12 giugno 2024
Di Mohammed Guermellou - Architetto di soluzioni, Skyhigh Security
In un panorama digitale in continua evoluzione, la sicurezza informatica è una preoccupazione fondamentale per gli individui e le organizzazioni. Con le minacce costanti che attendono nel cyberspazio, è fondamentale disporre di misure solide per proteggere le informazioni sensibili e garantire un ambiente online sicuro. Una di queste misure è l'implementazione di un web gateway, una soluzione di sicurezza che monitora e filtra il traffico internet alla ricerca di potenziali minacce.
Tuttavia, non tutti i gateway web sono uguali. Recentemente, il mercato ha assistito ad una transizione dai gateway web legacy ad una nuova tipologia, nota come gateway web di nuova generazione. Questo passaggio deriva dalla necessità di adattarsi alle minacce e alle tecnologie digitali moderne. In questo blog post, esploreremo ed evidenzieremo le principali differenze tra i gateway web legacy e quelli di nuova generazione.
Approccio al rilevamento delle minacce
I gateway web tradizionali si basavano principalmente su tecniche di rilevamento basate sulle firme. Identificavano le minacce in base a firme o modelli noti, rendendole meno efficaci contro le minacce emergenti o sconosciute. D'altra parte, i gateway web di nuova generazione utilizzano un approccio multilivello al rilevamento delle minacce. Incorporano tecniche avanzate come l'analisi del comportamento, l'intelligenza artificiale e l'apprendimento automatico per rilevare e mitigare le minacce note e sconosciute in tempo reale.
Inoltre, Remote Browser Isolation (RBI) aiuta con la parte relativa alle minacce. Remote browser isolation è un metodo che esegue i browser web in un ambiente separato per proteggersi dalle minacce informatiche. Normalmente, i browser su una macchina locale sono vulnerabili al malware e alle violazioni dei dati se un utente visita un sito dannoso. Ospitando i browser su un server remoto, questo rischio viene mitigato, in quanto qualsiasi contenuto pericoloso è contenuto lontano dal dispositivo dell'utente.
Con il gateway Web integrato, remote browser isolation offre numerosi vantaggi:
- Sicurezza potenziata: Isola la navigazione web dai dispositivi, bloccando il codice maligno.
- Protezione dagli attacchi zero-day: Tiene a bada le minacce senza patch, grazie a una navigazione controllata fuori sede.
- Riduzione della superficie di attacco: Riduce i potenziali punti di ingresso per gli hacker, separando l'ambiente di navigazione dalla macchina locale.
Complessivamente, l'abbinamento di remote browser isolation con il gateway Web si traduce in una solida protezione dai pericoli basati sul web, offrendo una navigazione sicura, contrastando le nuove minacce, riducendo le possibilità di attacco, semplificando la supervisione e sostenendo l'uso del sistema legacy.
Avanzato Data Loss Prevention
Una componente cruciale di una prossima generazione Secure Web Gateway (SWG) è l'integrazione con funzionalità avanzate Data Loss Prevention (DLP) per proteggere i dati sensibili a riposo, i dati in uso e i dati in movimento. Le organizzazioni non hanno visibilità su dove vengono archiviati, utilizzati e condivisi i loro dati sensibili nel cloud e hanno la necessità di garantire la conformità dei dati alle normative.
La DLP elimina queste lacune di visibilità, fornendo una protezione dei dati a tutto campo per la forza lavoro. Inoltre, applicando le politiche di accesso e DLP e crittografando i dati del cloud, le organizzazioni rimangono conformi a normative come FISMA, HIPAA, GLBA, PCI DSS e SOX.
Con la trasformazione digitale, gli utenti accedono alle applicazioni che si trovano nel cloud e hanno bisogno di accedere ai dati ovunque si trovino. Ciò significa che i dati non sono più tutti archiviati all'interno della rete, in database e server on-premises all'interno delle reti aziendali. Con lo spostamento dei dati nel cloud e la necessità di un ampio accesso, diventa più difficile proteggere questi dati sensibili.
È qui che entrano in gioco le funzionalità DLP avanzate. Combinando la User Entity and Behavior Analytics (UEBA), lo screening dei contenuti e le informazioni raccolte dai processi di posta elettronica, le funzionalità avanzate di DLP migliorano l'efficacia dei falsi positivi e impediscono la condivisione non autorizzata di dati proprietari. Inoltre, la DLP unificata offre alle organizzazioni la possibilità di impostare le classificazioni dei dati una sola volta per proteggere i dati nel cloud, nelle applicazioni private, nel web e negli endpoint. Oltre a rilevare le azioni intenzionali e non intenzionali che possono portare a violazioni della privacy dei dati.
Granularità e controllo dei criteri
I gateway web utilizzano i criteri di categoria e la reputazione dell'URL per decidere se bloccare o consentire un URL. Questi due fattori contribuiscono a garantire la sicurezza e l'integrità dell'esperienza di navigazione degli utenti.
I criteri di categoria si riferiscono alle categorie o ai gruppi predefiniti che vengono assegnati a diversi tipi di siti web. Esempi di tali categorie sono i social media, le notizie, l'intrattenimento, lo shopping, i giochi e così via. Ogni sito web viene valutato in base al suo contenuto e al suo scopo e assegnato a una o più categorie pertinenti.
I gateway web accedono a un database completo di URL categorizzati e confrontano l'URL richiesto con questa classificazione. Se l'URL richiesto rientra in una categoria considerata limitata o proibita in base alla politica dell'organizzazione, il gateway web può bloccare l'accesso a quel particolare URL.
La reputazione dell'URL, invece, riguarda la reputazione di un URL specifico, basata sul suo comportamento storico e sulle sue associazioni. Ai siti web possono essere assegnati punteggi di reputazione che indicano la loro affidabilità e sicurezza. Questi punteggi sono determinati da vari fattori, come l'analisi dell'età del sito web, la posizione di hosting, la presenza di malware, il coinvolgimento in attività di phishing, ecc. Punteggi di reputazione elevati sono indicativi di siti web sicuri e affidabili, mentre punteggi di reputazione bassi indicano potenziali pericoli.
La combinazione dei criteri di categoria e della reputazione dell'URL consente ai gateway web di discernere efficacemente se un URL debba essere bloccato o consentito. Tuttavia, gli utenti sono ancora vulnerabili ai siti web dannosi, perché la categoria da sola non assicura la protezione contro le minacce moderne. Consideriamo, ad esempio, due siti web, FakeA.com e FakeB.com, che rientrano nella categoria "Cloud Storage". Questi due siti web di cloud storage condividono solo la stessa categoria, ma nient'altro. FakeA è ospitato negli Stati Uniti, con i suoi dati a riposo criptati, e condivide il suo IP con il provider. Al contrario, FakeB è ospitato nell'UE, i suoi dati a riposo non sono criptati, è conforme al GDPR e possiede il suo IP pubblico. Come possiamo vedere, in realtà sono completamente diversi e le implicazioni dell'utilizzo di uno rispetto all'altro sono significative per la sicurezza e la politica dell'organizzazione. Queste intuizioni provengono dal Registro del Cloud. Ma prima cerchiamo di capire cos'è lo Shadow IT.
|
FakeA.com |
FakeB.com |
Category
| Notizie generali |
Notizie generali |
Data at rest
| Non crittografato |
Crittografato |
Compliancy
| Legge sul cloud |
GDPR |
Intellectual property
| Il cliente è proprietario |
Il fornitore di servizi possiede |
Lo "Shadow IT" si riferisce all'uso di applicazioni o servizi web non autorizzati o non approvati all'interno di un'organizzazione. Nel contesto del traffico web, si riferisce ai dipendenti che utilizzano siti web, applicazioni o servizi cloud che non sono ufficialmente autorizzati dal reparto IT della loro azienda o dalle politiche di sicurezza delle informazioni.
Lo Shadow IT si verifica quando i dipendenti utilizzano servizi web esterni senza un'adeguata approvazione. Possono farlo per vari motivi, come ad esempio per risolvere sfide specifiche legate al lavoro, per migliorare la produttività o semplicemente perché trovano questi servizi più convenienti o efficienti. Esempi di shadow IT nel traffico web possono essere l'utilizzo da parte dei dipendenti di account e-mail personali, di piattaforme di condivisione di file o di strumenti di gestione di progetti che non sono ufficialmente approvati dall'organizzazione.
La preoccupazione principale che si risolve con lo Shadow IT è il potenziale rischio di sicurezza che comporta. Utilizzando servizi web non autorizzati, i dipendenti possono esporre inconsapevolmente i dati sensibili dell'organizzazione a vulnerabilità, violazioni dei dati o minacce informatiche. Questi servizi in genere non dispongono delle solide misure di sicurezza implementate dagli strumenti approvati dall'organizzazione, rendendoli un facile bersaglio per gli attacchi informatici.
Un altro vantaggio dello shadow IT è quello di ottenere visibilità, controllo e responsabilità. Le organizzazioni fanno molto affidamento sui loro reparti IT per mantenere un controllo e una governance adeguati sul traffico web, al fine di garantire la privacy dei dati, la conformità alle normative e la sicurezza generale delle informazioni. Lo Shadow IT migliora questi sforzi, poiché il reparto IT è ben consapevole dei servizi esterni utilizzati e può monitorare o mitigare efficacemente i rischi associati.
Per affrontare queste sfide, i gateway web avanzati utilizzano lo Shadow IT per monitorare e identificare i siti web in tempo reale in base alla conformità dei contenuti e dei criteri. Quando viene rilevato un sito web non conforme, viene bloccato automaticamente per mantenere i dipendenti concentrati e conformi. Questo si chiama Closed Loop Remediation. Shadow IT include più di 56 criteri che rientrano in 6 pilastri. Dettagli su ogni sito web come gestisce i dati, l'autenticazione degli utenti e dei dispositivi, il servizio di hosting, l'attività commerciale, il rischio legale e il rischio informatico.
In sintesi, l'utilizzo dei gateway web Next-Gen è una strategia efficace per bilanciare la produttività e l'aderenza ai criteri in questo mondo cloud moderno. Questo approccio moderno evita le distrazioni e protegge dalle minacce informatiche, bloccando l'accesso a determinati siti web e prevenendo la perdita di dati sulla base di oltre 56 criteri, anziché di soli 2 criteri dei gateway web tradizionali.
Conclusione
I gateway web tradizionali offrono un controllo limitato sull'utilizzo del web, trattando tutto il traffico allo stesso modo. I gateway web di nuova generazione offrono un livello superiore di granularità e di controllo dei criteri. Consentono agli amministratori di definire e applicare criteri basati sulla gestione dei dati, sul tipo di azienda, sull'autenticazione dell'utente e sull'autenticazione del dispositivo. Questo controllo granulare assicura che venga concesso il giusto livello di accesso a ciascun utente, migliorando la sicurezza e la produttività.
In conclusione, il passaggio dai gateway web legacy ai gateway web di nuova generazione rappresenta un'evoluzione nelle pratiche di cybersecurity. Sebbene le soluzioni tradizionali offrano un certo livello di protezione, non sono all'altezza di un panorama digitale in continua evoluzione.
Una volta deciso di passare da un gateway web legacy a un gateway web di nuova generazione, da dove cominciare? Scopra come Skyhigh Security può aiutarla a modernizzare la sua infrastruttura di sicurezza e ad adottare un approccio avanzato al rilevamento delle minacce.
Torna ai blog