| |
|
Governance
Compliance
Gestione della conformità rispetto a standard e norme
|
| |
Risk Management
Calcolo del rischio e determinazione dei criteri di gestione
|
| |
|
|
|
| |
| |
|
|
Wireless Intrusion Prevention System |
| |
Sintesi
La tecnologia wireless sta migliorando molti aspetti della
comunicazione e si diffonde rapidamente all’interno di
piccole e grosse organizzazioni ma gestirne il corretto impiego e la
sicurezza è un problema complesso, spesso sottovalutato. Tra
i principali fattori di rischio sono da annoverare gli Access Point non
autorizzati o mal configurati, i dispositivi con scheda wireless
abilitata e i client esterni che tentano di collegarsi ai propri Access
Point o che tentano di impersonare client interni. Il servizio di
Wireless Intrusion Prevention System (wIPS), erogato dal Security
Operation Center (SOC) di Communication Valley rileva e previene, in
tempo reale, le minacce ed i rischi in ambiente wireless monitorando
continuamente tutte le radio frequenze e tutti gli utilizzi impropri
delle tecnologie, raccogliendo gli allarmi e contestualizzandoli,
redigendo report per informare sul servizio erogato.
Dettaglio
Introduzione
Minacce e rischi
Servizio
Tecnologia
Security Monitoring
wIPS
Gestione
dell’infrastruttura
Introduzione
I vantaggi che possono scaturire dall’utilizzo delle
tecnologie dalla famiglia 802.11 possono essere controbilanciati dai
rischi che provengono, in generale, dall’impiego di tutte le
tecnologie wireless. Tali rischi espongono sia le organizzazioni che
utilizzano attivamente le tecnologie wireless sia quelle che pur non
utilizzandole ne sono dotate.
Access Point (AP), client wireless e connessioni ad hoc sono sempre
più diffusi all’interno e all’esterno
delle aziende, i loro modi di utilizzo possono essere autorizzati e
conformi alle policy aziendali o non autorizzati e possono essere ben
configurati o mal configurati. La gestione del rischio legato
all’ambiente wireless è necessaria anche per le
aziende che hanno adottato una politica “no
wireless” poiché molti dispositivi attuali, tra
cui i moderni computer portatili e palmari ed alcune stampanti di rete,
sono dotati di schede wireless integrate e potrebbero andare ad
interagire con reti e dispositivi wireless esterni
all’azienda. Il servizio di Wireless Intrusion Prevention
System (wIPS) è erogato dal Security Operation Center (SOC)
di Communication Valley.
Minacce e rischi
La dotazione e l’utilizzo di tecnologie wireless mettono in
luce diversi fattori di rischio i principali dei quali sono elencati di
seguito.
- Access Point non autorizzati installati
all’interno della rete da utenti, consulenti o addirittura
estranei (Rouge AP). Questi dispositivi rappresentano una backdoor
nella rete in quanto mettono in comunicazione la rete interna aziendale
con il mondo esterno senza la possibilità di utilizzare gli
strumenti che si applicano a protezione della rete aziendale, come
firewall, antivirus e sistemi di Intrusion Detection.
- Access Point interni configurati con impostazioni non
conformi alle policy aziendali. Questi Access Point possono
compromettere la sicurezza della rete interna perché, come
quelli non autorizzati, possono permettere l’accesso alla
rete interna dall’esterno.
- Propri dispositivi con scheda wireless abilitata. I moderni
computer portatili e palmari hanno integrata una scheda wireless oltre
che alla scheda di rete per il collegamento alla LAN. Un client
può per esempio essere configurato per permettere
connessioni punto a punto (ad hoc) con un altro computer esterno
tramite wireless ed avere l’interfaccia di rete classica
collegata alla LAN, permettendo quindi al client esterno di accedere
alla rete interna.
- Propri client wireless collegati ad access point esterni.
- Client esterni che tentano di collegarsi ai propri Access
Point.
- Tentativi da parte di client esterni di impersonare client
interni (MAC spoofing).
Servizio
Il servizio di Wireless Intrusion Prevention System (wIPS) di
Communication Valley nasce con l’obiettivo di fornire un
supporto attivo nella prevenzione del rischio legato alle tecnologie
wireless. Il servizio wIPS consiste nel monitoraggio, nella gestione
dell’infrastruttura tecnologica e nella gestione delle utenze
wireless da parte del SOC di Communication Valley al fine di
contrastare le minacce derivanti da utilizzi illeciti delle tecnologie
wireless IEEE 802.11. Nell’erogazione del servizio si
distinguono due fasi:
- fase di Start up - nel corso della quale sono identificati
gli ambienti da monitorare, viene installata l’infrastruttura
di monitoraggio e vengono fissati gli accordi per i livelli di servizio
da erogare e le regole di escalation per la gestione degli allarmi
rilevati;
- fase di rogazione a regime - consistente nel monitoraggio
degli eventi di sicurezza, nella gestione dell’infrastruttura
impiegata per il monitoraggio e nella gestione delle utenze wireless.
Tecnologia
Il servizio di monitoraggio wIPS si basa su una tecnologia che rende
visibile tutta l’attività wireless di tipo 802.11
negli ambienti monitorati e che, eventualmente, può essere
utilizzata per contrastare utilizzi delle tecnologie wireless ritenuti
“illeciti”.Diversamente da altre soluzioni basate
sulla verifica periodica o saltuaria della sicurezza informatica negli
spazi fisici (verifiche di Security Assessment), la tecnologia adottata
garantisce protezione in maniera costante nel tempo, rilevando e
contrastando violazioni che potrebbero consumarsi in pochi minuti e che
sarebbero difficilmente rilevabili in assenza di monitoraggio in tempo
reale. L’infrastruttura fornita da Communication Valley
è composta da:
- Sensori - apparati di monitoraggio installati nei locali
del cliente che registrano attività wireless 802.11 e che
sono in grado, se opportunamente configurati, di svolgere azioni di
contrasto;
- wIPS Server - appliance centralizzato che aggrega le
informazioni ricevute dai sensori in un database ed è in
grado di allertare il SOC ed il cliente a fronte di eventi specifici;
- Management Console - software di gestione ed
amministrazione via web dell’infrastruttura wIPS.
Le principali funzionalità della piattaforma di monitoraggio
offerta da Communication Valley sono le seguenti:
- monitoraggio di tutte le radio frequenze (RF) dei
protocolli 802.11a/b/g;
- rilevazione di utilizzi impropri delle tecnologie wireless
e tentativi di intrusione;
- raccolta centralizzata degli allarmi;
- classificazione dei client wireless ed Access Point come
esterni, autorizzati e non autorizzati, in base alla connessione ed
utilizzo della rete (la classificazione è utilizzata per una
corretta rilevazione e contestualizzazione degli allarmi);
- prevenzione delle intrusioni e dell’utilizzo
illecito della rete wireless in violazione alle policy aziendali;
- Localizzazione dei dispositivi rilevati in tempo reale ed
al momento in cui hanno generato un evento;
- Configurazione del server in alta affidabilità.
In dettaglio, la tecnologia adottata da Communication Valley presenta
le seguenti caratteristiche:
- supporto per i protocolli wireless: 802.11b, 802.11b/g,
802.11a, 802.11pre-n;
- supporto per i principali protocolli di encryption: WEP,
TKIP, CCMP;
- supporto per i principali protocolli di autenticazione:
802.11x, WPA, WPA2, 802.11i;
- rilevazione automatica dei SSID;
- classificazione automatica dei dispositivi wireless in base
alle caratteristiche dell’utilizzo della rete, alla locazione
fisica e alle policy aziendali impostate (Access Point autorizzati,
Rouge AP, Access Point esterni, client wireless autorizzati e client
non autorizzati);
- blocco automatico delle porte degli switch in caso di
utilizzo simultaneo della rete wireless e rete LAN (solo tramite Cisco
Wireless LAN Solution Engine – WLSE);
- possibilità di utilizzare antenne esterne per
poter gestire con i sensori range di copertura più ampi;
- possibilità di invio eventi tramite protocolli
syslog, SNMP e SMTP;
- possibilità di utilizzo dei software lato client
per garantire il rispetto delle policy wireless aziendali anche al di
fuori dei locali monitorati;
- possibilità di utilizzo di utenze locali oppure
tramite LDAP per l’accesso alla console;
- localizzazione dei dispositivi wireless in tempo reale ed
al momento in cui hanno generato un evento.
L’architettura prevista per il monitoraggio delle aree
prescelte consiste nel posizionamento dei sensori, il loro collegamento
verso il server wIPS e la gestione degli eventi e
dell’infrastruttura tramite la console di gestione.
Security
Monitoring wIPS
Il security monitoring wIPS consiste in un insieme di
attività svolte dal SOC finalizzate a fornire al cliente
informazioni relative alle minacce di tipo wireless rilevate
dall’infrastruttura di monitoraggio.
L’attività di monitoraggio è svolta con
continuità 24X7 e prevede che tutti gli allarmi rilevati
siano analizzati dal SOC il quale applica le regole concordate. Tali
regole possono riguardare sia l’escalation per la notifica
degli eventi di sicurezza, sia l’esecuzione di interventi di
contrasto effettuabili attraverso la console di gestione. A supporto
del monitoraggio degli eventi sono svolte, in modalità 8X5,
altre attività finalizzate alla gestione delle informazioni
necessarie per il monitoraggio, al tuning dell’infrastruttura
ed alla produzione di report di servizio.
In dettaglio il security monitoring wIPS prevede le seguenti
attività.
- Monitoraggio 24X7 di tutti gli allarmi rilevati
dall’infrastruttura wIPS.
- Raccolta e archiviazione degli eventi rilevati.
- Archiviazione delle configurazioni dei sensori e server,
delle policy applicate all’infrastruttura wIPS e degli
allarmi gestiti.
- Backup periodico dei dati storici.
- Gestione periodica in base a liste fornite dal cliente
delle informazioni degli asset wireless per la contestualizzazione
degli eventi.
- Tuning delle policy applicate al sistema di monitoraggio al
fine di minimizzare la rilevazione di eventi ritenuti dal cliente non
interessanti o falsi positivi.
- Redazione periodica di report di servizio contenenti la
sintesi degli allarmi gestiti, l’ambito di copertura del
servizio, il dettaglio dei client wireless ed access point non
classificati e informazioni sull’andamento del servizio wIPS
nel periodo di riferimento.
Gestione dell'infrastruttura
L’attività di gestione
dell’infrastruttura per il monitoraggio wIPS consiste nella
gestione dei dispositivi installati (sensori, server,
apparati per il collegamento fra sede del cliente e SOC) e delle
applicazioni utilizzate per l’erogazione del servizio al fine
di garantirne la piena funzionalità e
l’aggiornamento. La gestione dell’infrastruttura di
monitoraggio è effettuata dal SOC in modalità 8X5
e prevede diverse attività. Tutte le attività di
gestione sono tracciate utilizzando il sistema di trouble ticketing del
SOC. Un’ulteriore attività opzionale di gestione
in tempo reale delle utenze wireless consiste
nell’applicazione di politiche di autorizzazione e blocco dei
client e degli access point rilevati dalla piattaforma, a seguito di
richieste specifiche. Questa attività non è
necessaria qualora le aree monitorate non prevedano
l’utilizzo di reti wireless oppure le policy aziendali non
permettano l’uso della rete wireless tranne che ad un numero
ristretto e specifico di client. Questa attività diventa
invece parte integrante del servizio qualora le policy aziendali
permettano l’utilizzo della rete wireless a visitatori
occasionali o a personale in trasferta per un periodo di tempo
limitato, come ad esempio all’interno di una sala riunioni.
L’esecuzione di attività di gestione in tempo
reale delle utenze wireless deve essere preceduta, in fase di
attivazione del servizio, dalla condivisione delle policy aziendali per
le tecnologie wireless e delle modalità seguite dal SOC
nell’applicazione delle politiche di blocco (es. applicazione
di un blocco su autorizzazione del cliente dopo la segnalazione di un
allarme).
|
| |
|
|
