La vostra rete ha bisogno di un buttafuori?

By

Finalmente avete deciso di aprire un cocktail bar. Trovate il miglior arredatore di interni, acquistate la migliore selezione di vini e liquori e assumete il miglior barman che riuscite a trovare. Nel giro di poco tempo tutti parlano del vostro cocktail bar, che diventa il locale più di tendenza della città.

Ma dopo un mese, il locale chiude. A quanto pare, la decisione di far entrare – o uscire – chiunque non è stata una buona idea.

Lo stesso vale per la cybersecurity. Immaginate cosa potrebbe accadere se la vostra azienda non fosse a conoscenza di un certo problema o non conformità interna. Purtroppo questo accade già molto spesso, in quanto l’ispezione del traffico crittografato non viene considerata una priorità da molte aziende.

Ma prima di tutto chiariamo cosa sono le minacce crittografate: in poche parole, l’SSL (Secure Sockets Layer) può creare un tunnel crittografato per proteggere i dati in una connessione internet. Il protocollo TLS (Transport Layer Security) è una versione più recente e più sicura dell’SSL.

Mentre TLS e SSL offrono evidenti vantaggi in termini di sicurezza per le sessioni web e le connessioni internet, i cybercriminali utilizzano sempre più spesso questi standard di crittografia per nascondere malware, ransomware, zero-day e altre minacce. Secondo alcune stime il 35% delle minacce attuali sono crittografate, e questa tendenza è in crescita (fonte: Gartner).

Purtroppo esiste un certo timore verso la complessità e una generale mancanza di consapevolezza sull’importanza di ispezionare a fondo il traffico SSL e TLS, in particolare con l’ispezione approfondita dei pacchetti (DPI), per rilevare attacchi informatici dannosi. Questo atteggiamento è particolarmente rischioso, perché i controlli di sicurezza tradizionali non hanno le capacità o la potenza di elaborazione per rilevare, ispezionare e mitigare i cyber attacchi sferrati attraverso il traffico HTTPS.

Nel caso del nostro cocktail bar teorico, la presenza di un buttafuori avrebbe fatto la differenza tra il continuare un’attività di successo e il dover chiudere a causa di un controllo insufficiente o inesistente del traffico. Allo stesso modo, visto il continuo aumento del numero di minacce crittografate, l’ispezione del traffico crittografato può fare la differenza tra il riconoscere e bloccare per tempo una minaccia e il dover rimediare ai danni subiti dopo un cyber attacco andato a buon fine.

Supponiamo ora che il vostro cocktail bar abbia un dress code. Indipendentemente dal codice di abbigliamento che decidete di adottare, senza un controllo all’ingresso non c’è modo di applicarlo. Inoltre, se nessuno si occupa del guardaroba, non si può mai sapere se sotto una giacca elegante un ospite indossa una maglia da calcio o una t-shirt con slogan offensivi.

L’interazione tra le soluzioni di filtraggio dei contenuti e il traffico crittografato funziona in modo simile. Con l’80-90% del traffico proveniente da connessioni crittografate con HTTPS, le soluzioni di filtraggio dei contenuti non sono in grado di fornire un’ispezione accurata (fonte: Rapporto sulla trasparenza di Google). Quando si tratta di identificare la pagina web di destinazione e di decidere come gestire potenziali minacce, queste soluzioni hanno un’efficienza limitata. E senza la capacità di vedere cosa succede sotto la superficie, aumenta il pericolo che le minacce passino inosservate.

In modo analogo, le soluzioni di sandboxing non sono particolarmente utili nel caso delle minacce crittografate. Se un cybercriminale riesce a stabilire una connessione crittografata con un endpoint, potrebbe essere in grado di trasferire anche file e malware di vario tipo. La maggior parte delle aziende utilizza un’unica soluzione di sandboxing che scansiona tutti i file e verifica che non siano dannosi prima di consentirne l’accesso.

Ma se la comunicazione è crittografata, la sandbox diventa inutile perché non è in grado di riconoscere i file trasmessi tra un CC e l’endpoint. La soluzione vede semplicemente che due indirizzi IP si scambiano traffico crittografato, ma non ha alcuna visibilità sul loro contenuto.

Nell’esempio del nostro buttafuori, sappiamo che è un professionista esperto. Si ricorda di tutti gli attaccabrighe degli ultimi 20 anni e li riconosce lontano un chilometro. Ma se alla porta non c’è nessuno in grado di riconoscere chi può essere un pericolo per se e per gli altri, queste persone possono entrare tranquillamente e nessuno se ne rende conto finché non sarà troppo tardi.

A volte il problema non riguarda solo chi entra nel locale (o nella rete), ma anche ciò che esce.  Molte soluzioni di sicurezza sono progettate per prevenire la perdita di dati, ma la crittografia ha la capacità di nascondere completamente i dati. In questo modo gli utenti malintenzionati (all’interno o all’esterno dell’azienda) possono rubare dati privati o riservati senza che nessuno se ne accorga e, una volta raccolti dati a sufficienza, spesso utilizzano un ransomware per ricattare l’azienda.

Purtroppo, i comuni gateway senza decrittografia disponibile/attivata non hanno alcuna visibilità su questo traffico. I rischi non si limitano a trojan, ransomware e malware: un’esfiltrazione di dati di questo tipo può anche mettere a rischio la conformità a normative come GDPR, HIPAA o PCI, esponendo l’azienda a multe severe.

Il vostro locale ha dovuto chiudere perché alcuni clienti sono stati sorpresi a uscire con dei drink o i dipendenti hanno trafugato alcune bottiglie? Si tratta di un’azione illegale non solo per loro, ma anche per voi. A volte le sanzioni per la mancanza di conformità, che si tratti di ordinanze locali per locali notturni o di normative di conformità nazionali per le grandi organizzazioni, possono mettere a rischio o addirittura portare alla chiusura delle aziende.

In entrambi i casi, la soluzione è la stessa: ci vuole un addetto alla sicurezza imperterrito, efficace e sufficientemente esperto da sapere chi lasciare entrare e chi no – il tutto con l’abilità necessaria per non creare code all’ingresso.

Per scoprire cosa vi serve per ispezionare il traffico crittografato della vostra azienda, registratevi al nuovo webinar di Mindhunter: “La vostra rete ha bisogno di un buttafuori?”, che si terrà il 23 aprile alle ore 14:00 CET

Osca St. Marthe
EMEA VP of Pre-Sales and Sales Engineering | SonicWall
Osca St Marthe is EMEA VP of Pre-Sales and Sales Engineering. He is spearheading SonicWall’s technology offering in the EMEA region, and is responsible for building and expanding a technical community of trusted partners and customers. Osca provides SonicWall customers and prospects in EMEA with expert advice, cutting-edge cybersecurity intelligence and solutions that focus on customer value and outcomes.

Osca has been leading high-performing teams for the last 15+ years in Sales Engineering, with a focus on customer outcomes and partner alignment across enterprises and SMBs. Before he came to SonicWall, Osca worked on cybersecurity for the cloud space at McAfee. Osca continues to champion the importance of women in cybersecurity, coach and mentor aspiring graduates in technology, and support a diverse and inclusive workforce.