Perché l’osservabilità è importante per la sicurezza delle reti oggi
La verità di “Non puoi proteggere ciò che non puoi vedere” è ancora attuale. Martin Roesch spiega perché l’osservabilità è più importante che mai per la sicurezza delle reti moderne.
L’osservabilità è più importante che mai
Quando Martin Roesch iniziò a promuovere la necessità di una maggiore visibilità per proteggere meglio le nostre reti, sembrava una conclusione ovvia. Ma negli anni successivi, l’industria ha fatto un passo indietro, rendendo più difficile ottenere una comprensione completa delle nostre reti moderne.
Il problema dell’encryption
L’aumento dell’uso dell’encryption nelle reti è un problema, poiché l’analisi del traffico chiaro una volta crittografato diventa computazionalmente, operazionalmente e quindi finanziariamente costosa. Con l’introduzione di TLS 1.3 nel 2018, Perfect Forward Secrecy ha generato ulteriori problemi, rendendo difficile l’analisi post-facto.
L’ambiente cloud
L’ambiente cloud non è amico dell’approccio tradizionale basato su appliance, poiché l’analisi profonda delle pacchetti (DPI) a scala non è benvenuta. Ogni carico di lavoro deve difendersi da solo, rendendo ogni carico di lavoro un’isola responsabile della propria integrità, difesa e reporting in caso di compromesso riuscito.
L’approccio basato su minacce
L’approccio basato su minacce alla rilevazione e alla risposta ha portato ad un enorme costo e complessità per trovare un evento di sicurezza che richieda una risposta. Le squadre di sicurezza parlano di milioni di log al giorno che entrano nel loro costoso pipeline di persone, processi e tecnologie per determinare quali eventi richiedano attenzione.
L’osservabilità come soluzione
L’osservabilità può aiutare a risolvere questi problemi. L’architettura di endpoint detection and response (EDR) è un esempio di come l’osservabilità possa essere utilizzata per fornire capacità di rilevamento e risposta utili agli utenti cloud e ad altre architetture analoghe.
Netography Fusion
Netography Fusion è un esempio di piattaforma di difesa della rete (NDP) basata su EDR. Raccoglie metadati in tempo reale dalle VPC multi-cloud e dall’infrastruttura di rete esistente in locale. Questi dati vengono quindi analizzati in un backend cloud per la rilevazione e la risposta.
Vantaggi dell’osservabilità
L’osservabilità offre diversi vantaggi rispetto all’approccio tradizionale basato su DPI. Può rilevare attività anomale e compromessi, fornire visibilità in ambienti cloud e on-premise e ridurre i costi di decrittazione e stateful packet inspection.
L’osservabilità è più importante che mai per la sicurezza delle reti moderne. Martin Roesch spiega come l’osservabilità possa aiutare a proteggere le reti da attacchi e compromessi.
Suggerimenti, soluzioni, consigli e best practice:
- Implementa l’encryption: L’encryption è importante per la sicurezza delle reti, ma può anche rendere difficile l’analisi del traffico. Implementa soluzioni che possano analizzare il traffico crittografato in modo efficiente.
- Utilizza l’osservabilità: L’osservabilità può fornire una visione completa delle tue reti e aiutarti a rilevare attività anomale e compromessi. Implementa soluzioni che sfruttino l’osservabilità per migliorare la sicurezza.
- Riduci la complessità: L’approccio basato su minacce alla rilevazione e alla risposta può essere costoso e complesso. Cerca di semplificare il tuo approccio alla sicurezza riducendo la complessità.
- Prepara l’ambiente cloud: L’ambiente cloud non è amico dell’approccio basato su appliance. Prepara il tuo ambiente cloud per la sicurezza implementando soluzioni che funzionino bene in ambienti cloud.
- Riduci i costi: L’approccio basato su DPI può essere costoso a causa dei costi di decrittazione e stateful packet inspection. Cerca di ridurre i costi implementando soluzioni che sfruttino l’osservabilità.
In sintesi, l’osservabilità è una tecnica importante per la sicurezza delle reti moderne. Implementando soluzioni che sfruttano l’osservabilità, puoi migliorare la sicurezza delle tue reti, ridurre i costi e semplificare il tuo approccio alla sicurezza.
