I firewall di nuova generazione (next-generation firewall o NFGW) sono ormai onnipresenti, ma accade che molte aziende non ottengaono il massimo dal loro investimento perché si accontentano, nella convinzione di lavorare efficacemente, di configurazioni predefinite e non hanno l’esperienza necessaria per gestirli in modo proattivo a difesa contro nuovi tipi di attacchi.
I firewall di nuova generazione hanno grandi doti, ma molte organizzazioni sfruttano solo una serie limitata di funzionalità perché si preoccupano di un potenziale impatto negativo sulle prestazioni aziendali, come un rallentamento del traffico se vengono attivate troppe funzionalità o se vengono sovraccaricati per gestire un elenco crescente di attività di sicurezza giornaliere.
Oggi che, come dice il Ponemon Institute, il tempo necessario a scoprire una violazione arriva fino a 206 giorni l’uso proattivo di un firewall di nuova generazione è un fattore critico.
Il ruolo dei firewall di nuova generazione
Gartner definisce gli NFGW “firewall per l’ispezione deep packet“. Non si limitano cioè a esaminare porta e protocollo, ma aggiungono l’ispezione a livello di applicazione così da includere l’emulazione delle minacce, il sistema di rilevamento delle intrusioni/prevenzione delle intrusioni (IDS/IPS) e la possibilità di utilizzare l’intelligence esterna al di fuori del firewall, ad esempio, insieme a tutte le funzionalità dei firewall tradizionali.
Come ci spiega Massimiliano Brugnoli, Business Development Manager di Orange Business Services, i firewall di nuova generazione aiutano le organizzazioni a proteggere reti, endpoint e applicazioni da attacchi malevoli, tra cui minacce persistenti avanzate, attacchi zero-day, malware, ransomware e accessi non autorizzati. Ma non basta installare gli NFGW e lasciare che facciano il loro lavoro: devono essere continuamente gestiti, monitorati e aggiornati per tutto il loro ciclo di vita per funzionare efficacemente.
Gli NFGW, opportunamente implementati e gestiti in modo proattivo, possono offrire visibilità completa sulla rete, ridurre la complessità e automatizzare le attività di gestione, creando efficienza e riducendo i costi.
Tuttavia la carenza di professionisti IT qualificati, unitamente alla crescita delle minacce e del flusso di dati, stanno spremendo i reparti IT al massimo. Fornitori come Fortinet aggiornano continuamente le funzionalità e può essere difficile per i team IT mantenere il controllo su quello che dovrebbero implementare.
L’importanza di microsegmentare i firewall
Impostare la micro-segmentazione, ad esempio, è un progetto significativo. Definita anche segmentazione di rete o firewall interno, viene utilizzata per proteggere i dipartimenti chiave, come R&S, o per fornire un ulteriore livello di protezione per i database che memorizzano i dati sensibili. Implementando i perimetri, le aziende possono impedire agli attacchi di diffondersi compromettendo così l’intera rete.
La micro-segmentazione deve basarsi su una solida strategia di sicurezza incentrata sull’attività aziendale. Nessuna tecnologia può sostituire l’indispensabile lavoro di valutare quali siano le risorse aziendali più importanti e proteggerle. Un consulente di terza parte può venire in aiuto effettuando un’analisi completa dei rischi e mappando le connessioni tra applicazioni, carichi di lavoro e ambienti.
Uno dei principali compiti che gli amministratori IT devono affrontare è restare sempre al passo sulle applicazioni da bloccare e quelle invece da autorizzare – un compito impegnativo alla luce della vertiginosa serie di servizi cloud e di Shadow IT a cui i dipendenti accedono regolarmente.
Anche la crittografia dei dati è una questione chiave. Se un’impresa non utilizza il proprio NGFW per de-crittografare il traffico crittografato Secure Socket Layer (SSL), Transport Layer Security (TLS) e Secure Shell (SSH), questo può diventare un pericoloso punto cieco. Il 70% (una percentuale altissima!) di file binari dannosi oggi utilizza un po’ di crittografia e il 50% del traffico globale è crittografato, secondo il Report sulla sicurezza informatica di Cisco del 2018. Le ispezioni TLS all’interno di un NGFW forniscono uno strumento “leggero” di prevenzione della perdita di dati che de-crittografa e ispeziona il traffico in uscita per garantire che non vengano inviati erroneamente dati sensibili.
Ovviamente, la configurazione di NGFW deve essere ottimizzata fin dall’inizio, altrimenti le prestazioni saranno compromesse. È utile verificare che gli errori non siano stati introdotti da un firewall precedente mediante l’uso di strumenti di migrazione automatica. Chiedere a una terza parte di effettuare un controllo di tutte le impostazioni può essere davvero utile, perché l’errore umano è sempre dietro l’angolo.
Periodicamente, l’azienda dovrà ottenere un report sul dimensionamento e sull’utilizzo della propria soluzione NGFW per assicurarsi di essere in grado di gestire i mutevoli volumi di traffico all’interno della propria attività. Una delle questioni principali è assicurarsi di ricevere realmente il throughput pubblicizzato: NSS Labs, un centro di validazione indipendente per gli NGFW, osserva che il throughput dei firewall in applicazioni reali spesso è inferiore anche dell’80% rispetto al livello pubblicizzato da alcuni fornitori.
Futuro IoT
Guardando al futuro, i firewall di nuova generazione sono un modo eccellente per mettere in sicurezza volumi crescenti di traffico IoT, ma i clienti devono definire nuove policy e convalidare quelle esistenti per farli funzionare in modo efficace. Dall’altra parte i cybercriminali stanno già sfruttando i punti deboli della sicurezza nei dispositivi IoT per ottenere accesso ai sistemi, compresi i sistemi di controllo industriale che supportano l’infrastruttura critica.
Dati i requisiti alquanto complessi degli NFGW, alcune organizzazioni scelgono di adottare l’approccio di un NFGW co-gestito: si possono trarre vantaggi dall’associarsi con esperti NFGW, beneficiando di economie di scala, una conoscenza aggiornata della regolamentazione e della conformità, supporto 24/7, risposta più rapida agli incidenti e disponibilità di team di sicurezza altamente qualificati.
Per Brugnoli oggi ogni impresa ha bisogno di un NFGW in una forma o nell’altra. I metodi di sicurezza tradizionali non hanno la granularità o la segmentazione per proteggere adeguatamente i dati dagli attacchi attuali ed emergenti.
L’approccio fai-da-te all’NFGW può essere difficile e complesso. Un’opzione co-gestita elimina indubbiamente lo stress della protezione delle risorse aziendali critiche, fornendo accesso agli esperti quando servono. Ma, in ogni caso, un NGFW configurato correttamente ridurrà in modo sostanziale i vettori di minacce.