L’ultimo prodotto presentato da QNAP, il sistema di sicurezza ADRA, merita sicuramente un approfondimento. Si tratta infatti di un sistema di sicurezza adatto a proteggere le reti e dispositivi degli uffici e delle aziende. Senza escludere, perché no, anche gli ambiti domestici di chi è attento a proteggere i primi dispositivi e i propri dati.
ADRA è di fatto un’applicazione che gira sul sistema operativo a bordo dei dispositivi di rete QNAP, e permette di elevare la sicurezza di tutta la rete tramite un’analisi intelligente del traffico, apprendendo e prendendo decisioni automaticamente o meno a seconda di come viene programmato. In poche parole, si tratta di un NDR.
Negli ultimi anni è diventato sempre più frequente incontrare un nuovo acronimo, NDR, che sta per "Network Detection and Response". Il compito di questi sistemi è quello di analizzare il traffico andando a individuare comportamenti sospetti, che meritano di essere analizzati da un essere umano oppure, se già noti, di essere bloccati automaticamente.
È chiaro che si tratta di sistemi alimentati per lo più da machine learning, che dà a questi dispositivi la facoltà di auto apprendere da quello che è successo in passato per capire esattamente come trattare le minacce o gli eventi dello stesso tipo.
Andando un po’ più nel dettaglio sul funzionamento di un NDR, si potrebbe dire che il primo compito che svolge è quello di analizzare il traffico “normale” di una qualsiasi rete. Una rete aziendale, per esempio, ma nessuno vieta di usarlo anche in ambito domestico.
Una volta analizzato il traffico, l’NDR è in grado di costruire una sorta di fotografia del traffico “normale”. Tutto ciò che esce fuori da questo genere di traffico viene considerato sospetto e dunque segnalato in qualche modo (vedremo poi come e a chi).
Negli ultimi anni le reti sono cresciute a dismisura, includendo molti più dispositivi sensibili rispetto a pochi anni fa. Una qualsiasi rete oggi conta, oltre ai consueti computer e server, dispositivi connessi e intelligenti come stampanti, access point, NAS, nonché tutta la internet delle cose, che include rilevatori di accesso, telecamere, allarmi, etc. Ovvio che, all’aumentare del traffico e dei dispositivi, diventa impossibile per l’essere umano controllare tutto. Così come diventa impossibile per i classici sistema di sicurezza basati su firme, ovvero su minacce conosciute, individuare nuovi tipi di attacchi.
In questo senso un NDR è la risposta più efficace, perché non si basa su nulla di definito (le famose firme), se non un’istantanea del traffico “normale”. Quando qualcosa si scosta da questo, allora l’NDR segnala o blocca, a seconda di come è stato configurato.
Proviamo a fare un esempio pratico di come potrebbe funzionare un NDR in un ambiente di rete domestico. Ovviamente si tratta di un’ipotesi non basata sulla conoscenza reale degli algoritmi che muovono un sistema come ADRA. Si tratta invece di un esempio volto a capirne il meccanismo a grandi blocchi.
Mettiamo che in una rete domestica ci siano 10 dispositivi tra computer, smartphone, TV e console da gioco. Un NDR, nella sua “fotografia” del traffico normale, individuerebbe lo streaming dalle piattaforme di video ondemand, il normale traffico internet di navigazione sul web, quello delle app più utilizzate sugli smartphone e poco altro. Se a un certo punto si verificasse un traffico in uscita consistente verso siti mai visitati prima, allora l'NDR segnalerebbe l’evento. Potrebbe trattarsi di uno spyware installato su un computer che sta facendo upload di dati verso un server malevolo, oppure di un malware che ha infettato un computer rendendolo parte di una botnet.
Magari, invece, potrebbe trattarsi di un upload fatto volutamente da un utente, e in quel caso l’utente potrebbe classificare l’evento come “normale” e quindi fare in modo che non venga più segnalato. Il sistema NDR, in ogni caso, avrebbe fatto il suo dovere: individuare e segnalare un evento anomalo e potenzialmente pericoloso.
ADRA, lo dicevamo in apertura, è un NDR montato a bordo di un hardware già adattato a occuparsi della sicurezza di una rete. I dispositivi in oggetto sono quelli della serie Guardian, ovvero gli switch della serie QGD, disponibili in varie configurazioni con hardware più o meno potente a seconda delle necessità.
A bordo di questi switch c’è QNE, un sistema operativo pensato specificamente per le reti, che è la casa ideale per un sistema pensato per la sicurezza come ADRA. Per l’utente, di fatto, ADRA è un’applicazione che gira su QNE, che tra l’altro ha un’interfaccia grafica molto simile a quella di QTS, il sistema operativo di QNAP per i NAS. Questo per fare in modo che l’utente che ha già familiarità con i prodotti QNAP possa trovarsi facilitato da un’interfaccia che in parte conosce già.
Finora abbiamo parlato di cos’è ADRA e come è implementato sugli switch della serie QGD, ora entriamo nel vivo andando a capire come si usa e cosa fa nel pratico. ADRA si apre con una dashboard molto chiara e leggibile che, oltre ad alcuni dati sintetici sul traffico monitorato, permette di avere subito un’idea chiara dello stato delle porte di rete (connesse o no, in uplink, con alimentazione PoE e così via).
La prima funzionalità distintiva di ADRA è quello delle trappole, ovvero le traps che in gergo tecnico vengono chiamate honeypot. Nel menù relativo alle traps di ADRA è possibile creare quante trappole si vuole. La trappola è fondamentalmente un dispositivo fittizio a cui possiamo assegnare non soltanto un indirizzo IP e un nome, ma anche un MAC address, ovvero un indirizzo fisico e unico della sua porta di rete.
Di più: la trappola messa in atto da ADRA non è soltanto il nome di un dispositivo di rete che in realtà non esiste, ma si comporta come un vero dispositivo. Per esempio è capace di rispondere al ping (il comando che invia pacchetti a un determinato indirizzo IP per capire se un dispositivo è raggiungibile o meno), oppure di aprire una connessione SSH e di rispondere come se fosse un vero dispositivo presente realmente sulla rete.
Nel test fatto dal vivo su un dispositivo con ADRA a bordo, abbiamo simulato un NAS fittizio. Provando ad accedervi in SSH, ci è stato possibile sfogliare le cartelle nella root, come si farebbe con un vero NAS. Di fatto, ADRA non si limita a simulare, ma genera un vero e proprio dispositivo virtuale indistinguibile, per chi si accinge ad attaccarlo, da quello vero.
È evidente che se abbiamo un NAS reale nella rete e ne generiamo un altro virtuale, daremo al malintenzionato il 50% di possibilità di attaccare quello giusto. Per questo non ci sono limiti nella creazione dei dispositivi virtuali. Più se ne crea, meglio è. Se se ne creano 10 virtuali a fronte di uno reale, le possibilità che venga attaccato quello giusto scendono drasticamente. E comunque ci sono gli altri sistemi di sicurezza a proteggere quello reale dagli attacchi.
A tal proposito intervengono le regole, ovvero il vasto mondo di azioni che possono essere eseguite manualmente o automaticamente quando ADRA rileva un’attività sospetta. Per capire l’importanza di questo punto bisogna mettersi nei panni di un utente che vuole attaccare la rete. Come si muoverà? Che azioni compierà? Lasciamo stare per un attimo l’ingegneria inversa e quella sociale. Sappiamo infatti che oggi il mestiere dell’hacker (o per meglio dire del malicious hacker) e in parte simile a quello dell’investigatore. Per carpire informazioni importanti spesso si fa leva sull’anello debole della sicurezza, ovvero l’uomo, arrivando a fare telefonate o a rovistare nella spazzatura, come nei migliori film di spionaggio.
Limitiamoci però alle attività informatiche. Sappiamo che il malintenzionato probabilmente scansionerà la rete alla ricerca di dispositivi attaccabili, censendo le porte aperte e i protocolli più facilmente violabili. Lo scan di rete è già un’attività che accende una spia rossa e che permette ad ADRA di reagire in maniera automatica, mettendo in quarantena il dispositivo attaccante, o in maniera manuale. Lo stesso tentativo di accesso fallito a un dispositivo sensibile è un altro campanello d’allarme che può essere preso come esempio per determinare una regola di sicurezza.
Facciamo un esempio pratico: se scansioniamo la rete con un popolare strumento come AngryIPScanner, ADRA giudicherà l’attività come “a rischio medio”, ma se vengono effettuate 5 scansioni l’attività verrà automaticamente marchiata come “a rischio alto”, facendo scattare i meccanismi impostati nelle regole. Se abbiamo creato una regola con policy “Advanced Protection”, per esempio, il sistema metterà in quarantena automatica tutti eventi con rischio medio o alto. Ovviamente sarà possibile configurare delle esclusioni, per esempio il computer dell’amministratore di rete, che può essere identificato come un dispositivo a cui le regole di sicurezza non vengono applicate.
Quindi, prendendo il caso di prima, se l’hacker tenterà di entrare nel NAS fittizio, accederà al primo tentativo (anche non conoscendo la password), ma il sistema lo intrappolerà andando a chiudere tutte le connessioni provenienti dal suo indirizzo. Se invece tenterà di attaccare il dispositivo reale, verrà comunque segnalato in base alle azioni che avrà compiuto (scansione della rete e accesso fallito) e verrà bloccato in base alle regole che l’amministratore di rete avrà impostato.
C’è un altro capitolo di ADRA che merita di essere raccontato, ed è quello relativo alle notifiche, ovvero al modo in cui ADRA avvisa l’amministratore di rete che sta succedendo qualcosa di anomalo. Si tratta del secondo aspetto più importante: il primo è il motore con cui individua le minacce e apprende, il secondo è quello con cui reagisce, andando a bloccare automaticamente o segnalando l’accaduto.
Su questo fronte ADRA è molto ricco: di base abbiamo potuto provare il wizard che permette di impostare le regole di notifica. Inizialmente si selezionano gli eventi per cui si vuole ricevere una notifica (distinguendo la gravità dell’evento), per poi passare alla definizione dell’account di posta per l’invio (è supportato anche l’SMTP di sistemi di posta che prevedono l’autenticazione tramite OAuth 2.0 come Gmail o Office365) e per la ricezione. Si stabiliscono poi i criteri, per evitare che uno stesso evento che si ripete ogni manciata di secondi, generi una valanga di email. Infine si stabilisce la lingua e si attiva la regola, certi che per ogni azioni che rappresenti un rischio del livello che abbiamo deciso, ci arriverà un avviso.
Abbiamo visto cos’è e cosa fa ADRA. La domanda più comune che può sorgere è: se ho già un firewall a protezione della rete e un antivirus a protezione delle singole macchina, mi serve davvero un NDR come ADRA?
La risposta è semplice: ADRA non sostituisce ovviamente gli altri sistemi di sicurezza, ma è complementare a questi ultimi per chiudere un cerchio che altrimenti rimarrebbe aperto. Un firewall, ad esempio, può analizzare i pacchetti, ma di certo non può simulare dei dispositivi “intrappolando” l’attaccante. Così come non si può pensare che analizzi il traffico di un’intera rete.L’antivirus ancora meno: un software che gira su una macchina e che si basa su un database di minacce conosciute è uno strumento importante, ma da solo sicuramente insufficiente.
ADRA invece va visto come una sentinella, messa a protezione di posti particolarmente delicati, come in prossimità di un NAS che contiene i dati aziendali, vicino a un server o a un altro dispositivo particolarmente importante. Il suo compito è quello di analizzare il traffico e tentare di attirare quanti più malintenzionati si avvicinino alla nostra rete. Malintenzionati che, evidentemente, non sono stati bloccati dal firewall e che non arriveranno mai sui singoli computer. Insomma, per semplificare, il firewall è la guardia all’ingresso del museo, ma se poi all’interno dello stesso hai un pezzo di particolare valore, meglio metterci una guardia davanti, altrimenti rischi che la guardia all’ingresso, nei giorni di maggior affluenza, non riesca a controllare tutti.
Copyright © 2022 DDay.it - Scripta Manent servizi editoriali srl - Tutti i diritti sono riservati - P.IVA 11967100154