Il mio viaggio oltre il perimetro: Perché i firewall da soli non possono proteggere i vostri dati

Il mio viaggio oltre il perimetro: Perché i firewall da soli non possono proteggere i vostri dati

La mia prima interazione con un firewall è stata con un TIS Gauntlet che ho compilato su una workstation Sun nel 1994. Da allora, ho lavorato con i firewall di Checkpoint (quando i file di configurazione erano file flat in chiaro e l’assistenza era fornita solo dalla loro sede centrale in Israele), Raptor, Pix (quando si avviavano da un floppy da 3 ¼”) e infine i firewall Cisco ASA, FortiGate e Palo Alto di oggi.

Con l’emergere di diversi casi d’uso, abbiamo iniziato a collegare al firewall altri dispositivi, come IDS, gateway di posta elettronica e filtri di ispezione degli URL. Con il tempo, il firewall ha iniziato ad assomigliare a un albero di Natale e la risoluzione dei problemi dei flussi di traffico ha richiesto competenze simili a quelle necessarie per districare le luci dell’albero.

Con il decollo dell’adozione del cloud, sono passato ai modelli cloud per la sicurezza: La configurazione centrale di Illumio per i firewall del sistema operativo e NSX di VMware, che prevedeva il firewalling nell’hypervisor. È sufficiente dire che: Ho fatto firewalling in quasi tutti i modi immaginabili. Dopo decenni di firewalling in decine di modi diversi, il brontolio di fondo persisteva. I firewall, pur essendo di fondamentale importanza, non riescono a risolvere problemi come insider threats, il phishing e il malware.

Negli ultimi mesi ho appreso alcune rivelazioni che hanno cambiato il paradigma e che hanno portato a un cambiamento di carriera.

I firewall non hanno un quadro completo della situazione

La sicurezza perimetrale ha un difetto fondamentale nel suo approccio: un firewall perimetrale tratta il traffico in modo binario. Un flusso di traffico o è consentito o non è consentito. Ma il mondo ha molte sfumature. La stessa risorsa a cui posso accedere da casa potrebbe non essere una risorsa a cui dovrei accedere da una caffetteria con Wi-Fi condiviso, ad esempio, anche se sto usando il mio login aziendale su un laptop aziendale. In altre parole: l’IP di origine, l’IP di destinazione e la porta costituiscono un insieme di dati incompleto e una decisione di accesso deve tenere conto del contesto, come il comportamento precedente dell’utente.

Un prodotto completo come ZeroTrust Network Access (ZTNA) prende decisioni basate su un’equazione di accesso che tiene conto del comportamento dell’utente e del livello di rischio del dispositivo. Con l’accesso condizionato continuo, Lookout si adatta e risponde ai cambiamenti delle circostanze durante la sessione.

Ma l’accesso da solo non è sufficiente. Questo mi porta al prossimo punto:

È tutta una questione di dati

La questione della sicurezza non dovrebbe essere limitata all’accesso del mio laptop a un’applicazione perché, in fin dei conti, non è l’applicazione a preoccupare. Le informazioni sanitarie protette (PHI) e le informazioni di identificazione personale (PII), che sono soggette a multe HIPAA e PCI se trapelano, sono dati, non applicazioni. Gli elenchi dei clienti, i brevetti, le ricette segrete e persino il codice sorgente del software sono tutti dati.

Le applicazioni servono a manipolare i dati

Tutti i server o gli indirizzi IP che proteggono le applicazioni non risolvono il problema fondamentale dei dati che vi risiedono. L’accesso a queste cose è necessario per svolgere il lavoro, ma sono solo alcuni dei dati a essere sensibili. In fin dei conti, le app aziendali sono un mezzo per manipolare i dati: raccolgono i dati, li massaggiano o li visualizzano.

Inoltre, c’è un falso senso di sicurezza che deriva dal proteggere solo le app. Solo perché l’app ha un accesso controllato, non significa che i dati stessi siano protetti. Questo pensiero binario si traduce in un accesso limitato a causa della presenza di alcuni dati sensibili, che limita l’attività, o in un accesso eccessivamente generoso, che introduce rischi. Inoltre, a meno che i contenuti dei dati dell’app non vengano rivisti a ogni rilascio, le ipotesi di accesso all’app sono un indicatore molto scarso della sicurezza dei dati.

I dati si presentano in tutte le forme

Infine, dobbiamo riconoscere che i dati esistono in tutte le forme, non solo nei database. Ci sono fogli di calcolo con numeri di fatturato e molte altre forme di dati che devono essere protetti perché… si tratta di dati! Pertanto, la prevenzione della perdita di dati (DLP) è essenziale per il vostro stack di sicurezza.

La protezione dei dati non deve per forza ostacolare la collaborazione

Nei primi anni pensavo che la protezione dei dati inibisse la collaborazione. Consideravo la protezione dei dati attraverso la mia lente perimetrale binaria di consentire/disconsentire. Pensavo che i dati fossero un blob amorfo a cui si consentiva o non consentiva l’accesso nel suo complesso. Quando finalmente ho visto che i contenuti potevano essere condivisi con le parti più sensibili eliminate, sono rimasto a bocca aperta.

Si tratta di un gioco completamente nuovo: i documenti con dati sensibili possono essere condivisi, a condizione che i dati sensibili vengano automaticamente redatti. Quando la preoccupazione per la sensibilità viene tolta all’utente e affidata allo strumento, la collaborazione diventa più facile e la sicurezza aumenta. L’effettivo numero di previdenza sociale o di carta di credito è importante per l’identificazione del record, ma non ha la stessa importanza dei dati associati a quell’identificatore.

Il mondo binario “allow/disallow” ha favorito il movimento dell’IT ombra, ma utilizzando i moderni strumenti per i diritti digitali, come l’EDRM (Enterprise Digital Rights Management), è possibile effettuare controlli intelligenti, come l’eliminazione degli utenti esterni da una condivisione quando vengono presentati dati sensibili o la crittografia proattiva che garantisce l’accesso ai dati solo agli utenti autorizzati.

La perdita di dati non è solo un problema di server

Una recente rivelazione è stata l’idea che la perdita di dati avviene spesso negli endpoint mobili. I dispositivi smarriti o rubati sono all’origine di oltre due terzi delle violazioni di informazioni sanitarie elettroniche protette (ePHI). Questo ha senso, dato che le applicazioni mobili spesso prelevano dati da altre applicazioni. Ma un aspetto a cui non ho pensato è l’idea che i dati possano trapelare lateralmente. Dal punto di vista del consumatore, sono solo i miei dati a essere scambiati dalle app, e presumibilmente ho acconsentito alla condivisione dei dati. Dal punto di vista aziendale, invece, questo significa che i dipendenti che scaricano un allegato a un’e-mail di lavoro o lo inviano a un collaboratore potrebbero essere un altro punto di fuga dei dati.

Le preoccupazioni relative alle prestazioni non si applicano nel mondo cloud-native

In qualità di esperto di firewall di lunga data, ho imparato a conoscere il compromesso tra ispezione di sicurezza e prestazioni che definiva le appliance. In quanto tale, vivevamo in un mondo di sicurezza sufficiente a causa delle limitazioni delle prestazioni. Con i servizi nati nel cloud, queste tradizionali preoccupazioni sulle prestazioni si sono dissolte. I prodotti di sicurezza cloud-native possono ora integrare le appliance per eseguire ispezioni di sicurezza a un livello che prima era impossibile.

Ora credo che i firewall, pur essendo necessari, non siano sufficienti. Dobbiamo evolvere il nostro modo di pensare la sicurezza da una visione perimetrale, incentrata sul controllo degli accessi, a una visione incentrata sui dati distribuiti. Non si tratta più di proteggere l’accesso al castello, ma di custodire i gioielli.

Fonte: Lookout – Maria Teigeiro

 

Endpoint protection vs Antivirus

Endpoint protection vs Antivirus

Cosa è l’endpoint protection?
L’endpoint protection è il nome che viene dato alle soluzioni di sicurezza che proteggono gli endpoint, come computer desktop, portatili e altri dispositivi che si connettono ad una rete. L’endpoint protection può essere realizzato utilizzando soluzioni locali, come il software installato sull’endpoint stesso. In molti casi, implica una soluzione gestita centralmente su un server, che protegge ogni endpoint connesso alla rete.

L’endpoint è spesso l’anello più debole dell’organizzazione, soprattutto se utilizzato per connettersi a Internet, poiché funge da porta attraverso cui malware e altre minacce alla sicurezza possono accedere alla rete. È essenziale che ogni “porta” dell’endpoint sia ben difesa, per proteggere la rete da violazioni della sicurezza e attacchi mirati, nello stesso modo in cui una persona blocca la porta d’entrata della propria casa per proteggere i propri oggetti di valore. Tale soluzione aiuta a prevenire perdite finanziarie, perdite di dati e tempi di fermo che possono verificarsi quando una rete viene compromessa.

Cosa è l’antivirus?
Il software antivirus è forse la soluzione più conosciuta per proteggere un endpoint dalle minacce alla sicurezza. Spesso, anche se non sempre, una soluzione locale richiede l’installazione su ciascun endpoint. L’antivirus funziona analizzando i file in arrivo confrontandoli con il proprio database di minacce note. Se rileva una minaccia, l’antivirus avvisa l’utente e mette in quarantena o elimina il file problematico. È un passo efficace ed essenziale verso la protezione dell’endpoint da minacce alla sicurezza conosciute.

Tuttavia, l’antivirus in sé non è sinonimo di protezione degli endpoint. L’endpoint protection si riferisce a un sistema completo di diverse tecniche di sicurezza, mentre l’antivirus è solo una di quelle tecniche: è cruciale, ma è solo una parte del quadro generale.

Altri metodi di protezione degli endpoint
Esistono numerosi metodi di protezione degli endpoint che possono essere utilizzati in combinazione con software antivirus quali:

  • Firewall: un firewall può essere un software o un dispositivo hardware. Il suo ruolo principale è quello di controllare il traffico dati in ingresso e in uscita da una rete. Il firewall può essere impostato per concedere diverse autorizzazioni a diversi utenti o endpoint sulla rete, controllando chi può utilizzare la rete e per quale scopo, impedendo nel contempo l’accesso non autorizzato e bloccando le connessioni rischiose. Ciò garantisce che le potenziali minacce siano bloccate prima che abbiano la possibilità di fare del male. Il rovescio della medaglia è che alcuni firewall sono troppo zelanti – bloccando applicazioni innocue, che possono irritare gli utenti, portando a chiamate ripetute e frenetiche all’helpdesk.
  • Filtro URL: la tecnologia di filtraggio degli URL controlla quali siti Web sono accessibili in base ad un elenco di filtri URL. Di solito, le organizzazioni utilizzano un database di filtri URL esistenti, scegliendo le categorie che desiderano bloccare, ad esempio i siti Web di phishing o pubblicitari noti. Le liste possono anche essere personalizzate. Questo è un ottimo modo per impedire agli utenti di visitare accidentalmente siti Web che li renderebbero vulnerabili alle infezioni da malware e ad altre violazioni della sicurezza. Sfortunatamente, non è pratico o possibile includere tutti i possibili URL dannosi: gli elenchi di URL saranno infiniti e i criminali informatici creeranno nuovi domini a un ritmo più veloce di quanto qualsiasi elenco possa tenere traccia, consentendo loro di eludere i filtri. Inoltre, le minacce possono essere incorporate anche nei siti Web più benigni.
  • Endpoint Detection and Response (EDR): una soluzione EDR monitora il comportamento dell’endpoint e rileva qualsiasi attività anomala che potrebbe indicare una minaccia alla sicurezza. Gli strumenti EDR forniscono un monitoraggio continuo, raccogliendo informazioni in un database centrale per l’analisi comportamentale e il reporting, il tutto senza influire sulla funzionalità degli endpoint. Ciò consente l’identificazione tempestiva delle minacce note e una rapida risposta a tali minacce. EDR si basa su sofisticate intelligenze comportamentali, ma è ancora un metodo di rilevamento, alla ricerca di minacce esistenti sugli endpoint e in risposta a esse. Se alcune minacce sconosciute superano il rilevamento, potrebbero facilmente compromettere una rete.

Che dire delle minacce sconosciute e zero-day?
Fornendo prevenzione, rilevamento e ripristino, tutti i suddetti metodi di protezione degli endpoint creano una barriera molto forte contro le minacce alla sicurezza note. Ma gli hacker sofisticati creano sempre nuove minacce basate sul Web che possono aggirare anche le più rigorose tecniche di rilevamento. Queste minacce sconosciute – spesso note come minacce zero-day, non compariranno ancora nei database dei virus o negli elenchi di filtri URL e il modo in cui si comporta la minaccia potrebbe essere diverso da qualsiasi altra soluzione EDR vista in precedenza. Per mitigare queste minacce, è richiesto un altro livello di protezione degli endpoint.

Isolamento remoto del browser – colmare il divario
I web browser rappresentano il punto di accesso per eccellenza su qualsiasi dispositivo endpoint, rendendoli la principale fonte di attacchi agli utenti secondo analisti come Gartner. Mentre gli strumenti basati sul rilevamento svolgono un lavoro eccellente per affrontare minacce note che potrebbero altrimenti penetrare attraverso il browser, Remote Browser Isolation (RBI) protegge gli endpoint contro minacce web zero-day sconosciute che altri metodi non sono in grado di contrastare. Per l’utente, la navigazione avviene normalmente, utilizzando un normale browser. In background, tuttavia,  la soluzione di isolamento remoto del browser è impegnata al lavoro, eseguendo tutto il codice eseguibile del browser lontano dall’endpoint, in un contenitore virtuale isolato situato in cloud o su una rete DMZ. All’utente viene fornito un flusso di contenuti pulito, trasparente e interattivo, mentre nessun codice attivo, dannoso o meno, può accedere all’endpoint o alla rete. Non appena l’utente chiude il browser, il contenitore virtuale stesso viene distrutto – insieme a qualsiasi ransomware, malware o altro codice dannoso al suo interno.

Protezione degli endpoint da ogni angolazione
Per proteggere adeguatamente la tua rete nel modo migliore possibile, i tuoi endpoint devono essere protetti da ogni angolazione. Il software antivirus è solo un elemento. Inoltre, per proteggere i tuoi endpoint dalle minacce conosciute, sfrutta il miglior firewall, le soluzioni di filtro URL e gli strumenti EDR. Infine, implementa soluzioni come RBI che proteggono gli endpoint da minacce sconosciute e zero-day che tentano di penetrare nell’organizzazione tramite browser web.

Per maggiori informazioni leggi la documentazione di Ericom Shield

Download “Documentazione Ericom Shield” Shield-datasheet-NOV-A4-003.pdf – Scaricato 539 volte – 1.003 KB

Fonte: Ericom Software