In vent’anni ha percorso un lungo cammino tecnologico, ma non per questo il firewall sta perdendo la sua forza e peculiarità nel mantenimento della sicurezza delle reti informatiche e dei dati degli utenti. Anche in un panorama IT completamente mutato, in cui virtualizzazione, Cloud e mobility sembrano rendere i confini dei network sempre più fluidi.
A ribadire oggi la valenza del firewall è Gil Shwed, Cofondatore, Presidente e Amministratore Delegato di Check Point Software Technologies. La società fornisce le proprie soluzioni di IT security a un ampio mercato: grandi aziende, service provider, piccole e medie imprese e anche normali consumatori.
Sono passati ventidue anni dalla nascita di Check Point, e dall’invenzione e brevetto nel 1993, da parte della società, della tecnologia ’stateful inspection’, capace di monitorare le connessioni di rete e filtrare i pacchetti. Un anno dopo, nel 1994, viene rilasciato FireWall-1, il primo prodotto dell’azienda.
Oggi, intervistiamo Shwed per conoscere il suo punto di vista su come si è evoluto nel tempo il concetto di firewall e sicurezza IT, quali sono i problemi con cui le organizzazioni devono misurarsi quotidianamente, e quali possono essere le possibili soluzioni per mettere al riparo le imprese dai cyber-attacchi.
Dapprima viene spontaneo chiedersi: quali trasformazioni chiave la IT security ha attraversato in un ventennio di storia?
«Credo che la sicurezza si sia evoluta grandemente negli ultimi 20 anni – risponde Shwed -. Due cose sono cambiate: la prima è l’importanza della connettività Internet. Questa, in vent’anni, è diventata molto, molto più rilevante. Era qualcosa di marginale vent’anni fa, oggi invece risulta ’mission-critical’. Il secondo fatto è che anche le minacce si sono evolute. Se prima le tipologie di insidie che cercavano di colpire la rete erano più semplici, oggi le minacce sono dieci volte più sofisticate, e stanno usando vettori d’attacco multipli».
Questi attacchi, che diventano ancora più evoluti, riescono a oltrepassare i vecchi metodi di protezione. «Il nostro lavoro, come azienda di IT security, è far evolvere le tecniche di difesa, indirizzando tutte le minacce di nuova generazione». Ad esempio, quando si parla di data center e sedi aziendali, i cybercriminali stanno cercando di trovare modi per attaccare i branch office e le filiali, spesso non dotati delle stesse misure di protezione dell’headquarter. Il compito chiave della sicurezza IT è dunque garantire che vengano indirizzati tutti i possibili vettori di attacco.
Ancora valido baluardo
Ma quanto è ancora rilevante, nell’odierno panorama di evoluzione dell’IT e delle minacce informatiche, il ruolo del firewall? Non rischia di diventare uno strumento reso obsoleto da fenomeni come la virtualizzazione, il Cloud e la diffusione dei dispositivi mobile, che rendono sempre più labili i confini e i perimetri delle reti aziendali?
«Credo che oggi il firewall si confermi più importante che mai» controbatte Shwed, proprio perché le reti saranno spalancate, e gli hacker da controllare potranno trovarsi ovunque. «Ciò che è importante comprendere è che la protezione base del firewall resta ancora molto, molto importante, anche se i firewall moderni possono fare molto di più, possono proteggere contro tipi di attacchi che vent’anni fa anni fa erano inimmaginabili».
Vi sono complesse tecniche di hacking contro le quali il firewall continua a rappresentare un valido baluardo. Come?
Shwed esemplifica, citando alcuni metodi di attacco attuati da un gruppo di cyberspionaggio noto come Equation Group e soprannominato ’The Death Star of the Malware Galaxy’. Le tecniche di hacking di questa organizzazione, in atto da anni e dietro le quali si sospetta vi sia addirittura l’ombra della National Security Agency (NSA) statunitense, sono state portate alla luce dalla società di security Kaspersky, e sono attualmente considerate da più parti fra le più sofisticate mai scoperte. Esse usano supporti USB e CD per propagarsi, arrivano a modificare in profondità il firmware di dispositivi come gli hard disk, e rimangono invisibili ai convenzionali metodi di individuazione. Attraverso un firewall però, spiega, è ancora possibile scoprire la comunicazione sulla rete tra tale malware installato sul dispositivo e l’operatore remoto, e dunque bloccare il codice malevolo.
Ci si può anche chiedere quale posto possa occupare ancora il firewall in uno scenario della IT security sempre più dominato dalla Internet of Things. «La IoT sta realmente avendo un impatto limitato, quando si parla di proteggere l’organizzazione stessa» precisa Shwed. Ciò però non toglie che il firewall torni in causa per la protezione dell’intero network quando nella rete, aziendale o casalinga, non sono collegati solo PC o server dotati di sofisticati software di protezione, ma anche una miriade di altri dispositivi elettronici non molto complessi, e di cui non è possibile controllare il software. Di nuovo, a questo livello, il firewall è l’arma principe per gestire l’accesso a ogni singolo dispositivo.
Virtualizzare la security
Poi c’è la virtualizzazione dei data center e della rete. «Stiamo oggi utilizzando sempre più virtual firewall, che gestiscono la security dentro sale dati e ambienti Cloud completamente virtualizzati». Sono ambienti dove vi è comunque necessità di compartimentalizzare e rendere private determinate aree della rete. «Abbiamo quindi l’esigenza di virtualizzare la security, di virtualizzare i firewall». Queste differenti aree virtuali del network possono essere controllate, fondamentalmente, attraverso un dispositivo su cui funzionano molteplici firewall, ciascuno in grado di amministrare con policy specifiche ogni diversa zona della rete. Ma, a seconda delle implementazioni, si possono anche immaginare scenari con data center in cui sono ospitate molte, diverse macchine virtuali, ciascuna da mantenere appartenente a una differente zona della rete, e dotata di meccanismi di controllo della sicurezza che risiedono nella virtual machine stessa.
Per il prossimo futuro, le sfide più ardue che Shwed evidenzia sono due. La prima è l’uso delle tecnologie per contrastare i sofisticati attacchi con vettori multipli. Per difendersi dalle minacce del malware APT (Advanced Persistent Threat) occorre adottare soluzioni adeguate. «La tecnologia c’è in abbondanza, anche se la maggioranza delle aziende non la sta ancora utilizzando». L’altra sfida è rappresentata dai dispositivi mobile, che costituiscono tutti porte di accesso verso la rete e vanno messi in sicurezza.
Ma c’è anche una terzo problema: le policy come strumento di rafforzamento della protezione. «Credo che le politiche di sicurezza siano molto importanti all’interno di un’organizzazione. La sfida però è come creare e implementare policy di security semplici e ben comprensibili dagli utenti. Voglio dire che non serve sviluppare policy super sofisticate che nessuno è in grado di capire e padroneggiare. Serve invece creare policy semplici e capaci di determinare il massimo effetto sull’organizzazione».
Architettura multifunzionale
Il firewall sta poi continuamente cambiando pelle. Ma come diventerà nei prossimi anni? Shwed spiega che si vedrà ancora più evoluzione in questo strumento, e per fare un esempio fa riferimento a un’architettura di security sviluppata da Check Point: quella che l’azienda chiama Software Blade Architecture. In sostanza, in questo modello, il firewall, al pari di altre tecnologie di security – come un IPS (Intrusion Prevention System) o una VPN (Virtual Private Network) – si trasforma in uno dei vari componenti che formano la soluzione di sicurezza, e diventa un modulo indipendente, gestibile centralmente, e configurabile su ogni gateway via software, senza necessità di modifiche dell’hardware o del firmware.
Ciò significa che ogni firewall in un’organizzazione potrà avere molteplici software blade, diversi moduli software, ciascuno dei quali eseguirà diverse funzionalità di security. E una data azienda dovrà semplicemente attivare i moduli per le funzioni che le servono a controllare ogni punto della rete. «Quindi credo vedremo più software blade, più funzionalità nei prossimi mesi».
Un ultimo aspetto a cui Shwed fa riferimento è anche la discussione in corso nel settore e sui media riguardo la necessità di eliminare l’attuale frammentazione nella threat intelligence. «Nelle varie organizzazioni vi sarà sempre più l’esigenza di collaborare per condividere informazioni sulle tecniche di attacco. Ad esempio, noi stiamo facendo questo da tempo attraverso ThreatCloud IntelliStore». Quest’ultimo è una sorta di marketplace da cui ciascun utente può trarre informazioni di intelligence personalizzate sulle minacce, ricavando i dati di cui ha bisogno per individuare e bloccare le specifiche tipologie di malware e codice pericoloso.
