BIM
Sicurezza
 

16/03/2020

Share    

di Raffaela Citterio

Flowmon: l’analisi del traffico di rete come potente strumento di difesa

L’azienda della Repubblica Ceca nata da uno spin-off universitario innalza i livelli di sicurezza grazie a machine learning, euristica e analisi comportamentale, andando a complementare i tradizionali sistemi di sicurezza perimetrale ed EDR.

Angelo Sbardellini

Un cyber crime sempre più determinato e organizzato, attacchi devastanti, nuovi modelli organizzativi basati sulla collaborazione e la condivisione tra supply chain estese ed eterogenee stanno mettendo a dura prova anche le reti più resilienti e i responsabili della sicurezza e del networking. “È ormai evidente che i tradizionali modelli di difesa, basati su firewall ed end point non sono più in grado di proteggere adeguatamente i moderni ambienti IT, dove convivono sistemi on-premise, ibridi e in cloud”, esordisce Angelo Sbardellini, Sales Manager Italia e Malta di Flowmon Networks. “Per affrontare efficacemente i nuovi scenari è necessario sapere in ogni momento chi, dove, come e perché sta utilizzando la rete aziendale: solo così si possono individuare immediatamente le anomalie, i rischi e i comportamenti sospetti, e andare di conseguenza a mitigarli. Flowmon è nata nel 2007 proprio partendo da questo presupposto, con l’obiettivo di mettere a punto una piattaforma di intelligence di rete performante e semplice da utilizzare in grado di innalzare il livello di sicurezza delle reti, che sono alla base della trasformazione digitale in atto”.

Un po’ di storia
Flowmon è un ottimo esempio di imprenditoria high-tech con un robusto background nel mondo accademico e della ricerca: è stata infatti fondata nel 2007 a Brno, nella Repubblica Ceca, come spin-off universitario. Grazie alla validità della suite resa disponibile e al valore del team che la compone è cresciuta rapidamente, e oggi è presente in circa 40 Paesi, con oltre 1.100 clienti nel mondo, certificata Information Security Management System ISO 27001:2013, Quality Management System Organisation ISO 9001:2015, con una valutazione della soluzione 4.8 su 5 stelle su Gartner Peer Insights(Network Performance Monitoring and Diagnostics).
Lo sbarco in Italia risale al 2017, e agli inizi del 2018 Angelo Sbardellini ne ha assunto la responsabilità per Italia e Malta, dopo aver maturato una esperienza trentennale in aziende del calibro di Digital, Azlan, Attachmate, Fortinet, Cisco e Techdata, dove ha ricoperto ruoli di crescente responsabilità.
“Gli attacchi alle reti aziendali sono in costante evoluzione per cui anche nel nostro Paese cresce l’esigenza di adottare una piattaforma multitenant come quella sviluppata da Flowmon, in grado di integrare funzionalità di prevenzione, individuazione, risposta, recupero dei dati e analisi forense”, assicura Sbardellini. “Gli amministratori di rete vogliono trasformare il loro reparto da reattivo a proattivo, migliorando prestazione e affidabilità e riducendo nel contempo tempi e costi. Gestire e risolvere un incidente senza avere una completa visibilità richiede ore di lavoro, mentre con una vista completa della rete come quella fornita da Flowmon i tempi si riducono anche fino a 16 volte: questo significa risolvere i problemi molto più in fretta e aumentare la soddisfazione degli utenti, ed è per questo che vediamo un crescente interesse intorno alla nostra proposizione. Una esigenza molto sentita dalle aziende italiane, ad esempio, è quella di fornire ai sistemi SIEM (security information and event management) l’analisi dei flussi al fine di aumentarne in maniera esponenziale le capacità, andando oltre le funzionalità tipiche di aggregazione e analisi dei log, un servizio che Flowmon è in grado di fornire. Ricordo che nella direttiva europea NIS (Network and Information Security) gli esperti di sicurezza hanno confermato che l’attuale sicurezza delle infrastrutture critiche nazionali (servizi pubblici, trasporti, sanità, finanza, in Italia si stima almeno 400 organizzazioni), che di solito proteggono le loro reti su due livelli, è insufficiente. Parlano in particolare della necessità di implementare capacità di rilevamento e risposta, quindi l’importanza dell’analisi comportamentale e dell’Anomaly Detection”.

NoC e SoC devono lavorare insieme
Fino a ieri networking e security, con i rispettivi team (NoC, network operation center, e SoC, security operation center), rappresentavano entità separate che raramente avevano occasione di interagire tra loro. Oggi è necessario modificare profondamente questo approccio, perché entrambi condividono un obiettivo comune: una rete stabile e sana. Flowmon ha sviluppato una piattaforma non invasiva che include tutto il necessario per ottenere un monitoraggio completo e ininterrotto dei flussi di rete garantendo una totale visibilità in termini di monitoraggio e diagnostica, indipendentemente dagli apparati di rete utilizzati. La soluzione raccoglie ricchi dati di telemetria di rete da varie fonti e li analizza per qualsiasi informazione rilevante. Usando l’apprendimento automatico, l’euristica e l’analisi avanzata e comportamentale migliora le prestazioni della rete, invia avvisi tempestivi sugli incidenti e consente così una rapida risposta alle minacce sia interne che esterne, individuando anche le effrazioni che possono annidarsi tra firewall ed EPP e EDR. Per fortuna la maggior parte dei firewall oggi sono di nuova generazione e affiancano all’EPP un EDR; rimane comunque un gap o ‘zona grigia’ di difficile controllo, essendo il network sempre più aperto. Immaginate personale esterno che si connette alla rete aziendale, e questo avviene quotidianamente, basta pensare ai consulenti, a tecnici esterni che si collegano con i loro pc o strumenti per manutenzione ed aggiornamenti ad apparati di rete vari (firewall, router, switch, fotocopiatrici, stampanti, centralini VoIP, macchine di laboratorio e di diagnostica nel settore sanitario e o industriale etc.etc.) o al Byod, quasi sempre i dispositivi usati sfuggono alle policy di sicurezza adottate dalla società. È proprio in questo ‘limbo’ che si possono annidare le minacce più pericolose, bypassando le protezioni e colpendo apparati in uso (firewall inclusi), applicativi, database: ecco perché è importante stratificare la sicurezza e coprire tutti i punti ciechi. Flowmon integra le misure tradizionali utilizzando una combinazione di approcci non solo per rilevare, ma anche per consentire la risposta e l’analisi forense. “Il grande vantaggio”, evidenzia Sbardellini, “è che tutti questi meccanismi funzionano contemporaneamente, creando così una visione olistica che può esaminare il traffico di rete da diversi punti di vista e coprire una vasta gamma di scenari”.

Analizzare i flussi di rete
Andando nel dettaglio, i sistemi di detection sviluppati da Flowmon includono apprendimento automatico, baselining adattiva, euristica, modelli comportamentali, diversi database di reputazione e, naturalmente, il rilevamento basato su signature. “Di fatto abbiamo degli apparati definiti ‘collettori’ (fisici o virtuali) dove si fa la collezione e analisi dei flussi di rete (i più conosciuti jflow, sflow, netflow, ipfix flow, quest’ultimo arriva ad offrire visibilità a livello 7, etc.)”, dice ancora Sbardellini.
Che cosa è un flusso? Il record di flusso, che può utilizzare vari formati, contiene molte informazioni, come ad esempio le interfacce di input e output, il numero di byte e pacchetti in esso contenuti, l’indirizzo IP e il numero di porta e di destinazione, il protocollo IP, i timestamp di inizio e fine del flusso: in sostanza sono metadati. Vale la pena sottolineare che un flusso NON contiene nel suo tracciato record i dati effettivi (bit and byte), aspetto importante ai fini GDPR e sicurezza del dato. I flussi di rete provengono da ogni singolo apparato presente in azienda, indipendentemente dalla soluzione installata e/o dalle sonde Flowmon che vedono il traffico in mirrow (span port) o connesse a un tap e lo trasforma in flusso IPFIX.
“Tutti questi flussi risiedono nei nostri collettori”, ribadisce Sbardellini, “e possiamo mantenere le informazioni di traffico per mesi in linea, coprendo tutto il traffico delle 24 ore e includendo anche i giorni festivi, perché un flusso ha un peso insignificante nel totale del traffico di rete. Per capirsi, il rapporto medio di spazio o banda occupati è di 500:1. In questo modo rendiamo disponibili un ampio arco temporale di informazioni per tutte le analisi che si vogliono fare, che si possono effettuare in tempo reale o a distanza di tempo, in base alle priorità”.

Le criticità da affrontare ogni giorno
Ogni giorno NoC e SoC sono chiamati ad affrontare molteplici criticità che, grazie a Flowmon, possono essere gestite in modo più semplice e veloce. Eccone alcune.
Monitoraggio e diagnostica per NetOps. È possibile monitorare le prestazioni delle applicazioni critiche in modo discreto e senza impiego di ulteriori risorse sia che risiedano on-premise, e/o in cloud, in SaaS.
Risoluzione dei problemi e forensics. Il contesto è importante. Flowmon fornisce informazioni significative in modo da poter agire prontamente e deliberatamente in caso di contezioso.
Previsioni e pianificazione. Previsioni accurate riguardano innanzitutto una cosa: dati e analisi affidabili, e con Flowmon si ha l’esatta visione di queste informazioni in tempo reale.
Prestazioni cloud/SaaS. Flowmon è la prima soluzione NPMD (Network Performance Monitoring & Diagnostic) al mondo presente in modo completo sui principali cloud pubblici: AWS, Google Cloud e Microsoft Azure.
Progettazione e distribuzione dell’infrastruttura. Flowmon consente di comprendere la struttura del traffico al fine di ottimizzare la configurazione della rete.
Monitoraggio e indagini sugli incidenti. Flowmon consente di avere una chiara comprensione degli eventi rilevanti e delle cause scatenanti.
Risposta agli incidenti. Grazie ad avanzate tecnologie di machine learning molte attività vengono automatizzate, con evidenti vantaggi in termini di efficienza.
Verifica e applicazione delle policy aziendali. Flowmon consente di supervisionare il comportamento degli utenti, verificare gli accessi, garantire la conformità in tempo reale e in modo retrospettivo delle policy adottate.
Rilevamento di minacce sconosciute. Flowmon blocca immediatamente le minacce informatiche e applica strumenti di difesa prima che queste si propaghino.
Analisi del traffico crittografato. Con Flowmon non sono necessari strumenti di decodifica. Questo è particolarmente importante se si considera che il traffico criptato è in costante aumento.
Rilevamento di minacce interne. Laddove la sicurezza perimetrale ed end point sono insufficienti è possibile utilizzare l’analisi intelligente di Flowmon per innalzare il livello di protezione.
Protezione volumetrica DDoS. Flowmon consente di non perdere la latenza negli attacchi DDoS: la soluzione li rileva e li mitiga automaticamente.

Un’ampia gamma di tool modulari e flessibili
Grazie a continui investimenti in ricerca e sviluppo Flowmon continua ad arricchire la propria piattaforma che presenta un design modulare e flessibile. I tool più significativi sono i seguenti.
Flowmon Collector, un’unità robusta per una completa visibilità della rete. Si adatta alle reti di qualsiasi dimensione e supporta tutti i principali standard di dati.
Sonda Flowmon, un sensore ad alte prestazioni che genera silenziosamente dati sul traffico di rete, che può essere utilizzato per risolvere una moltitudine di problemi operativi.
Flowmon Monitoring Center, un potente strumento analitico che assimila e visualizza le statistiche di NetFlow, fornendo informazioni sulla struttura e sul volume del traffico.
Flowmon ADS, un’unità investigativa intelligente, con decine e decine di metodi di detection che analizza i modelli comportamentali per discernere il normale traffico dalle anomalie.
Flowmon DDoS Defender, un rilevatore di attacchi DDoS e un orchestrator di mitigazione.
Flowmon APM, uno strumento che ottimizza l’esperienza dell’utente verificando le prestazioni nel network di diverse applicazioni, ad esempio in ambito marketing, IT management, IT Operations, IT Developments. Flowmon fornisce risposte accurate se si desidera sapere, ad esempio, qual è il livello di performance per i clienti top, quali sono i tempi di latenza e il loro impatto, quali sono i motivi principali che causano l’abbandono di un’app, se i fornitori soddisfano gli SLA richiesti, qual è la differenza nelle prestazioni tra il front-end e back-end in base al tipo di richiesta, quali sono le transizioni più soggette ad errori, o qualunque altra evidenza possa essere utile al business.
Flowmon Traffic Recorder, un modulo di registrazione veloce in grado di catturare il traffico di rete completo nei casi in cui è necessaria un’analisi forense.

Le partnership
Le soluzioni di monitoraggio e sicurezza della rete Flowmon offrono quindi funzionalità avanzate per l’identificazione del degrado, la risoluzione rapida degli incidenti, il reporting, la pianificazione delle capacità e il rilevamento di anomalie indesiderate e malware che potrebbero bypassare il perimetro e le difese signature based. “Prestiamo particolare attenzione all’interoperabilità della nostra suite, perché nessuno oggi può pensare di fare tutto da solo”, sottolinea Sbardellini. “Abbiamo partnership tecnologiche con i principali brand presenti sul mercato che operano lungo tutta la filiera IT, per quanto riguarda l’infrastruttura di rete (VMware, Gigamont, Ixia, Dell technologies, Garland, Profitab…), il cloud (oltre agli hyerscaler già citati, Garland, Ixia…), la cyber security (Fortinet, Check Point, Allied Telesis, Novicom, Hilstone Networks…) e la protezione DDoS (F5, A10 Networks, Radware, NBIP, Corsa, Corero…). Fedeli alla nostra genesi, continuiamo inoltre a collaborare con numerose università e istituti di ricerca. Ancora più importante, però, è l’ecosistema di partner di canale che ci affianca e che supportiamo con un programma dedicato ad alto valore aggiunto. Attualmente in Italia i partner certificati sono 3c Informatica, Aditinet, Axians, Atinet, Digimetrica, Iway, Millennium Technologies, NPO Sistemi e S2E, e nei prossimi mesi contiamo di ampliare questa rete per avere una presenza territoriale sempre più capillare”.

Uno sguardo al futuro
La validità della soluzione proposta e la capacità di supportarla adeguatamente in tutte le geografie in cui è presente hanno consentito a Flowmon di ottenere numerosi riconoscimenti. È stata ad esempio finalista all’SC Awards Europe 2019, premiata come una delle migliori soluzioni di sicurezza da Computerworld di IDC, Prodotto dell’anno 2019 nella categoria delle soluzioni di sicurezza software nel cloud da IT professional, riconosciuta nel 2018 dal Financial Times come una delle 1.000 società europee con maggior crescita. “Il mercato in cui operiamo è estremamente dinamico, per cui per il futuro siamo ottimisti”, assicura Sbardellini. “La nostra visione per i prossimi tre anni si chiama Vision F. Dal punto di vista tecnico vogliamo migliorare ulteriormente la nostra intelligenza di rete per fornire visibilità e analisi sempre più attendibili. Continueremo a investire anche sull’interfaccia utente migliorando ad esempio i tool di apprendimento automatico per fornire in maniera sempre più tempestiva tutte le informazioni relativa a violazioni, degrado delle prestazioni, comprensione del contesto, impatto, entità e causa dei problemi, riducendo ulteriormente i tempi di risposta. Dal punto di vista commerciale contiamo di incrementare le quote di mercato e continuare ad essere un riferimento mondiale nell’analisi dei flussi”.

La testimonianza di Bricofer
Flowmon vanta centinaia di referenze in tutta Europa nei principali mercati verticali, e anche in Italia la sua notorietà sta rapidamente crescendo, come testimonia ad esempio il progetto sviluppato presso Bricofer, uno dei maggiori rivenditori di bricolage e articoli per la casa del nostro Paese, che conta 2.200 dipendenti, 90 punti vendita, 400 fornitori e un negozio on-line che offre 25.000 prodotti.
“La dinamica del segmento retail crea una forte domanda di innovazione tecnologica”, commenta Sbardellini. “Al fine di snellire i processi interni e creare un’esperienza di acquisto migliore, le aziende devono integrare on-line, off-line, logistica e dati lungo tutta la supply chain. Garantire un’infrastruttura di rete semplice e sicura è un fattore chiave per questa trasformazione. Siamo orgogliosi che Bricofer abbia scelto l’intelligenza di rete di Flowmon per allineare le sue operazioni alle esigenze del business”.
Grazie a Flowmon e in collaborazione con il partner Atinet, Bricofer è ora dotata di una soluzione centralizzata di monitoraggio e sicurezza della rete, integrata in maniera trasparente con i sistemi di sicurezza presenti in azienda, che consente il rilevamento e una rapida risposta ai problemi operativi e di sicurezza, in tutta l’infrastruttura e in tempo reale. Grazie all’implementazione di Flowmon Collector e Flowmon ADS sono stati ridotti in maniera significativa i tempi di risoluzione degli incidenti operativi e di security, ottenendo quella visibilità completa sul traffico di rete che mancava, corredata da accurate statistiche sulle performance.

 

TORNA INDIETRO >>