In uno scenario in cui la superficie degli attacchi esposta è sempre più ampia e aumenta la loro sofisticazione (oltre al volume), le soluzioni di sicurezza legacy on-premise si rivelano complesse da gestire, da aggiornare, e spesso non riescono ad offrire una visione chiara sulla situazione di rischio reale, per esempio perché producono una serie di avvisi difficile da interpretare.
Si tratta solitamente di soluzioni progettate per la difesa di ambienti più semplici da gestire rispetto a quelli attuali, per i tempi in cui per esempio i dipendenti accedevano a dati e informazioni solo in azienda e le minacce potevano essere identificate e gestite in modo semplice, anche perché il traffico di rete poteva essere facilmente reindirizzato e ispezionato con le risorse disponibili. A questo si aggiunge un ulteriore problema relativo alla mancanza di competenze elevate diffuse con molte aziende a corto di personale esperto.
Oggi è necessario spostare la prospettiva dall’utilizzo di appliance per la sicurezza locali all’utilizzo di una piattaforma cloud in grado di fornire in modo più semplice protezione indipendentemente dal punto di connessione o dal dispositivo utilizzato dai dipendenti. Qui si innesta la proposta di Akamai Enterprise Threat Protector come servizio di sicurezza proattiva, facile da implementare e gestire ed in grado di ridurre la complessità migliorando l’efficienza operativa dei team.
Cos’è Enterprise Threat Protector e come funziona
Si tratta di una piattaforma Secure Internet Gateway in cloud in grado di fornire protezione avanzata a più livelli che permette agli utenti di connettersi in sicurezza al Web indipendentemente da dove si trovano. Il servizio – che non richiede hardware da installare, non ha bisogno di manutenzione e si rivela facile da distribuire ed implementare – si basa su Akamai Cloud Security Intelligence che offre comprensione in tempo reale delle minacce e riduce al minimo il numero di avvisi di falsi positivi che i team addetti alla sicurezza devono analizzare.
L’Intelligence elabora i dati forniti da Akamai Intelligent Edge Platform che gestisce fino al 30% del traffico Web globale e distribuisce ogni giorno fino a 2,2 trilioni di query DNS. Quando vengono identificate nuove minacce, immediatamente viene aggiornato anche il servizio Enterprise Threat Protector, per una protezione praticamente in tempo reale.
Enterprise Threat Protector può identificare e bloccare in modo proattivo minacce mirate come malware, ransomware, phishing ed esfiltrazione di dati basata sul DNS, ma anche le richieste indirizzate a siti che utilizzano server CnC (Command and Control) e gli attacchi zero-day. I team della sicurezza possono generare, distribuire e applicare da una dashboard centralizzata le policy di sicurezza e di utilizzo per tutti i dipendenti, policy e regole che saranno efficaci quindi qualsiasi sia il punto di accesso alla Rete.
Più in dettaglio, tutte le attività di configurazione possono essere eseguite da un portale basato sul cloud Akamai, Luna Control Center il suo nome, accessibile quindi ovunque. Gli avvisi in tempo reale tramite e-mail e i rapporti programmati possono essere personalizzati per avvisare i team addetti alla sicurezza degli effettivi eventi critici relativi alle policy, per consentire un intervento immediato e una veloce soluzione delle criticità.
I team dispongono di una panoramica del traffico, delle minacce e degli eventi correlati alle policy di utilizzo, ma è anche disponibile un’analisi approfondita dei singoli elementi della dashboard, analisi che rappresenta una risorsa importante per la correzione degli incidenti relativi alla sicurezza.
Le funzionalità del portale sono accessibili tramite Api per una facile integrazione del servizio con gli strumenti preferiti per generare rapporti o interfacciarsi con altre soluzioni di sicurezza. I registri di dati possono così essere esportati in un SIEM, consentendo a Enterprise Threat Protector di integrarsi in modo semplice ed efficace con gli altri strumenti per la creazione di rapporti, e con altre soluzioni di sicurezza.
Enterprise Threat Protector, i livelli di protezione
Il servizio di Akamai utilizza diversi livelli di protezione, in particolare, l’ispezione dei DNS, degli URL e l’analisi dei payload in linea.
Tutto il traffico DNS ricorsivo esterno viene indirizzato verso Enterprise Threat Protector, che procede al confronto di tutti i domini richiesti con un punteggio di rischio assegnato dall’Intelligence di Akamai. Gli utenti quindi vengono bloccati prima che accedano a servizi dannosi, infatti la convalida avviene prima dell’effettiva connessione IP e le minacce vengono fermate prima che possano innescare qualsiasi azione.
Nel caso in cui non si utilizzino protocolli e porte web standard la sicurezza è comunque garantita perché il servizio opera su tutte le porte e in tutti i protocolli. È possibile anche verificare i domini in relazione al tipo di contenuti ed eventualmente approntare regole in questo senso, a seconda delle policy aziendali. Tutti gli URL richiesti vengono sempre verificati rispetto all’intelligence delle minacce di Akamai e quelli dannosi vengono automaticamente bloccati, con una garanzia ulteriore legata al fatto che il proxy ispeziona sia gli URL HTTP che HTTPS.
Ultimo, ma non meno importante tutti i payload HTTP e HTTPS di domini rischiosi vengono sottoposti a scansione in tempo reale, tramite i motori per il rilevamento dei malware che utilizzano un insieme di tecniche (compreso AI e machine learning) per una protezione zero-day completa che comprende file di dati ma anche gli eseguibili e i malware incorporati direttamente nella pagina web richiesta, che di solito vengono propagati tramite codice JavaScript dannoso e nascosto.
Non perdere tutti gli approfondimenti della Room Akamai Protect Your Business
© RIPRODUZIONE RISERVATA
