Questo articolo si propone di esaminare la differenza tra i due approcci firewall e il modo in cui Cisco ASA con i servizi Cisco Firepower affronta il continuum di un attacco completo.
Gli esperti di sicurezza spesso usano il termine “firewall di nuova generazione“, ma cosa significa esattamente e in cosa differisce da un firewall tradizionale?
Scenario firewall tradizionale
Un buon modo per spiegare la differenza tra i firewall tradizionali e quelli di nuova generazione è parlare delle porte comuni utilizzate su Internet.
La porta HTTP 80 è il protocollo utilizzato dai browser Web quando navighiamo in Internet.
Non solo questa porta è ben nota agli sviluppatori di applicazioni, ma purtroppo è anche ampiamente nota alle persone che scrivono malware dannosi. Dato che la porta 80 è sempre aperta in uscita sul firewall della tua organizzazione, che impatto ha sulla tua policy di sicurezza?
Prendiamo un caso d’uso tipico di un utente finale che sta navigando in Internet, senza Firepower. Chiameremo questa persona Mr. X, per semplicità.
Esempio
Ad esempio, Mr. X, mentre utilizza asset (hardware o sftware) aziendali, potrebbe catturare contenuti illegali che vengono piratati tramite Bit Torrent.
Magari, invece, il suo desktop sta effettivamente eseguendo un Trojan che sta rubando informazioni e inviandole a persone che potrebbero danneggiare l’azienda.
Peggio ancora, senza Firepower, il desktop di Mr.X potrebbe essere controllato da un BotNet (che è successivamente controllato da un BotMaster da qualche parte su Internet) che fa sì che la macchina agisca da zombi e la costringe a prendere parte a un attacco di negazione del servizio che arresta le attività aziendali critiche . X pensa solo di star navigando innocentemente su Internet, ma come si può vedere da questo esempio, molte altre cose potrebbero succedere contemporaneamente.
Ciò che è importante rendersi conto è che tutte le diverse attività su Internet menzionate sopra (il legittimo e il non così legittimo) inviano traffico attraverso la porta HTTP 80 comune. Questo perché gli autori di applicazioni e malware sanno che quel traffico non verrà bloccato su quel particolare porto.
Qui sta l’enigma.
Gli amministratori del firewall devono scegliere di bloccare completamente la porta, influendo in tal modo sul business legittimo, oppure mantenere la porta aperta ed esporre il business al rischio. Sfortunatamente, i firewall tradizionali non hanno la capacità di distinguere tra traffico legittimo e traffico non legittimo quando passano attraverso la porta HTTP 80 comune.
È qui che entrano in gioco i firewall di prossima generazione di Cisco, poiché possono affrontare in modo specifico queste lacune.
I firewall di nuova generazione di Cisco
Sono in grado di filtrare i tipi specifici di applicazioni all’interno delle porte comuni che devono essere aperte per le normali attività quotidiane (ad esempio la porta 80).
I firewall Cisco di nuova generazione possono esaminare il traffico e determinare quale applicazione sta attualmente utilizzando quella porta specifica. Successivamente, è possibile prendere decisioni di filtraggio in base all’identità dell’applicazione.
Ciò offre agli amministratori del firewall la possibilità di prendere decisioni granulari sul controllo degli accessi e garantire che siano consentite solo le applicazioni approvate dalla società e le altre applicazioni non legittime (ad es. Condivisione di file P2P, ecc.).
Cisco ASA con FirePOWER
I nuovi firewall ASA 5500-X di Cisco con i servizi FirePOWER includono tutte le funzionalità di nuova generazione.
Cisco ASA con i servizi FirePOWER offre maggiore visibilità e automazione con una protezione di risposta superiore nell’intero continuum di attacco. Cisco offre il primo firewall adattivo di nuova generazione incentrato sulle minacce del settore che include il sistema NGIPS (Next Generation Intrusion Prevention) di Sourcefire e funzionalità avanzate anti-malware.
Le soluzioni di architettura tradizionale spesso costringono i clienti ad acquistare molteplici soluzioni diverse (Firewall, IPS, Web Gateway, VPN Gateway, Malware Analysis System, ecc.). Tutto questo solo per ottenere la protezione multistrato richiesta da un’azienda nel mondo di oggi.
Questi pezzi spesso non funzionano bene insieme e possono essere molto complessi da gestire.
La soluzione Cisco offre una protezione avanzata contro la protezione da malware contro minacce emergenti e persino sconosciute. Questi livelli integrati di sicurezza funzionano bene insieme, quindi è possibile individuare e bloccare minacce complesse che mancano ad altre soluzioni.
Cisco correla le minacce e le vulnerabilità per determinarne l’impatto o la valutazione dell’impatto. Seguendo questa logica, un ingegnere della sicurezza IT deve concentrarsi solo sulle valutazioni di impatto che hanno un punteggio di 1, le uniche che rappresentano un rischio per l’azienda.
Punti di differenziazione di Cisco ASA con i servizi FirePOWER
Il principale fattore di differenziazione di Cisco ASA con i servizi FirePOWER è il modo in cui gestisce le minacce prima, durante e dopo un attacco.
La soluzione di Cisco consente ai tecnici di fornire sicurezza retrospettiva, riducendo così al minimo l’impatto di un attacco.
L’ASA di Cisco con i servizi FirePOWER è in grado di identificare il punto esatto di entrata, dettagliare la portata del danno che ha subito, isolarlo completamente in modo che non possa più diffondersi e risolvere completamente la situazione. Questo tipo di visibilità è estremamente potente, fornendo protezione completa per le organizzazioni e consentendo al reparto IT di un’organizzazione di dormire un po ‘meglio la notte.
Sicurezza IT per la tua azienda con FiveFold
FiveFold è specializzata nell’implementazione e gestione di soluzioni di sicurezza IT che prevedono l’utilizzo di firewall di nuova generazione.
In questo periodo stiamo lanciando una nuova offerta che prevede una prova gratuita dei nostri servizi di supporto e monitoraggio.
Affrettati e prova le nuove soluzioni si sicurezza con FiveFold!
#LetsDoITtogether