Il World Wide Web ha rappresentato un grande vantaggio per il business ma spesso si sottovaluta l'utilizzo che gli utenti fanno di Internet. Secondo IDC, il 40% delle attività Web svolte sul posto di lavoro non ha nulla a che fare con il business dell'azienda. Ancor peggio, anche il surfing sul Web collegato ad attività illecite di business è cresciuto pericolosamente: per esempio, lo scorso anno le perdite dovute ad attacchi di phishing da sole hanno superato i 2,8 miliardi di dollari. Da ciò risulta evidente che oggi più che mai la capacità di fornire un accesso sicuro, veloce e trasparente al Web in grado di soddisfare le esigenze dei dipendenti risulta un'attività fondamentale se non addirittura strategica.
Business case per il content filtering
Gartner Group ha recentemente identificato cinque step “per ridurre drammaticamente il rischio che informazioni strategiche vadano a finire nelle mani sbagliate”. In cima alla lista troviamo monitoring e filtering dei contenuti per i più comuni vettori Internet, compresi e-mail, instant messaging, FTP e HTTP. La sicurezza delle e-mail copre una parte di questo ambito, il filtering dei contenuti la parte restante.
Il content filtering Web permette o nega la connessione HTTP in uscita e le relative richieste secondo quanto stabilito da una policy aziendale in relazione all'utilizzo di Internet. Ciò può ridurre la larghezza di banda ma fa anche aumentare la perdita di produttività dovuta alle attività non inerenti il business, come la posta elettronica personale Web, il download di musica, le scommesse online e via dicendo. Il phishing, le proposte di acquisto di farmaci, lo spyware e altri exploit Web offrono ampie motivazioni per giustificare l'adozione di simili tecniche, al fine di impedire che le minacce legate all'HTTP entrino nella vostra rete.
Aggiungete il content filtering al vostro network
I filtri per i contenuti possono essere implementati sui firewall, sulle cache Web o su server/appliance dedicati. Anche se ciascuno comporta benefici specifici, gli appliance sono usati per scaricare la mole di lavoro dovuta al filtraggio degli URL, all'ispezione dettagliata dell'HTTP e all'uso del logging Web, compiti che impegnano le risorse in modo intensivo e che potrebbero far diventare l'utilizzo della cache o del firewall un vero collo di bottiglia. In breve, gli appliance di content filtering completano tutti questi sistemi, aggiungendo la potenza e le caratteristiche necessarie a rafforzare efficientemente le policy di sicurezza.
Gli appliance di content filtering possono funzionare in linea e/o fuori dalla banda. Spesso sono supportate tre modalità operative: invisibile, router o firewall. Nella prima modalità, le porte degli switch replicano le copie delle richieste Web agli appliance, i quali ritornano una risposta di “pagina bloccata” per le richieste negate. In modalità router, gli appliance in linea filtrano le risposte Web outbound non quelle inbound. Le modalità firewall filtra sia i pacchetti outbound sia quelli inbound. In tutti i casi, il traffico Web outbound deve essere trasmesso attraverso l'appliance, dalla rete o dal browser.
Gli appliance per il filtraggio dei contenuti dovrebbero essere disposti all'interno del vostro firewall perimetrale. Tale firewall fornisce uno screening del TCP/IP, mentre l'appliance rafforza le policy dei contenuti specificatamente legati al Web. Nelle reti distribuite di grandi dimensioni, può essere effettuato il deployment degli appliance per ogni luogo/sottorete oppure può essere creata una struttura cluster load-balanced. Il content filtering aggiunge la latenza a un'applicazione transazionale con alte aspettative da parte dell'utente, per cui le performance e la trasparenza assumono un ruolo molto importante.
Individuare l'appliance per il content filtering
Software di content filtering sono disponibili per i firewall (come per esempio, Check Point, Cisco, eSoft, Fortinet, Juniper, SonicWALL) e la cache Web (per esempio, BlueCoat, Network Appliance, Network Engines, Stratacache). Tali pacchetti forniscono una piattaforma che già controlla il traffico Web ma distribuisce le risorse esistenti su molteplici task.
Chi preferisce dedicare un sistema al content filtering può installare un software simile su un qualsiasi server, usando prodotti come WebSense Web Securety, Secure Computing SmartFilter, SurfControl Web Filter e Symantec Web Security. Queste risorse focalizzate sul content filtering, per rafforzare la piattaforma e ottimizzare le prestazioni, richiedono esperienza, olio di gomito e perizia.
Gli appliance di content filtering uniscono i vantaggi
del TCO dell'hardware chiave in mano con la precisa azione di sicurezza offerta
da un server dedicato esplicitamente al content filtering. Alcuni esempi
sono:
* Barracuda Web Filter Appliance
* Bloxx CF-Series
* Celestix MSA Appliance
* Crossbeam Systems Secure Content URL Filtering
* 8e6 R3000 Enterprise Internet Filter
* Network Engines NS9000
*
Resilience NetSquad
* Secure Computing WebWasher Appliances
* SonicWALL Content Security Manager
* St. Bernard iPrism.
Alcuni sono appliance general-purpose che possono essere utilizzati come server dedicati al filtraggio dei contenuti. Per esempio, i server blade di Crossbeam possono far girare il software di content filtering di Secure Computing o di Websense. Altri sono appliance sviluppati ad hoc per fornire esclusivamente “l'Internet filtering”. Qual è la scelta migliore per la vostra azienda? La risposta dipende dalle caratteristiche di filtering di cui avete bisogno, dai requisiti di performance e dall'architettura di sicurezza di cui disponete.
La scelta del giusto appliance
Come altri sistemi di sicurezza, gli appliance di content filtering devono poter offrire una strenua difesa contro l'attacco e l'accesso non autorizzato dall'amministratore. Un filtraggio dei contenuti efficace richiede velocità e un'ampia capacità di storage per un grande numero di transazioni. Perciò quando dovete scegliere il modello di appliance e dovete decidere quanti impiegarne, valutate dapprima il numero di dipendenti che dovranno essere “protetti” e la media/picco di richieste da gestire.
Ogni appliance di content filtering può bloccare l'HTTP outbound, ma non tutti filtrano le risposte che potrebbero trasportare contenuti contrassegnati come “banned”. Allo stesso modo, la maggior parte degli appliance possono negare l'HTTPS a specifici domini, ma alcuni non controllano le informazioni contenute nell'SSL cifrato. Infatti, gli appliance per “l'Internet filtering” esaminano spesso altro traffico, dai protocolli convenzionali come l'FTP e l' NNTP ai più recenti canali come l'IM e il P2P. Questa diversità complica il confronto, quindi iniziate decidendo il modo in cui desiderate distribuire le forze fra il vostro firewall e gli appliance di content filtering, poi cercate i prodotti che meglio si adattano a implementare tale suddivisione.
Successivamente, considerate come le richieste Web sono filtrate. Le blacklist possono essere composte da indirizzi IP configurati, domain name e URL, o possono contenere informazioni dinamiche di quarantena frutto di esperienze recenti. Molti appliance offrono inoltre database categorizzati degli URL. Considerate il modo in cui sono coperte le categorie di vostro interesse, la frequenza d'aggiornamento del database e il livello di precisione delle eccezioni delle whitelist.
Le risposte possono essere filtrate in vari modi, ad esempio in base alle parole vietate, ai file di immagine, ai tipi di MIME rischiosi, al codice attivo non firmato o malware. Alcuni appliance possono forzare Google o Yahoo Safe Search in modalità “on” per eliminare i contenuti sessuali espliciti dai risultati di ricerca, ma questo è più un complemento che non una sostituzione del filtraggio basato su policy alla fine della vostra rete.
Se la vostra policy aziendale stabilisce regole differenti per gli individui o i gruppi di lavoro, le policy degli appliance devono riflettere questa specificità. I profili utente/gruppo possono descrivere le categorie, le whitelist, l'ora del giorno, la larghezza di banda o gli agenti utente supportati. Per evitare un'autenticazione supplementare quando gli utenti accedono al Web, cercate un appliance che supporti il single sign-on e il vostro attuale sistema di autenticazione (per esempio, NTLM, ADO, LDAP, eDirectory). Inoltre, considerate se le organizzazioni devono avere o meno la possibilità di definire policy proprie.
Per concludere, osservate con attenzione i tool di reporting che utilizza l'appliance per analizzare e tenere traccia dell'uso di Internet attraverso la vostra rete. Alcune aziende cominciano usando i filtri dei contenuti semplicemente per individuare e documentare attività inappropriate sul Web. Questo è un modo eccellente per scoprire qual è il reale utilizzo della vostra rete e quindi definire una precisa policy di sicurezza. A meno che il numero dei dipendenti della vostra azienda non sia piuttosto limitato, per isolare l'abuso del Web e l'esposizione al rischio risulta strategico disporre di report automatizzati con funzioni drill down.
