Protezione di rete: I quattro capisaldi per la protezione degli endpoint

Focalizzando l’attenzione su questi aspetti fondamentali della protezione di rete, sarà possibile tenere lontani gli utenti malintenzionati e conservare i dati importanti.

Dan Griffin

Le reti aziendali e le relative risorse sono sottoposte a costanti attacchi di utenti malintenzionati. Per farla breve, il perimetro di rete aziendale è completamente permeabile. Quando si utilizza un'infrastruttura IT protetta, il principale obiettivo della maggior parte delle aziende consiste nel mantenere una continuità aziendale costante. Tuttavia, poiché gli utenti malintenzionati possono compromettere il computer, il dispositivo mobile, il server o un'applicazione dell'utente, si verificano spesso tempi di inattività negli ambienti aziendali.

Un attacco DDos (Distributed Denial of Service) è un tipo di attacco che può comportare compromissioni in termini di ampiezza di banda disponibile. È importante notare che esistono anche molte altre condizioni che possono comportare un eccessivo carico della rete. Ad esempio, la condivisione di file peer-to-peer, un utilizzo eccessivo dello streaming video e un utilizzo eccessivo di picco di un server interno o esterno (ad esempio, il venerdì nero del settore delle vendite al dettaglio) possono comportare un peggioramento dell’esperienza di rete sia per gli utenti interni che per i clienti esterni.

Lo streaming video è un altro esempio calzante di applicazione estremamente esosa in termini di banda di rete ed esistono diversi tipi di aziende che dipendono sempre di più dalla disponibilità di banda per le proprie attività aziendali principali. Le aziende distribuite geograficamente la utilizzano per le comunicazioni tra le sedi, le aziende per la gestione dei marchi la utilizzano per le campagne pubblicitarie e l’esercito la utilizza per attività di comando e controllo.

Tali condizioni hanno comportato situazioni precarie. L’attacco DDoS è un attacco semplice da avviare; lo streaming video è altamente dipendente dalla disponibilità di banda; le reti sono già sovraccaricate anche in casi ottimali e le aziende dipendono sempre di più da tali tecnologie.

I responsabili IT devono essere preparati. Devono modificare i propri approcci e le proprie modalità di pianificazione a lungo termine in merito all’utilizzo delle risorse, alla protezione dei dispositivi presenti nella rete e alla protezione della banda di rete così fondamentale. Questo modello di protezione degli endpoint consente di allineare tale approccio alle realtà moderne.

I quattro capisaldi

La premessa alla base dei Quattro capisaldi consiste nel fare in modo di garantire un livello di prestazioni di rete accettabile anche in caso di attacchi. Il primo passaggio prevede l’identificazione degli endpoint. Cosa è un endpoint? In questo modello, un endpoint rappresenta uno dei seguenti componenti in cui si svolgono effettivamente le attività: desktop, server e dispositive mobili.

A fronte di tale definizione, è essenziale disporre di una strategia di protezione degli endpoint. La strategia che abbiamo denominato “I quattro capisaldi per la protezione degli endpoint” ha i seguenti obiettivi:

• Proteggere l’endpoint contro gli attacchi
• Attivare sugli endpoint funzionalità di autoriparazione
• Salvaguardare la larghezza di banda di rete disponibile
• Attivare sulla rete funzionalità di autoriparazione

A fronte di ciò, di seguito sono riportati i Quattro capisaldi per una protezione efficiente degli endpoint:

• Protezione avanzata degli endpoint
• Resilienza degli endpoint
• Assegnazione delle priorità di rete
• Resilienza di rete

Per ciascun caposaldo, esistono diversi altri obiettivi da considerare. Innanzitutto, è consigliabile automatizzare il processo il più possibile. Dopo tutto, sono disponibili solo un determinato numero di ore nell’arco della giornata e i responsabili IT hanno già il proprio calendario degli appuntamenti al completo.

In secondo luogo, sarebbe opportuno poter monitorare a livello centrale la rete per poter individuare qualsiasi evento in tempo reale. Benché uno degli scopi dei due capisaldi relativi alla resilienza consista nel ridurre proprio il carico di lavoro associato al monitoraggio il più possibile, alcune volte è necessario implementare modalità di difesa e contromisure. Inoltre, le apparecchiature talvolta si guastano anche in condizioni normali.

In terzo luogo, è necessario implementare un meccanismo di feedback loop. Poiché gli attacchi diventano sempre più sofisticati, dobbiamo riconoscere che le nostre difese non reggeranno salvo nel caso in cui non faremo costantemente investimenti mirati a rafforzarle. Allo stesso tempo, dobbiamo riconoscere che gli investimenti nella protezione delle reti sono da sempre difficili da giustificare come costi aziendali fondamentali.

Questo è il motivo per cui il monitoraggio e il feedback sono fattori essenziali. Migliore sarà il modo in cui comprenderemo e potremo dimostrare gli effettivi attacchi e minacce che si verificano sul nostro perimetro e all’interno della rete, migliore sarà il modo in cui potremo giustificare l’attenzione e i costi da sostenere per la protezione di tali risorse aziendali.

Protezione avanzata degli endpoint

L’obiettivo del primo caposaldo, ovvero la protezione avanzata degli endpoint, consiste nel garantire che sulle risorse di rete vengano utilizzate le tecnologie più recenti per difendersi contro le minacce. Tra le minacce più comuni sono compresi allegati di posta elettronica non sicuri, virus di tipo worm che si propagano nella rete e qualsiasi elemento che possa rappresentare una minaccia per i browser Web.

Un esempio di una contromisura contro gli attacchi è rappresentato dal software antivirus/anti-malware. Un altro esempio è rappresentato dall’isolamento o sandbox dei processi applicativi dei computer da malware potenziale mediante l’impiego di livelli di integrità obbligatori imposti dal sistema operativo. Questo tipo di protezione viene applicata a Internet Explorer versioni 7 e 8 in Windows Vista e Windows 7.

Un miglioramento che risulterebbe d’aiuto sarebbe la capacità di distribuire e gestire le impostazioni di isolamento a livello centrale per l’intero host. Per poter risultare utile, tale capacità dovrebbe essere implementata in modo tale che le applicazioni di terze parti vengano eseguite senza interruzioni in completa protezione.

Quindi, in che termini il monitoraggio è riconducibile a questo caposaldo? Occorre monitorare le risorse di rete contro le intrusioni in modo scalabile. Occorre inoltre monitorare eventuali schemi di comportamento imprevist0069.

Resilienza degli endpoint

L’obiettivo della resilienza degli endpoint è garantire che vengano costantemente raccolte e monitorate le informazioni sull’integrità dei dispositivi e delle applicazioni. In tal modo, eventuali dispositivi o applicazioni non funzionanti possono essere automaticamente riparati e consentire la normale prosecuzione delle attività aziendali.

Le seguenti tecnologie sono esempi con cui è possibile rendere gli endpoint maggiormente resilienti: Protezione accesso alla rete, configurazioni di riferimento e strumenti di gestione quali Microsoft System Center. Un miglioramento in questo ambito potrebbe consistere nell'associare tali tecnologie per produrre un comportamento di autoriparazione basato su linee di base standardizzate e semplici da estendere.

In che termini il monitoraggio è riconducibile a questo caposaldo? Consideriamo le tendenze rilevate in tutti i seguenti ambiti: quali macchine specifiche non sono conformi? In che modo non sono conformi? Inoltre, quando si verifica tale condizione di non conformità? Tutte queste tendenze possono portare a conclusioni di minacce potenziale, sia che si tratti di una minaccia interna o esterna, un errore di configurazione, un errore dell'utente e così via. Inoltre, quando tali minacce vengono identificate in questo modo, è possibile rendere gli endpoint sempre più affidabili a fronte di attacchi sempre più sofisticati e distribuiti.

Assegnazione delle priorità di rete

L’obiettivo dell’assegnazione delle priorità di rete consiste nel garantire che l’infrastruttura soddisfi sempre le esigenze di banda delle applicazioni. Tale considerazioni si applica non solo durante i ben noti orari di picco delle richieste, ma anche quando si verificano sovraccarichi di rete e attacchi esterni ed esterni distribuiti imprevisti.

Tra le tecnologie in grado di gestire la larghezza di banda richiesta delle applicazioni, sono incluse DiffServ e QoS. Tuttavia, questo caposaldo rappresenta la più grande lacuna in ambito tecnologico tra le esigenze reali e i prodotti disponibili in commercio. In futuro, sarebbe utile disporre di soluzioni per integrare l’identità degli utenti, l’identità delle applicazioni e le priorità aziendali. Inoltre, i router di rete potrebbero automaticamente partizionare la larghezza di banda in base a tali informazioni.

In che termini il monitoraggio è riconducibile a questo caposaldo? I router di rete dovrebbero essere in grado di registrare i flussi di dati per successive analisi delle tendenze. In che modo i flussi di dati odierni differiscono da quelli passati? Ci troviamo di fronte a un aumento del carico? Quali sono i nuovi indirizzi coinvolti? Si tratta di indirizzi esteri? Un monitoraggio efficiente e completo consente di fornire le risposte a queste domande.

Resilienza di rete

L’obiettivo della resilienza di rete è consente un failover delle risorse senza interruzioni. Le tecniche utilizzate in questi ambiti idealmente consentono di riconfigurare la rete in tempo reale nel caso di una riduzione delle prestazioni. Questo caposaldo è simile alla resilienza degli endpoint per il fatto che ha l'obiettivo di facilitare funzionalità di autoriparazione della rete volte a ridurre al minimo il carico di gestione.

Tuttavia, questo caposaldo pone l’attenzione anche al fatto che è necessario considerare il failover e la ridondanza su larga scala e su scala ridotta. Ad esempio, è possibile utilizzare tecnologie di clustering per garantire il failover di un singolo nodo all'interno di un datacenter, ma come è possibile garantire il failover di un intero datacenter o di un'intera area? In verità, il problema della pianificazione dei ripristini di emergenza è ben più ampio, in quanto è necessario inoltre considerare lo spazio per uffici, i servizi di base e, elemento più importante, il personale.

Oltre al clustering, esistono altre tecnologie correlate nell’ambito di questo caposaldo, tra cui la replica e la virtualizzazione. In che termini il monitoraggio è riconducibile a questo caposaldo? Le tecnologie di fai lover in genere sono basate sul monitoraggio. Inoltre, è possibile utilizzare i dati relativi al carico per la pianificazione delle risorse e degli approvvigionamenti in base all’evolversi delle esigenze aziendali.

Come rispettare ciascun caposaldo

Per ciascuno di questi quattro capisaldi per la protezione degli endpoint, esistono probabilmente in commercio tecnologie di protezione, di rete e di continuità sottoutilizzate o non ancora distribuite dalla maggior parte delle organizzazioni. Pertanto, i responsabili IT hanno le seguenti opportunità:

• Utilizzare i quattro capisaldi o un altro sistema simile per identificare le minacce e le lacune delle difese di rete
• Investire ulteriormente in strumenti di automazione e monitoraggio
• Parlare e informare più a stretto contatto con i responsabili decisionali aziendali in merito ai costi e ai benefici di tali investimenti

Alcune aziende potrebbero disporre già delle tecnologie più recenti disponibili sul mercato in uno o più degli ambiti associati ai capisaldi. Tuttavia, esistono una vasta gamma di opportunità anche per l’imprenditore. Il fattore fondamentale è il cambiamento del proprio modo di pensare in modo da soddisfare ciascuno dei Quattro capisaldi, in quanto ciascuno di essi è essenziale.

Dan Griffin è un consulente esperto nella protezione del software che risiede a Seattle. È possibile contattarlo all'indirizzo www.jwsecure.com

Contenuto correlato

• Windows 7: Protezione in Windows 7
• Microsoft Forefront: Utilizzo di Microsoft Forefront TMG 2010 come gateway Web di sicurezza
• Esperto a tutto tondo: AppLocker: La protezione primaria è una panacea?