security    appliances
               una migliore              while
                                 visibilità  sulleaddressing      the challenges
                                                     minacce interne      e sulla loroof                 than traditionally
                                                                                                         comporta                  feasible
                                                                                                                        l’esplosione      dei and
                                                                                                                                               volumiconsequently
                                                                                                                                                         di traffico eal’aumento
                                                                                                                                                                           new model        forcontese
                                                                                                                                                                                        delle
eliminating     contention,
propagazione laterale.            helping     to  reduce    cost,   and   simplifying
                                                                                                         deploying
                                                                                                         da  parte dei   security     solutions.
                                                                                                                            vari strumenti.     UnThis    model strutturato
                                                                                                                                                      approccio     must address       pervasive
                                                                                                                                                                                   e architetturale
deployment architectures. The approach significantly improves
                                                                                                         reach
                                                                                                         alla     to thepervasiva
                                                                                                               visibilità   network, sullaexploding     trafficl’accesso
                                                                                                                                                 rete facilita    volumes da   andparte
                                                                                                                                                                                    contention
                                                                                                                                                                                           delle for
the coverage model for network security thereby providing better
Vantaggi
visibility into internal threats and lateral threat propagation.
                                                                                                         the   trafficdiby
                                                                                                         soluzioni            multipleconsentendo
                                                                                                                           sicurezza     tools. A structured         and architectural
                                                                                                                                                           di modulare       i costi in modo approach
                                                                                                                                                                                                  efficace.
I vantaggi legati all’adozione di un tale approccio architetturale - e a                                 to
                                                                                                         I vantaggi legati alla maggiore sicurezza e all’efficacia economicawhile
                                                                                                            pervasive        network     visibility   gives   security    solutions    access
una piattaforma orientata alle implementazioni di sicurezza - sono                                       enabling
                                                                                                         superiorethem stanno   to rendendo
                                                                                                                                    scale costdieffectively.
                                                                                                                                                     conseguenza  Thelabenefits
                                                                                                                                                                           SecurityofDelivery
                                                                                                                                                                                        increased
Benefits
numerosi. La soluzione:                                                                                  security
                                                                                                         Platform and        cost effectiveness
                                                                                                                      un elemento         fondamentale are making       the Security Delivery
                                                                                                                                                              per l’implementazione           delle
There   are several
• fornisce              benefits
               una visibilità        to taking such
                                  immediata                an architectural-
                                                   e pervasiva      sul traffico anddi                   Platform per
                                                                                                         soluzioni    consequently
                                                                                                                             la sicurezza.  a foundational
                                                                                                                                              GigaSECUREbuilding            blockDelivery
                                                                                                                                                                  è la Security     to deploying
                                                                                                                                                                                               Platform
platform-oriented       approach       for  security     deployments.
   rete all’interno di un’organizzazione e su tutta la propagazione        The   solution:               security    solutions.       GigaSECURE         is a  Security    Delivery
                                                                                                         di Gigamon. Essa rappresenta, a livello di settore, la prima soluzione        Platform
   laterale del malware.                                                                                 from Gigamon,
                                                                                                         capace    di offrire an      industry
                                                                                                                                 capacità         first combination
                                                                                                                                              di elaborazione             of compute,
                                                                                                                                                                   e filtraggio              as well
                                                                                                                                                                                   dei pacchetti,
• Provides immediate and pervasive insight into network                                                  as packet filtering
                                                                                                         tracciando      la stradacapabilities       that is the waydiforward
                                                                                                                                       verso l’implementazione              servizi diforsicurezza
                                                                                                                                                                                           securityper
• distribuisce il traffico verso le applicazioni di sicurezza,
   traffic within an enterprise and with it visibility into all lateral                                  services     delivery
                                                                                                         le reti in grado           in networks
                                                                                                                               di rilevare           being equipped
                                                                                                                                             e rispondere      alle minacce.to detect and respond.
   eliminando le congetture su dove posizionarle per ottenere
   movement by malware.
   riscontri di traffico rilevanti.

Join us
Entra a faralong
            parte with our partner
                  dei nostri Ecosytem  Partners to
                                   di ecosistema:   turn the
                                                  sconfiggi     tables informatici
                                                            i criminali on cyber criminals     at wefightsmart.com
                                                                                   con le loro stesse armi, wefightsmart.com

© 2015-2016 Gigamon. Tutti i diritti riservati. Gigamon e il logo Gigamon sono marchi di Gigamon negli Stati Uniti e/o in altri paesi. Ulteriori marchi Gigamon sono disponibili su        3163-02 09/16
www.gigamon.com/legal-trademarks. Tutti gli altri marchi appartengono ai rispettivi titolari. Gigamon si riserva il diritto di cambiare, modificare, trasferire o rivedere la presente
©  2015-2016 Gigamon.
pubblicazione           All rights reserved. Gigamon and the Gigamon logo are trademarks of Gigamon in the United States and/or
               senza preavviso.                                                                                                                                                            3163-04 04/16
other countries. Gigamon trademarks can be found at www.gigamon.com/legal-trademarks. All other trademarks are the trademarks
                             3300 Olcott
of their respective owners. Gigamon        Street,
                                      reserves      Santa
                                                the right to Clara,
                                                             change,CA 95054
                                                                     modify,    USA | or+1otherwise
                                                                             transfer,     (408) 831-4000    | www.gigamon.com
                                                                                                    revise this publication without notice.
Puoi anche leggere