La trasformazione digitale ha dato vita a reti interconnesse che consentono la condivisione delle informazioni. Questa è un’ottima cosa per l’efficienza e la produttività, ma molti network sono piatti (ovvero non segmentati), lasciando le aziende suscettibili alle minacce informatiche che possono muoversi in modo subdolo, anche in ambienti distribuiti, consentendo agli hacker di sfruttare le falle facendo leva sui dati più preziosi.
Perché queste violazioni sono ancora frequenti? Indubbiamente, il crescente numero e la varietà di asset, molti dei quali sono dispositivi IoT e OT non gestiti, ha aumentato il rischio. Spesso i collegamenti indesiderati non vengono controllati e le vulnerabilità sono nascoste anche se in bella vista, partendo dal presupposto che le risorse e le reti sono separate, mentre in realtà non lo sono. Nel frattempo, i perimetri delle reti stanno scomparendo a causa del telelavoro e della globalizzazione delle operazioni. L’insieme di questi aspetti aumenta la superficie di attacco.
Ma c’è un altro ostacolo: la segmentazione della rete e le sfide che le imprese devono affrontare nel tentativo di applicarla al loro ambiente digitale.
La segmentazione della rete è un principio fondamentale delle iniziative Zero Trust e least-privilege ed è una priorità assoluta in tutti i settori. La stragrande maggioranza delle minacce informatiche può essere mitigata con la segmentazione che limita i flussi di traffico solo agli asset che devono comunicare tra loro, isolando i dispositivi vulnerabili fino a quando non è possibile porvi rimedio. Purtroppo, i progetti di segmentazione della rete hanno un alto tasso di insuccesso e molti non vanno oltre la fase di pianificazione. Senza il giusto approccio possono risultare eccessivamente complessi, costosi e potenzialmente dannosi per l’operatività.
Un modo sicuro per distruggere un progetto di segmentazione della rete e una più ampia strategia Zero Trust è quello di causare un’interruzione delle attività. Ma non deve essere così. Ecco un approccio pratico che permetterà di risolvere questo problema.
Perché i progetti di segmentazione della rete falliscono
Come per tutti i progetti di sicurezza informatica, la base della segmentazione della rete è la visibilità completa di ciò che si trova nel proprio territorio digitale. Molte aziende passano mesi a raccogliere dati sugli asset e non riescono comunque a identificarli tutti. L’analisi manuale dei log dei flussi di traffico tra i dispositivi aggrava il problema. Il processo è estremamente lungo e soggetto a errori umani, con conseguente incertezza sulla validità dei risultati. Costruito su un terreno così incerto, l’IT non ha la sicurezza di progettare politiche efficaci per la segmentazione, che è una operazione delicata anche con una solida comprensione dell’ambiente.
L’analisi dell’impatto può essere ancora più scoraggiante. Come altre implementazioni, anche questa avviene in ambienti industriali, tra un insieme di utenti e di risorse che possono per esempio servire i clienti, produrre beni o elaborare le buste paga. Le politiche efficaci limitano l’accesso alle risorse sensibili, consentendo al contempo il funzionamento delle operazioni critiche.
Senza un’adeguata visibilità sulle modalità di comunicazione degli asset e su ciò che potrebbe andare storto quando vengono introdotti i criteri di segmentazione della rete, i team IT si sentono costretti a rallentare ulteriormente l’implementazione. Temendo costose interruzioni e tempi di inattività, finiscono per inseguire la linea di fondo, cercando di trovare un equilibrio tra la limitazione del rischio di sicurezza e l’impatto negativo sui processi aziendali critici.
Un approccio in cinque fasi per ottimizzare la segmentazione della rete
Quindi, iniziamo con una tabula rasa. Ecco cinque passi per il successo del vostro progetto di segmentazione della rete:
- Ottenere il 100% di visibilità di tutti i dispositivi di rete.
- Mappatura dei flussi di comunicazione e di traffico
- Simulazione per valutare l’impatto delle politiche di segmentazione prima dell’implementazione
- Monitoraggio continuo delle politiche di segmentazione per rilevare le violazioni.
- Orchestrazione dei controlli tra le diverse tecnologie per applicare le politiche quando vengono rilevate delle violazioni.
Le prime due fasi – visibilità e mappatura – dovrebbero essere automatizzate per accelerare le fasi di progettazione e pianificazione e infondere fiducia nell’approccio. La terza, la simulazione, dovrebbe consentire una rapida iterazione per chiudere rapidamente la fase di pianificazione. Una volta implementato, è necessario un modo semplificato per monitorare costantemente la conformità ai criteri di segmentazione e orchestrare i controlli tra più strumenti di sicurezza per applicare i criteri.
Visibilità delle risorse
Prima di pensare alla segmentazione, chiedetevi: quali sono tutti i miei asset e come comunicano tra loro? Qual è la loro importanza per l’azienda, il loro livello di rischio e il loro stato di conformità?
Sfruttando il rilevamento automatizzato e senza agenti, è possibile ottenere una visibilità al 100% dei dispositivi, fornendo le informazioni necessarie per comprendere la classificazione delle risorse nel contesto aziendale rilevante per la vostra organizzazione. È quindi possibile applicare queste conoscenze e questo contesto per raggruppare tutti i dispositivi connessi in una gerarchia aziendale logica, accelerando la fase di pianificazione del progetto di segmentazione della rete.
Mappatura del traffico di rete
Successivamente, dovrete mappare automaticamente i flussi di traffico con una classificazione logica di utenti, applicazioni, servizi e risorse nel vostro ambiente. Anche in questo caso la visibilità è fondamentale: cosa succederebbe se si potessero vedere tutti gli endpoint in una matrice che identifica il traffico tra di essi e permette di filtrarlo e raggrupparlo secondo le necessità per facilitare la progettazione delle politiche?
Con una matrice di questo tipo, è possibile vedere chiaramente come interagiscono tutti gli asset collegati e determinare facilmente come devono comunicare, su quali porte e protocolli, in base alle esigenze degli utenti o dei servizi. Vedere il traffico e gli asset (da endpoint e server gestiti a IoT non gestiti, OT e asset specializzati come i dispositivi medici) in questo modo, raccolti automaticamente e pronti per l’analisi, è molto più facile che esaminare i log.
Simulazione di politiche
L’attivazione dei criteri in modalità di simulazione consente di analizzare il loro impatto sui flussi di traffico prima di implementare nuovi controlli. Anche in questo caso, la visualizzazione è essenziale. Una matrice del traffico aiuta a identificare le politiche in atto, il loro livello di applicazione e il modo in cui possono sovrapporsi o entrare in conflitto tra loro. È inoltre possibile individuare i punti in cui si verificherebbero violazioni indesiderate delle policy sulla base delle nuove politiche, in modo da poterle regolare e convalidare senza causare danni reali prima di metterle in atto.
Monitoraggio continuo
La guida NIST SP 800 -207 per l’architettura Zero Trust prevede la separazione logica di un singolo punto di decisione delle politiche (PDP) nel piano di controllo, da più punti di applicazione delle politiche (PEP) nel piano dati. Il PDP agisce come un motore di macro-politiche, scrivendo tutti i criteri di applicazione necessari e applicandoli a diversi PEP e domini di rete. Le decisioni e l’applicazione della politica di segmentazione sono un elemento di questo progetto.
La vostra PDP non dovrebbe mai cambiare; riflette il vostro quadro di sicurezza basato sui principi di mitigazione del rischio e sul contesto aziendale. I PEP, d’altra parte, cambiano continuamente a causa dell’espansione delle aziende, delle fusioni e delle acquisizioni, del rinnovo dell’hardware, ecc. Come si fa a garantire che ciò che è stato segmentato per progetto rimanga tale in condizioni così dinamiche? Con un monitoraggio continuo e l’avviso di qualsiasi deviazione dalla politica prevista.
Implementazione ordinata
Una volta implementati, l’applicazione dei criteri di segmentazione pone problemi continui, poiché gli amministratori devono allinearli con le tecnologie di applicazione di più fornitori e garantire che non vi siano lacune. In genere, i progetti di segmentazione della rete richiedono una combinazione di firewall, liste di controllo degli accessi (ACL), controller SDN, LAN virtuali e altri, che richiedono politiche e controlli diversi. È difficile da gestire tra le diverse tecnologie infrastrutturali per le reti del campus, del data center, del cloud e di altro tipo, e spesso porta a una dispersione delle policy in base all’evoluzione delle esigenze aziendali e delle minacce.
Per mantenere la segmentazione pulita, è necessario un framework unificato (cioè un’unica PDP) per organizzare i controlli tra i diversi strumenti di sicurezza presenti nell’ambiente e applicare le politiche di segmentazione. Lo stesso strumento utilizzato per la visibilità e il monitoraggio continuo deve essere in grado di orchestrare i controlli di segmentazione su diverse tecnologie e segmenti di rete.
Automatizzare per accelerare
Una buona segmentazione della rete limita l’impatto di eventuali violazioni e aiuta a mantenere il paesaggio digitale allineato al quadro di sicurezza. È difficile ottenere questo risultato se ci si affida a strumenti manuali legacy che non forniscono una comprensione completa di tutti gli asset e del contesto in cui comunicano. Se si mappano gli asset e il traffico attraverso una visualizzazione automatizzata e interattiva, come fa la piattaforma Forescout Continuum, si accelera la progettazione, la simulazione e l’implementazione delle politiche di segmentazione, in modo da non rimanere bloccati.
Seguite questo approccio automatizzato in cinque fasi per accelerare i progressi verso lo zero trust, ridurre il rischio normativo e minimizzare l’esposizione alle minacce.