Il problema con la protezione del firewall next-gen

NetworkPer gli utentiFirewallSophos XG Firewall

Vi aspettavate un’orchestra sinfonica, non una one-man-band

Firewall

I moderni firewall next-gen sono stati pensati appositamente per difendersi da epidemie come WannaCry e NotPetya, eppure entrambi questi worm sono diventati globali, diffondendosi senza controllo attraverso fin troppe reti aziendali.

Lungo il percorso alcune organizzazioni hanno scoperto una verità scomoda: che la protezione next-gen può essere inferiore alla somma delle sue parti a causa di una protezione di rete insufficiente, di un deployment scarso o di una configurazione e di una gestione eccessivamente complesse.

In un recente articolo abbiamo spiegato perché, per molti amministratori di rete, i firewall non sono gli esecutori affidabili di un tempo. In questo articolo invece ci focalizzeremo sul modo in cui le funzionalità di protezione next-gen stanno demoralizzando alcuni amministratori e cosa si può fare al riguardo.

Come si sono diffusi WannaCry e NotPetya

Le aziende in genere si affidano a una serie di servizi comuni per le loro funzionalità di rete. Se le vulnerabilità presenti in questi servizi vengono sfruttate con successo, possono avere conseguenze disastrose.

Le epidemie di WannaCry e NotPetya si sono diffuse in oltre 150 paesi, attraversando reti aziendali, crittografando computer e paralizzando aziende. Si sono propagate, come un worm, da una rete all’altra sfruttando l’exploit EternalBlue che consente l’esecuzione di codice in modalità remota sui servizi SMB di Microsoft Windows che ospitano la vulnerabilità CVE-2017-0144.

Il protocollo SMB è onnipresente sulle LAN aziendali e consente ai computer di collegarsi allo scopo di condividere file e altre risorse come le stampanti. Può anche essere utilizzato per la condivisione di file all’esterno della rete aziendale se le porte necessarie vengono aperte o inoltrate sul firewall.

Microsoft aveva rilasciato patch per EternalBlue prima delle epidemie, ma l’attacco si è verificato prima che molti sistemi fossero stati aggiornati.

La distribuzione delle patch all’interno delle organizzazioni può essere un’impresa molto complessa e la finestra di opportunità per gli autori di attacchi non si chiude quando una patch diventa disponibile, è aperta fino a quando non viene distribuita.

Quindi, come si può proteggere la rete da attacchi come questi, e se un attacco penetra nella nostra rete come possiamo impedire che si propaghi?

Perché la protezione next-gen è importante

Il ransomware di solito entra in una rete e si diffonde in una di queste poche modalità:

  • Sfruttando una vulnerabilità di rete o di sistema
  • Tramite download falsi, compromessi o drive-by
  • Su una penna USB o altro dispositivo di archiviazione
  • In allegati e-mail o collegamenti di phishing

Blocco degli exploit di rete

La tecnologia IPS (Intrusion Prevention System) è un componente fondamentale dei firewall next-gen. Essa utilizza un’analisi approfondita dei pacchetti per cercare nel traffico di rete specifici exploit, o schemi e anomalie che potrebbero indicare un attacco.

Come con l’exploit EternalBlue sfruttato da WannaCry e NotPetya, gli attacchi in genere utilizzano input dannosi per compromettere un’applicazione o un servizio host, con l’intenzione di ottenere un controllo sufficiente per eseguire un codice come un ransomware.

Blocco dei payload basati su file

Mentre WannaCry e NotPetya si diffondono come worm, molte varianti di ransomware tentano di entrare nelle reti tramite e-mail di phishing, spam o download web. Questi attacchi utilizzano in genere tattiche di social engineering per recapitare documenti Microsoft Office, PDF o eseguibili contenenti malware.

Gli hacker sono diventati sempre più abili nell’introdurre di nascosto questo tipo di contenuti dannosi oltrepassando il tradizionale rilevamento antivirus basato su firme, il che rende la sandboxing un componente essenziale del filtraggio web e della tecnologia del gateway di posta elettronica.

Fortunatamente, il sandboxing basato sul cloud non richiede in genere alcun hardware o software aggiuntivo. I motori di protezione Web e email possono identificare i file sospetti sul gateway e inviarli a un’infrastruttura di sandboxing sicura nel cloud per far esplodere il contenuto attivo e monitorarne il comportamento.

Perché la protezione next-gen fallisce (e perché non deve)

  1. Scarse prestazioni

Non tutte le soluzioni di protezione della rete sono uguali.

L’efficacia dei diversi motori IPS dei firewall varia in modo incontrollato: alcuni hanno dimostrato di bloccare oltre il 90% delle vulnerabilità, degli exploit e delle tecniche di evasione lanciate contro di loro mentre altri raggiungono punteggi inferiori al 25%.

Alcuni firewall offrono anche un costo scarso per Mbps protetti e hanno un impatto inaccettabile sulle prestazioni della rete.

Fortunatamente, organizzazioni di test indipendenti come NSS Labs testano accuratamente l’efficacia e le prestazioni della sicurezza di tutti i principali fornitori di firewall ogni anno. Per vedere quali firewall offrono la migliore efficacia in termini di sicurezza e le migliori prestazioni in termini di prezzo, scaricate il rapporto di test NSS Labs.

  1. Configurazione difficile

I firewall moderni eseguono un terribile lavoro di integrazione delle loro diverse tecnologie di protezione. Se ogni tecnologia fosse uno strumento musicale, la maggior parte dei firewall suonerebbe come una one man band che rotola dalle scale. Individualmente gli strumenti emettono tutti un suono, ma l’effetto complessivo è cacofonico.

Una corretta protezione del firewall next-gen solitamente significa configurare singolarmente le regole del firewall, il controllo delle applicazioni, l’ispezione TLS, il sandboxing, il filtro web, l’antivirus e l’IPS.

Se si desidera determinare quale protezione viene applicata (o modificarla), è necessario tornare indietro e rivedere ciascuna di queste sette diverse aree. Inutile dire che questo livello di complessità rende molto difficile determinare se una protezione ottimale viene applicata a un determinato insieme di utenti o tipo di traffico.

È complesso, noioso, rischioso e non deve essere così.

Se volete vedere un’elegante soluzione a questo problema e come è possibile configurare facilmente tutta la protezione di cui si ha bisogno, su una singola schermata, con una visione completa della propria sicurezza, scaricate XG Firewall Solution Brief.

  1. Distribuzione inefficace

Le tecnologie di protezione come IPS e sandboxing sono efficaci solo quando il traffico sta effettivamente attraversando il firewall e ci sono policy di protezione adeguate applicate alle regole del firewall che regolano tale traffico.

In altre parole, il modo in cui si segmentano la rete e il firewall avranno un’influenza enorme sul livello di protezione che fornisce nel mondo reale.

Per ulteriori informazioni sulle best practice di distribuzione del firewall e per bloccare le minacce più recenti, scaricate il nostro white paper sulle best practice del firewall.

 

*Tratto dall’articolo “The problem with next-gen firewall protection” di Chris McCormack

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

w

Connessione a %s...

This site uses Akismet to reduce spam. Learn how your comment data is processed.