Sicurezza in rete è un termine ampio usato per descrivere la protezione di tutte le risorse informatiche da attacchi e guasti relativi a disponibilità, riservatezza e integrità. Ciò include anti-malware, firewall, riconoscimento delle intrusioni, tecnologia di prevenzione della perdita di dati e altri tipi di protezione.
La sicurezza della rete implica controlli di protezione specifici che vengono aggiunti a una rete. Questi controlli si sono evoluti nel corso degli anni e continueranno a crescere man mano che aumentano le competenze in tema di difesa della rete e che gli hacker apprendono nuove modalità di attacco.
Per assicurarsi di disporre dei migliori controlli aggiuntivi per la protezione, è necessario prima comprendere il panorama delle minacce e le vulnerabilità della rete. È anche importante capire quali tipi di controlli sono disponibili in modo da poter applicare i fornitori, le soluzioni e le configurazioni corretti alla rete.
Le minacce sono potenziali violazioni che interessano la riservatezza, la disponibilità o l'integrità delle risorse. Le minacce possono includere la divulgazione di dati sensibili, l'alterazione dei dati o persino la negazione dell'accesso a un servizio.
Il panorama delle minacce è costituito dalle informazioni disponibili sulle minacce, sugli attori delle minacce e sul vettore delle minacce che consente il verificarsi di un attacco. L'attore della minaccia è una persona o un gruppo di persone che intende causare danni utilizzando minacce esistenti.
Ad esempio, nel caso di un laptop rubato, l'attore della minaccia è il ladro. Il vettore della minaccia è il percorso dell'attacco, ad esempio una porta lasciata aperta e un laptop non adeguatamente fissato a un tavolo.
Perché una minaccia si realizzi, deve essere presente una vulnerabilità sfruttabile. Una vulnerabilità è una debolezza o un difetto che gli attori delle minacce possono utilizzare per violare le policy di sicurezza.
Continuando con il nostro esempio del laptop, design leggero, portabilità e praticità sono caratteristiche che attirano molti clienti. Allo stesso tempo, quelle stesse caratteristiche sono punti deboli che aumentano la probabilità di furto. I controlli di sicurezza come le serrature delle porte o i cavi di fissaggio rallentano l'autore della minaccia e riducono la probabilità di furto, riducendo il rischio complessivo.
Riservatezza, integrità e disponibilità sono gli attributi principali che definiscono l'obiettivo di qualsiasi processo di sicurezza delle informazioni. Ci sono molte strategie e attività coinvolte nel processo e ciascuna rientra in una delle tre fasi: prevenzione, rilevamento e risposta.
I pilastri della fase di prevenzione sono i seguenti, e vengono messi in pratica attraverso una policy ben documentata:
Il rilevamento riguarda l'utilizzo di funzionalità che monitorano e registrano l'attività del sistema. In caso di potenziale violazione o attività dolosa, i sistemi di rilevamento dovrebbero informare la parte o la persona responsabile. Il processo di rilevamento è prezioso solo se seguito da una risposta tempestiva e pianificata.
La risposta è una correzione ben pianificata a fronte di un incidente che include l'arresto di un attacco in corso, l'aggiornamento di un sistema con la più recente patch o la modifica della configurazione di un firewall.
È importante comprendere i concetti essenziali della sicurezza in rete. Se i buoni non sono a conoscenza delle vulnerabilità e degli attori delle minacce, non sapranno quali sono i migliori controlli di sicurezza da mettere in atto. Un esempio è comprendere che l'identità dell'utente deve essere verificata prima dell'accesso al sistema. Questa è una conoscenza essenziale che consente di identificare il fornitore e la soluzione corretti.
Il controllo degli accessi è un tipo di controllo di sicurezza con cui quasi tutti hanno familiarità. La maggior parte delle persone usa tutti i giorni una password per accedere a un computer, magari lo ha fatto pochi minuti fa. Potrebbe essere stato necessario utilizzare una password per accedere a una rete, un'applicazione o un file. Una persona media ha almeno 10 password da memorizzare.
L'implementazione del controllo degli accessi è suddivisa in quattro parti: identificazione, autenticazione, autorizzazione e responsabilità. Questo processo conferma l'identità dell'utente tramite un identificatore univoco come un ID utente, un nome utente o un numero di conto.
Il sistema autentica l'identità dell'utente verificando le credenziali conosciute dall'utente come nome utente e password. Oppure le credenziali che potrebbero essere in possesso dell'utente, come una tessera identificativa o una password monouso. Dopo che il sistema ha verificato un utente, l'autorizzazione è il processo di concessione dell'autorizzazione all'accesso.
La parte finale, la responsabilità, comporta il monitoraggio dell'attività degli utenti per assegnare a coloro che hanno eseguito l'accesso la responsabilità delle loro azioni su un sistema. Al giorno d'oggi, le password non sono l'unica possibilità. Esistono molte opzioni, tra cui hardware o software per la generazione di password monouso, smart card e dati biometrici. La scelta dell'opzione corretta per ogni risorsa di rete richiede un'attenta considerazione.
La segmentazione della rete consiste nella divisione della rete in sezioni logiche più piccole in modo che tra queste ultime possano essere aggiunti dei controlli. Ciò incrementa le prestazioni e migliora la sicurezza. Le reti locali virtuali (VLAN) sono un metodo comune di segmentazione della rete eseguito sia in locale che utilizzando l'infrastruttura cloud. Quando vengono utilizzate in ambiente cloud, vengono chiamate Cloud Privati Virtuali (VPC).
La rete tradizionale all'interno di un datacenter fisico aveva un perimetro chiaramente definito. Era il punto in cui il datacenter aveva una connessione con il mondo esterno. Oggi i perimetri sono più difficili da definire, ma utilizziamo ancora molta della stessa tecnologia.
Questa include firewall (FW), sistemi di riconoscimento delle intrusioni (IDS) e sistemi di prevenzione delle intrusioni (IPS). Quando si definisce un perimetro, è necessario determinare quali contenuti di dati, voce e video possono transitare. Una volta compreso quale tipo di traffico può passare, i meccanismi di controllo possono essere configurati di conseguenza.
La crittografia garantisce la riservatezza e l'integrità dei dati in transito o inattivi convertendoli in dati cifrati mediante una chiave. La crittografia simmetrica e asimmetrica sono i due tipi fondamentali di crittografia.
Gli antichi egizi usavano la crittografia simmetrica per motivi di riservatezza. Oggi usiamo lo stesso concetto, ma impieghiamo algoritmi molto più complessi. Ad esempio, se si desidera mantenere riservata una sessione di banking online, la si crittografa con la crittografia simmetrica. Per garantire l'autenticità del sito Web bancario, si utilizza la crittografia asimmetrica per scambiare in modo sicuro le chiavi per la crittografia simmetrica di quella sessione.
L'hashing utilizza un algoritmo per generare una stringa di caratteri casuali a lunghezza fissa convertendo il messaggio o i dati originali in un valore di piccole dimensioni. Questo serve come chiave per garantire l'integrità dello stesso messaggio o dei dati.
Gli algoritmi di hashing sono un modo per verificare l'integrità di una comunicazione. È semplice come leggere questa frase. Come fai a sapere con certezza che questo è ciò che è stato digitato? È stato modificato accidentalmente o intenzionalmente?
Gli algoritmi di hashing vengono utilizzati per dimostrare che le lettere, o i bit, non sono stati alterati accidentalmente. La disponibilità dell'hash protetto con la crittografia ti aiuta a sapere che nessun hacker ha modificato intenzionalmente il testo. L'hashing è ampiamente utilizzato per archiviare le password in modo sicuro, monitorare i file e garantire l'integrità della comunicazione.
Persone, operations e tecnologia sono gli elementi principali che contribuiscono alla protezione approfondita della rete. Una volta identificati e valutati i rischi che minacciano un'attività, è possibile determinare le esigenze di sicurezza in rete. Ciò include il tipo di tecnologia da utilizzare per la sicurezza perimetrale, le risposte agli avvisi generati dai firewall, il rilevamento e la prevenzione delle intrusioni e i log. Cominciamo con i firewall.
I firewall sono una tradizionale misura di sicurezza che è stata aggiunta alle reti e ai sistemi finali da oltre 25 anni. Per un firewall, il traffico rientra in una delle due categorie: traffico desiderabile da lasciar passare e traffico indesiderato da bloccare. Il filtraggio dei pacchetti è stata una delle prime tecnologie usata dai firewall per filtrare il traffico indesiderato.
I fornitori hanno inventato molti modi diversi di analizzare e classificare automaticamente il traffico, portando alla nascita di diverse varianti del firewall. Questi includono i primi filtri di pacchetti, i firewall di nuova generazione e ora i firewall di generazione cloud.
A differenza dei firewall, un sistema di rilevamento e prevenzione delle intrusioni (IDPS) monitora la rete alla ricerca di attività dannose, segnalando e rispondendo a incidenti di sicurezza della rete e potenziali minacce. Un firewall individua il traffico desiderato e blocca il resto.
Un sistema di riconoscimento delle intrusioni (IDS) individua il traffico che non dovrebbe essere presente. Si concentra sulla ricerca di traffico generato da un hacker o da un altro attore malevolo. Con il progredire della tecnologia, qualcuno deve essersi posto una buona domanda: se sappiamo che il traffico proviene da un hacker, perché lo registriamo semplicemente nel log? Perché non scartiamo quel traffico non appena viene identificato? Da questa idea la tecnologia è evoluta verso i sistemi di prevenzione delle intrusioni (IPS).
Un IPS è per sua natura attivo. Quando si rende conto che il traffico che passa proviene da un hacker, intraprende un'azione e distrugge quel traffico. Sembra un piano geniale. Nel mondo reale, questi sistemi sono complicati da regolare correttamente. Se non sono correttamente configurati, rischiano di scartare il traffico corretto e di lasciar entrare il traffico generato dagli hacker. Pertanto, la maggior parte delle aziende si ferma all'IDS e predispone log, Security Information Event Manager (SIEM) e piani e team di risposta agli incidenti.
Una rete privata virtuale (VPN) protegge la riservatezza dei dati mentre attraversano la rete. Il cuore della VPN è la crittografia, sebbene essa sfrutti anche l'autenticazione. Esistono tre opzioni di crittografia per una VPN, specifiche per le applicazioni che gli utenti hanno sui propri laptop o telefoni e che devono collegarsi all'ufficio in remoto. Le tre opzioni sono IPsec, SSL/TLS e SSH. Questi tre protocolli di crittografia vengono utilizzati anche per altre applicazioni.
IPsec è un protocollo di crittografia che può essere utilizzato in qualsiasi scenario poiché funziona al livello 3 del modello Open System Interconnect (OSI) dell'International Standards Organization (ISO). Il livello 3 è il livello di rete che invia dati, voce o video alla destinazione di rete corretta. Quindi, aggiungendo IPsec, i dati saranno trasmessi a destinazione in un formato crittografato e riservato. Un uso comune diverso dalle VPN è per il collegamento da sito a sito tra sedi aziendali.
Transport Layer Security (TLS) è l'aggiornamento di SSL. Sarebbe stato chiamato SSL 4.0 se la sua proprietà non fosse stata trasferita da Netscape all'International Engineering Task Force (IETF) nel 1999. TLS fornisce un'opzione di crittografia per le VPN, ma anche per qualsiasi connessione basata sul Web. Tali connessioni sono connessioni basate su browser a una banca, Amazon o qualsiasi altro sito che visualizza un lucchetto nell'angolo del browser.
Secure Shell (SSH) viene utilizzato principalmente per le connessioni remote da un computer a un altro. È comunemente utilizzato dagli amministratori di rete per connettersi a server, router e switch per scopi amministrativi. Queste connessioni servono per la configurazione e il monitoraggio.
Quando un'azienda tratta contenuti, libri, manuali, ecc. che desidera condividere con i suoi clienti in modo controllato, la soluzione è un sistema di gestione dei diritti digitali (DRM). Il software DRM è familiare alla maggior parte delle persone che usano un computer.
Chi guarda i video Netflix o Amazon Prime o ascolta musica su Spotify o iTunes ha avuto a che fare con i sistemi DRM. Se si legge un libro su Kindle, non si può condividere tale libro in modo incontrollato con qualcun altro. Il software DRM dell'applicazione Kindle generalmente non lo consente, ma dipende dai diritti che si possiedono sul libro.
Se un'azienda è preoccupata che gli utenti inviino un'email contenente informazioni sensibili come un numero di carta di credito a qualcuno al di fuori dell'azienda, la soluzione è un sistema di prevenzione della perdita di dati (DLP).
Gli strumenti DLP controllano il traffico che non dovrebbe uscire da un'azienda, il che sarebbe una fuga di informazioni, e bloccano tale trasmissione. Almeno questa è l'idea. Un sistema DLP è molto difficile da configurare correttamente, ma vale la pena esaminarlo per proteggere ogni azienda da perdite di dati accidentali.
Per tutte le aziende, il controllo più importante da aggiungere è il monitoraggio. È importante fare attenzione ad attacchi, minacce, violazioni, hacker, ecc. In termini di sicurezza, è meglio presumere che la propria azienda verrà violata e che gli utenti commetteranno degli errori. Quindi è opportuno osservare gli attacchi e prepararsi a rispondere. Uno dei maggiori problemi per l'azienda media è che non sa nemmeno di essere stata attaccata.
I dispositivi devono registrare gli eventi in modo che sia possibile sapere cosa è successo e cosa sta succedendo sulla rete. Una volta che gli eventi sono stati registrati, dovrebbero essere inviati a un server syslog centrale per l'analisi.
Lo strumento di analisi è chiamato Security Information Event Manager (SIEM). Ha il compito di correlare gli eventi e individuare gli Indicatori di compromissione (IOC). Se è presente un IOC, è necessario esaminare l'evento e determinare se è necessario intraprendere un'azione per fermare un attacco o riparare e ripristinare i sistemi dopo un attacco.