Sicurezza informatica: cosa significa UTM?

La Unified Threat Management (UTM) si riferisce alle situazioni in cui più funzioni o servizi di sicurezza vengono combinati in un unico dispositivo all’interno della rete. Grazie all’UTM, gli utenti della rete sono protetti con diverse funzionalità, tra cui antivirus, filtraggio dei contenuti, filtraggio di e-mail e Web, anti-spam e altro ancora.

L’UTM consente a un’organizzazione di consolidare i propri servizi di sicurezza informatica in un unico dispositivo, semplificando potenzialmente la protezione della rete e dei dati personali. Ne consegue quindi che un’azienda può monitorare tutte le minacce e le attività legate alla sicurezza attraverso una soluzione unificata. In questo modo si ottiene una visibilità completa e semplificata di tutti gli elementi dell’architettura wireless o di sicurezza.

Ci sono alcune funzionalità che una soluzione UTM ideale deve possedere.

Un UTM viene fornito con un software antivirus in grado di monitorare la rete e di rilevare e impedire che i virus danneggino il sistema o i dispositivi connessi. Ciò avviene sfruttando le informazioni contenute nei database delle firme, che sono i “magazzini” contenenti i profili dei virus, per verificare se siano attivi all’interno del sistema o se sia in atto un tentativo di accesso. 

Alcune delle minacce che il software antivirus utilizzato da un UTM può bloccare includono file infetti, trojan, worm, spyware e altri malware.

La Unified Thread Management protegge la rete dai malware rilevandoli e rispondendo. Una UTM può essere preconfigurata in modo da rilevare malware noti, filtrandoli dai flussi di dati, bloccandoli e impedendogli di penetrare nel sistema. La UTM può anche essere configurata per rilevare nuove minacce malware utilizzando l’analisi euristica, che implica l’uso di regole che analizzano il comportamento e le caratteristiche dei file. Se un programma è progettato per impedire il corretto funzionamento della fotocamera di un computer, ad esempio, un approccio euristico potrebbe contrassegnare tale programma come malware.

La UTM può anche utilizzare il sandboxing come misura anti-malware. Con il sandboxing, una cella all’interno del computer è confinata a una sandbox che acquisisce il file sospetto. Anche se il malware è autorizzato a funzionare, la sandbox ne impedisce l’interazione con altri programmi nel computer.

Un firewall è in grado di analizzare il traffico in entrata e in uscita alla ricerca di virus, malware, attacchi di phishing, spam, tentativi di intrusione nella rete e altre minacce alla sicurezza informatica. Poiché i firewall UTM esaminano sia i dati in entrata sia in uscita dalla rete, possono anche impedire che i dispositivi interni alla rete vengano utilizzati per diffondere malware ad altre reti connesse.

Un sistema UTM può fornire a un’organizzazione funzionalità di intrusion prevention, per rilevare e quindi previene gli attacchi. Questa funzionalità viene spesso definita IDS o sistema di prevenzione delle intrusioni (IPS). Per identificare le minacce, un IPS analizza i pacchetti di dati, cercando modelli noti per essere presenti nelle minacce. Quando uno di questi modelli viene riconosciuto, l’IPS arresta l’attacco. 

In alcuni casi, un IDS rileverà semplicemente il pacchetto di dati pericolosi e un team IT potrà quindi scegliere come affrontare la minaccia. I passi intrapresi per fermare l’attacco possono essere automatizzati o eseguiti manualmente. L’UTM registrerà anche l’evento dannoso. I registri possono quindi essere analizzati e utilizzati per prevenire altri attacchi in futuro.

Le funzionalità della rete privata virtuale (VPN) fornite con un’appliance UTM funzionano in modo simile alla normale infrastruttura VPN. Una VPN crea una rete privata che esegue il tunneling attraverso una rete pubblica, dando agli utenti la possibilità di inviare e ricevere dati attraverso la rete pubblica senza che altri vedano i loro dati. Tutte le trasmissioni sono criptate, quindi anche se qualcuno dovesse intercettare i dati, non saprebbe che farsene.

La funzione di Web Filtering di una UTM può interdire agli utenti la visualizzazione di siti Web o URL specifici. Ciò avviene impedendo ai browser degli utenti di caricare le pagine di tali siti sui dispositivi degli utenti È possibile tarare i filtri Web su determinati siti in base a quelli che sono gli obiettivi dell’organizzazione. 

Ad esempio, se l’obiettivo è impedire ai dipendenti di essere distratti da alcuni siti di social media, è possibile bloccare il caricamento di tali siti sui loro dispositivi mentre sono connessi alla rete dell’azienda.

La data loss prevention che si ottiene con un’appliance UTM consente di rilevare le violazioni dei dati e i tentativi di esfiltrazione e quindi di prevenirli. A tale scopo, il sistema di prevenzione della perdita di dati monitora i dati sensibili e, quando individua un tentativo di furto da parte di un malintenzionato, lo blocca, consentendo così la protezione dei dati personali.

Anche se apparentemente potrebbe sembrare che le differenze tra NGFW e UTM siano semplicemente semantiche, a seconda dell’NGFW utilizzato potrebbero esserci alcune distinzioni. Entrambe le soluzioni proteggono la rete. Con una UTM, tuttavia, esiste la possibilità di ottenere servizi di cui non si ha bisogno. L’integrazione di questi elementi nella rete potrebbe comportare del lavoro extra. Potrebbe anche comportare decisioni difficili e un processo di configurazione impegnativo mentre si cerca di combinare le caratteristiche della UTM con ciò che si possiede già o paragonare l’uno all’altro per determinare quale sia la soluzione migliore.

Con gli NGFW, come Fortinet FortiGate, puoi scegliere di attivare le funzionalità di cui hai bisogno, cosa che ne fa una soluzione UTM completa. Oppure puoi scegliere di utilizzarlo solo come firewall o di attivare alcune protezioni, ma non altre. Se, ad esempio, decidi di utilizzare tutte le capacità di FortiGate, funzionerà anche come sistema UTM.

Un’altra differenza è che un NGFW è una soluzione efficace per le grandi imprese, mentre una tipica UTM potrebbe non riuscire a fare fronte a tutte le richieste di un’impresa.

Fortinet propone diverse soluzioni che permettono a un’organizzazione di ottenere da una UTM il tipo di protezione di cui ha bisogno. FortiGate è un NGFW dotato di tutte le funzionalità di una UTM. FortiGate dispone di funzionalità anti-malware che consentono di analizzare il traffico di rete, sia in entrata che in uscita, alla ricerca di file sospetti. Inoltre, la UTM di Fortinet ha un IPS che protegge la rete dagli aggressori che cercano di introdursi. Se un elemento dannoso tenta di sfruttare una vulnerabilità nella tua sicurezza, FortiGate IPS è in grado di rilevare l’attività invasiva e bloccarla.

FortiGate è inoltre dotato di un software per la prevenzione delle perdite di dati, che consente di rilevare potenziali violazioni e tentativi di esfiltrazione. FortiGate monitora l’attività di rete e se rileva una perdita di dati, la blocca, difendendo i dati sensibili. Queste misure proteggono i dati sugli endpoint, all’interno del traffico di rete e all’interno dei dispositivi di storage.

Oltre a FortiGate, Fortinet dispone di una vasta gamma di prodotti per la protezione completa di tutti gli aspetti della tua rete.