Oggi, la sicurezza della rete ha una priorità elevata per qualsiasi azienda. Con un’infrastruttura che supporta molteplici piattaforme SO e un numero sempre più crescente di dispositivi IoT, la gestione della sicurezza di un’organizzazione è un compito molto complesso.
Sul mercato, sono presenti molti strumenti e applicazioni per la protezione della rete, ma da dove dobbiamo partire e come possiamo essere sicuri che ciò che abbiamo implementato protegga veramente l’infrastruttura aziendale?
Definizione di Sicurezza dell’Infrastruttura
A cosa ci riferiamo quando parliamo di sicurezza dell’infrastruttura di rete? Con la quantità di termini legati alla sicurezza informatica, può essere difficile avere un’idea chiara della portata di un termine così ampio come “sicurezza di rete”.
Iniziamo con la distinzione tra “sicurezza di rete” e “sicurezza di dispositivi”. La sicurezza di dispositivi riguarda la protezione di apparecchi fisici da intrusioni e violazioni; la sicurezza di rete applica lo stesso concetto di protezione ma riferito ai dispositivi collegati ad una specifica rete e ai dati comunicati tra dispositivi, sia in attività che in fase di riposo.
Questa definizione significa che la sicurezza dei dispositivi è parte integrante della sicurezza di rete. Un dispositivo compromesso può essere sfruttato per colpirne altri all'interno della rete.
Un altro aspetto molto importante riguarda la gestione del controllo sia di utenti che di dispositivi all'interno della rete e come rilevare e rispondere in conseguenza a comportamenti anomali.
La sicurezza della rete include anche policy e procedure come la gestione delle password, autenticazione a due fattori o addirittura a tre fattori come l’identificazione con impronta digitale, con riconoscimento facciale e scansione della retina.
Perché è Necessario Proteggere l'Infrastruttura di Rete?
Molti anni fa, era sufficiente avere un firewall e operare all'interno di quel muro apparentemente impenetrabile. Tuttavia, come le aziende hanno modificato il proprio modo di operare anche i criminali informatici hanno sviluppato nuove tecniche di attacco in grado di andare oltre quel muro.
Ora che molte organizzazioni utilizzano tecnologia cloud o ibrida, dispositivi mobile e sempre più personale lavora da remoto, la situazione è totalmente cambiata. Non è più realistico pensare ad utenti che utilizzano solo la rete aziendale.
Affidarsi esclusivamente ad un firewall non è più sufficiente. A parte gli attacchi DoS che mirano al perimetro di rete, le infrastrutture di rete moderne sono sempre più a rischio di essere attaccate da minacce come DNS hijacking, phishing e spear-phishing, malware fileless, solo per nominarne alcuni.
La sicurezza della rete non riguarda solo le minacce esterne, ma anche la violazione di dati e risorse aziendali da parte di minacce interne.
Ad esempio, quasi un terzo di tutte le violazioni di dati nel settore sanitario sono state attribuite agli addetti ai lavori. Nel settore finanziario, circa il 60% degli attacchi informatici è stato attribuito a utenti, partner di terze parti o dipendenti malintenzionati.
Come si Sviluppa la Moderna Sicurezza di Rete?
A causa della necessità di protezione oltre il perimetro di rete, la sicurezza di rete moderna assume un approccio difensivo più in profondità. Tutto inizia dalla visibilità perché non possiamo proteggere ciò che non possiamo vedere.
Pertanto, è necessario che gli amministratori abbiano visibilità su tutti i dispositivi connessi in modo da controllare il traffico, anche quello crittografato, dato che molti criminali informatici sfruttano certificati SSL e connessioni https per gli attacchi.
Una volta che la visibilità che è completa, possiamo procedere ad occuparci della prevenzione. È importante assicurarsi che ci siano policy di controllo degli accessi che blocchino utilizzi non autorizzati, e limitino l’accesso a utenti autorizzati alle risorse di cui hanno necessità.
Ad esempio, se disponiamo di dispositivi IoT collegati alla rete, non è necessario che essi abbiano accesso a parti della rete che non sono correlate con le funzioni previste.
I dispositivi dovrebbero essere dotati di un software di sicurezza che incorpori i controlli del firewall. Ciò consente all'amministratore di rete di gestire il traffico consentito da e verso ogni dispositivo.
Inoltre, è essenziale il controllo dei dispositivi per prevenire attacchi da USB dannose e altre periferiche.
Dopo la prevenzione, lo step successivo riguarda il rilevamento di minacce. Ciò significa cercare e riconoscere comportamenti anomali. Il modo migliore per farlo è attraverso il software di behavioral AI, ma attenzione che non tutte le soluzioni di sicurezza di nuova generazione sono state sviluppate allo stesso modo.
L’efficacia di questi software dipende molto dai set di dati su cui sono stati sviluppati, piuttosto che da un particolare algoritmo.
Un approccio moderno alla sicurezza della rete significa rendersi conto che a volte le violazioni si verificano. La superficie di attacco è talmente vasta che sarebbe ingenuo pensare di essere inattaccabili.
Pertanto, è necessario un piano di risposta, che comprenda soluzioni di sicurezza che rispondano in autonomia alle minacce quando esse vengono rilevate.
Con una prospettiva di lungo termine, pensiamo a come poter incorporare DevOps o SecOps nella gestione organizzativa. Con questo tipo di approccio, la sicurezza della rete diventa una considerazione intrinseca a tutti i livelli del processo decisionale.
Come Possiamo Testare l'Efficienza delle Soluzioni per Sicurezza della Rete?
Come possiamo sapere se la soluzione che abbiamo implementato protegge realmente l'infrastruttura di rete? Qui, entrano in gioco i test di sicurezza della rete.
Il Vulnerability Assessment, anche conosciuto come “pentesting”, è una simulazione di un attacco all'interno della rete.
Effettuare uno “stress test” richiede abilità e permessi ed è bene che sia effettuato da personale qualificato e con un piano ben definito di limiti e obiettivi concordati in anticipo.
Le specifiche di ciò che sarà testato saranno concordate in precedenza, ma solitamente si divide in tre fasi: scansione di vulnerabilità, penetration test in profondità e un’analisi del rischio eseguita su eventuali vulnerabilità scoperte.
Le scansioni preliminari sono spesso eseguite con strumenti automatici che ricercano vulnerabilità CVE note. Sebbene questi siano utili, non sono in grado offrire informazioni su vulnerabilità non dichiarate né testeranno la forza delle difese sotto attacco attivo o persistente.
Il penetration test in profondità, tuttavia, se condotto da personale adeguatamente qualificato, dovrebbe fare esattamente questo ma è importante pianificare con il proprio tester regole di svolgimento e scopo del test.
Gli strumenti comunemente implementati includono metasploit, burp, wireshark, nmap e includono molteplici modalità per ottenere l’accesso di amministratore sulla rete interna.
Tuttavia, è necessario assicurarsi che il personale che effettua il test non esegua un semplice attacco “pronto all'uso” e che sia in grado di personalizzare gli attacchi simulati in base alla superficie di interesse.
L’esito di un penetration test eseguito correttamente dovrebbe essere un rapporto chiaro e dettagliato di informazioni relative a eventuali vulnerabilità.
Un buon penetration tester dovrebbe fornire raccomandazioni sulla mitigazione delle minacce in relazione alle esigenze della tua organizzazione.
Il personale che si occupa del test o un altro analista dovrebbe condurre un’analisi del rischio di vulnerabilità specifiche.
La vulnerabilità rilevata rappresenta un rischio finanziario, una possibile perdita di dati o un errore di conformità? Qual è la probabilità che venga sfruttata e il potenziale impatto sull'azienda?
Conclusione
È molto importante che la tua azienda sia in grado di fornire servizi richiesti dai clienti e dai dipendenti, ma per farlo è necessario proteggere la rete.
Una buona protezione della rete non solo protegge il tuo IP e i dati dei tuoi clienti, ma protegge anche la reputazione dell’intera azienda.
Combinando più livelli di difesa in tutta la rete non limitata al perimetro, con policy, controlli e con una soluzione di nuova generazione per la sicurezza di dispositivi, è possibile offrire ad utenti autorizzati l’accesso alle risorse di rete di cui hanno bisogno mentre vengono bloccati coloro che tentano di violare la rete.
La nuova generazione di Endpoint Protection di SentinelOne permette di proteggere la rete e tutti i dispositivi contro qualsiasi tipo di minaccia, conosciuta ed sconosciuta, compresi gli attacchi zero-day.
Prevenzione, rilevamento, risposta, remediation e analisi forense in un'unica piattaforma completa ed integrata basata su Machine Learning ed Intelligenza Artificiale.
Se vuoi scoprire di più SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita questa pagina per ricevere materiale informativo o per richiedere una demo gratuita.
Leggi anche ⏩ Soluzioni AntiVirus: Sono Ancora Utili nel 2019?
In alternativa, compila il form sottostante con la tua domanda.
