Hai già un account?
  •   Contenuti personalizzati
  •   Prodotti e supporto
Log In

Hai bisogno di un account?

Crea un account

Proteggere la rete rilevando il traffico malware criptato grazie al machine learning

Nurse_500

 

Gartner prevede che, entro il 2020, saranno 63 milioni al secondo i nuovi dispositivi che si connetteranno alle reti aziendali. Ma se, da un lato, la mobilità aziendale e Internet of Things (IoT) creeranno nuove opportunità, dall’altro lato, ogni nuovo utente e dispositivo che si connette alla rete aumenterà la complessità di gestione e la potenziale superficie di attacco. La visibilità end-to-end della rete è essenziale per garantire che non passi inosservata nessuna violazione della sicurezza proveniente da endpoint di rete vulnerabili. Integrando nativamente le soluzioni di sicurezza nell'infrastruttura di rete, le aziende possono proteggere le proprie reti e scalare in modo efficace.

Sfide alla sicurezza rappresentate dalla mobilità aziendale e da IoT

Le esigenze di una popolazione in costante aumento e un ambiente competitivo che muta rapidamente stanno creando nuove sfide per l’IT. Un numero sempre maggiore di dipendenti lavora fuori ufficio, utilizzando spesso guest Wi-Fi e dispositivi non aziendali per accedere alla stessa rete che gestisce i dati importanti dell’azienda. Oltre alle sfide di mobilità aziendale, i team IT devono gestire anche le richieste di connessione per un numero sempre crescente di dispositivi IoT. Stampanti, telecamere di sicurezza, macchine del caffè... migliaia di nuovi dispositivi con una limitata o nessuna architettura di sicurezza devono essere aggiunti alla rete. Cisco prevede che la percentuale di traffico IP proveniente da dispositivi diversi dai PC passerà dal 47% del 2015 al 71% entro il 2020[1].

L’azienda è esposta a un alto rischio di attacco a causa del numero di connessioni alla rete che cresce in modo esponenziale e dell’assenza di un metodo automatico per segmentare i gruppi di utenti e dispositivi per gestire le policy di sicurezza. Tutte le minacce alla sicurezza di rete hanno qualcosa in comune: la rete, appunto. La rete aziendale fornisce un punto di vista contestuale unico su qualsiasi minaccia agli endpoint vulnerabili. L'unico modo per affrontare queste sfide sempre più numerose e riuscire a scalare è quello di integrare per impostazione predefinita la sicurezza nell’infrastruttura di rete.

[1] http://www.zdnet.com/article/iot-will-account-for-nearly-half-of-connected-devices-by-2020-cisco-says/

Encryption: data privacy or an opportunity for cybercriminals?

Oltre a un numero crescente di utenti e di dispositivi mobili, i team IT devono affrontare un’altra tendenza importante. Crittografia. Sempre più traffico di rete è criptato poiché le persone e le aziende cercano di mantenere privati e al sicuro i dati che si spostano in rete. Gartner ritiene che entro il 2019 più dell'80% del traffico Web aziendale sarà criptato.

Ma se, da un lato, il traffico criptato continua a crescere garantendoci maggiore privacy e sicurezza, dall’altro lato i team IT devono affrontare un’ulteriore sfida. 

Ora infatti devono far fronte a un flusso massiccio di traffico che non possono controllare senza la tecnologia di decriptazione. Gli hacker hanno imparato da subito a utilizzare la crittografia dei dati a proprio vantaggio per celare la diffusione del malware, l’attività di comando e controllo e l’esfiltrazione di dati. Grazie alla crittografia, ora possono penetrare nella rete e passare inosservati per mesi. Secondo Cisco, le aziende impiegano in media tra i 100 e i 200 giorni per rilevare un attacco, in quanto l'80% dei sistemi di sicurezza non riconosce o non previene le minacce all'interno del traffico SSL. Con un numero sempre crescente di norme in materia di protezione dei dati, tra cui il Regolamento generale sulla protezione dei dati, per le aziende diventa fondamentale la possibilità di rilevare e isolare un attacco il più rapidamente possibile. Attualmente il costo medio a livello globale di una violazione della sicurezza è di 3,62 milioni di dollari[2].

[2] https://www.ibm.com/security/data-breach/index.html

Sicurezza della rete senza rinunciare alla privacy

Finora, il modo più comune per gestire il traffico criptato era quello di decriptarlo e analizzarlo utilizzando dispositivi come i Next-Generation Firewall. Tuttavia, questo processo richiede tempo e comporta l'aggiunta di ulteriori dispositivi alla rete. Più gli attacchi diventano sofisticati e il panorama delle minacce si evolve, più è necessaria una soluzione di sicurezza olistica in grado di rilevare e isolare le minacce, anche quelle nascoste nel traffico criptato.

Per affrontare questa sfida, Cisco ha lavorato con l’Advanced Security Research Group al fine di sviluppare soluzioni che possano creare reti virtuali isolate per diversi gruppi di utenti e analizzare il traffico criptato in modo da individuare il malware senza decrittografarlo.

Cisco ha presentato Cisco Software-Defined Access, il primo fabric di rete unico del settore per LAN e WLAN che automatizza le policy di accesso per garantire che vengano applicate le policy corrette a qualsiasi utente o dispositivo in rete, indipendentemente dall'indirizzo IP. Grazie a Cisco SD-Access, l’IT riesce a creare in pochi minuti una nuova policy che consenta o neghi l'accesso di gruppi di utenti (dispositivi IoT, sviluppatori, team di marketing ecc.) aggiungendo un ulteriore livello di sicurezza tramite la segmentazione della rete.

Per affrontare le sfide poste dalla crittografia dei dati, il team ha lavorato sull’utilizzo dei metadati (metadati dell’handshake TLS, flusso contestuale di DNA e intestazioni HTTP di flussi contestuali HTTP) generati dalla rete e gestiti da strumenti di analisi della sicurezza come Cisco Stealthwatch. Successivamente Cognitive analytics, la soluzione cloud di Cisco, analizza i dati eseguendo una ricerca nel database completo di tutti i malware conosciuti (Cisco Threat Grid). A questo punto viene applicato il machine learning per rilevare modelli anomali di comportamento. La tecnica risultante da questo processo, chiamata Encrypted Traffic Analytics (ETA), prevede la ricerca di segni rivelatori nelle caratteristiche dei dati criptati che consentono di rilevare 

i malware senza decrittografia di massa dei dati. Negli esperimenti basati su dati reali, Cisco è riuscito a ottenere un livello di accuratezza superiore al 99% e lo 0,01% di falsi positivi (solo 1 falso positivo ogni 10.000 connessioni TLS). To address this challenge, Cisco worked together with the Advanced Security Research Group to develop solutions that are capable of creating isolated virtual networks for different user groups and analysing encrypted traffic for malwares without decrypting it. 

Cisco introduced Cisco Software-Defined Access, the industry’s first single network fabric across LAN and WLAN that automates access policies to make sure the right policies are applied to any user or device across the network independently of IP address. With Cisco SD-Access, in just a few minutes, IT is able to create a new policy to allow or deny access between user groups (IoT devices, developers, marketing teams etc.) adding an extra level of security through network segmentation. 

To address the challenges of data encryption, the team worked on using the meta data (TLS handshake metadata, DNA contextual flow and the HTTP headers of HTTP-contextual flows) generated by the network to run it through security analytics tools, Cisco Stealthwatch. Cognitive analytics, Cisco’s cloud solution then analyses the data and runs it through the full database of all known malwares (Cisco Threat Grid). Machine learning is then applied to detect abnormal behavior patterns. The resulting technique, called Encrypted Traffic Analytics (ETA), involves looking for telltale signs in the features of encrypted data to detect malwares, without bulk data decryption. In experiments based on real-world data, Cisco was able to achieve over 99% accuracy with 0.01% false positives (only 1 false positive for every 10,000 TLS connections) seen. 

Segmentazione sicura basata sulla visibilità con Encrypted Traffic Analytics

Encrypted Traffic Analytics offre numerosi vantaggi: 

  • Visibilità della sicurezza: informazioni approfondite sulle minacce nel traffico criptato e intelligence contestuale sulle minacce con analisi in tempo reale correlata alle informazioni di utenti e dispositivi. 
  • Valutazione della crittografia: conformità aziendale con i protocolli crittografici e visibilità e conoscenza dei dati criptati e non criptati in rete. 
  • Tempi di risposta più rapidi: capacità di identificare e isolare rapidamente
    i dispositivi e gli utenti infetti. 
  • Risparmi in termini di tempo e costi: la rete è utilizzata come base della postura di sicurezza, traendo il massimo profitto sugli investimenti nella sicurezza della rete.

La funzionalità di Encrypted Traffic Analytics di Cisco è ora integrata per impostazione predefinita nei nuovi switch Catalyst® 9000 e nei Cisco serie 4000 Integrated Services Router insieme all'analisi avanzata della sicurezza di Cisco Stealthwatch. Grazie al nuovo ASIC UAPD 2.0 programmabile, queste complesse analisi possono essere eseguite direttamente sugli switch che prima richiedevano l’utilizzo di apparecchiature aggiuntive.

Vuoi saperne di più?

Scopri perché IDC ritiene che oggi la rete richieda visibilità, programmabilità e automazione complete, e in che modo Software Defined Access può supportare una rete durante tutto il suo percorso di trasformazione digitale e oltre.

spotlight-trustsec

Forrester TEI: Cisco Trustsec

Semplificazione dell'ingegneria della sicurezza e riduzione dei costi operativi grazie a Cisco

Scarica il report

Live chat con un rappresentante Cisco

Cisco:

  • Benvenuti in Cisco !
  • Possiamo aiutarla a trovare il prodotto più adatto alle sua esigenze?