Non è un segreto che i i professionisti che si occupano di sicurezza informatica facciano fatica a tenere il passo con il volume e l’astuzia degli attacchi informatici odierni. Uno dei motivi principali è che l’infrastruttura di sicurezza non si è ancora evoluta per contrastare in modo efficace ed efficiente gli attacchi moderni.
L’infrastruttura di sicurezza è o troppo ingombrante e lenta o troppo aggressiva. Quando l’infrastruttura di sicurezza è lenta e poco maneggevole, è probabile che gli aggressori abbiano già avuto successo quando i “difensori” reagiscono. Quando le azioni di sicurezza sono troppo drastiche, compromettono i sistemi IT a tal punto che le azioni potrebbero essere scambiate per l’attacco stesso.
Quindi, cosa si dovrebbe fare?
La risposta è avere a disposizione una nuova infrastruttura di sicurezza – una fabric – in grado di creare autonomamente difese e produrre risposte proporzionate agli attacchi rilevati. Cisco ha creato una piattaforma di questo tipo, Cisco Hypershield, di cui parliamo nei paragrafi seguenti.
Principi fondamentali
Partiamo dai principi fondamentali che hanno guidato la creazione di Cisco Hypershield. Questi principi forniscono gli elementi base che consentono a chi si occupa di Cybersecurity di sfuggire alla situazione del cosiddetto “dannato se lo fai e dannato se non lo fai” a cui abbiamo accennato sopra.
- Enforcement iper-distribuito
L’infrastruttura IT di un’azienda moderna comprende data center gestiti privatamente (cloud privato), cloud pubblici, dispositivi BYOD (bring-your-own) e Internet of Things (IoT). In un ambiente così eterogeneo, un punto di controllo centralizzato è inefficiente perché il traffico deve passare da questo elemento. Questa necessità crea problemi di progettazione della rete e della sicurezza. La risposta a questo problema è la distribuzione del punto di contollo vicino alle applicazioni.
Cisco Hypershield è disponibile in diversi formati per adattarsi all’eterogeneità di qualsiasi ambiente IT:
– Tesseract Security Agent: in questo caso, il software di sicurezza viene eseguito sul server endpoint e interagisce con i processi e il kernel del sistema operativo utilizzando eBPF (extended Berkeley Packet Filter). eBPF è un framework software dei moderni sistemi operativi che consente ai programmi in user space (in questo caso, Tesseract Security Agent) di eseguire in modo sicuro azioni di analisi e blocco attraverso il kernel.
– Virtual/Container Network Enforcement Point: in questo caso, un elemento di enforcement software viene eseguito all’interno di una macchina virtuale o di un container. Tali elementi sono istanziati vicino all’applicazione e proteggono meno risorse rispetto al tipico firewall centralizzato.
– DPU server: l’architettura di Cisco Hypershield supporta le DPU dei server. In futuro, quindi, il sistema potrà essere collocato su hardware di rete vicino alle applicazioni, eseguendo una versione specifica in queste DPU. Le DPU eseguono attività relative alla rete e alla sicurezza in un’enclave sicura.
– Switch intelligenti: l’architettura di Cisco Hypershield supporta anche gli smart switch. In futuro, l’applicazione sarà collocata in altri elementi di rete Cisco, come gli smart switch top-of-rack. Pur non essendo vicini alle applicazioni come gli agenti o le DPU, tali switch sono molto più vicini di un dispositivo firewall centralizzato.
- Policy di rete centralizzata
Un incubo ricorrente per i professionisti della sicurezza è quello di dover gestire politiche di sicurezza indipendenti per ogni punto di applicazione. Il rimedio a questo problema è la centralizzazione dei criteri di sicurezza, che garantisce che le policy sia coerenti con i criteri di applicazione (vedi Figura 1).
Cisco Hypershield segue la strada della centralizzazione delle policy. Indipendentemente dal tipo o dalla posizione dell’elemento di enforcement, le policy sono organizzate nel Policy Management centralizzato di Hypershield. Quando viene creata una nuova policy o ne viene aggiornata una vecchia, questa viene “compilata” e installata in modo intelligente sui punti di applicazione appropriati. Gli amministratori della sicurezza hanno sempre una panoramica delle policy distribuite, indipendentemente dal grado di distribuzione negli elementi di enforcement. Le policy sono in grado di seguire le applicazioni mentre si spostano, ad esempio, dall’on-premise al cloud pubblico nativo.
Figura 1 – Centralized Management for Distributed Enforcement
- Aggiornamento indolore delle policy
La natura dei controlli di sicurezza è tale che tendono ad essere superati rapidamente. A volte ciò accade perché è stato rilasciato un nuovo aggiornamento del software. Altre volte, nuove applicazioni e processi aziendali impongono una modifica delle policy di sicurezza. Entrambe le azioni possono essere dannose per l’infrastruttura IT e rappresentano un rischio aziendale che pochi amministratori della sicurezza vogliono assumersi. È necessario un meccanismo che renda normali e non dannosi gli aggiornamenti del software e delle policy.
Cisco Hypershield dispone proprio di un meccanismo di questo tipo, chiamato dual dataplane. Questo dataplane supporta due data path: uno primario (principale) e uno secondario (ombra). Il traffico di rete viene replicato tra il primario e il secondario. Gli aggiornamenti software vengono applicati prima al dataplane secondario e, una volta verificati, i ruoli dei dataplane primario e secondario vengono scambiati. Allo stesso modo, le nuove policy di sicurezza possono essere applicati prima al dataplane secondario e, quando tutto è stato verificato, il secondario diventa primario.
Il concetto di doppio dataplane consente agli amministratori della sicurezza di aggiornare gli elementi di enforcement senza temere interruzioni dell’attività (vedi Figura 2).
Figura 2 – Cisco Hypershield Dual Dataplane
- Visibilità completa delle azioni del carico di lavoro
La visibilità completa del comportamento delle applicazioni consente all’infrastruttura di sicurezza di stabilire un’ “impronta digitale” . Tale impronta dovrebbe includere le attività di rete e quelle di input-output (I/O) dei file delle applicazioni. Quando un’azione non riconosciuta nell’impronta digitale viene eseguita, l’infrastruttura di sicurezza deve segnalarla come un’anomalia che richiede ulteriori indagini.
Il Tesseract Security Agent di Cisco Hypershield fornisce una visibilità completa delle attività di un’applicazione tramite eBPF, compresi i pacchetti di rete, le chiamate a file e le funzioni del kernel. Naturalmente, l’agente segnala le attività anomale quando le rileva.
- Risposta graduale al comportamento a rischio dell’applicazione
Le soluzioni di sicurezza possono a volte amplificare la capacità impattante degli attacchi informatici quando intraprendono azioni drastiche. Esempi di tali azioni sono ad esempio, la messa in quarantena di un servizio o dell’intera applicazione e la terminazione di un processo o dell’applicazione. Per servizi di importanza marginale, un’azione drastica può andare bene. Tuttavia, un’azione di questo tipo per le applicazioni mission-critical spesso vanifica la logica aziendale degli strumenti di sicurezza. Il disservizio risulta ancora più dannoso quando l’avviso di sicurezza si rivela poi un falso allarme.
Cisco Hypershield in generale e il suo agente di sicurezza Tesseract in particolare, possono generare una risposta graduale. Ad esempio, Cisco Hypershield può rispondere al traffico anomalo con un avviso piuttosto che con un blocco, quando richiesto. Analogamente, Tesseract Security Agent può reagire a un processo che tenta di scrivere in una nuova zona con un blocco piuttosto che interrompere l’intera applicazione.
- Apprendimento continuo dal traffico di rete e dal comportamento delle applicazioni
Cisco Hypershield dispone di componenti integrati in ogni elemento di enforcement che apprendono continuamente il traffico di rete e il comportamento della applicazione. Questi elementi aggregano periodicamente le informazioni acquisite in un repository centralizzato. Separatamente, Cisco Hypershield esamina l’archivio centralizzato per stabilire una baseline per il traffico di rete e il comportamento delle applicazioni. Inoltre, Cisco Hypershield analizza continuamente i nuovi dati provenienti dagli elementi di enforcement per determinare se il comportamento recente del traffico di rete e processi è anomalo.
Segmentazione autonoma
La segmentazione della rete è da tempo una necessità obbligatoria nelle reti aziendali. Tuttavia, anche dopo decenni di investimenti, molte reti rimangono piatte o poco segmentate. Cisco Hypershield offre una soluzione elegante a questi problemi, combinando le funzionalità sopra menzionate. Il risultato è una rete segmentata autonomamente sotto la supervisione dell’amministratore della sicurezza.
Protezione dagli attacchi distribuiti
La patch delle vulnerabilità note rimane un problema difficile da gestire, data la complessa rete di eventi – disponibilità delle patch, compatibilità delle patch, finestre di manutenzione, cicli di test e simili – che devono verificarsi per eliminare la vulnerabilità. Allo stesso tempo, nuove vulnerabilità continuano a essere scoperte a un ritmo frenetico e gli aggressori continuano a ridurre il tempo che intercorre tra il rilascio pubblico di nuove informazioni sulle vulnerabilità e il primo exploit. Il risultato è che le possibilità di successo dell’attaccante aumentano con il passare del tempo.
Hypershield si integra con gli strumenti di gestione delle vulnerabilità di Cisco e di terze parti. Quando sono disponibili informazioni su una nuova vulnerabilità, la funzionalità di gestione delle vulnerabilità e Hypershield si coordinano per verificare la presenza della vulnerabilità nella rete aziendale.
L’amministratore installa i tipi di controlli in modalità di solo alerting. Dopo un periodo di test per creare fiducia nei controlli, i controlli del sistema operativo vengono spostati in modalità di blocco.
I controlli di rete seguono la stessa traiettoria di quelli della segmentazione autonoma. Vengono prima installati sul dataplane ombra, poi sul dataplane primario in modalità di solo allarme e infine convertiti in modalità di blocco. A questo punto, l’applicazione vulnerabile è protetta dagli exploit.
Durante il processo descritto sopra, l’applicazione e il processo continuano a funzionare e non ci sono tempi di inattività. Naturalmente, il processo vulnerabile dovrebbe essere patchato, se possibile. La Security Fabric abilitata da Cisco Hypershield fornisce agli amministratori uno strumento robusto e preciso per contrastare gli exploit, dando al team di sicurezza il tempo di ricercare e risolvere la causa principale.
—————————————-
Vuoi saperne di più su Cisco Hypershield?
Guarda il video di presentazione degli executive Cisco:
Jeetu Patel, Tom Gillis e Craig Connors.
—————————————-
Tratto da Cisco Hypershield: Reimagining Security