La sicurezza di rete è il campo della sicurezza informatica incentrato sulla protezione delle reti di computer da minacce informatiche. La sicurezza di rete ha tre obiettivi principali: prevenire l’accesso non autorizzato alle risorse di rete, rilevare e bloccare attacchi informatici e violazioni della sicurezza in corso e garantire che gli utenti autorizzati abbiano accesso sicuro alle risorse di rete di cui hanno bisogno, quando ne hanno bisogno.
Con l’aumentare delle dimensioni e della complessità delle reti, aumenta anche il rischio di attacchi informatici. Ad esempio, secondo il report Cost of a Data Breach 2022 di IBM, il 83% delle organizzazioni intervistate ha riscontrato più di una violazione dei dati (una violazione della sicurezza che comporta l’accesso non autorizzato a informazioni sensibili o riservate). Questi attacchi erano costosi: il costo medio globale di una violazione dei dati è stato di 4,35 milioni di dollari e il costo medio di una violazione dei dati negli Stati Uniti è stato più del doppio di tale importo, pari a 9,44 milioni di dollari.
La sicurezza della rete protegge l’integrità dell’infrastruttura di rete, delle risorse e del traffico per contrastare questi attacchi e ridurre al minimo l’impatto finanziario e operativo.
I sistemi di sicurezza di rete funzionano a due livelli: sul perimetro e all’interno della rete.
Sul perimetro, i controlli di sicurezza cercano di impedire alle minacce informatiche di entrare nella rete. Ma gli aggressori di rete talvolta riescono a penetrare, quindi i team di sicurezza IT mettono in atto controlli anche sulle risorse all’interno della rete, come i computer portatili e i dati. Anche se gli aggressori riuscissero a entrare, non avrebbero campo libero. Questa strategia, che prevede la stratificazione di controlli multipli tra hacker e potenziali vulnerabilità , è chiamata "difesa in profondità".
Per creare sistemi di sicurezza di rete, i team addetti alla sicurezza combinano i seguenti strumenti:
Un firewall è un software o hardware che impedisce al traffico sospetto di entrare o uscire da una rete lasciando passare il traffico legittimo. I firewall possono essere distribuiti ai margini di una rete o utilizzati internamente per dividere una rete più grande in sottoreti più piccole. Se una parte della rete è compromessa, gli hacker restano comunque isolati dal resto.
Esistono diversi tipi di firewall con caratteristiche diverse. I firewall di base utilizzano il filtro dei pacchetti per ispezionare il traffico. I firewall di nuova generazione più avanzati (NGFW) aggiungono la prevenzione delle intrusioni, l’intelligenza artificiale e l’apprendimento automatico, la rilevazione e il controllo delle applicazioni e i feed di threat intelligence per una maggiore protezione.
Le soluzioni di controllo degli accessi alla rete (NAC) agiscono come custodi, autenticando e autorizzando gli utenti per determinare chi può entrare nella rete e cosa può fare al suo interno. "Autenticazione" significa verificare che un utente sia chi dichiara di essere. "Autorizzazione " significa concedere agli utenti autenticati il permesso di accedere alle risorse di rete.
Le soluzioni NAC vengono spesso utilizzate per applicare policy di controllo degli accessi basati sui ruoli (role-based access control, RBAC), in cui i privilegi degli utenti si basano sulle loro funzioni lavorative. Ad esempio, uno sviluppatore junior potrebbe essere in grado di visualizzare e modificare il codice, ma non di pubblicarlo in tempo reale. Al contrario, gli sviluppatori senior potrebbero leggere, scrivere e inviare codice alla produzione. L’RBAC aiuta a prevenire le violazioni dei dati tenendo gli utenti non autorizzati lontani dalle risorse a cui non sono autorizzati ad accedere.
Oltre ad autenticare gli utenti, alcune soluzioni NAC possono effettuare valutazioni dei rischi sugli endpoint degli utenti. L’obiettivo è quello di impedire a dispositivi non protetti o compromessi di accedere alla rete. Se un utente tenta di accedere alla rete su un dispositivo con software anti-malware obsoleto o configurazioni errate, il NAC negherà l’accesso. Alcuni strumenti NAC avanzati possono correggere automaticamente gli endpoint non conformi.
Un sistema di rilevamento e prevenzione delle intrusioni (IDPS), talvolta chiamato sistema di prevenzione delle intrusioni (intrusion prevention system, IPS), può essere implementato direttamente dietro un firewall per scansionare il traffico in entrata alla ricerca di minacce alla sicurezza. Questi strumenti di sicurezza si sono evoluti dai sistemi di rilevamento delle intrusioni (intrusion detection system, IDS), che segnalavano solo le attività sospette da controllare.Gli IDPS hanno la capacità aggiuntiva di rispondere automaticamente a possibili violazioni, ad esempio bloccando il traffico o reimpostando la connessione. Gli IDP sono particolarmente efficaci per rilevare e bloccare attacchi di forza bruta e attacchi di tipo denial of service (DoS) o distributed denial of service (DDoS).
Una rete privata virtuale (VPN) protegge l’identità di un utente crittografando i suoi dati e mascherando il suo indirizzo IP e la sua posizione. Quando un utente utilizza una VPN, non si connette più direttamente a Internet, ma a un server sicuro che si connette a Internet per suo conto.
Le VPN possono aiutare i lavoratori remoti ad accedere in modo sicuro alle reti aziendali, anche attraverso connessioni Wi-Fi pubbliche non protette come quelle presenti nei bar e negli aeroporti. Le VPN crittografano il traffico di un utente, proteggendolo dagli hacker che potrebbero voler intercettare le loro comunicazioni.
Al posto delle VPN, alcune organizzazioni utilizzano zero trust network access (ZTNA). Anziché utilizzare un server proxy, ZTNA utilizza criteri di controllo accessi zero-trust per connettere in modo sicuro gli utenti remoti. Quando gli utenti remoti accedono a una rete tramite ZTNA, non possono accedere all’intera rete. Invece, ottengono l’accesso solo alle risorse specifiche che sono autorizzati a utilizzare e devono essere nuovamente verificati ogni volta che accedono a una nuova risorsa. Consulta la sezione "Un approccio zero trust alla sicurezza della rete" qui di seguito per uno sguardo più approfondito su come funziona la sicurezza zero trust.
La sicurezza delle applicazioni si riferisce alle misure adottate dai team di sicurezza per proteggere le app e le interfacce di programmazione delle applicazioni (application programming interface, API) dagli aggressori di rete. Poiché oggi molte aziende utilizzano app per svolgere funzioni aziendali chiave o elaborare dati sensibili, le app sono un obiettivo comune per i criminali informatici. E poiché numerose app aziendali sono ospitate su cloud pubblici, gli hacker possono sfruttare le loro vulnerabilità per penetrare nelle reti aziendali private.
Le misure di sicurezza delle applicazioni difendono le app da malintenzionati. Gli strumenti comuni per la sicurezza delle applicazioni includono firewall delle applicazioni web (web application firewall, WAF), protezione automatica delle applicazioni runtime (runtime application self-protection, RASP), test statici sulla sicurezza delle applicazioni (static application security testing, SAST) e test dinamici sulla sicurezza delle applicazioni (dynamic application security testing, DAST).
L’IBM Security X-Force Threat Intelligence Index ha rilevato che il phishing è il vettore di attacco informatico iniziale più comune. Gli strumenti per la sicurezza delle e-mail possono aiutare a contrastare gli attacchi di phishing e altri tentativi di compromettere gli account e-mail degli utenti. La maggior parte dei servizi di posta elettronica dispone di strumenti di sicurezza integrati come i filtri antispam e la crittografia dei messaggi. Alcuni strumenti di sicurezza delle e-mail dispongono di sandbox, ambienti isolati in cui i team di sicurezza possono ispezionare gli allegati e-mail alla ricerca di malware senza esporre la rete.
Sebbene i seguenti strumenti non siano propriamente di sicurezza della rete, gli amministratori di rete li utilizzano spesso per proteggere le aree e le risorse di una rete.
La prevenzione della perdita di dati (DLP) si riferisce a strategie e strumenti di sicurezza delle informazioni che garantiscono che i dati sensibili non vengano rubati né divulgati accidentalmente. La DLP include politiche di sicurezza dei dati e tecnologie appositamente progettate che tracciano i flussi di dati, crittografano le informazioni sensibili e generano avvisi quando vengono rilevate attività sospette.
Le soluzioni di sicurezza degli endpoint proteggono tutti idispositivi che si connettono a una rete (laptop, desktop, server, dispositivi mobili, dispositivi IoT) dagli hacker che cercano di utilizzarli per intrufolarsi nella rete. Il software antivirus è in grado di rilevare e distruggere trojan, spyware e altri software dannosi su un dispositivo prima che si diffonda al resto della rete. Le soluzioni di rilevazione e risposta degli endpoint (EDR) sono strumenti più avanzati che monitorano il comportamento degli endpoint e rispondono automaticamente agli eventi di sicurezza. Il software di gestione unificata degli endpoint (UEM) consente alle aziende di monitorare, gestire e proteggere tutti i dispositivi degli utenti finali da un’unica console.
Le soluzioni di sicurezza web, come i gateway web sicuri, bloccano il traffico Internet dannoso e impediscono agli utenti di connettersi a siti web e app sospetti.
La segmentazione della rete è un modo per suddividere le reti di grandi dimensioni in sottoreti più piccole, fisicamente o tramite software. La segmentazione della rete può limitare la diffusione di ransomware e altri malware eliminando una sottorete compromessa dal resto della rete. La segmentazione può anche aiutare a tenere lontani gli utenti legittimi dalle risorse a cui non dovrebbero accedere.
Le soluzioni di sicurezza del cloud proteggono i data center, le app e altre risorse cloud dagli attacchi informatici. La maggior parte delle soluzioni per la sicurezza del cloud sono semplicemente misure standard di sicurezza della rete (come firewall, NAC e VPN) applicate agli ambienti cloud. Molti provider di servizi cloud sviluppano controlli di sicurezza nei propri servizi o li offrono come componenti aggiuntivi.
L’analisi del comportamento di utenti ed entità (UEBA) utilizza l’analisi comportamentale el’apprendimento automatico per segnalare attività anomale di utenti e dispositivi. L’UEBA può aiutare a individuare le minacce interne e gli hacker che hanno dirottato gli account utente.
Le reti aziendali tradizionali erano centralizzate, con endpoint, dati e app chiave localizzati in sede. I tradizionali sistemi di sicurezza di rete si concentrano sull’impedire alle minacce di violare il perimetro della rete. Una volta che un utente entrava, veniva considerato affidabile e gli veniva concesso un accesso praticamente illimitato.
Tuttavia, man mano che le organizzazioni intraprendono la trasformazione digitale e adottano ambienti di cloud ibrido, le reti stanno diventando decentralizzate. Ora, le risorse di rete esistono su data center cloud, endpoint on-site e remoti e dispositivi mobili e IoT.
I controlli di sicurezza basati sul perimetro sono meno efficaci nelle reti distribuite, quindi molti team di sicurezza IT stanno passando a framework di sicurezza di rete Zero Trust . Invece di concentrarsi sul perimetro, la sicurezza di rete Zero Trust colloca i controlli di sicurezza sulle singole risorse. Gli utenti non sono mai implicitamente attendibili. Ogni volta che un utente tenta di accedere a una risorsa, deve essere autenticato e autorizzato, indipendentemente dal fatto che sia già presente nella rete aziendale. Agli utenti autenticati viene concesso solo l’accesso con il minimo privilegio e le loro autorizzazioni vengono revocate non appena il loro compito è terminato.
La sicurezza della rete Zero Trust si basa su policy di accesso granulari, convalida continua e dati raccolti da quante più fonti possibili, inclusi molti degli strumenti sopra descritti, per garantire che solo gli utenti giusti possano accedere alle risorse giuste per i motivi giusti al momento giusto.
Se da un lato un approccio di difesa in profondità può proteggere la rete aziendale, dall’altro significa che il team di sicurezza IT deve gestire una serie di controlli di sicurezza separati. Le piattaforme di sicurezza della rete aziendale possono aiutare a semplificare la gestione della sicurezza della rete integrando diversi strumenti di sicurezza e consentendo ai team di sicurezza di monitorare l’intera rete da un’unica console. Le piattaforme comuni di sicurezza di rete includono:
La gestione delle informazioni e degli eventi di sicurezza (SIEM)raccoglie informazioni da strumenti di sicurezza interni, le aggrega in un registro centrale e segnala le anomalie.
Le soluzioni di orchestrazione della sicurezza, automazione e risposta (SOAR) raccolgono e analizzano i dati di sicurezza e consentono ai team addetti alla sicurezza di definire ed eseguire risposte automatizzate alle minacce informatiche.
Gli strumenti di rilevamento e risposta di rete (NDR)utilizzano l’AI e l’apprendimento automatico per monitorare il traffico di rete e rilevare attività sospette.
Quella di rilevamento e risposta estesi (XDR) è un’architettura aperta di sicurezza informatica che integra gli strumenti di sicurezza e unifica le operazioni di sicurezza in tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, carichi di lavoro cloud e dati.Con XDR, le soluzioni di sicurezza che non sono necessariamente progettate per lavorare insieme possono interoperare senza problemi per la prevenzione, il rilevamento, l’analisi e la risposta alle minacce. XDR può anche automatizzare il rilevamento delle minacce, la valutazione degli incidenti e i flussi di lavoro di identificazione delle minacce.
Individua le minacce nascoste in agguato nella tua rete, prima che sia troppo tardi.IBM Security QRadar Network Detection and Response (NDR) aiuta i team di sicurezza ad analizzare le attività di rete in tempo reale. Combina una vasta e approfondita visibilità con analytics e dati di elevato valore per elaborare risposte e insight fruibili.
Proteggi l’intera rete con soluzioni di sicurezza di rete di nuova generazione che riconoscono in modo intelligente anche le minacce sconosciute e si adattano per evitarle in tempo reale.
Amplia il tuo team con capacità, competenze e soluzioni comprovate in materia di sicurezza per proteggere la tua infrastruttura e la tua rete da sofisticate minacce alla sicurezza informatica.
SIEM è una soluzione di sicurezza che aiuta le organizzazioni a riconoscere potenziali minacce e vulnerabilità di sicurezza prima che abbiano la possibilità di interrompere le operazioni di business.
IDC ha riconosciuto IBM Security QRadar SIEM come leader nella sua valutazione dei fornitori IDC Marketscape 2022. Ottieni i dettagli nel rapporto completo.
L’IBM Security® X-Force® Threat Intelligence Index offre a CISO, team di sicurezza e leader aziendali informazioni strategiche per comprendere gli attacchi informatici e proteggere proattivamente la tua organizzazione.