Di fronte ad una minaccia così diversificata nei confronti di un perimetro di sicurezza sempre più sfumato, i firewall tradizionali non dispongono più della visibilità necessaria per identificare e prevenire in maniera sufficientemente affidabile gli attacchi provenienti dalla rete.
Questo scenario rende auspicabile l’adozione di un next generation firewall (NGFW), un sistema dotato di controlli di sicurezza evoluti, basati su una visibilità in tempo reale di quanto accade sui sistemi aziendali, per fronteggiare in maniera dinamica e intelligente l’evoluzione delle minacce informatiche, oltre a costituire una valida opzione per quanto concerne una segmentazione della rete realmente sicura, utile a contrastare anche la possibile minaccia interna.
Vediamo cosa sono i next generation firewall, come funzionano e quali sono le principali caratteristiche che li distinguono rispetto ai firewall tradizionali, un aspetto fondamentale per comprendere i vantaggi offerti a livello aziendale.
Secondo la definizione offerta da Gartner, i next generation firewall (NGFW) sono: “Firewall per l’ispezione profonda dei pacchetti, in grado di andare oltre la semplice ispezione e il blocco di porte/protocolli, per aggiungere un controllo al livello dell’applicazione, la prevenzione delle intrusioni e l’intelligence all’esterno del firewall”.
In altri termini, i NGFW impiegano tecnologie di filtraggio statico e dinamico dei pacchetti, per analizzare sia il traffico in entrata che in uscita dalla rete, ai fini di individuare le comunicazioni consentite e quelle da bloccare. Nel contesto dell’analisi del traffico, i next generation firewall integrano la conoscenza della threat intelligence per eseguire la scansione contro i malware più recenti, oltre a fronteggiare altre potenziali minacce sulla base del riconoscimento di pattern anomali.
I next generation firewall appartengono alla terza generazione delle tecnologie firewall, progettata per lavorare a livello delle applicazioni, grazie a funzionalità di sicurezza capaci di interpretare in tempo reale il contesto.
Estremizzando il concetto, potremmo definire il NGFW un firewall tradizionale, basato sul filtraggio dei pacchetti con ispezione stateful, a cui sono state aggiunte funzioni dinamiche evolute, basate su tecniche di intelligenza artificiale, che consentono un’analisi capace di semplificare ed automatizzare le scelte legate al controllo del traffico. Un NGFW riesce a bloccare i movimenti sospetti “chiudere troppo” a causa degli inevitabili falsi positivi generati dai sistemi di monitoraggio.
Il firewall definisce in buona sostanza il perimetro della rete, in questo caso costringendo tutto il traffico a passare attraverso il NGFW, che applica le policy di sicurezza, per consentire l’ingresso/uscita o bloccare i dati ispezionati.
In altri termini, il next generation firewall interviene a livello dell’applicazione con tecnologie come IPS (intrusion prevention system), sandbox, anti-malware e molte altre ancora, per bloccare una tipologia di minacce molto ampia e mantenere al sicuro l’infrastruttura IT dell’azienda. In particolare, un NGFW dispone della capacità di ispezionare le informazioni contenute nei pacchetti di dati, anziché limitarsi agli header IP.
I next generation firewall, come suggerisce il nome stesso, se implementati in maniera corretta e consapevole, possono garantire alle aziende una nuova frontiera nella sicurezza informatica della loro infrastruttura IT, sfruttando una serie di funzioni che consentono di ispezionare dinamicamente il traffico di rete.
Per citare un esempio pratico, un NGFW può bloccare un attacco condotto attraverso una porta non standard, individuando un comportamento anomalo, cosa che un firewall tradizionale, vigilando su una serie di porte predefinite, ben difficilmente riuscirebbe a fare.
Questa capacità “context-aware” nativa rende i NGFW capaci di ispezionare in maniera dinamica il traffico dei dati in maniera aggiornata, grazie alle informazioni ricevute dai servizi di threat intelligence, automatizzando, sulla base di questi dati, la gestione delle policy di sicurezza, senza costringere puntualmente il reparto IT ad intervenire manualmente, con rischi elevati per quanto concerne errori e dimenticanze molto pericolose per la salute dell’infrastruttura IT.
I next generation firewall sono inoltre molto più semplici da gestire in quanto nascono per consentire una gestione unificata, sul modello dei servizi centralizzati in cloud, accedendo a un unico pannello di controllo utilizzando un comune browser web. I NGFW integrano vari tool per la sicurezza informatica, semplificando la pipeline e riducendo i rischi legati all’eccessiva frammentazione dei sistemi di cybersecurity.
Le funzionalità che un next generation firewall è in grado di garantire variano in base al vendor, ma in ogni caso è possibile sintetizzare una serie di contenuti minimi:
Questo ultimo punto è una caratteristica fondamentale del Firewall as a Service, un modello a servizi disponibile in cloud che consente alle organizzazioni di esternalizzare la gestione dei firewall e di altri strumenti per la sicurezza informatica, in maniera totalmente scalabile in funzione dei carichi di lavoro, senza l’onere di dover mantenere in efficienza i sistemi puntando esclusivamente sulle risorse interne, dal momento che è il managed security service provider (MSSP) a detenere tale responsabilità.
Come già accennato in termini funzionali, una delle differenze più importanti tra i firewall tradizionali e quelli di nuova generazione risiede nel fatto che gli NGFW offrono un'ispezione approfondita dei pacchetti di dati che va oltre la semplice analisi delle porte e dei protocolli, grazie alla capacità di considerare anche i contenuti dei pacchetti stessi.
Il NGFW garantisce una protezione nei 7 livelli previsti dal modello ISO/OSI (Open Systems Interconnection), mentre i firewall di precedente generazione si fermano soltanto al livello 4. Si tratta di una caratteristica molto importante quando si tratta di valutare l’adozione di un next generation firewall, in quanto gli attacchi verso i livelli 5-7 del modello OSI sono in considerevole aumento.
Occorre inoltre ribadire come i NGFW sono in grado di integrare alle funzioni di base dei firewall tradizionali anche l'ispezione a livello delle applicazioni (application awareness), la prevenzione delle intrusioni (IPS) e il supporto informativo dei dati forniti dai servizi di threat intelligence.
Funzioni | Soluzione Firewall tradizionale | Next generation firewall | Funzionalità e benefici aggiunti da un NGFW |
---|---|---|---|
Ispezione | Stateless | Stateful | Analisi comportamentale e rilevamento dei pattern sospetti |
Visibilità | Limitata al livello 4 ISO/OSI | Tutti i livelli ISO/OSI | Ispezione completa dei pacchetti di dati e analisi approfondita del traffico di rete (ingresso e uscita) |
Servizi | Di base (es. blocco IP, chiusura porte, ecc.) | Avanzati, con supporto alla threat intelligence | Servizi di gestione unificata delle minacce (filtraggio dei contenuti, IDS/IPS, ecc.) |
Protezione | Limitata | Avanzata e in continuo aggiornamento | Identifica una varietà più ampia di attacchi, meno sensibile ai falsi positivi |
Un sentimento diffuso nelle organizzazioni, dovendo continuamente fare i conti con un budget per definizione limitato, porta ad effettuare un upgrade a livello IT soltanto se strettamente necessario.
Del resto, anche un firewall tradizionale, messo nelle giuste condizioni, continua a garantire un funzionamento adeguato ed un buon livello di protezione dalle minacce sul perimetro di sicurezza. Il problema oggettivo è che le sue funzioni, nella maggior parte degli effettivi casi d’uso, non sono più sufficienti e andrebbero integrate con le feature di un next generation firewall.
Le organizzazioni che si rivelano troppo attendiste nei confronti della crescente minaccia informatica a livello globale rischiano di subire attacchi in grado di compromettere la loro stessa sopravvivenza, data la potenziale entità del danno a livello economico e reputazionale che possono innescare.
Oggi un firewall capace di chiudere porte e bloccare IP, se non viene supportato da adeguate funzioni di monitoraggio attivo sui contenuti del traffico di rete, finisce per essere facilmente aggirabile dall’azione dei cybercriminali, per il semplice fatto che la maggior parte degli attacchi viene ormai condotta al livello delle applicazioni.
Le aziende dovrebbero pertanto effettuare un vulnerability assessment capace di testare il livello di protezione dei loro sistemi di cybersecurity, tenendo conto dei seguenti aspetti, dove i NGFW possono garantire un elevato livello di sicurezza:
Una grande opportunità, soprattutto per le organizzazioni che si ritrovano a gestire più sedi, è offerta dal cloud based NGFW, un modello a servizi che offre interfacce di gestione centralizzate per controllare i firewall fisicamente installati presso le singole strutture esecutive.
Nel caso di un FWaaS, a prescindere dal numero e dalle configurazioni specifiche, i firewall vengono infatti controllati mediante un pannello di controllo unificato, che spesso consente di gestire anche altri sistemi, per garantire il maggior livello di visibilità possibile per la cybersecurity aziendale.
Esistono pertanto varie soluzioni tecnologiche ed organizzative per implementare con successo un sistema basato su next generation firewall e non esiste a priori una soluzione perfetta per tutte le situazioni.
È pertanto auspicabile valutare lo stato di sicurezza ed efficienza dei propri sistemi di cybersecurity avvalendosi di una consulenza qualificata e dotata di una comprovabile esperienza sul campo, che sappia valutare caso per caso la soluzione di firewall in grado di garantire il maggior livello di sicurezza, rispettando i budget a disposizione, anche nel rispetto del capitale già investito nelle dotazioni correnti.