La storia è sempre una maestra da seguire e anche l’informatica ne ha tratto ispirazione. Le strategie di difesa dalle cyber-minacce sono spesso derivate dalla storia militare, in particolare il concetto di difesa in profondità deriva da uno degli episodi chiave della Seconda Guerra Mondiale: la battaglia di Kursk. Di fronte alla più grande forza corazzata della storia, messa in campo da Hitler, i Russi organizzarono un sistema di difesa profondo ben 175 chilometri, con otto linee di protezione, trincee, bunker, campi minati e unità corazzate distribuite. In questo modo poterono contenere e poi soverchiare un assalto sulla carta inarrestabile, invertendo le sorti del conflitto sul fronte russo.

Come i Russi a Kursk, anche noi sappiamo che ci troveremo ad affrontare un attacco in forze da parte del nemico - i cybercriminali - senza però conoscerne con precisione la natura. Sappiamo che, statisticamente, l’attacco arriverà crittografato, via email e con una importante componente di ingegneria sociale per sfruttare l’anello debole della catena di sicurezza: l’utente umano.

È questo lo scenario per cui dobbiamo organizzare una difesa in profondità, sapendo anche di non dover ragionare come se dovessimo proteggere un castello.
Un’azienda dal punto di vista della “cyber security” è più simile a un aeroporto: pacchetti di dati che entrano ed escono, diverse aree e livelli di sicurezza, misure precauzionali da applicare a tutti perché anche un solo “passeggero” potrebbe compromettere tutto il sistema. Ma come si protegge in profondità un aeroporto? Mettendo in campo, in modo mirato, diverse tecnologie e meccanismi di difesa.

Come proteggere l’azienda-aeroporto

Primo passo da compiere: aggiornare il firewall. Deve essere in grado di ispezionare il traffico criptato, decifrandolo per ispezionarlo e re-cifrandolo per consegnarlo alla sua destinazione dopo aver eliminato i contenuti potenzialmente pericolosi. E dato che tutte le infrastrutture IT ormai hanno una parte virtualizzata, servono anche firewall virtuali che le difendano.

La nostra difesa in profondità deve anche tenere conto dei possibili punti vulnerabili. Uno è certamente l’email, quindi dobbiamo usare sistemi che “puliscano” la posta elettronica, eliminando le minacce e le chiamate a tutti i tipi di malware. Ci sono poi le applicazioni web, a volte “legacy” e che nessuno aggiorna da tempo. Presentano seri problemi di sicurezza e richiedono la messa in campo degli application firewall, che difendano anche dagli attacchi mirati a livello applicativo e di tipo DDoS.

Infine, l’endpoint: l’utente umano. Gli antivirus tradizionali basati su firme qui non sono più sufficienti, non riescono a difenderci dagli attacchi zero-day che usano vulnerabilità sconosciute (fino a quel momento) e spesso più vettori di attacco combinati. Per endpoint intendiamo non solo i classici computer con i loro sistemi operativi ma anche i dispositivi mobili massivamente utilizzati. Da non sottovalutare sono soprattutto le vulnerabilità dei processori in stile Spectre e Meltdown. Per tutto questo servono approcci nuovi. E sullo sfondo, trasversalmente, un'intelligence che governi tutti i sistemi di protezione e impari dagli attacchi, per rendere la difesa in profondità più “Intelligente ed Efficace ” nel suo complesso.

Le soluzioni di Sonicwall

Ciascuna linea di difesa e ogni punto vulnerabile richiedono prodotti mirati, di conseguenza Sonicwall ha progressivamente ampliato la sua offerta con soluzioni specifiche che si integrano in maniera trasversale fra loro. Partiamo dall’ultimo anello della catena di difesa: l’endpoint. Qui Capture Client è un anti-malware “leggero” di nuova generazione in grado di rilevare anche attacchi “fileless” e di analizzare localmente il traffico cifrato. Si completa bene con le funzioni di protezione dell’email offerte dalle soluzioni Email Security, che utilizzano tecniche di sandboxing avanzate per rilevare minacce zero-day e possono bloccare anche pericoli più semplici come spam e phishing.
Sonicwall ha lavorato molto per potenziare la sua offerta firewall. Tutti i suoi firewall convenzionali possono decifrare e analizzare il traffico criptato con funzioni di Deep Packet Inspection, hanno visto raddoppiare (e anche più) le prestazioni nella gestione del traffico e prevedono una architettura hardware multi-core scalabile che permette l'ispezione del traffico garantendo una latenza molto bassa. Per gli ambienti virtualizzati, i nuovi firewall virtuali NSv sono disponibili per le piattaforme VMware e Microsoft Hyper-V e per un numero sempre maggiore di cloud come AWS e Microsoft Azure, mettendo sostanzialmente a disposizione le stesse funzioni dei firewall fisici.

Non mancano poi le soluzioni di firewalling a livello applicativo. Gli application firewall virtualizzati della linea WAF permettono di proteggere le applicazioni web, portandovi allo stesso tempo nuove funzioni per aumentarne le prestazioni e per evitare il furto di dati (DLP, Data Loss Prevention).

L’intelligenza trasversale alla difesa in profondità è quella di Capture Security Center, un servizio cloud che consente alle imprese di monitorare e gestire i dispositivi e le applicazioni di Sonicwall. Fornisce anche funzionalità CASB e per il monitoraggio e controllo in tempo reale di qualsiasi applicazione cloud. Questa capacità organizzativa e di connessione fra le varie piattaforme di sicurezza Sonicwall abilita una architettura di cybersecurity davvero completa.
In questo modo, ad esempio, il firewall ispezionando il traffico può rilevare e bloccare il malware noto, ma anche inviare un file sospetto ai motori di sandboxing di Capture Security Center, che ne analizzano il comportamento per identificare eventuali minacce zero-day. La conoscenza sviluppata in questo modo viene poi rapidamente distribuita tra i firewall, perché quella minaccia sia, da quel momento in poi, resa pubblica e condivisa.

Tutta questa tecnologia aiuta a configurare una difesa multilivello in profondità, il che rende molto più difficile per qualsiasi attaccante raggiungere i propri scopi. Ma questo non basta: servono anche una attenzione costante all’efficacia delle difese e la disponibilità a riorganizzarle per renderle più solide, al mutare degli attacchi. Perché, come ha affermato Bruce Schneier (padre della crittografia e della sicurezza informatica): “Se pensate che la tecnologia possa risolvere i vostri problemi di sicurezza, allora non capite i problemi e non capite la tecnologia”.

Fabrizio Cirillo è Senior Manager Channel Sales - Italy di SonicWall