Un firewall è un elemento importante della sicurezza di rete che funge da cancello di protezione virtuale per i pacchetti del traffico di rete in entrata e in uscita. Quando il traffico non soddisfa i requisiti di sicurezza definiti, il firewall si chiude e blocca l'avanzamento dei pacchetti di rete. Monitorando ed esaminando tutti i dati che entrano o escono dalle reti, il firewall fornisce una maggiore protezione contro l'accesso non autorizzato ai dati, ma solo se il firewall stesso è completamente aggiornato e conforme alle normative stabilite.

Per garantire che i firewall esistenti siano in grado di eseguire tutte le funzioni essenziali, le organizzazioni devono implementare degli audit del firewall regolari.

Per comprendere l'importanza di un audit del firewall è necessario innanzitutto comprendere il funzionamento di un firewall. I firewall sono in grado di utilizzare il riconoscimento dei pattern delle firme per analizzare e confrontare i pacchetti rispetto a un ampio database di minacce note, codici dannosi o vettori di attacco, limitando l'accesso al traffico che corrisponde a uno di questi pericoli.

Tuttavia, sono presenti alcuni problemi che possono essere sfruttati dagli utenti malintenzionati. Anzitutto, i firewall devono essere costantemente aggiornati per poter includere le nuove minacce e i payload dannosi. Allo stesso tempo, l'errata configurazione delle regole può introdurre nei firewall un punto debole che può essere sfruttato per l'accesso non autorizzato. In entrambi i casi, l'impossibilità del firewall di identificare, isolare e limitare i pacchetti dannosi può mettere in serio pericolo l'intera rete.

Allo stesso tempo la gestione dei firewall può essere estremamente difficile, in particolare all'interno di sistemi complessi. La mancanza di visibilità e la documentazione incompleta ostacolano la gestione efficace dei firewall, esponendo potenzialmente sistemi e dati sensibili a rischi.

Il concetto di audit del firewall si basa sull'idea che la sicurezza sia molto più che un insieme di strumenti: un processo continuo in cui le difese esistenti vengono continuamente riviste, sottoposte ad audit e migliorate per proteggere nel miglior modo possibile i dati e la rete. Eseguiti regolarmente e in modo coerente, gli audit del firewall sono un componente essenziale per garantire la validità dei firewall e svolgono un ruolo chiave nel miglioramento della sicurezza di rete in tutta l'azienda.

Per contrastare il rischio sempre presente di violazioni dei dati e altre forme di crimini informatici, le aziende moderne hanno bisogno di firewall efficaci e affidabili. Per garantire che i firewall possano assolvere alle funzioni assegnate, è possibile considerare la procedura riportata di seguito per eseguire un audit del firewall:

1. Raccogliere le informazioni pertinenti

Un fattore chiave per il successo di un audit è la visibilità. Se un'organizzazione non ha accesso a tutte le informazioni pertinenti associate al firewall che impiega, non sarà in grado di valutarne accuratamente l'efficacia attuale o di identificare potenziali problemi. Crea un database o un repository strutturato in modo simile per raggruppare, documentare e archiviare queste informazioni in modo da poterle cercare, recuperare e condividere con gli e le stakeholder in tutta l'azienda.

Tra gli esempi di informazioni rilevanti per un audit del firewall vi sono informazioni sull'ISP (Internet Service Provider), informazioni sulla VPN (Virtual Private Network), criteri di sicurezza, informazioni sui fornitori, versione del sistema operativo, informazioni sulla configurazione, dettagli sulle patch, credenziali di accesso al firewall e qualsiasi documento o report relativo agli audit precedenti. Avere a disposizione le informazioni giuste facilita la revisione e il monitoraggio di criteri e procedure.

2. Rivedere il processo di gestione delle modifiche del firewall

Apportare modifiche ai firewall esistenti non è semplice come premere un interruttore. Anche se fosse, senza una documentazione e un rilevamento adeguati, le modifiche potrebbero creare solo altri problemi. Un audit del firewall deve disporre di processi comprovati per le operazioni successive all'identificazione delle modifiche necessarie.

La gestione delle modifiche del firewall deve fornire una procedura stabile per implementare le modifiche ai firewall esistenti, tra cui la richiesta e la ricezione delle approvazioni, nonché la revisione e il test delle modifiche una volta implementate. Se non è in atto un processo di gestione delle modifiche affidabile, è necessario stabilirne uno prima di eseguire qualsiasi audit del firewall.

3. Valutare le funzionalità di sicurezza esistenti

L'audit del firewall è un passaggio essenziale per garantire che i firewall di un'organizzazione siano aggiornati a livello di codice e in grado di bloccare il traffico dannoso. Detto questo, il firewall deve inoltre funzionare in sinergia con altri sistemi operativi e misure di sicurezza fisiche, in modo da poter neutralizzare rapidamente le minacce comuni una volta rilevate.

La valutazione delle funzionalità di sicurezza esistenti include la revisione delle procedure di amministrazione dei dispositivi, la revisione e la valutazione dei sistemi in relazione agli standard normativi, il controllo degli accessi ai server sicuri, la verifica degli aggiornamenti di tutti i sistemi pertinenti con tutte le patch di sicurezza necessarie e la redazione di un elenco dettagliato dei membri del personale autorizzati ad accedere ai sistemi.

4. Rivedere e semplificare la base di regole del firewall

La modalità di operazione di un firewall e il tipo di traffico a cui viene consentito l'accesso a una rete sono determinati dalla base di regole. Purtroppo, poiché i firewall vengono aggiornati per poter far fronte a minacce nuove e in continua evoluzione, tali basi di regole possono crescere senza controllo. Durante l'audit del firewall è necessario dedicare il tempo necessario alla revisione della base di regole del firewall, cercando eventuali regole o oggetti disattivati, scaduti o inutilizzati. Allo stesso modo, è necessario prendere nota delle connessioni inutilizzate e dei percorsi non pertinenti e identificare eventuali aree in cui i gruppi o gli utenti scaduti, non collegati o inutilizzati possono essere raccolti nei parametri VPN. Disabilita, rimuovi o elimina ciascuno di questi elementi superflui trovati.

Inoltre, la base di regole può essere semplificata unendo regole simili, identificando e rivedendo le regole troppo permissive e dando priorità alle regole con efficacia e prestazioni migliori.

5. Eseguire una valutazione dettagliata del rischio

Non tutti i problemi relativi alla base di regole saranno lampanti. Per individuare problemi meno evidenti è necessario che le organizzazioni conducano una valutazione del rischio. Ciò non solo aiuterà a identificare le regole rischiose che potrebbero causare violazioni di dati e altri problemi, ma contribuirà anche a garantire la conformità a criteri, standard aziendali e altre normative. Gli standard consolidati sono spesso unici per settori specifici. Tra gli standard ampiamente utilizzati vi sono Basel-II, FISMA, ISO 27001, J-SOX, NERC CIP, PCI-DSS e SOX.

6. Risolvere eventuali problemi

Una volta identificati i problemi principali, il passo successivo è risolverli. È necessario assegnare priorità ai problemi in base alla loro gravità e al potenziale di rischio. Crea un elenco di tutti i problemi rilevati in termini di priorità e assegna le responsabilità per la loro risoluzione. Procedi con un controllo successivo per assicurarti che i problemi siano stati risolti correttamente.

7. Definire una pianificazione per gli audit del firewall futuri

Per definizione, gli audit dei firewall sono efficaci solo se eseguiti regolarmente. Con questo a mente, l'ultimo passaggio per condurre un audit del firewall consiste nel pianificare quello successivo. Stabilisci una cadenza regolare per gli audit del firewall in corso e futuri e proteggi ulteriormente le reti fondamentali creando avvisi per informare il personale che amministra la rete circa eventuali eventi, modifiche, attività o rischi potenziali per i quali potrebbe essere necessario un audit prima della data programmata. È possibile impiegare l'automazione e altre tecnologie per semplificare ulteriormente il processo di audit del firewall.

Quando utenti malintenzionati tentano di accedere alle reti, il firewall è paragonabile al buttafuori che li blocca alla porta. Tuttavia il crimine informatico è in costante evoluzione e, man mano che le minacce si fanno più sofisticate e pervasive, la necessità di una maggiore supervisione e controllo sui firewall sta diventando un aspetto da cui ogni azienda può trarre beneficio. Gli audit dei firewall eseguiti regolarmente sono un passo fondamentale per rafforzare il livello di sicurezza IT di un'organizzazione, ma per una protezione ottimale le aziende devono spingersi oltre. ServiceNow® ha la soluzione.

Il Firewall Audits and Reporting di ServiceNow elimina i problemi di visibilità e conformità che spesso ostacolano l'adozione di una strategia onnicomprensiva di gestione del firewall. Con Firewall Audits and Reporting supportato da ServiceNow Discovery, le organizzazioni acquisiscono piena visibilità sull'intera infrastruttura firewall e i processi correlati, garantendo la conformità alle normative e riducendo significativamente i rischi per la sicurezza. Il reparto IT e gli altri utenti autorizzati possono gestire i criteri dei firewall dalla stessa posizione centrale, utilizzando dashboard e applicando dati provenienti da tutta l'azienda per una soluzione completamente trasparente e integrata. Inoltre, proprietari e utenti possono inviare e tenere traccia delle richieste tramite i portali di ServiceNow, mentre le soluzioni di automazione avanzate alleggeriscono la pressione sui preziosi team IT ed eliminano i colli di bottiglia.

Il Firewall Audits and Reporting di ServiceNow offre visibilità completa sui processi firewall e integrazione completa dei dati nell'infrastruttura IT. Proteggi i firewall che proteggono la tua azienda con ServiceNow.