Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SOLUZIONI DI SICUREZZA

Network visibility, consigli e strategie per mettere in sicurezza il perimetro aziendale

La network visibility è fondamentale per decidere quali siano le precauzioni più urgenti e importanti da implementare per proteggersi da attacchi cyber, oltre che per verificare la corretta configurazione degli apparati di rete e rilevare attività anomale. Ecco come strutturare un piano di visibilità della rete

23 Gen 2020
C
Sergio Cazzaniga

Cybersecurity Consultant – GICSP


Senza un efficace piano di network visibility, cioè di visibilità della rete interna, sarebbe di fatto impossibile “vedere” e analizzare per tempo tutte le eventuali minacce esterne al perimetro aziendale che mettono a repentaglio il prezioso patrimonio informativo aziendale.

Oggi più che mai, la digital transformation e la convergenza IT-OT (Information Technology-Operational Technology) rendono la difesa della rete molto più complessa. Sempre più spesso i componenti del network aziendale includono apparati IT, OT, IoT e IIoT (Industrial Internet of Things). In molti casi, soprattutto nei sistemi di controllo industriale (ICS), si ha a che fare con dispositivi insecure by design, magari facilmente raggiungibili via Internet. A questo proposito Shodan e altri software OSINT permettono di rendersi conto dell’estensione del fenomeno.

Sono molte le organizzazioni che, occupandosi di cyber security, sottolineano l’importanza della network visibility ed essa non è trascurabile se si vuole osservare qualsiasi standard o framework relativo alla sicurezza della rete, come, ad esempio, il NIST CyberSecurity Framework, la direttiva europea NIS (Network and Information Security) o lo standard ISA99/IEC 62443 per i sistemi di automazione e controllo industriale (IACS o ICS).

La network visibility acquista quindi, per varie ragioni che illustreremo, sempre più importanza.

La network visibility nel contesto di un progetto di cyber security

Già in fase di sola definizione del contesto (scope) di qualsiasi progetto di cyber security che preveda attività di risk assessment, anche solo high-level, è fondamentale avere la miglior visibilità possibile del proprio network.

Difatti, il valore di un assessment, da cui dipenderà anche la robustezza del sistema di difesa, non può prescindere da alcuni elementi strettamente collegati alla network visibility quali i diagrammi dell’architettura dei sistemi (che includono l’hardware ICS nel caso delle reti industriali), i diagrammi della rete e un accurato inventario degli asset.

Per sottolineare fino a che punto la visibilità del network debba essere completa ricordiamo alcuni degli elementi necessari alla realizzazione di un diagramma di rete e a un inventario degli asset.

Alcuni elementi per un diagramma di rete

  • dettagli sulla costruzione fisica;
  • singoli router, switch, firewall con relative configurazioni, assegnazioni delle porte e ACL;
  • VLANs;
  • host;
  • tipologia delle connessioni e relativa velocità.

Alcuni elementi per un inventario degli asset

  • Hardware (fisico o virtuale)
  1. descrizione apparato e nome;
  2. asset ID;
  3. tipologia (es. server, workstation, computer ecc.);
  4. interfacce di rete;
  5. indirizzi di rete;
  6. OS;
  7. firmware;
  8. Virtual Machines;
  9. PLC, RTU, IED e via dicendo.
  • Software
  1. nome;
  2. tipologia (es. OS, database, firmware ecc.);
  3. Vendor;
  4. funzione;
  5. host su cui è installato il software;
  6. versione.
WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
Sicurezza

Sul mercato sono disponibili almeno tre categorie di applicativi utili per la creazione o per la verifica di un inventario degli asset. Si tratta di Network Management Tools, Software Asset Management (SAM) Tools e Configuration Management Tools.

Vulnerability assessment e difesa proattiva

Uno dei primi step per un’analisi delle vulnerabilità è la raccolta passiva e/o attiva dei pacchetti che transitano sulla rete a cui segue la loro analisi.

Attività passive di sniffing o attive di network scanning permettono di identificare gli apparati disponibili in rete per poi verificarne eventuali vulnerabilità note (CVE) e pubblicate su database consultabili sul web.

Grazie a queste tecniche si possono anche scoprire errori umani (ad esempio di configurazione), o malicious activities in corso (es. reconnaisance, data exfiltration, propagazione di malware ecc.) che altrimenti rimarrebbero ignote fino al palesarsi di una situazione critica.

Altre informazioni preziose che possono essere raccolte riguardano il flusso del traffico sulla rete e i protocolli utilizzati.

Anche la sempre più diffusa pratica del BYOD richiede che si presti sempre maggior attenzione a ciò che transita sulla rete per riconoscere per tempo qualsiasi eventuale insider threat. Anche in questo caso il mercato offre diverse soluzioni per la cattura e l’analisi del traffico; le più conosciute sono probabilmente Wireshark e Netflow.

Esistono, sia in commercio che free, anche Network Vulnerability Scanner, applicativi che automatizzano il controllo delle CVE.

Ovviamente particolare attenzione va posta nel decidere se sia il caso di effettuare interrogazioni attive della rete in ambito ICS. Per questa ragione, negli ultimi anni, sono nate appliances e tools specifici per analisi passive o ibride sui sistemi di controllo industriale; alcuni di questi fanno utilizzo di tecniche di Machine Learning, Artificial Intelligence e Behavior analysis che permettono di identificare anche eventuali comportamenti anomali sulla rete.

Segmentazione e dimensionamento del network

Vale la pena soffermarsi anche sul fatto che, come già accennato, oggi le reti sono sempre più eterogenee. Non solo gli apparati abbracciano varie categorie (IT, OT, IoT, IIoT) ma sono anche connessi con diverse modalità e tecnologie (cablaggi o wireless), che rendono necessaria una segmentazione del network basata su differenti livelli di sicurezza.

Solo una chiara visibilità della rete permette di segmentarla correttamente. Inoltre, un monitoraggio continuo dei volumi e della tipologia del traffico in transito permettono di effettuare un capacity planning efficace consentendo di evitare sprechi di risorse economiche.

Misurare le performance del software

Puntuali attività di Application monitoring e Application Performance Management (APM) permettono invece di rilevare problemi relativi al software utilizzato. Un aiuto per la sicurezza viene anche dagli web application vulnerabilities scanners che sono in grado di rilevare vulnerabilities quali cross-site scripting, SQL injection e via dicendo.

Riassumendo, la conoscenza dettagliata della rete è  la base fondamentale per decidere quali siano le precauzioni più urgenti e importanti da implementare per proteggersi da attacchi cyber.

Senza di essa non è possibile realizzare una corretta segmentazione, implementare e verificare la miglior configurazione degli apparati (device configuration hardening), rilevare attività anomale e potenzialmente nocive sulla rete, implementare correttamente le attività di patch management e attivare le azioni necessarie a proteggere gli asset vulnerabili.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

Per questi motivi la network visibility diventa fondamentale nella gestione della rete, a maggior ragione nel caso di reti su cui si basano servizi essenziali o digitali.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4