Quali sono i principali rischi di un attacco cyber

Nell’era moderna degli attacchi informatici sofisticati e dell’innovazione digitale, è fondamentale che le aziende comprendano le minacce a cui sono soggette e da cosa siano protette dalle loro difese di sicurezza. Questo vale soprattutto per i firewall, poiché i firewall applicativi Web e i firewall di rete proteggono le organizzazioni da diversi tipi di attacchi. È quindi importante comprendere in che modo un firewall di rete è diverso da un firewall applicativo e come prevenire attacchi Web e attacchi di rete più ampi.

Tradizionalmente, le aziende hanno protetto i propri dati e utenti con i firewall di rete, privi della flessibilità e della trasparenza necessarie contro le moderne minacce alla sicurezza. Ma la crescita delle soluzioni BYOD (Bring Your Own Device), del cloud pubblico e del SaaS (Software-as-a-Service) impone l’aggiunta di un firewall per applicazioni Web (WAF) alla loro strategia di sicurezza. Un WAF (web application firewall) aumenta la protezione dagli attacchi contro le applicazioni Web archiviate su un server remoto e distribuite su Internet attraverso un’interfaccia browser, che sono bersagli invitanti per gli hacker.

Un WAF protegge le applicazioni Web puntando al traffico HTTP. Opera in modo diverso da un firewall standard, che interpone una barriera tra il traffico di rete esterno e interno.

Un WAF si interpone tra gli utenti esterni e le applicazioni Web per analizzare tutte le comunicazioni HTTP, e quindi rileva e blocca le richieste dannose prima che raggiungano gli utenti o le applicazioni Web. Di conseguenza, i WAF proteggono le applicazioni Web e i server Web business-critical dalle minacce zero-day e da altri attacchi a livello di applicazione. Questo aspetto acquista sempre più importanza man mano che le aziende si aprono a nuove iniziative digitali, che possono lasciare le nuove applicazioni Web e le API vulnerabili agli attacchi.

Il firewall di rete protegge una LAN dall’accesso non autorizzato, per prevenire attacchi cyber. Ma quali sono i principali rischi di un attacco? Il suo obiettivo primario è quello di separare una zona protetta da una zona meno sicura e controllare le comunicazioni tra le due. Senza di esso, qualsiasi computer con un indirizzo IP pubblico è accessibile al di fuori della rete e potenzialmente a rischio di attacco.

I firewall di rete tradizionali mitigano o impediscono l’accesso non autorizzato alle reti private. Le policy adottate dal firewall definiscono il traffico consentito in rete, bloccando qualsiasi altro tentativo di accesso. Esempi di traffico di rete bloccato sono gli utenti non autorizzati e gli attacchi da parte di utenti o dispositivi in zone meno sicure.

Un WAF si rivolge specificamente al traffico delle applicazioni. Protegge il traffico HTTP e HTTPS e le applicazioni nelle zone della rete connesse a Internet. In questo modo difende le aziende da minacce come attacchi XSS, DDoS e attacchi di iniezione SQL.

La differenza tecnica fondamentale tra un firewall a livello di applicazione e un firewall a livello di rete è il livello di sicurezza su cui operano. I livelli sono definiti dal modello OSI (Open Systems Interconnection), che caratterizza e standardizza le funzioni di comunicazione all’interno dei sistemi di telecomunicazione e di elaborazione. 

I WAF (web application firewall) proteggono dagli attacchi a livello 7 del modello OSI, che è il livello applicativo. Questo include attacchi contro applicazioni come Ajax, ActiveX e JavaScript, nonché la manipolazione di cookie, l’iniezione SQL e gli attacchi URL. Sono inoltre indirizzati ai protocolli applicativi Web HTTP e HTTPS, che vengono utilizzati per connettere browser Web e server Web. 

Ad esempio, un attacco DDoS di livello 7 invia un flusso di traffico al livello server in cui le pagine Web vengono generate e distribuite in risposta alle richieste HTTP. Un WAF mitiga questa azione agendo come proxy inverso che protegge il server target dal traffico dannoso e filtra le richieste per identificare l’uso di strumenti DDoS. 

I firewall di rete funzionano ai livelli 3 e 4 del modello OSI, proteggendo il trasferimento dei dati e il traffico di rete. Proteggono quindi anche dagli attacchi DNS e FTP, SMTP, SSH e Telnet.

Le soluzioni WAF proteggono le aziende dagli attacchi basati sul Web mirati alle applicazioni. Senza un firewall applicativo, gli hacker potrebbero infiltrarsi nella rete attraverso le vulnerabilità delle applicazioni Web. I WAF (web application firewall) proteggono le aziende dai comuni attacchi Web come:

• Denial-of-service diretto: tentativo di interrompere il funzionamento di una rete, un servizio o un server sovraccaricandolo con un flusso di traffico Internet. L’obiettivo è esaurire le risorse del bersaglio: in questi casi la difesa non è sempre facile, per via della difficoltà a individuare il traffico dannoso.
• Iniezione SQL: tipo di attacco di iniezione che consente agli hacker di eseguire istruzioni SQL dannose per controllare il server di database che sta dietro un’applicazione Web. Ciò consente agli autori di un attacco di aggirare l’autenticazione e l’autorizzazione della pagina Web e recuperare il contenuto del database SQL, per aggiungere, modificare ed eliminarne i record. I criminali informatici possono utilizzare l’iniezione SQL per accedere alle informazioni dei clienti, ai dati personali e alla proprietà intellettuale. È stata indicata come la principale minaccia per la sicurezza delle applicazioni web nella Top 10 di OWASP del 2017.
• XSS: vulnerabilità della sicurezza Web che consente agli aggressori di compromettere le interazioni degli utenti con le applicazioni. Permette all’aggressore di aggirare la stessa policy originale che separa i diversi siti Web. Di conseguenza, l’aggressore può mascherarsi come un utente autentico e accedere ai dati e alle risorse per cui dispone dell’autorizzazione. 

I firewall di rete proteggono da accessi e traffico in entrata e in uscita dalla rete non autorizzati. Proteggono dagli attacchi a livello di rete contro dispositivi e sistemi che si connettono a Internet. Esempi di attacchi di rete utilizzati di frequente sono:

• Accesso non autorizzato: gli aggressori accedono a una rete senza autorizzazione. Questo è possibile grazie al furto di credenziali e agli account compromessi dovuti all’uso di password deboli, di ingegneria sociale e di minacce interne.
• Attacchi MITM: gli aggressori intercettano il traffico tra la rete e i siti esterni o all’interno della rete stessa. Si tratta spesso del risultato di protocolli di comunicazione non sicuri che consentono agli aggressori di rubare i dati in trasmissione, per poi ottenere le credenziali utente e dirottare gli account utente.
• Escalation dei privilegi: gli aggressori ottengono l’accesso a una rete, quindi utilizzano l’escalation dei privilegi per espandere la loro portata nel sistema. Possono farlo orizzontalmente, ottenendo l’accesso ai sistemi adiacenti, o verticalmente, ottenendo privilegi più elevati all’interno dello stesso sistema.

I firewall di rete standard e i WAF proteggono da diversi tipi di minacce, quindi è fondamentale scegliere quello giusto. Il firewall di rete, da solo, non protegge le aziende dagli attacchi contro le pagine Web, che possono essere evitati solo attraverso le funzionalità WAF. Senza un firewall applicativo, le aziende potrebbero lasciare la rete aperta ad attacchi attraverso le vulnerabilità delle applicazioni Web. D’altro canto, un WAF (web application firewall) non può proteggere dagli attacchi a livello di rete, quindi deve integrare un firewall di rete piuttosto che sostituirlo. 

Sia le soluzioni basate sul Web che quelle di rete funzionano a diversi livelli e proteggono da diversi tipi di traffico. Pertanto non sono in competizione tra loro ma, al contrario, si completano a vicenda. Un firewall di rete in genere protegge una gamma più ampia di tipi di traffico, mentre un WAF si occupa di una minaccia specifica che l’approccio tradizionale non può coprire. È quindi consigliabile disporre di entrambe le soluzioni, soprattutto se i sistemi operativi di un’azienda lavorano a stretto contatto con il Web.

Anziché scegliere l’uno o l’altro, il punto è scegliere il sistema WAF più adatto alle esigenze aziendali. Il WAF deve disporre di un acceleratore hardware, monitorare il traffico e bloccare i tentativi dannosi, essere altamente disponibile e scalabile per mantenere le prestazioni man mano che l’azienda cresce.

L’acquisto di prodotti firewall separati per proteggere ogni livello di sicurezza è costoso e complicato. Per questo motivo le aziende sono orientate verso soluzioni complete come i Next Generation Firewall (NGFW). I NGFW generalmente combinano le funzionalità dei firewall di rete e dei WAF in un sistema gestito centralmente. Forniscono inoltre un contesto aggiuntivo alle policy di sicurezza, fondamentale per proteggere le aziende dalle moderne minacce alla sicurezza. 

Gli NGFW sono sistemi basati sul contesto che utilizzano informazioni come identità, ora e posizione per confermare che un utente sia chi dice di essere. Ciò consente alle aziende di prendere decisioni più informate e intelligenti in merito all’accesso degli utenti. Questi firewall offrono anche funzionalità antivirus e anti-malware, sistemi di prevenzione delle intrusioni e filtraggio degli URL. Ciò semplifica e migliora l’efficacia delle policy di sicurezza, in risposta alle minacce sempre più sofisticate che le aziende devono affrontare.

Avere una visione completa della sicurezza digitale è spesso più facile e conveniente. È tuttavia fondamentale garantire che un NGFW copra tutte le basi per la protezione della rete e delle applicazioni Web. I WAF (web application firewall) svolgono un ruolo specifico nella protezione delle applicazioni Web dall’iniezione di codice, dalla firma dei cookie, dalle pagine di errore personalizzate, dalla falsificazione delle richieste e dalla crittografia degli URL. Può quindi essere necessario utilizzare un NGFW insieme a un firewall per applicazioni Web dedicato come FortiWeb.

FortiWeb protegge le applicazioni Web business-critical dagli attacchi rivolti contro vulnerabilità note e ignote. La nostra soluzione FortiWeb si tiene al passo con la rapida evoluzione delle applicazioni Web delle aziende per garantire che rimangano protette ogni volta che distribuiscono nuove funzionalità, espongono nuove API Web o aggiornano quelle esistenti.

FortiWeb fornisce alle aziende una protezione completa da tutte le minacce alla sicurezza, dalla protezione DDoS alla convalida del protocollo, alle signature di attacco delle applicazioni, alla mitigazione dei bot e all’IP reputation. Utilizza inoltre l’apprendimento automatico per costruire e mantenere automaticamente un modello di comportamento normale dell’utente e utilizza tale modello per identificare il traffico benigno o dannoso delle applicazioni senza dover ricorrere all’apprendimento manuale delle applicazioni richiesto dalla maggior parte dei WAF, tanto dispendioso in termini di tempo.

Per ulteriori informazioni sull’approccio di Fortinet al firewall di rete rispetto al WAF, leggi la nostra sintesi informativa sul confronto tra WAF e IPS.