La sicurezza di rete è il campo della cybersecurity incentrato sulla protezione delle reti e dei sistemi informatici da minacce e attacchi informatici interni ed esterni.
La sicurezza di rete ha tre obiettivi principali: prevenire l’accesso non autorizzato alle risorse di rete, rilevare e bloccare attacchi informatici e violazioni della sicurezza in corso e garantire che gli utenti autorizzati abbiano accesso sicuro alle risorse di rete di cui hanno bisogno, quando ne hanno bisogno.
Con l'aumento delle dimensioni e della complessità delle reti, aumenta anche il rischio di attacchi informatici. Ad esempio, secondo il report Cost of a Data Breach 2023 di IBM, l'82% delle violazioni dei dati (una violazione di sicurezza che comporta l'accesso non autorizzato a informazioni sensibili o riservate) che le organizzazioni hanno riscontrato su dati memorizzati nel cloud. Questi attacchi sono stati molto costosi: il costo medio globale di una violazione dei dati è stato di 4,45 milioni di dollari e il costo medio di una violazione dei dati negli Stati Uniti è stato più del doppio di tale importo, pari a 9,48 milioni di dollari.
La sicurezza della rete protegge l’integrità dell’infrastruttura di rete, delle risorse e del traffico per contrastare questi attacchi e ridurre al minimo l’impatto finanziario e operativo.
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
I sistemi di sicurezza di rete funzionano a due livelli: sul perimetro e all’interno della rete.
Sul perimetro, i controlli di sicurezza tentano di impedire alle minacce informatiche di penetrare nella rete. Ma chi attacca la rete talvolta riesce a penetrarvi, per cui i team di sicurezza IT mettono in atto controlli anche sulle risorse all'interno della rete, come laptop e dati. Anche se gli aggressori riuscissero a entrare, non riuscirebbero a compiere quanto voluto. Questa strategia, che prevede la stratificazione di controlli multipli tra hacker e potenziali vulnerabilità,viene chiamata "difesa in profondità".
Per creare sistemi di sicurezza di rete, i team addetti alla sicurezza combinano i seguenti strumenti:
Un firewall è un software o hardware che impedisce al traffico sospetto di entrare o uscire da una rete lasciando passare il traffico legittimo. I firewall possono essere distribuiti ai margini di una rete o utilizzati internamente per dividere una rete più grande in sottoreti più piccole. Se una parte della rete è compromessa, gli hacker restano comunque isolati dal resto.
Esistono diversi tipi di firewall con funzioni diverse. I firewall di base utilizzano il filtraggio dei pacchetti per ispezionare il traffico. I firewall più avanzati di nuova generazione aggiungono la prevenzione delle intrusioni, l'AI e l'apprendimento automatico, la consapevolezza e il controllo delle applicazioni e i feed di threat intelligence per una maggiore protezione.
Le soluzioni di controllo degli accessi alla rete agiscono come custodi, autenticando e autorizzando gli utenti per stabilire chi può entrare nella rete e cosa può fare al suo interno. "Autenticazione" significa verificare che un utente sia effettivamente chi dichiara di essere. Significa inoltre concedere agli utenti autenticati il permesso di accedere alle risorse di rete.
Le soluzioni NAC vengono spesso utilizzate per applicare policy di controllo degli accessi basati sui ruoli (role-based access control, RBAC), in cui i privilegi degli utenti si basano sulle loro funzioni lavorative. Ad esempio, uno sviluppatore junior potrebbe essere in grado di visualizzare e modificare il codice, ma non di inviarlo in tempo reale. Al contrario, gli sviluppatori senior potrebbero leggere, scrivere e inviare il codice in produzione. L'RBAC aiuta a prevenire le violazioni dei dati tenendo gli utenti non autorizzati lontani dalle risorse a cui non sono autorizzati ad accedere.
Oltre ad autenticare gli utenti, alcune soluzioni NAC possono effettuare valutazioni dei rischi sugli endpoint degli utenti. L’obiettivo è quello di impedire a dispositivi non protetti o compromessi di accedere alla rete. Se un utente tenta di accedere alla rete su un dispositivo con software anti-malware obsoleto o configurazioni errate, il NAC negherà l’accesso. Alcuni strumenti NAC avanzati possono correggere automaticamente gli endpoint non conformi.
Un sistema di rilevamento e prevenzione delle intrusioni, talvolta chiamato sistema di prevenzione delle intrusioni, può essere implementato direttamente dietro un firewall per scansionare il traffico in entrata alla ricerca di minacce alla sicurezza. Questi strumenti di sicurezza si sono evoluti dai sistemi di rilevamento delle intrusioni, i quali segnalavano solo le attività sospette da controllare. Gli IDPS hanno la capacità aggiuntiva di rispondere automaticamente a possibili violazioni, ad esempio bloccando il traffico o reimpostando la connessione. Gli IDP sono particolarmente efficaci per rilevare e bloccare attacchi di brute force e attacchi di tipo denial of service (DoS) o distributed denial-of-service (DDoS).
Una rete privata virtuale (VPN) protegge l’identità di un utente crittografando i suoi dati e mascherando il suo indirizzo IP e la sua posizione. Quando un utente utilizza una VPN, non si connette più direttamente a Internet, ma a un server sicuro che si connette a Internet per suo conto.
Le VPN possono aiutare i lavoratori remoti ad accedere in modo sicuro alle reti aziendali, anche attraverso connessioni Wi-Fi pubbliche non protette come quelle presenti nei bar e negli aeroporti. Le VPN crittografano il traffico di un utente, proteggendolo dagli hacker che potrebbero voler intercettare le loro comunicazioni.
Al posto delle VPN, alcune organizzazioni utilizzano zero-trust network access (ZTNA). Anziché utilizzare un server proxy, ZTNA utilizza criteri di controllo degli accessi zero-trust per connettere in modo sicuro gli utenti remoti. Quando gli utenti da remoto accedono a una rete tramite ZTNA, non possono accedere all'intera rete. Ottengono invece l'accesso solo agli asset specifici che sono autorizzati a utilizzare e devono essere nuovamente verificati ogni volta che accedono a una nuova risorsa.
La sicurezza delle applicazioni si riferisce alle misure adottate dai team di sicurezza per proteggere le app e le interfacce di programmazione delle applicazioni (application programming interface, API) dagli aggressori di rete. Poiché oggi molte aziende utilizzano app per svolgere funzioni aziendali chiave o elaborare dati sensibili, le app sono un obiettivo comune per i criminali informatici. E poiché numerose app aziendali sono ospitate su cloud pubblici, gli hacker possono sfruttare le loro vulnerabilità per penetrare nelle reti aziendali private.
Le misure di sicurezza delle applicazioni difendono le app dai malintenzionati. Gli strumenti più diffusi per la sicurezza delle applicazioni includono firewall per applicazioni Web, autoprotezione delle applicazioni runtime, test di sicurezza delle applicazioni statici e test di sicurezza delle applicazioni dinamici.
L'IBM Security X-Force Threat Intelligence Index ha rilevato che il phishing è il vettore di attacco informatico iniziale più comune. Gli strumenti per la sicurezza delle e-mail possono aiutare a contrastare gli attacchi di phishing e altri tentativi di compromettere gli account e-mail degli utenti. La maggior parte dei servizi di e-mail dispone di strumenti di sicurezza integrati come i filtri antispam e la crittografia dei messaggi. Alcuni strumenti di sicurezza delle e-mail dispongono di sandbox, ambienti isolati in cui i team addetti alla sicurezza possono ispezionare gli allegati delle e-mail alla ricerca di malware senza esporre la rete.
Sebbene i seguenti strumenti non siano propriamente di sicurezza della rete, gli amministratori di rete li utilizzano spesso per proteggere le aree e le risorse di una rete.
Prevenzione della perdita di dati (DLP)
La prevenzione della perdita di dati si riferisce a strategie e strumenti di sicurezza delle informazioni che garantiscono che i dati sensibili non vengano rubati né divulgati accidentalmente. La DLP include politiche di sicurezza dei dati e tecnologie appositamente progettate che tracciano i flussi di dati, crittografano le informazioni sensibili e generano avvisi quando vengono rilevate attività sospette..
Sicurezza degli endpoint
Le soluzioni per la sicurezza degli endpoint proteggono tutti i dispositivi che si connettono a una rete, come laptop, desktop, server, dispositivi mobili o dispositivi IoT, dagli hacker che tentano di utilizzarli per intrufolarsi nella rete. Il software antivirus è in grado di rilevare ed eliminare trojan, spyware e altro software dannoso su un dispositivo prima che si diffonda al resto della rete.
Le soluzioni di rilevamento e risposta degli endpoint sono strumenti più avanzati che monitorano il comportamento degli endpoint e rispondono automaticamente agli eventi di sicurezza. Il software di gestione unificata degli endpoint consente alle aziende di monitorare, gestire e proteggere tutti i dispositivi degli utenti finali da un'unica console.
Sicurezza sul web
Le soluzioni di sicurezza web, come i gateway web sicuri, bloccano il traffico Internet dannoso e impediscono agli utenti di connettersi a siti web e app sospetti.
Segmentazione di rete
La segmentazione della rete è un modo per suddividere le reti di grandi dimensioni in sottoreti più piccole, fisicamente o attraverso software. La segmentazione della rete può limitare la diffusione di ransomware e altri malware eliminando una sottorete compromessa dal resto della rete. La segmentazione può inoltre aiutare a tenere lontani gli utenti legittimi dagli asset a cui non dovrebbero accedere.
Sicurezza del cloud
Le soluzioni per la sicurezza del cloud proteggono i data center, le app e altri asset cloud dagli attacchi informatici. La maggior parte delle soluzioni per la sicurezza del cloud sono semplicemente misure standard di sicurezza della rete (come firewall, NAC e VPN) applicate agli ambienti cloud. Numerosi provider cloud service sviluppano controlli di sicurezza nei propri servizi o li offrono come componenti aggiuntivi.
Analisi del comportamento di utenti ed entità (UEBA)
L'analisi del comportamento di utenti ed entità utilizza l'analisi comportamentale e l'apprendimento automatico per segnalare attività anomale di utenti e dispositivi. L'UEBA può aiutare a individuare le minacce interne e gli hacker che hanno violato gli account utente.
Le reti aziendali tradizionali erano centralizzate, con endpoint, dati e app chiave localizzati on-premise. I tradizionali sistemi di sicurezza di rete si concentravano sull’impedire alle minacce di violare il perimetro della rete. Una volta che un utente entrava, veniva considerato affidabile e gli veniva concesso un accesso praticamente illimitato.
Tuttavia, man mano che le organizzazioni intraprendono la trasformazione digitale e adottano ambienti di cloud ibrido, le reti stanno diventando decentralizzate. Ora, le risorse di rete esistono su data center cloud, endpoint on-site e remoti e dispositivi mobili e IoT.
I controlli di sicurezza basati sul perimetro sono meno efficaci nelle reti distribuite, quindi numerosi team di sicurezza IT stanno passando a framework di sicurezza di rete zero-trust. Invece di concentrarsi sul perimetro, la sicurezza di rete zero-trust rivolge i controlli di sicurezza sulle singole risorse. Gli utenti non sono mai implicitamente attendibili. Ogni volta che un utente tenta di accedere a una risorsa, deve essere autenticato e autorizzato, indipendentemente dal fatto che sia già presente nella rete aziendale. Agli utenti autenticati viene concesso solo l’accesso con il minimo privilegio e le loro autorizzazioni vengono revocate non appena il loro compito è terminato.
La sicurezza della rete zero-trust si basa su criteri di accesso granulari, convalida costante e dati raccolti da quante più fonti possibili, inclusi molti degli strumenti sopra citati, per garantire che solo determinati utenti possano accedere a determinate risorse per i motivi corretti al momento corretto.
Se da un lato un approccio di difesa in profondità può proteggere la rete aziendale, dall’altro significa che il team di sicurezza IT deve gestire una serie di controlli di sicurezza separati. Le piattaforme di sicurezza della rete aziendale possono aiutare a semplificare la gestione della sicurezza della rete integrando diversi strumenti di sicurezza e consentendo ai team di sicurezza di monitorare l’intera rete da un’unica console. Le piattaforme comuni di sicurezza di rete includono:
- Security Information and Event Management (SIEM)
- Security orchestration, automation and response (SOAR)
- Network detection and response, NDR
- Rilevamento e risposta estesi (XDR)
La gestione delle informazioni e degli eventi di sicurezza raccoglie informazioni da strumenti di sicurezza interni, le aggrega in un log centrale e segnala le anomalie.
Le soluzioni di orchestrazione, automazione e risposta della sicurezza raccolgono e analizzano i dati relativi alla sicurezza e consentono ai team addetti alla sicurezza di definire ed eseguire risposte automatizzate alle minacce informatiche.
Gli strumenti di rilevamento e risposta di rete utilizzano l'AI e l'apprendimento automatico per monitorare il traffico di rete e rilevare attività sospette.
Il rilevamento e la risposta estesi è un'architettura aperta di cybersecurity che integra gli strumenti di sicurezza e unifica le operazioni di sicurezza a tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, workload cloud e dati. Con XDR, le soluzioni di sicurezza che non sono necessariamente progettate per lavorare insieme possono interoperare senza soluzione di continuità per la prevenzione, il rilevamento, l’analisi e la risposta alle minacce. XDR può inoltre automatizzare il rilevamento delle minacce, la valutazione degli incidenti e i workflow di rilevamento delle minacce.
Proteggi l'intera rete con soluzioni di sicurezza di rete di nuova generazione che riconoscono in modo intelligente anche le minacce sconosciute e si adattano per evitarle in tempo reale.
Amplia il tuo team con capacità, competenze e soluzioni comprovate in materia di sicurezza per proteggere la tua infrastruttura e la tua rete da sofisticate minacce alla sicurezza informatica.
SIEM è una soluzione di sicurezza che aiuta le organizzazioni a riconoscere potenziali minacce e vulnerabilità di sicurezza prima che abbiano la possibilità di interrompere le operazioni di business.
L'IBM Security X-Force Threat Intelligence Index offre ai Chief Information Security Officer (Responsabili della sicurezza informatica), ai team addetti alla sicurezza e ai leader aziendali insight attuabili per conoscere gli attacchi informatici e proteggere proattivamente la tua organizzazione.