SOURCEFIRE. L'Agile Security. ICT Security 2013

Transcript

1 ICT Security 2013 SOURCEFIRE L'Agile Security Secondo l'agile Security Manifesto di Sourcefire bisogna smettere di considerare la sicurezza un problema da risolvere. È inutile rincorrere le minacce supponendo di poter sviluppare la soluzione "finale", che elimina ogni rischio. Gli ambienti ICT sono una combinazione in costante cambiamento di servizi, dispositivi e software, che sono creati, utilizzati, sviluppati e dismessi quotidianamente. Partendo da questa considerazione, in Sourcefire hanno definito 12 principi, di cui ci limitiamo a elencare l'enunciato sintetico in seguito. Questi principi sono alla base della visione strategica "See Learn Adapt Act", che porta all'agile Security. I 12 principi dell'agile Security Manifesto: 1 Essere più adattativo dei tuoi avversari 2 La sicurezza deve essere dinamica quanto minacce e ambienti 3 Non esistono reti né dispositivi di cui potersi fidare 4 La ricerca di soluzioni "offensive" contro le minacce ha un beneficio immediato limitato 5 Non puoi proteggere quello che non vedi 6 Gli ambienti IT dinamici hanno bisogno di "intelligenza" dinamica 7 Alla larga dalle black box 8 Ogni ambiente è unico, le difese vanno adattate subito 9 La security non è un insieme di policy ed elenchi da spuntare 10 La security è un problema "Big Data" 11 La security è un problema di persone 12 La security deve essere un abilitatore Dato il contesto "in movimento" prima descritto e considerando che le minacce sono ancora più dinamiche, in Sourcefire ritengono che sia inutile affannarsi nel tentativo di realizzare una "trusted 1

2 SOURCEFIRE network", mentre sia opportuno adottare un approccio per la protezione di reti e dati, che sia ancora più adattativo e dinamico della realtà circostante. Chiaramente è impensabile costruire procedure di sicurezza che cambiano continuamente attorno a procedure di business altrettanto dinamiche. Si dovrà cercare un compromesso su cosa e quanto dinamicamente si può "cambiare", ma il punto di vista deve essere quello dei processi di business. Chi si occupa dell'ict security dovrà imparare a conoscerli, comprendendo in che modo la sicurezza degli stessi può contribuire al successo aziendale, proteggendo dati, risorse e immagine dell'azienda stessa. La strategia di Sourcefire L'approccio strategico da adottare viene indicato come "See Learn Adapt Act", dove la visibilità completa dello stato architetturale e di quello che avviene sulla rete e alle applicazioni è la base per poter prendere decisioni e agire. Learn, imparare, significa comprendere e valutare i rischi applicato la security intelligence ai dati. Visibilità e comprensione permettono quindi di "adattare" le difese automaticamente e di "agire" in tempo reale. È questa l'approccio alla sicurezza che Sourcefire ritiene di consentire grazie alla propria tecnologia. Perché questo sia possibile e funzionale, bisogna che in azienda venga accettata una visione della sicurezza quale abilitatore del business: se volessi la sicurezza completa di un sistema, basterebbe isolarlo dal resto, ma a questo punto a cosa servirebbe? 2

3 ICT Security 2013 Analogamente, se non voglio correre rischi chiudo le VPN (Virtual Private Networks) ed elimino la possibilità di accedere alle risorse aziendali da remoto. Ma così non si penalizzerebbe l'azienda? Cloud e mobility sono altri esempi di tecnologie/processi che possono portare vantaggi economici, ma vanno supportati dalla sicurezza. Non si tratta di evitare i danni e i costi del caso peggiore che si potrebbe verificare senza protezione, ma impostare l'agile Security per sostenere un business agile. Firesight A supporto delle soluzioni e fondamentale per il raggiungimento dell'agile Security vi è la tecnologia di passive scanning FireSight, uno dei principali punti di forza di Sourcefire e la soluzione FireSight Defence Center, che consiste nella console centralizzata di gestione. Quest'ultima fornisce, a detta dei responsabili di Sourcefire una tecnologia di awareness in tempo reale che fornisce una visibilità completa, la correlazione degli eventi e funzionalità di automazione della sicurezza per rispondere ai cambiamenti dello stato e ai nuovi attacchi. Brevettata nel 2004, la tecnologia di passive scanning (in pratica una discovery continua che non impatta sulle prestazioni) è alla base di FireSight. La visibilità arriva a livello di utente ed è ciò che consente di contestualizzare i dati e le informazioni di sicurezza. Si tratta di un elemento molto importante negli ambienti dinamici attuali, soprattutto perché consente di applicare la sicurezza adattandola alle caratteristiche specifiche della realtà di ciascun cliente. Non a caso è il valore che diversi analisti riconoscono a Sourcefire e alle sue soluzioni di next generation. Le funzionalità di correlazione, inoltre, sono funzionali all'automazione della sicurezza. Per aiutare gli amministratori a prendere decisioni accurate, basate sulla security intellingence, Firesight Defence Center fornisce assessment automatico dell'impatto di ciascun evento, capacità di policy tuning automatico, 3

4 SOURCEFIRE gestione delle policy, analisi del comportamento di rete e identificazione dell'utente, riducendo tempi e costi amministrativi, consentendo loro, al tempo stesso, di mantenersi al passo con i continui cambiamenti di scenario. In pratica, FireSight Defence Center rappresenta il "sistema nervoso centrale" delle piattaforme per la network security di Sourcefire. È, evidentemente, anche lo strumento a supporto della compliance, fornendo forensic analysis, analisi dei trend, funzioni di reportistica e di allarme. La soluzione consente di gestire in modo granulare tutte le appliance di network security e di scalare amministrando da un master centrale fino a 10 Defence Center subordinati, per centinaia di appliance. Snort e il team VRT Sourcefire è stata fondata dall'inventore di Snort, che è tuttora il motore del sistema di intrusion prevention, ed è per natura orientata ai sistemi aperti. Più precisamente, le regole che vengono applicate sui firewall e gli IPS derivano da Snort e sono frutto del lavoro di una grande community. La loro caratteristica, oltre al fatto di essere regole aperte, è la flessibilità, tant'è che vengono utilizzate anche in ambienti particolari come i sistemi di controllo industriale (SCADA). L'apertura costituisce un ulteriore vantaggio, conferendo a Sourcefire la possibilità di realizzare un'integrazione avanzata con strumenti per la sicurezza di terze parti. Per esempio, è possibile importare risultati e report sulla vulnerability assessment di rete realizzati con diversi strumenti o altri dati applicativi. Analogamente, Sourcefire ha realizzato diverse integrazioni con strumenti di SIEM (Security Information Event Management), di networking oppure con strumenti avanzati di forensic. Impegnato sul fronte di Snort, per esempio con lo sviluppo di regole, è il team di ricerca e sviluppo VRT (Vulnerability Research Team) di Sourcefire, che non solo ricerca vulnerabilità e diffonde conoscenza 4

5 ICT Security 2013 sulla sicurezza, ma lavora al progetto Clam AV (un antivirus open source), che fornisce un honeypot e contenuti a valore aggiungo, come IP reputation, URL filtgerging e geo-localization per Sourcefire, lavorando anche a stretto contatto con il Sans Institute e con diverse università e community varie, anche in Italia. Sourcefire ha ottimizzato Snort, che è il motore su cui ha aggiunto carrozzeria, design, interni ed esperienza per realizzare un auto che trasferisce valore alle imprese. Peraltro, esiste uno specifico abbonamento con il VRT, tale per cui gli utilizzatori di Snort possono ricevere gli aggiornamenti delle policy sviluppate da Sourcefire. Le soluzioni Le soluzioni di Sourcefire si concentrano in tre aree: Next Generation Intrusion Prevention System, Next Generation Firewall e Advanced Malware Protection. Next Generation Intrusion Prevention Systems Integrando l'attenzione al contesto con l'automazione guidata dalla security intelligence, i NGIPS di Sourcefire sfruttano le prestazioni delle appliance per fornire protezione efficace dalle minacce. La funzionalità di application control e di URL filtering permette di mitigare i rischi legati a questo mezzo di penetrazione sempre più utilizzato per evitare i sistemi IPS tradizionali. Sourcefire classifica il rischio di ogni applicazione, in base a parametri di sicurezza, per esempio le vulnerabilità, ma anche di rilevanza. Quanto più un'applicazione viene usata, tanto più critica viene considerata. Si può comunque intervenire per classificare manualmente applicazioni magari meno comuni nell'ambito aziendale, ma rilevanti in determinati ambienti, come può essere per un sito quale Tripadvisor nel caso di un'azienda del settore turistico o alberghiero. 5

6 SOURCEFIRE Il NGIPS è inoltre sempre attento al contesto, grazie a FireSight e può immediatamente rilevare discrepanze rispetto a valori di riferimento. Al verificarsi di un'anomalia intervengono le regole che sono molto flessibili per incontrare le specificità di ciascun ambiente, come evidenziano presso Sourcefire. Next Generation Firewall Il controllo applicativo è la funzione tipicamente differenziante un firewall tradizionale da uno cosiddetto di prossima generazione. Nel caso di Sourcefire con il vantaggio di una visibilità accurata, tale da contestualizzare questo controllo. Si tratta di una funzionalità realizzata sia dal Next Generation Firewall sia dal NGIPS, che possono essere eventualmente anche integrati. Secondo i casi, però, potrebbe essere sufficiente acquistare solo il NGIPS, mantenendo il firewall tradizionale a realizzare le funzioni tradizionali di gateway e affidando al NGIPS il controllo applicativo. Advanced Malware Protection: FireAMP I malware si fanno sempre più sofisticati, arrivando a nascondere le proprie funzionalità e riuscendo a evitare le protezioni tradizionali. La soluzione FireAMP, disponibile su appliance, sfrutta il cloud computing e i Big Data per attuare un innovativo quanto efficace approccio di rilevamento del malware, nonché di analisi e rimedio in caso di diffusione di un codice maligno. FireAMP sfrutta la visibilità fornita dai sistemi Sourcefire, spiegano in azienda, grazie all'analisi di grandi quantità di dati e informazioni per poter bloccare minacce sfuggite agli altri sistemi di protezione. classificare i file in ingresso sul sistema aziendale. È disponibile anche una versione per la protezione dai malware sviluppati per dispositivi mobili (Android) o specifici per virtual machine (solo in ambienti VMware). È possibile configurare FireAMP affinché effettui una selezione dei file da esaminare in dettaglio oppure si può decidere di analizzarli 6

7 ICT Security 2013 tutti. Sfruttando il cloud, infatti, le prestazioni non sono penalizzate, evidenziano i responsabili di Sourcefire. Il sistema, in realtà, può ottenere una classificazione del file in mediamente 200 millisecondi, interrogando il database in cloud: Clean, Unsafe o Unknown, le possibili risposte sulla natura del file. Esiste anche un driver per dispositivi mobili che potranno così chiedere informazioni su un file prima di aprirlo. I tempi di risposta salgono se si chiede comunque di effettuare un'analisi comportamentale del file. Ci sono file che possono cambiare nel tempo la loro classificazione, perché, per esempio, solo successivamente ne si scopre l'effetto malevolo. Per questo Sourcefire ha sviluppato due funzionalità per FireAMP: File Analysis e File Trajectory: queste permettono di analizzare a ritroso i problemi sorti, fino a risalire al file e al sistema su cui per primo tale file ha manifestato il comportamento maligno. L'architettura di Sourcefire Advanced Malware Protection con Retrospective Security Attraverso le capacità di "Outbreack Control" e di "Cloud Recall", il sistema è in grado di propagare le informazioni per effettuare azioni di remediation immediate, andando a verificare quali azioni ha 7

8 SOURCEFIRE compiuto il malware e informando inoltre tutti i sistemi del cambiamento di stato in "unsafe" per quel file. Le appliance FirePower Sourcefire ha realizzato appliance dedicate per le proprie funzionalità di network security. Denominati FirePower, questi sistemi sono dotati di tecnologie di accelerazione hardware, per garantire elevate prestazioni e scalabilità, contenendo i consumi energetici. Le appliance FirePower possono essere utilizzate per installarvi i Next Generation Intrusion Prevention System, i Next-Generation Firewall o, ancora, i sistemi di protezione avanzata dal malware. Le prestazioni dichiarate con funzionalità attive dal produttore vanno da 500 Mbps fino a 40 Gbps. Quest'ultima capacità viene realizzata attraverso l'impilabilità in stack delle appliance. I modelli da 10 Gbps, più precisamente, possono essere installati in uno stack da 4 appliance. La serie FirePower 7000, entry level, è disponibile in configurazione fissa con due modelli: il 7020 da 500 Mbps e il 7030 da 1 Gbps. Al top si trova la serie 8200, impilabile da 1 a 4 moduli da 10 Gbps ciascuno. Tre, invece, i modelli di appliance per FireSight Defence Center, rispettivamente capaci di gestire fino a 10, 35 o 150 appliance. Le appliance sono disponibili anche in versione virtuale per ambienti VMware, Red Hat Enterprise Virtualization e Xen. La società Sourcefire è una società specializzata in cybersecurity, fondata nel da Martin Roesch, il creatore di Snort. Dal 2006 è inserita nel Magic Quadrant di Gartner per le "Network Intrusion Prevention System Appliances". Analoghi riconoscimenti le sono stati conferiti da altre società di analisi o laboratori, quali NSS Labs o Frost & Sullivan. Per ulteriori informazioni: 8