Servizi di firewall dinamici e proattivi proteggono dalle nuove minacce

Il servizio gestito di Cloud Web Application Firewall di Acantho  (powered by Radware) blocca tutte le minacce mediante l’AI e il machine learrning

 

Proteggere dati e applicazioni  è sempre più difficile a seguito della diffusione del cloud, dell’IoT e di strumenti di attacco sofisticati reperibili sul Web. A Gianluca Ulisse, Product marketing manager dei servizi data center di  Acantho (www.acantho.com),  abbiamo chiesto di  esaminare lo stato dell’arte e di come sia possibile difendersi efficacemente e con quali strumenti.

Acantho è la digital company del Gruppo Hera che fornisce ad aziende e privati una connettività in fibra ottica ad alte prestazioni, elevata affidabilità, con la massima sicurezza di sistemi, dati e continuità del servizio tramite Data Center di proprietà situati a Imola e a Milano.

“Gran parte delle attività che svolgiamo su Internet inizia dal web e dai suoi server, un ambiente che  comprende a sua volta altre tipologie di server (di autenticazione, database, ecc..) che tramite interfacce software dialogano con altri server terzi nel cloud. Con il diffondersi dell’IoT vi sono poi macchine che dialogano con altre macchine, a cui si aggiungono le app degli smartphone. Questa evoluzione è la causa di nuove tecniche e ambiti di attacco e il cybercrime è diventata una delle più profittevoli attività criminali.

Il cybercrime è molto articolato ed è naif associarlo al mero furto delle carte di credito. Ora esistono strumenti per bloccare i servizi web dell’azienda, trafugarne informazioni e dati dei clienti, distorcere la vendita o la disponibilità dei beni, agire sulla reputazione tramite i commenti dei clienti o chiedere riscatto per i dati aziendali.

Per analizzare i nuovi ambiti di attacco è stata fondata nel 2001 OWASP (Open Web Application Security Project) una fondazione no-profit americana per la sicurezza delle web application, che annovera come membri le aziende di cybersecurity e cura un report sulle 10 principali minacce in ambito delle Web Application (OWASP Top 10).

Il rischio dei Bot  e zero day

Ma se conosciamo le principali minacce il percorso è da considerarsi concluso? Non proprio, in quanto si devono considerare i web robot (Bot) ovvero programmi che girano sul web per specifici compiti e il cui traffico è quasi equivalente a quello degli “umani”.

E anche nei Bot vi sono i buoni e i cattivi. I buoni esaudiscono  le nostre richieste tramite Siri, Alexa, Google, cercano contenuti, reperiscono news, valutano offerte, dialogano con gli utenti. I cattivi invece possono mettere in atto varie azioni: ottenere i dati degli utenti di un sito, simulare un utente, falsare le richieste, operare recensioni, variare i prezzi, distorcere le analisi dell’utenza per il sito.

Il problema è che i Bot “cattivi” si presentano come utenti normali, ed è attraverso l’impronta digitale di tali Bot (il Device Fingerprinting) e il loro comportamento che si riesce a desumerne la natura digitale.

Anche l’intelligenza artificiale può dare una mano. Gli algoritmi basati sul machine-learning forniscono una protezione in tempo reale aggiornando automaticamente le policy di sicurezza per salvaguardare le applicazioni web, mobile e cloud, ivi incluse le API, e minimizzando i falsi positivi. Quest’ultimo aspetto è però possibile per le grandi organizzazioni di sicurezza digitale che dispongono di quantità di dati globali e in tempo reale e team di esperti che valutano le situazioni ambigue.

Ma vi è un altro aspetto da considerare, il cosiddetto “Distributed Denial of Service” (DDoS) il cui scopo è di bloccare l’accesso al sito, e di farlo in modo apparentemente corretto.

È come se ad un ufficio postale, abituato ad avere 10 clienti all’ora ne arrivassero  10.000. L’effetto è che non sarebbe in grado di servire i clienti reali, poiché, tornando nel mondo web, quei 10.000 clienti sono degli “zombie” digitali, ovvero dispositivi ignari e non protetti (ad esempio telecamere IP) utilizzati  per inoltrare le richieste. Essendo distribuite si può bloccarne una ma bloccarle tutte implica bloccare anche le richieste valide degli umani.

Ma non è tutto, vi sono anche gli “zero day”. Sono nuovi attacchi così giovani da avere zero day di anzianità. Essendo sconosciuti i sistemi basati su un archivio dei “cattivi”, riferito come  “negative security model”, li lasciano passare. Il metodo complementare è il “positive security model”, che fa passare solo gli accreditati ma che comporta un maggiore lavoro nell’aggiornare le liste degli utenti accreditati e che richiede sistemi di machine learning e il contributo di esperti.

Questo ecosistema di attacchi ha caratteristiche comuni: sono massivi, automatici, provengono da fonti diverse (IoT, microservizi e server in cloud) e attaccano e si adattano in real time. Ciò comporta capacità di risposte a loro volta in real time, che si adeguano alla tipologia dell’attacco e riescono a far fronte a molteplici (sia in tipologia che quantità) attacchi.

Cosa fare per proteggersi

Cosa è possibile fare? Una risposta è il servizio di Cloud Web Application Firewall di Acantho (powered by Radware), in grado di rispondere a questo ecosistema di minacce perché copre totalmente le minacce OWASP Top 10, ha un suo Device Fingerprinting per riconoscere gli attacchi indipendentemente dall’indirizzo IP di provenienza, fornisce la protezione completa delle API, abilita policy auto evolutive tramite il machine learning e adotta il positive security model per  proteggere dagli zero day.

A questo aggiunge la protezione proattiva dai Bot verso gli attacchi massivi e la protezione dagli attacchi DDoS, il tutto con un servizio gestito H24 dal team di esperti Radware.

Non ultimo, è un servizio di tipo aperto che  non richiede come precondizione di essere clienti  Acantho per quanto concerne la connettività utilizzata o  il luogo in cui risiedono le proprie applicazioni.

E’ in sostanza un servizio tramite il quale Acantho ha voluto dare, assieme a Radware, una concreta ed efficace risposta alle esigenze di cybersecurity dei clienti”.