Quando si parla di Sicurezza Informatica, occorre puntualizzare quali sono i tipi di minacce che le organizzazioni devono affrontare: interne ed esterne. Semplificando possiamo definire una minaccia interna come proveniente da un dipendente o da un individuo esterno con accesso privilegiato al sistema IT di un’organizzazione, mentre una minaccia esterna proviene da un individuo o un gruppo esterno all’organizzazione che cerca di ottenere un accesso interno. Ovviamente nel mondo reale, queste categorie possono sovrapporsi.
Un attacco esterno è ciò che la maggior parte delle organizzazioni cerca di evitare ed è purtroppo il tipo di compromissione che è più probabile venga riportato dai media, con conseguenti danni anche dal punto di vista dell’immagine. Questi tipi di attacchi si 
verificano quando un’entità esterna cerca di attaccare, compromettere (ad esempio attraverso un attacco DDoS), manipolare i dati o violare la rete. Il problema maggiore nasce poi dal fatto che un attaccante fortemente motivato con il tempo e le risorse può violare qualsiasi rete.
È quindi quanto mai importante concentrare la propria attenzione, per ridurre la propria superficie di attacco sulla rete che risulta poi il canale di attacco più difficile da proteggere, proprio perché è quella che determina quasi ogni via di attacco esterno. Dopotutto, se il sistema non è collegato, non può esserci alcun attacco esterno (in senso stretto). Cercheremo quindi di definire quali possono essere i meccanismi/sistemi di protezione che è possibile mettere in pratica per un sistema connesso via rete verso l’esterno.
Gli Internet Service Provider (ISP) in genere dispongono di vari sistemi di prevenzione del Denial of Service Distribuito (DDoS) o sistemi di prevenzione delle intrusioni (IPS) integrati nella loro rete prima che si arrivi al punto di punto di accesso dell’ISP all’interfaccia del cliente. In alternativa dispongono di strumenti di monitoraggio del traffico in ingresso/uscita che possono essere consultati per prevenire/studiare eventuali situazioni di possibile attacco.
Il Router è il primo punto di ingresso dall’ISP verso la rete interna ed è il punto di uscita per tutto ciò che è al di fuori da quest’ultima. Tale punto di accesso è, ovviamente, la prima componente da proteggere. Alcune di queste best practice possono apparire ovvie ma sono implementabili a costo zero.
- Modificare i nomi utente e le password di amministratore predefinite,
- mantenere aggiornato il firmware,
- imporre che tutto il traffico passi attraverso il firewall perimetrale esterno,
- bloccare l’accesso a e da reti non necessarie.
Può capitare in alcune situazioni che i router perimetrali siano gestiti direttamente dall’ISP, il che ne limita l’accesso all’utenza aziendale. In tal caso, è possibile richiedere al proprio ISP dei rapporti di verifica sul router e sul suo corretto funzionamento.
I firewall sono in genere la linea di difesa successiva dopo i router. Aiutano a segmentare ogni rete (vedi sezione successiva) e limitare l’accesso limitando indirizzi IP, porte, servizi, applicazioni, ecc.
I firewall dovrebbero avere:
- un numero limitato di regole,
- un numero minimo di regole “qualsiasi” (regole che consentono il traffico da o verso qualsiasi segmento di rete),
- una revisione annuale delle regole
- un processo di gestione delle modifiche.
La maggior parte dei firewall inoltre dispongono ormai di una piattaforma di gestione unificata delle minacce che include altre funzionalità per mitigare i potenziali attacco. È sempre buona norma registrare tutto il traffico in entrata e in uscita sui firewall.
La segmentazione della rete consiste nel dividere la rete interna in zone differenti, la più comune delle quali è la Zona Demilitarizzata (DMZ), nella quale esporre le componenti che devono avere un accesso primario verso l’esterno. Le DMZ infatti sono un tipo di segmentazione della rete che specifica a quale traffico da Internet è consentito l’accesso a un segmento della rete aziendale. Solitamente le DMZ contengono firewall, server Web e server applicazioni che richiedono l’accesso diretto a Internet per funzionare o consentire agli utenti finali di accedere in remoto a tali sistemi. Per segmentare la rete si può operare a livello di router ma si raccomanda che venga fatta a livello di firewall: in questo ultimo caso si possono utilizzare firewall configurati con un’interfaccia esterno / interno ma anche firewall con multi-interfaccia in modo da ottenere più zone (DMZ, Front-end, Back-end, Management). Questa separazione consente inoltre di “distribuire” meglio i sistemi che hanno accesso a dati sensibili sia nella DMZ che nella LAN, rendendo possibile, utilizzando anche più livelli firewall, zone a maggior livello di sicurezza.
I sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) possono aiutare a mitigare il rischio di attacchi. Questi sistemi possono rilevare traffico potenzialmente dannoso sulla rete aziendale o nella DMZ. Una volta rilevato, il traffico dannoso può essere terminato e/o registrato per analisi successive. I sistemi IDS / IPS possono monitorare il traffico in base all’indirizzo IP, alla porta, al protocollo o eseguire il drill-down al livello dell’applicazione.
Gli switch forniscono la spina dorsale di base della rete, ma possono anche aiutare a proteggere la rete stessa. Gli switch moderni dispongono di alcune funzionalità di sicurezza di base come:
- Elenchi di controllo di accesso (Access Control List o ACL),
- sistemi di filtraggio dei pacchetti,
- monitoraggio delle porte,
- controllo di ammissione / accesso alla rete (Network Access Control o NAC),
- segmentazione della rete locale virtuale (VLAN).
Le best practice in tal senso suggeriscono di verificare che gli switch siano configurati con protocolli di trunk o porte di accesso appropriati designati per posizione e sistemi di rete corretti per proteggere la rete. Ciò ridurrà al minimo il passaggio da una VLAN ad un’altra. Gli switch hanno anche la capacità di controllo dell’accesso alla rete: i sistemi di Network Access Control (NAC) consentono alle reti di far sì che l’accesso alla rete avvenga solamente se sono soddisfatte determinate policy. Se un client che si connette ad una determinata porta non soddisfa i requisiti minimi specifici (ad esempio un antivirus aggiornato o la presenza di un opportuno agent sull’endpoint), la porta può essere chiusa o forzata su una VLAN segmentata per ridurre al minimo l’accesso alla rete fino a quando i requisiti non sono soddisfatti.
I server proxy sono delle componenti che processano al posto dei client le richieste verso i server, siano questi interni o esterni alla rete aziendale. In genere trasmettono richieste e risposte su Internet dagli utenti ai server esterni. Esistono in realtà due tipi di server proxy: i proxy diretti e i reverse proxy. I proxy sono server che inoltrano dati/richieste da un utente/client a uno o più server. I reverse proxy trasportano il traffico verso i client da un server, ma le risposte sembrano provenire dal server in questione e non dal reverse proxy server. Questa particolare implementazione dei server proxy consente inoltre di implementare meccanismi di fault-tolerance e riduzione del carico computazione sul server.
La gestione delle emergenze relative agli incidenti di sicurezza avviene tramite uno strumento progettato per aggregare e correlare i dati degli eventi di sicurezza dai sistemi per fornire report, il Security Incident and Event Management (SIEM). La maggior parte dei prodotti SIEM ha ampie funzionalità integrate come report sulla conformità, dashboard, avvisi in tempo reale e analisi forensi. Sebbene i SIEM siano un ottimo strumento, richiedono una formazione specializzata e sono molto costosi. Per tale motivo si consiglia di dimensionare il proprio SIEM in base alle esigenze aziendali dell’impresa, alla crescita prevista e all’ambiente infrastrutturale esistente.
