Intrusion Prevention Systems
Il Gruppo Finiper utilizza più di 30 sonde TippingPoint per la prevenzione delle intrusioni (Intrusion Prevention Systems, o IPS), installate in serie con i firewall, per l'analisi del traffico in ingresso nei propri data center. Le sonde sono di due tipi diversi: nei due data center sono installate due 1200E con un throughput aggregato di 1,2 gigabit al secondo, in grado di gestire oltre 750.000 connessioni al secondo, mentre nelle data room presso i pdv sono installate 30 210E con un throughput aggregato di 200 megabit al secondo, in grado di gestire oltre 8.000 connessioni al secondo.
"La funzione principale delle sonde TippingPoint -spiega Giovanni Oteri, responsabile dell'infrastruttura di information technology del Gruppo Finiper- è quella di analizzare il traffico in entrata verso la rete dell'azienda e bloccare l'attacco o il traffico malevolo quando il contenuto dei pacchetti viene identificato come malware". Il Gruppo Finiper è molto attento alla sicurezza, e gestisce con grande attenzione l'aggiornamento delle protezioni e i privilegi di accesso delle singole postazioni di lavoro. Nonostante queste attenzioni, però, ritiene indispensabile avere una barriera all'ingresso che faccia da filtro contro qualsiasi tipo di attacco da parte di malware.
“La nostra rete è complessa, per cui è difficile, se non impossibile, tenere costantemente sotto controllo tutto il traffico e garantire l'aggiornamento del sistema operativo di tutte le macchine -afferma Giovanni Oteri-. Come dimostra il recentissimo breakout del worm Conficker, basta poco per mettere in ginocchio l'intera rete di un'azienda. Nel nostro caso, non è successo nulla perché le sonde TippingPoint hanno bloccato tutti gli attacchi, e ci avrebbe avvertito in tempo reale della loro esistenza, potendo disporre del tempo necessario per definire una strategia di difesa anche nella malaugurata eventualità che il malware - nonostante le protezioni - riuscisse comunque a entrare nella rete”.
Gli IPS TippingPoint
I sistemi di prevenzione dalle intrusioni TippingPoint offrono un elevato livello di protezione delle reti da tutti i tipi di attacco dall'esterno, e in particolare dagli attacchi dei worm e dei virus. Le sonde vengono installate in modo trasparente all'interno della rete e analizzano il contenuto dei pacchetti in tempo reale, nel momento in cui essi passano al loro interno, per determinare se il contenuto è legittimo o pericoloso. Questa forma di protezione rappresenta il modo più efficace per difendersi dagli attacchi, così come confermato dalle dichiarazioni degli esponenti del Gruppo Finiper.
Il sistema è basato sul Threat Suppression Engine (letteralmente: motore di eliminazione delle minacce) di TippingPoint, una piattaforma hardware specializzata che combina tecnologie di elaborazione allo stato dell'arte e sviluppate da TippingPoint in grado di eseguire contemporaneamente migliaia di controlli su ciascun pacchetto senza bloccare il traffico di rete. L'elaborazione parallela, infatti, assicura un flusso continuo dei pacchetti all'interno dell'IPS con una latenza -ovvero, un rallentamento- inferiore a 84 microsecondi, indipendentemente dal numero dei filtri che viene applicato.
Parte integrante della soluzione è il servizio di Digital Vaccine, sviluppato all'interno dei laboratori di ricerca Tipping Point (DVLabs), che fornisce i filtri di sicurezza contro le vulnerabilità. Questi filtri sono in grado di riconoscere l'origine dell'attacco -dal più semplice alle molteplici varianti di alcune vulnerabilità- senza compromettere le prestazioni della rete, e vengono aggiornati due volte alla settimana o immediatamente dopo la scoperta di minacce o vulnerabilità di tipo critico.
Le motivazioni della scelta
Il Gruppo Finiper ha effettuato delle prove sul campo dei prodotti Tipping Point, e dei confronti con le altre soluzioni disponibili sul mercato, e ha rilevato che la protezione garantita dai suoi Intrusion Prevention Systems è quella che risponde nel modo migliore alle proprie esigenze. Il Threat Suppression Engine, infatti, grazie alla presenza di diversi ASIC dedicati, è in grado di applicare simultaneamente quattro tipologie di filtri -indipendenti e complementari- al flusso dei dati, che nel loro insieme individuano e prevengono tutte le minacce: filtri basati sulle vulnerabilità, signature degli attacchi, e filtri sulle anomalie del traffico e dei protocolli.
Le prestazioni delle sonde vengono completate dalle biblioteche di documentazione sulle caratteristiche degli attacchi, che vengono alimentate dall'attività del laboratorio di ricerca TippingPoint sul Digital Vaccine (DVLabs), che è continuamente alla ricerca di informazioni sulle vulnerabilità e sulle relative soluzioni. Questa documentazione consente anche al personale del Gruppo Finiper di essere continuamente aggiornato sui problemi creati dai breakout dei worm o dalle infezioni dei virus.
Gli sviluppi futuri
In futuro, Il Gruppo Finiper ha in programma l'implementazione di una soluzione TippingPoint per il controllo degli accessi alla rete (Network Access Control, o NAC), che consentirà di assicurare l'applicazione delle policy di sicurezza a livello di utente e di singola apparecchiatura, per garantire la massima uniformità delle regole all'interno della rete. L'integrazione degli IPS già in funzione nei data center e nelle data room con i NAC permetterà quindi di estendere ulteriormente il controllo sugli accessi alla rete e sull'uso della stessa da parte di tutti gli utenti, e di ottenere una maggiore uniformità nell'applicazione delle policy di sicurezza.
