Con l’espressione “Network Security” si intende l’insieme di quelle soluzioni che, mediante tecnologie software e hardware, proteggono l’accessibilità alle reti informatiche aziendali.
Soluzioni che, nell’attuale panorama di minacce informatiche, diventano preziose per fare fronte alle vulnerabilità che ogni organizzazione, indipendentemente da dimensioni, settore di appartenenza e tipologia di infrastruttura adottata, presenta.
Secondo il Rapporto Clusit 2022 sulla sicurezza ICT, nel 2021 gli incidenti di sicurezza informatica hanno provocato un danno a livello globale pari a circa 6 trilioni di dollari. Una cifra impressionante, che equivale a ben quattro volte il PIL italiano. Proteggere la rete aziendale è diventato un imperativo assoluto, un argomento da mettere in cima a qualsiasi lista di priorità per assicurare un futuro al business, senza capitolare sotto i colpi sempre più mirati dei cybercriminali.
A lungo considerata un argomento piuttosto marginale sia a livello IT che per quanto concerne la rilevanza in termini di business, la network security sta ora scalando rapidamente posizioni in merito agli aspetti su cui ha tutto il senso investire risorse significative, con la consapevolezza che i rischi di subire un incidente informatico sono ormai talmente elevati che, oltre a fare il possibile per evitarli, occorre soprattutto farsi trovare pronti nel caso in cui l’eventualità si verifichi.
La sicurezza delle reti aziendali nell’era del digitale va quindi oltre i tradizionali aspetti legati ai dispositivi firewall e antivirus, per assumere un atteggiamento sia proattivo che reattivo, capace di conoscere in maniera scrupolosa gli eventi e rispondere con successo a qualsiasi attacco possa verificarsi all’interno del perimetro di sicurezza aziendale.
Cos’è la sicurezza delle reti (Network Security)
Come accennato in apertura, con l’espressione “Network Security” si intende tutte le tecnologie e le soluzioni (hardware e software) che servono per proteggere le reti informatiche aziendali. Quando reti e sistemi informativi non sono protetti in modo idoneo, dati e informazioni sensibili rischiano di essere esposti al rischio di attacchi.
Per tale motivo, è fondamentale comprendere appieno che cosa davvero significhi Network Security, a quali concetti rimanda e quali sono le misure che le aziende possono adottare per una puntuale strategia di sicurezza.
Soluzioni che, nell’attuale panorama di minacce informatiche, diventano preziose per fare fronte alle vulnerabilità che ogni organizzazione, indipendentemente da dimensioni, settore di appartenenza e tipologia di infrastruttura adottata, presenta.
Pratiche e processi adottati per prevenire, rilevare e monitorare gli accessi non autorizzati e l’uso improprio di una rete di computer – sia pubblica che privata – e delle risorse accessibili dalla rete: tutto questo definisce la Network Security, dove i due termini diventano l’uno strettamente dipendente dall’altro, in un processo in cui la rete non può fare a meno di un piano di sicurezza e dove quest’ultima si esplica, con le sue prassi, proprio all’interno delle reti, sempre più terreno di minacce e di attacchi.
È stato con l’avvento del GDPR, a maggio del 2018, e con gli adempimenti che ha imposto, che è andata sempre più crescendo, da parte delle aziende, la consapevolezza dell’importanza strategica della sicurezza delle reti e della protezione dei dati.
E si evidenzia, inoltre, un’attenzione importante alle soluzioni e ai servizi per la Network Security anche da parte delle Piccole e Medie Imprese, a significare che la sicurezza non è solo priorità delle grandi e complesse strutture.
Attenzione divenuta ancora più puntuale nel primo trimestre del 2020, con lo scoppio della pandemia da Covid, che ha trasformato in necessità quello che invece, per molte organizzazioni, sembrava un aspetto trascurabile delle più generali politiche di sicurezza.
La modalità di lavoro in smart working, adottata, a livello globale, da piccole, medie e grandi aziende, ha aperto una questione spinosa: quella del rischio di attacchi informatici ai danni delle imprese per le quali lo smart worker lavora.
Un rischio che aumenta col trascorrere del tempo che il dipendente passa connesso ai dispositivi mobili forniti dal datore di lavoro.
Sul tema, si è pronunciata anche ENISA, Agenzia europea per la sicurezza delle reti e dell’informazione, con una serie di raccomandazioni per i datori, tra cui prestare assoluta attenzione alle caratteristiche tecniche e alle protezioni della Rete Privata Virtuale (VPN) aziendale, affinché sia in grado di sostenere un elevato numero di collegamenti simultanei. Inoltre, l’Agenzia raccomanda che tutti gli applicativi aziendali siano accessibili solo tramite canali di comunicazione cifrati.
Ma smart working significa anche condivisione e scambio, attraverso la rete, di documenti sensibili, di dati e di informazioni riservate – inerenti, ad esempio, nuovi prodotti, nuovi contatti e nuove strategie – e, soprattutto in determinati settori, un dialogo tra azienda, forza lavoro e dispostivi IoT dislocati sul territorio, in una comunicazione che coinvolge filiali, sedi centrali, macchine fisicamente presenti in luoghi distinti, clienti, partner e fornitori. E l’unico luogo di incontro è la rete.
Dunque, il lavoro agile ha messo al primo posto il valore della Network Security. E non solo per questioni di compliance aziendale al GDPR, ma anche per fattori che hanno a che vedere da vicino con l’attività stessa dell’impresa. Mettere in sicurezza la rete aziendale – e, conseguentemente, tutto quello che vi transita – si traduce, nel concreto, nel proteggere e tutelare il proprio business e la produttività.
L’importanza di avere reti sicure
La trasformazione digitale ha reso i dati la principale fonte di valore per le aziende: proteggerli diventa un obiettivo fondamentale per evitare conseguenze a dir poco drammatiche per il proprio business e per tutti i soggetti coinvolti in maniera diretta e indiretta nelle varie supply chain. Oltre ai rischi derivanti dalle possibili calamità che possono causare danni fisici ai data center, occorre difendere i sistemi informatici dalle minacce informatiche che si profilano nella rete.
La network security diventa pertanto fondamentale quando si tratta di:
- Assicurare la continuità di business, evitando le possibili interruzioni di servizio derivanti dagli attacchi;
- Garantire l’integrità e la disponibilità dei dati per tutte le applicazioni che erogano i servizi aziendali, sia per quanto riguarda le operazioni interne che per quanto concerne l’offerta commerciale;
- Avvalersi di framework di threat intelligence consolidati ed affidabili come il MITRE ATT&CK, in grado di orientare un atteggiamento proattivo nei confronti della network security, che garantisce un livello di consapevolezza nei confronti della minaccia di gran lunga superiore rispetto al solo innalzamento di una barriera difensiva, soprattutto nel caso in cui dovesse verificarsi un incidente di sicurezza informatica;
- I moderni sistemi di network security integrano soluzioni pratiche per garantire il soddisfacimento delle normative di sicurezza nei vari paesi, sulla base di quanto disposto ad esempio nella Normativa NIS comunitaria. Questo aspetto consente di rispettare la legge ed evitare sanzioni destinate a diventare sempre più pesanti, considerando le aggravanti previste dal GDPR qualora non venga garantita la sicurezza dei dati, nel caso di esfiltrazioni o perdite causate da incidenti di sicurezza informatica;
Oltre a questi aspetti occorre considerare che la network security costituisce una qualità fondamentale anche per aspetti che vanno oltre l’aspetto puramente informatico. Mantenere al sicuro la rete aziendale da attacchi che possono causare irrimediabili perdite di dati o interruzioni dei servizi per la clientela, consente di evitare ai brand un pericoloso danno di immagine, che molto spesso rischia di causare dei contraccolpi per il business anche più gravosi rispetto al fattore economico direttamente derivante dall’attacco in sé.
Un’adeguata strategia di continuità di business può consentire alla vittima di un grave attacco di ripartire anche in tempi relativamente brevi, ma il danno di immagine che deriva dalla pubblicità negativa è destinato a condizionare anche per lungo tempo la reputazione dell’azienda, pur adottando delle efficaci strategie di comunicazione per la gestione della crisi.
Come mettere in sicurezza le reti
La sicurezza delle reti informatiche è una disciplina complessa che coinvolge una serie di competenze cross disciplinari che vanno dalla conoscenza tecnologica dei dispositivi hardware e software dei sistemi di sicurezza alla capacità di implementarli nella maniera più efficiente nello specifico contesto aziendale.
Per avere una corretta comprensione di cosa rappresentano funzionalmente i vari dispositivi di rete è opportuno conoscere il modello OSI (Open Systems Interconnect), standard di riferimento predisposto direttamente alla ISO (International Standards Organization).
Il modello OSI consiste in sette layer funzionali che consentono ai dispositivi informatici di comunicare attraverso le reti (tra parentesi gli standard e i protocolli pertinenti ad ogni livello):
- Layer 1, Physical, costituito dalla interfacce fisiche che consentono di inviare i dati attraverso la rete (EIA RS-232, EIA RS-449, IEEE, 802);
- Layer 2, Data Link, consente il trasferimento dei messaggi e il controllo degli errori (Ethernet, Token Ring, 802.11);
- Layer 3, Network, consente di instradare i pacchetti dei dati (IP, OSPF, ICMP, RIP, ARP, RARP);
- Layer 4, Transport, supporta il trasferimento end-to-end dei dati (TCP, UDP, SPX);
- Layer 5, Session, si occupa di stabilire la connessione con il dispositivo informatico di destinazione (SQL, X-Window, ASP, DNA, SCP, NFS, RPC);
- Layer 6, Presentation, garantisce la crittografia, la codifica e la formattazione dei dati (MPEG, JPEG, TIFF)
- Layer 7, Application, costituito da servizi come e-mail, trasferimento dei file e file server (http, FTP, TFTP, DNS, SMTP, SFTP, SNMP, RLogin, BootP, MIME)
I dispositivi di rete
Le reti aziendali sono composte da architetture che connettono vari dispositivi fisici, in grado di soddisfare almeno un layer funzionale del modello OSI. Tra i dispositivi di rete più diffusi ritroviamo gli hub, gli switch, i router, i bridge e i gateway.
Hub
Gli hub operano nel Physical Layer del modello OSI (livello 1) e hanno la funzione di connettere più dispositivi informatici ad una LAN (Local Area Network). Se opportunamente configurator, un hub può lavorare anche come repeater per evitare tratti di connessione troppo lunghi su connessione cablata, soprattutto quando è richiesto un segnale di elevata qualità.
Switch
Dispositivi di livello 2, operativo nel Data Link layer del modello OSI, gli switch si distinguono per alcune funzioni più intelligenti rispetto all’hub inteso nella sua connotazione più pura di connettore device di una LAN. Lo switch è infatti deputato al trasferimento dei pacchetti di dati. Lo switch riceve i dati dalla macchina mittente e identifica l’indirizzo hardware della macchina di destinazione (es. MAC address), per direzionare I pacchetti in maniera corretta ed esclusiva, in modo che giungano soltanto presso il dispositivo desiderato.
Router
Dispositivi di livello 3, operativi nel Network layer del modello OSI, i router si occupano di trasmettere i pacchetti di dati, individuando il percorso da effettuare tra le molte possibilità che le reti consentono di scegliere. Gli switch analizzano in maniera puntuale i pacchetti e li assegnano agli indirizzi IP necessari per definire il percorso attraverso cui raggiungere la destinazione.
Bridge
Come il nome stesso suggerisce, i bridge consente di articolare le architetture di rete, fungendo da ponti per connettere più host o segmenti tra loro. Il bridge rende quindi possibile il trasferimento dei dati tra i vari segmenti di rete che egli stesso connette, identificando ogni device grazie al suo MAC Address. Data la sua duplice funzione, il bridge si colloca sia al livello 1 (Physical Layer) che al livello 2 (Data Link Layer) del modello OSI.
Gateway
La sua funzione principale consiste nel collegare tra loro differenti reti informatiche, ad esempio due o più LAN, ma è piuttosto frequente trovare la funzione di gateway su dispositivi di rete dotati di funzionalità ibride, grazie ad applicazioni che si collocano ad un livello più elevato rispetto all’hardware di rete, come il routing, il proxy DNS, il firewall, il NAT, ecc. Il gateway opera almeno al livello 4 (Transport Layer) e al livello 5 (Session Layer) del modello OSI.
I dispositivi di sicurezza
I dispositivi sovracitati consentono di dare forma alle reti informatiche. La network security si pone quale obiettivo primario il loro mantenimento in sicurezza, attraverso l’impiego di una gamma molto ampia di dispositivi di sicurezza, di cui ci limiteremo ad elencare alcuni tra i più diffusi, specificando le loro funzionalità distintive.
Network firewall (firewall di rete)
Si tratta dei dispositivi di sicurezza più rilevanti a livello di business nel mercato della network security. Secondo i dati rilevati da una recente analisi svolta da Doyle Research, i firewall costituirebbero da soli ben il 40% della spesa dedicata dalle aziende alla sicurezza delle loro reti.
La definizione “muro di fuoco” rende bene l’idea di una prima linea difensiva nei confronti delle minacce provenienti dalla rete. Possono configurarsi sia a livello hardware, con dispositivi dedicati, o più semplicemente a livello software. La loro funzione consiste nel controllare il traffico di rete in ingresso e in uscita, in modo da garantire che la rete interna al perimetro di sicurezza aziendale, ritenuta attendibile, non venga inquinata dai rapporti con la rete esterna, ritenuta inattendibile, come nel caso della rete internet, di cui non possiamo essere certi a priori in termini di sicurezza informatica.
Il traffico in ingresso e in uscita viene gestito filtrando i dati in base alle policy di sicurezza configurate dagli admin in merito a stato, porte e protocolli. Il firewall è pertanto in grado di operare in automatico sui dati che attraversano bidirezionalmente il perimetro di sicurezza aziendale, generando log e alert che i responsabili della sicurezza possono analizzare in caso di possibili anomalie. I dati che non rispettano le condizioni previste vengono in ogni caso automaticamente filtrati dal firewall, in attesa di ricevere ulteriori disposizioni in merito alla possibilità di applicazione possibili eccezioni.
Esistono varie categorie di firewall, in base alla tecnologia utilizzata. I più evoluti sono i cosiddetti Next Generation FireWall (NGFW) in quanto si configurano come i più completi, oltre ad essere dotati di funzionalità Intrusion Prevention System (IPS), capaci di supportare anche strategie di sicurezza basate su un approccio proattivo.
Intrusion prevention system (IPS)
Un Intrusion Prevention System (IPS) corrisponde generalmente ad un software deputato al monitoraggio continuo delle attività di rete, ai fini di rilevare le possibili intrusioni malevole. Attraverso una visibilità in tempo reale sulle attività di rete e di sistema, gli IPS sono in grado di analizzare i dati per rilevare possibili anomalie rispetto alle condizioni standard o predefinite dalle policy di sicurezza. Tali anomalie possono costituire dei falsi allarmi o essere sintomatici di un possibile attacco informatico.
Grazie all’impiego di tecniche di Machine Learning, gli IPS di moderna generazione sono in grado di analizzare anche enormi quantità di dati in tempo reale, migliorando progressivamente la qualità del loro operato. Sulla base della tipologia specifica, l’analisi di un IPS può coinvolgere molteplici aspetti oltre al già citato rilevamento delle anomalie. Le funzioni di euristica tipiche di un software antivirus consentono ad esempio di scoprire la presenza di codice malevolo all’interno delle applicazioni.
Le funzionalità IPS sono correntemente integrate sia nei già citati next generation firewall che in applicazioni per la gestione unificata delle minacce (UTM).
Unified threat management (UTM)
La gestione unificata delle minacce (UTM) integra in un’unica applicazione una serie di funzioni solitamente disponibili in varie circostanze, avente quale denominatore comune la network security. Gli UTM comprendono quindi funzionalità antivirus associate ad altri servizi di sicurezza, come le VPN, la gestione degli accessi da remoto e dei sistemi di autenticazione e i filtri URL, per impedire l’accesso a siti potenzialmente nocivi.
L’obiettivo primario di un software UTM è quello di rendere disponibile attraverso un’unica interfaccia di gestione, nel modo più semplice possibile, una serie di funzioni altrimenti piuttosto complesse da gestire. Il suo valore aggiunto non risiede tanto nella qualità dei singoli strumenti, quanto nella governance della sicurezza aziendale, per consentire di raggiungere un livello di sicurezza complessivo sempre più elevato.
Grazie a queste caratteristiche, gli UTM sono particolarmente indicati per la network security delle PMI.
Advanced network threat prevention
Si tratta di applicazioni specializzate nel rilevare e bloccare l’azione dei malware evoluti, in particolare per quanto concerne gli attacchi APT (Advanced Persistent Threat), che non mirano a produrre danni evidenti, ma a mimetizzarsi in maniera silente all’interno della rete, per attività di cyberspionaggio, esfiltrazione dati o fungere da nodo di una botnet o da cavallo di troia per attacchi successivi.
Gli strumenti di advanced network threat prevention utilizzano funzionalità antivirus come l’euristica, l’analisi del codice, l’analisi statistica e l’emulazione, avvalendosi di tecniche di machine learning sempre più sofisticate ed efficaci nell’analisi dei dati, grazie alla continua crescita del bagaglio di conoscenze su base empirica.
Una volta individuato, l’agente malevolo viene isolato in una sandbox, per essere analizzato in ogni suo aspetto in un contesto inoffensivo per il sistema informatico. Questo livello di analisi si rivela necessario soprattutto nei confronti dei malware scritti per eludere facilmente i sistemi antivirus o nuovi malware, pertanto ignoti allo storico dei database che gli antivirus stessi impiegano per incrementare il proprio livello di conoscenza.
L’azione congiunta degli IPS e dei software di advanced network threat prevention consente di raggiungere standard qualitativi decisamente apprezzabili nella network security.
Network access control (NAC)
Il network access control (NAC) è un approccio di network security che opera sulla visibilità della gestione degli accessi alla rete, determinando ciò che qualsiasi utente, sulla base dei suoi privilegi, può effettuare sulla rete stessa. Il NAC definisce pertanto le policy, le procedure, i protocolli e le applicazioni per regolare automaticamente l’accesso alla rete.
Ne consegue che soltanto i dispositivi autorizzati possono autenticarsi con successo ed accedere alle risorse presenti nell’infrastruttura di rete, mentre tutti gli altri vengono regolati secondo le regole pre-impostate, bannandoli, mettendoli in quarantena o lasciandoli in una situazione di stand-by fino all’intervento di un operatore umano. Grazie al controllo degli accessi alla rete, un NAC impedisce ad un endpoint non sicuro di infettare o determinare situazioni non sicure all’interno della rete.
Cloud access security broker (CASB)
I cloud access security broker (CASB) sono definiti in questo modo per il fatto di agire da intermediari tra gli utenti e le applicazioni e i dati presenti in cloud. A livello software possono essere distribuiti sia on-premise che direttamente in cloud e si occupano di capire cosa succede ogni volta che avviene un accesso tra l’infrastruttura IT in locale, ivi compresi gli endpoint mobile a disposizione dei dipendenti, e i servizi offerti dai CSP (cloud service provider).
I CASB consentono quindi di garantire una maggior sicurezza nell’impiego del cloud pubblico evitando soprattutto le azioni nocive nei confronti dei dati, soprattutto in maniera coerente con le policy aziendali. Le funzionalità CASB estendono la possibilità delle aziende e degli enti operanti in settori fortemente regolamentati di “fidarsi” del cloud pubblico, grazie al rigoroso controllo degli accessi di questi ambienti, collocati all’esterno del perimetro on-premise.
Gli applicativi CASB consentono quindi di profilare e autenticare in maniera estremamente puntuale tutti gli endpoint che accedono ai servizi in cloud, con funzionalità più o meno specifiche nei confronti della protezione dal malware e della compromissione dei dati.
DDoS mitigation
Gli attacchi DDoS (Distributed Denial of Services) paralizzano di fatto un’infrastruttura IT, sovraccaricandone le risorse e rendendola inservibile per l’abituale erogazione dei suoi servizi. La grande diffusione di questo genere di attacchi, condotta molto spesso grazie all’azione coordinata di una botnet, ha reso di fatto indispensabile lo sviluppo di strumenti ad hoc per prevenirne e mitigarne l’impatto.
La mitigazione DDoS non coincide con una singola applicazione, ma è definibile come un insieme di tecniche, processi e strumenti che consentono ai server connessi ad una rete di non essere sovraccaricati dagli attacchi DDoS.
Si tratta di procedure concettualmente abbastanza semplici, ma piuttosto articolate da mettere in atto, che si basano su una solida fase di assessment, utile a conoscere il ruolo e i carichi abitualmente gestiti dai server connessi ad una rete. Consapevoli delle vulnerabilità che gli attacchi DDoS sfruttano per penetrare i sistemi di sicurezza, le applicazioni di mitigazione riescono a rilevare le anomalie di traffico ed attivare una serie di procedure utili a dirottare l’azione malevola verso altri server, opportunamente predisposti per garantire la continuità di business delle macchine principali. Quella descritta è soltanto una delle possibili strategie che le aziende specializzate nella mitigazione degli attacchi DDoS garantiscono per la network security dei loro clienti.
Network behavior anomaly detection (NBAD)
Le soluzioni NBAD concentrano la loro operatività nel rilevare il comportamento anomalo attraverso il monitoraggio in tempo reale del traffico di rete. La maggior parte di questi strumenti cerca di identificare le deviazioni rispetto all’attività ritenuta standard, che viene fatta coincidere con il normale funzionamento della rete. Si tratta dunque di un ottimo alleato per qualsiasi perimetro di sicurezza aziendale, in quanto consente di rilevare proprio quegli agenti malevoli progettati per eludere i tradizionali sistemi di sicurezza.
Quando un agente NBAD rileva una potenziale anomalia genera automaticamente un alert, completo di tutti i dettagli necessari per inquadrare gli estremi della minaccia. Tali informazioni costituiscono la base per i successivi livelli di indagine coordinati dai SOC e dagli IRT. La logica operativa di un NBAD moderno, che si avvale di tecniche di Machine Learning, diventa efficace nel medio e lungo periodo, in quanto il continuo monitoraggio del comportamento del traffico della rete gli consente di definire con un livello sempre maggiore di precisione la condizione normale, rispetto alla quale può rilevare le deviazioni anomale.
