Che cos'è un'Adaptive Security Policy?
Che cos'è una policy di sicurezza adattiva?
Una policy di sicurezza adattiva permette agli amministratori di adattarsi rapidamente al panorama della sicurezza in continua evoluzione per garantire la protezione delle loro reti con tempi e sforzi minimi.
Tradizionalmente, la tipica policy di sicurezza di rete è molto statica e la sua struttura di regole di policy è la seguente:
Numero regola |
Criterio di corrispondenza del traffico di origine |
Criterio di corrispondenza del traffico di destinazione |
Azione del firewall |
Azione di logging |
IPS |
1000 |
Qualsiasi |
MyCriticalServers |
Permit |
Log |
Disable |
Secondo la logica di ciascuna regola, per un particolare criterio di corrispondenza del traffico, gli amministratori di rete possono configurare una serie di azioni di sicurezza.
Tuttavia, gli ambienti operativi di sicurezza sono raramente statici in natura. Le policy di rete adottabili in condizioni normali potrebbero essere molto diverse da quelle applicabili quando la rete subisce un attacco significativo, o quando la tua rete è già compromessa e il team responsabile della sicurezza sta cercando di identificare e isolare gli asset coinvolti.
Sfide per la policy statica di sicurezza di rete
Un modello di policy statica comporta notevoli sfide operative per rispondere alle minacce della sicurezza. Ad esempio, quando un team responsabile della sicurezza si accorge che la rete è sotto attacco:
- Deve innanzitutto elaborare, una alla volta, migliaia di regole nella rispettiva tabella per decidere come adattarle.
- Deve apportare modifiche a una miriade di regole e implementarle nelle policy del firewall. Di conseguenza, l'amministratore della sicurezza dedica preziosi cicli di lavoro alla modifica delle regole invece di concentrarsi sull'isolamento e il contrasto degli attacchi alla rete.
- Deve evitare il rischio di interrompere alcuni servizi d'importanza critica. La probabilità che si verifichi questo evento è abbastanza alta in questa fase a causa dell'elevato volume di modifiche non pianificate.
- Dopo aver isolato o mitigato la minaccia, deve ripristinare tutte le regole che valgono in condizioni normali. Anche in questo caso esistono possibilità di errori, interruzioni di servizio e così via.
È fondamentale che i team di sicurezza informatica predispongano scenari normali e di preparazione agli attacchi per una migliore strategia di sicurezza.
Quali sono le azioni di policy dinamica?
Junos Space Security Director introduce una capacità innovativa chiamata Dynamic Policy Actions per semplificare il flusso di lavoro riguardante la creazione in anticipo di diverse azioni di sicurezza che il team può compiere in varie condizioni ambientali. Security Director sfrutta un framework di policy di intenti dell'utente che permette alle policy di adattarsi dinamicamente alle condizioni mutevoli in un variabile panorama di minacce.
Il flusso delle azioni di policy dinamica include i seguenti passi:
- Crea diverse variabili di ambiente personalizzate che influenzano varie regole.
- Utilizza la valutazione condizionale basata su queste variabili nelle policy di sicurezza della rete.
- Testa in anticipo diversi profili per garantire che il comportamento delle regole sia quello previsto.
- Quando viene identificato un cambiamento nella condizione ambientale, si modifica il valore della variabile per riflettere la situazione di rischio attuale.
- Calcola automaticamente le modifiche alle regole pertinenti e, in base all'approvazione dell'amministratore di rete, le invia all'intera rete come richiesto.
Con le azioni di policy dinamica in atto, nella tabella delle regole si aggiunge una nuova colonna delle condizioni ambientali e ora essa diventa come la seguente:
Numero regola |
Criterio di corrispondenza del traffico di origine |
Criterio di corrispondenza del traffico di destinazione |
Condizione ambientale |
Azione/i del firewall |
Altre azioni |
1000 |
Qualsiasi |
MyCriticalServers |
ThreatLevel=Green |
Permit |
Log |
Vantaggi delle azioni di policy dinamica
✓ Semplificano la creazione di azioni di sicurezza
✓ Riducono il tempo di reazione alle minacce
✓ Riducono la probabilità di errori manuali
✓ Aiutano a ridurre i rischi aziendali ottimizzando le operazioni di sicurezza
Gli amministratori possono creare in anticipo diverse azioni di sicurezza a disposizione del team di sicurezza mentre testano il comportamento del sistema in diverse condizioni ambientali.
La riduzione del tempo di reazione alle minacce consente agli amministratori di porre rapidamente rimedio alle minacce alla sicurezza. Durante le situazioni critiche gli amministratori devono concentrarsi sull'identificazione degli attacchi e, con le variabili di ambiente configurate, possono manipolare rapidamente la tabella delle regole.
Si riduce la probabilità di errori manuali, soprattutto durante gli eventi critici quando deve essere modificato un gran numero di regole della policy del firewall. Inoltre, ottimizzando le operazioni di sicurezza, si riducono i rischi aziendali in condizioni normali e dinamiche.