Sicurezza del Web: guida all acquisto
Introduzione Dalla comunicazione all accesso ai dati, il Web è diventato uno strumento aziendale mission-critical. Visto il crescente numero di aziende che lavorano online, oggi anche il Web è diventato un frequente vettore di attacchi. Le minacce attuali non si limitano a siti Web discutibili o URL dannosi. Alcune delle più sofisticate minacce basate sul Web sono realizzate per essere insospettabili a prima vista su siti Web legittimi e con molto traffico. E le minacce esterne alla rete non sono la sola preoccupazione. Gli stessi utenti interni potrebbero mettere in pericolo l azienda esaurendo la larghezza di banda in eccesso e accedendo a contenuti, come social media, video su Internet e applicazioni personali, sottratti alle policy sugli utilizzi accettabili. Le aziende moderne necessitano di una soluzione di sicurezza Web che fornisca monitoraggio e analisi costanti sull intera rete estesa e protezione per tutta la durata dell attacco: prima, durante e dopo un attacco. Questo documento esamina i requisiti che le aziende devono considerare quando acquistano una soluzione di sicurezza Web in grado di affrontare le sfide rappresentate dalle attuali minacce avanzate. Guida all acquisto delle soluzioni di sicurezza Web Nella valutazione delle soluzioni di sicurezza Web, le aziende devono valutare i seguenti criteri per essere certe di ottenere una protezione su più livelli, necessaria per difendersi dalle minacce avanzate odierne e da attacchi mirati: Analisi di big data e informazioni collettive sulla sicurezza globale Filtri di reputazione e classificazione Scansione antimalware in tempo reale Controlli dell utilizzo del Web Application Visibility and Control (AVC) Data Loss Prevention (DLP) Protezione e risposta alle minacce Opzioni di implementazione flessibili Requisito 1: analisi di big data e informazioni collettive sulla sicurezza globale Non è più possibile identificare il malware in base al suo aspetto, poiché un file classificato come benigno oggi potrebbe facilmente diventare dannoso domani. Le soluzioni tradizionali, come gli antivirus assistiti dal cloud, non sono in grado di affrontare l evoluzione del malware, studiato per eludere il rilevamento basato sulle firme. Per questo motivo, è possibile ottenere una protezione reale solo tramite una soluzione di sicurezza Web che fornisca un analisi continua. Se la disposizione di un file cambia, sarà il monitoraggio costante di tutto il traffico ad aiutare il personale addetto alla sicurezza a tracciare l infezione fino alla sua origine. Protezione supportata da milioni di campioni di malware raccolti globalmente ogni mese Analisi da parte dei team di Cisco Talos Security Intelligence and Research Group (Talos) e Cisco Collective Security Intelligence (CSI) Identificazione dei malware basata sulle attività che svolgono anziché sul loro aspetto, per consentire il rilevamento anche degli attacchi zero-day più recenti Cisco Advanced Malware Protection (AMP) per fornire maggiore visibilità, controllo e analisi retrospettiva Integrazione di Cisco Web Security con le informazioni sulle minacce Basato su un'analisi della sicurezza collettiva senza confronto Informazioni I00II I0I000 0110 00 Cisco Risposte alle I00I III0I III00II 0II00II I0I000 0110 00 I00I III0I III00II 0II00II I0I000 0110 00 I00I III0I III00II 0II00II I0I000 0110 00 sulle minacce I00I III0I III00II 0II00II I0I000 I00I III0I III00II 0II00II I00I I III0I III00II 0II00II I0I000 0110 00 0110 00 Talos I00I III0I III00II 0II00II I0I000 I00I III0I III00II 0II00II I0I000 0110 00 ricerche E-mail Endpoint 1.6 milioni di sensori globali 100 TB di dati ricevuti al giorno Oltre 150 millioni di endpoint implementati Oltre 600 ingegneri, tecnici e ricercatori Web Reti IPS 35% del traffico e-mail a livello mondiale 13 miliardi di richieste Web Operatività 24 ore su 24, 7 giorni su 7, 365 giorni l'anno Più di 40 lingue Dispositivi WSA + Advanced Malware Protection Oltre 180.000 campioni di file al giorno Avvisi avanzati da Microsoft e dal settore Community open source di Snort and ClamAV Honeypot Feed di minacce pubblici e privati Analisi dinamica
Requisito 2: filtri di reputazione e classificazione Oggi la sicurezza Web deve poter bloccare il malware sia da siti sospetti che da siti apparentemente affidabili, prima che questo raggiunga l utente. In presenza di strumenti aziendali che incrementano la produttività, cresce significativamente la probabilità che gli utenti si imbattano in malware. Anche i siti Web legittimi possono rappresentare una minaccia, per la presenza di malware insospettabile a prima vista. La sicurezza Web in questo ambiente deve poter condurre un analisi dinamica basata su reputazione e comportamento. Deve anche poter supportare policy granulari che consentano ai dipendenti di accedere ai siti richiesti, impedendo invece l uso di siti e funzionalità indesiderati, come la condivisione di file basata sul Web. Requisito 3: scansione antimalware in tempo reale Ampliando il proprio utilizzo del Web, le aziende aumentano la loro esposizione a rischi tangibili che possono compromettere il brand, le operazioni, i dati e altro. Per fornire la migliore difesa dal malware nuovo e già noto, una soluzione di sicurezza Web deve fornire sia un analisi dinamica della reputazione, sia un analisi basata sul comportamento. Le aziende devono poter analizzare in tempo reale tutto il traffico Web in ingresso e in uscita, alla ricerca di malware, nonché analizzare ogni contenuto Web a cui si accede. Le soluzioni con funzionalità di DLP e di crittografia sensibili ai contenuti e basate su policy sono essenziali per ottenere questa protezione. Analisi dinamica degli URL sconosciuti per bloccare i contenuti dannosi Filtri di reputazione Web che analizzano e classificano il rischio associato a un sito nell istante in cui viene effettuata una richiesta Web Punteggio della reputazione per bloccare, consentire o segnalare con avvisi un determinato sito Difesa avanzata dai malware La più efficace ispezione antimalware disponibile sul mercato Ottimizzazione della velocità dei processi Analisi adattiva e prioritizzata Analisi antimalware in tempo reale I criminali informatici creano 4 nuovi malware Web al secondo: 240 al minuto, 15.000 l ora, 300.000 al giorno. * Talos Reputazione Web Filtraggio Web Prima Cisco Web Security Appliance (WSA) Application Visibility and Control Pagina Web Durante Scansione Reputazione parallela AV dei file Data Loss Prevention Appliance AMP File Sandboxing Dopo Virtuale Cognitive Threat Analytics Analisi retrospettiva dei file Autenticazione client Reindirizzamenti del traffico WCCP Bilanciatore del carico Explicit/PAC PBR AnyConnect HQ Amministratore Gestione Reportistica Estrazione del registro Ufficio del campus Filiali Utente in roaming Consentire Avvisare Bloccare Blocco parziale *Fonte: Cisco Talos.
Requisito 4: controlli dell utilizzo del Web Oggi le aziende richiedono un più efficace controllo dell utilizzo del Web, che consenta loro di gestire l utilizzo della larghezza di banda da parte dei dipendenti e degli utenti guest. Campagne mirate implementano malware studiato per rubare dati preziosi e infine ottenere l accesso ai data center. Le aziende devono poter implementare un controllo dell utilizzo del Web capace di bloccare dinamicamente l accesso di un utente, quando richiede di visitare un sito che ospita notoriamente malware. Combinazione di filtro URL tradizionale e analisi in tempo reale Accesso degli utenti basato su policy di filtraggio degli URL, confrontati con un database Cisco di oltre 50 milioni di URL dannosi conosciuti Quote di larghezza di banda e di tempo implementate per utente, gruppo o policy Requisito 5: visibilità e controllo delle applicazioni Web Una moderna soluzione di sicurezza Web deve fornire alle aziende il controllo completo sulle modalità con cui gli utenti finali accedono ai contenuti Internet. Le soluzioni di sicurezza Web che offrono visibilità e controllo delle applicazioni aiutano gli amministratori a creare e applicare policy dettagliate, nei siti Web contenenti applicazioni e microapplicazioni integrate, senza limitare la produttività della forza lavoro o sovraccaricare le risorse IT. Inoltre, le soluzioni di sicurezza Web devono poter controllare il comportamento delle applicazioni, come caricare, contrassegnare con tag o pubblicare un video, per contribuire a ridurre l esposizione a malware basato sul Web e prevenire la perdita di dati. Requisito 6: Data Loss Prevention La ricchezza costituita dalla proprietà intellettuale, dai dati finanziari e da altre informazioni preziose che attraversano Internet, fa del Web un obiettivo primario per i pirati informatici. Le violazioni dei dati possono avere un impatto significativo sulla situazione finanziaria, sulla reputazione del brand e sulla quota di mercato di un azienda. Occorre una soluzione di sicurezza Web che contribuisca a proteggere le risorse critiche dai malware che rubano i dati e che aiuti le aziende a ottenere la necessaria conformità regolamentare, nello scenario delle minacce avanzate odierne. Accesso ai contenuti personalizzato, basato sulle esigenze aziendali e sulla conformità regolamentare Regole basate sul contesto per DLP o Internet Content Adaptation Protocol (ICAP), che consentono l ispezione approfondita dei contenuti e l implementazione di policy DLP Funzionalità DLP integrate attraverso l analisi dei dati per titolo, metadati e dimensioni, nonché blocco del caricamento su servizi di webmail e di file-sharing nel cloud Creazione di policy personalizzate in base al livello di restrizione desiderato DLP di base DLP di base CWS Cloud WSA Gestione on-premise DLP avanzata WSA AVC che fornisce visibilità dettagliata sui contenuti di applicazioni e di microapplicazioni in evoluzione Controllo granulare dell utilizzo e del comportamento delle applicazioni Identificazione e classificazione di centinaia di applicazioni Web 2.0 e mobili importanti e diffuse, come Facebook, e di oltre 150.000 microapplicazioni, ad esempio i giochi di Facebook Integrazione di DLP per grandi aziende tramite protocollo ICAP + Pacchetto DLP di terzi
Requisito 7: protezione e risposta alle minacce Anche adottando un approccio alla sicurezza e-mail articolato su più livelli, alcuni attacchi sofisticati riescono a infiltrarsi. L analisi continua e la sicurezza retrospettiva sono necessarie per identificare file dannosi che fino a un determinato momento hanno eluso il rilevamento e per aiutare ad accertare la portata dell attacco, in modo da poterlo contenere e rispondere rapidamente alla minaccia. Cisco AMP Cisco AMP è un servizio aggiuntivo di Cisco Web Security. AMP utilizza le vaste reti di informazioni sulla sicurezza nel cloud di Talos per fornire protezione superiore durante tutte le fasi dell attacco: prima, durante e dopo un attacco. È l unica soluzione antivirus zero-hour comprovata del settore che protegge dai nuovi virus in meno di 60 minuti. Tabella 1. Funzioni di AMP Reputazione dei file File Sandboxing Analisi retrospettiva dei file Immunità collettiva Acquisisce un impronta di ogni file nel momento in cui esso attraversa il gateway Web e la analizza attraverso la rete di intelligence basata sul cloud di AMP per un verdetto sulla reputazione Fornisce la capacità di analizzare file sconosciuti in un ambiente sandbox sicuro per stabilirne il livello di minaccia Consente il controllo, il contenimento e la risposta ai file dannosi dopo che si è verificata un infezione Invia informazioni sulle minacce da tutti gli utenti AMP a Cisco Talos per la classificazione come elemento dannoso e protegge tutti i membri della comunità AMP da infezioni future POINT-IN-TIME DETECTION Analysis stops CONTINUOUS MONITORING Analysis continues Initial disposition = Clean Sandboxing Antivirus AMP Initial disposition = Clean Not 100% Actual disposition = Bad = Too late!! Retrospective analysis Actual disposition = Bad = Blocked Blind to scope of compromise Identifies threats after an attack Requisito 8: opzioni di implementazione flessibili Se le minacce odierne basate sul Web sono complesse, le soluzioni di sicurezza devono essere semplici e cooperare tra loro per rilevarle e ridurle. Le aziende necessitano di una soluzione di sicurezza Web che offra opzioni di implementazione flessibili, come appliance, virtuali, cloud e ibride, in modo da proteggere tutti gli utenti nell azienda e gestire la soluzione nel modo più idoneo per le loro attività. X X
Soluzioni Cisco Web Security Cisco Web Security fornisce sicurezza Web ad alte prestazioni e gestione coerente delle policy, indipendentemente dal luogo e dal modo in cui gli utenti accedono a Internet. Costituisce la difesa più efficace dal malware basato sul Web e offre il controllo delle applicazioni e il filtraggio URL migliori, per gestire il rischio di perdita di dati, la produttività dei dipendenti e l utilizzo della larghezza di banda. Come parte di una strategia di sicurezza Web pervasiva per l azienda, Cisco Web Security consente una migliore protezione dei dati e del marchio e aiuta a garantire la conformità. Opzioni di implementazione Gestione on-premise Cloud Appliance Virtuale Ibrido Ibrido Cloud Gestita Conclusioni Proteggi la tua azienda dalle minacce avanzate negli ambienti interconnessi e mobili odierni implementando Cisco Web Security. Sia Cisco WSA che Cisco CWS offrono una protezione efficace, un controllo completo, ampie opzioni di implementazione e valore dell investimento. Cisco WSA e Cisco CWS offrono una difesa avanzata dalle minacce attraverso il lavoro di Cisco Talos. Talos utilizza set di dati di telemetria senza paragoni, basati su miliardi di richieste Web ed e-mail, milioni di campioni di malware, seti di dati open source e milioni di intrusioni nelle reti, per produrre informazioni che forniscano una comprensione completa delle minacce, così garantendo la massima efficacia delle soluzioni di sicurezza Cisco. Il risultato è un cloud di informazioni sulla sicurezza che fornisce una grande intelligence e analisi della reputazione per il tracciamento delle minacce nelle reti, negli endpoint, nei dispositivi mobili, nei sistemi virtuali, nel Web e nelle e-mail. Per ulteriori informazioni sul portfolio di Cisco Web Security, visita.cisco.com/go/web-security. Un rappresentante di vendita, un partner di canale o un tecnico sistemista Cisco possono aiutarti a valutare come le soluzioni Cisco Web Security possono soddisfare le esigenze esclusive della tua azienda. Supporto di più dispositivi Desktop Dispositivi mobili Laptop Tablet Cisco Web Security Appliance (WSA) Cisco Web Security Virtual Appliance (WSAv) Cisco Cloud Web Security (CWS) Semplifica il controllo con un appliance ad alte prestazioni dedicata Consente agli amministratori di creare nuove istanze delle appliance dove e quando sono necessarie Fornisce una soluzione di sicurezza Web semplice che non richiede hardware aggiuntivo; può funzionare come soluzione autonoma oppure fornire maggiore protezione, connettendo l apparecchiatura di rete esistente a servizi di sicurezza Web basati su cloud tramite le impostazioni browser e i file PAC esistenti