I cambiamenti nel panorama delle minacce e un aumento drammatico del numero e della complessità delle tecnologie che gli amministratori di sistema devono affrontare hanno creato una situazione pericolosa che sta mettendo a rischio la sicurezza:
“Quando ho iniziato a lavorare in questo ruolo, ho subito notato che ci mancava visibilità sui nostri endpoint e sulla nostra rete. Se qualcuno si fosse infettato, non ne avremmo avuto idea… “
– Direttore IT presso una società di tecnologia sanitaria
E non è il solo. Un recente sondaggio degli amministratori IT ha identificato che la maggior parte dei firewall in uso oggi:
- Forza agli amministratori a dedicare troppo tempo alla ricerca delle informazioni di cui hanno bisogno.
- Non fornisce un’adeguata visibilità delle minacce e dei rischi sulla rete.
- Rende troppo difficile capire come utilizzare tutte le loro funzionalità.
Affrontare questa situazione significa adottare un approccio radicalmente nuovo alla sicurezza della rete: uno che possa consentire ai sistemi di sicurezza di lavorare insieme; che semplifichi e ottimizzi i flussi di lavoro; che tagli gli enormi volumi di dati per identificare ciò che è davvero importante.
Come siamo arrivati fin qui?
La verità è che i firewall sono peggiorati quando sono migliorati.
Originariamente i firewall fornivano il filtraggio e il routing dei pacchetti di rete basati su host, porte e protocolli. Avevano rafforzato il confine tra una rete e il resto del mondo e pattugliavano i confini all’interno di quella rete.
Si trattava di firewall efficaci nel limitare l’esposizione dei servizi ai soli computer e reti che avevano bisogno di accedervi, riducendo la superficie di attacco disponibile a hacker e malware dall’esterno.
Ovviamente gli hacker non si fermano mai, quindi gli attacchi si sono evoluti per sfruttare i servizi che i firewall lasciavano esposti: attaccare le vulnerabilità in applicazioni e server o utilizzare il social engineering per ottenere un punto d’appoggio all’interno di una rete tramite e-mail o siti Web compromessi.
Anche la tecnologia del firewall si è evoluta, spostando lo stack OSI su Layer 7 dove poteva identificare e controllare il traffico in base all’utente o all’applicazione di origine e dove le tecnologie di ispezione approfondite potevano cercare minacce all’interno del contenuto del traffico delle applicazioni.
Questo passaggio da porte e protocolli a applicazioni e utenti ha generato una nuova categoria di protezione della rete, i cosiddetti firewall di “next-gen” che includono l’ispezione approfondita dei pacchetti di traffico crittografato e non crittografato, la prevenzione dalle intrusioni, l’application awareness e le policy basate sugli utenti, insieme alle tradizionali tecniche di stateful inspection.
Di conseguenza, i firewall moderni sono diventati sempre più difficili da far funzionare e gestire, e spesso sfruttano soluzioni separate e liberamente integrate per far fronte a diverse minacce e requisiti di conformità.
Una scarsa integrazione può lasciare gli amministratori di sistema con punti ciechi:
“… abbiamo messo a punto diversi programmi. Avevamo un antivirus. Avevamo un fornitore diverso per il firewall … non sapevamo esattamente come tutto si potesse incastrare “.
– Un coordinatore tecnologico distrettuale scolastico-
Il volume di dati che questi sistemi producono può essere enorme e l’onere per l’amministratore di rete medio ha raggiunto livelli insostenibili.
Come devono migliorare i firewall
La sicurezza della rete richiede un approccio più completo all’integrazione di tecnologie complesse, per questo è necessaria una nuova generazione di firewall: una che sia stata sviluppata fin dall’inizio per affrontare i problemi dei firewall esistenti e fornisca una piattaforma progettata specificamente per contrastare le nuove minacce.
Questo nuovo tipo di firewall deve affrontare minacce moderne che sono avanzate, sfuggenti e mirate più che mai. Queste minacce persistenti avanzate (APT) utilizzano tecniche che creano una nuova minaccia zero-day con ogni istanza e rappresentano una sfida difficile per il rilevamento di malware basato su firme.
I firewall moderni devono:
- Identificare comportamenti dannosi e offrire visibilità senza precedenti su utenti e comportamenti rischiosi, applicazioni indesiderate, payload sospetti e minacce persistenti.
- Lavorare con altri sistemi di sicurezza, come le soluzioni endpoint, operando come un unico strumento per rilevare, identificare e rispondere alle minacce avanzate in modo rapido ed efficiente.
- Utilizzare tecnologie di controllo delle applicazioni dinamiche in grado di identificare e gestire correttamente le applicazioni sconosciute, a cui non arrivano i motori basati sulle firme mancano.
- Integrare una suite completa di tecnologie di protezione dalle minacce in modo che gli amministratori di rete possano impostare e mantenere la loro posizione di sicurezza a colpo d’occhio.
I firewall devono riguadagnare il loro posto come fidati responsabili della rete, bloccare e contenere minacce e bloccare l’estrazione non autorizzata dei dati.
Scaricate la nostra Guida all’acquisto del firewall per informazioni preziose che vi possono aiutare a prendere una decisione informata sul vostro prossimo fire
