Architettura di riferimento

//foto

Controllo del traffico

• traffico nord-sud → fa riferimento a traffico che tipicamente attraversa il perimetro, che quindi si muove fra diversi domini di sicurezza
• traffico est-ovest → si riferisce a traffico che si muove orizzontalmente all’interno dello stesso dominio di sicurezza (movimento laterale)

Movimento laterale

Attività ostile che si muove all’interno di un dominio di sicurezza

Una volta acquisito l’accesso a un dominio l’aggressore tipicamente usa la posizione come base da cui lanciare ulteriori attacchi

In assenza di punti di controllo e sezionamento l’aggressore può muoversi all’interno del dominio come se fosse un utente legittimo, senza che le misure di sicurezza convenzionali segnalino alcunché

Fasi

• ricognizione: esplorando il dominio, l’aggressore approfondisce la sua conoscenza della struttura e delle politiche di difesa dello stesso
  • l’individuazione di vulnerabilità gli consente o di formulare una strategia per addentrarsi nella rete
• infiltrazione: utilizzando le vulnerabilità individuate, l’aggressore impiega tecniche di exploitation ed escalation dei privilegi per ottenere l’accesso a altre componenti del dominio
• accesso: una volta che individua le modalità di accesso, l’aggressore può iniziare il suo attacco vero e proprio, consegnando un payload malware, esfiltrando o distruggendo dati o eseguendo altre azioni indesiderate

Router di frontiera

Primo sbarramento della rete → permette di centralizzare un buon numero di controlli di sicurezza

La sua protezione è fondamentale e un router correttamente configurato può minimizzare effetti derivanti da siti interni compromessi da attacchi

Firewall

Principale componente attivo di difesa perimetrale

Ha compiti di security enforcing con lo scopo di controllare il traffico fra due o più reti:

• permettendo solo quello autorizzato dalla politica di sicurezza