Defense in Depth

La strategia protettiva dei sistemi informatici denominata Defense in Depth o DiD (difesa in profondità) consiste in una stratificazione delle risorse informatiche di protezione

Ciò permette di rallentare la penetrazione di un eventuale attacco esterno, al fine di avere poi il tempo necessario per una efficace reazione protettiva.

Ma in cosa consiste esattamente la Defense in Depth? Esaminiamone insieme i dettagli.

Come nasce la Defense in Depth

Il concetto di Difesa in Profondità si origina come strategia militare, per il rallentamento dell’avanzare nemico tramite barriere fisiche.

Agendo in tal modo, era possibile preparare l’effettivo contrattacco, delineando una strategia d’azione coerente e i mezzi attraverso cui attuarla.

Le origini della Defense in Depth, dunque, non sono da ricercare in ambito informatico, bensì nell’ambiente strategico-militare.

Il parallelismo con l’odierna tecnica di cybersecurity è notevole: come in ambito bellico, la Defense in Depth informatica serve solo a rallentare l’attacco in corso, così da mettere in atto strategie difensive più efficaci.

In cosa consiste la Defense in Depth

La strutturazione in più livelli è sicuramente l’asso nella manica di questa strategia, nonché la chiave della sua efficacia.

Basando più sistemi di sicurezza su differenti livelli si va notevolmente ad ottimizzare il livello di protezione.

Potrebbe infatti accadere che, durante un attacco, un livello non dovesse funzionare o venisse facilmente bypassato: in questo caso, entrerebbe in funzione il successivo, garantendo l’aumento di tempo utile e necessario per una risposta efficace e complementare.

Questo lo schema tipico della Defense in Depth che, per tale motivo, è denominata anche  difesa a castello.

Proprio come funzionava con le fortificazioni degli antichi castelli medievali, così, per penetrare in un sistema dotato di protezione in profondità, occorrerà superare numerosi ostacoli, uno più inespugnabile dell’altro.

Defense in Depth e Difesa Multilivello

Alla base della Defense in Depth vi è la Difesa Multilivello, che utilizza un insieme di soluzioni per restringere la superficie di attacco, in modo tale che il perimetro di rete sia il più possibile protetto da ogni lato.

L’aumento di quantità e complessità delle minacce ha infatti reso necessaria la combinazione delle due tecniche così da

  • ottimizzare la gestione dei sistemi informatici
  • e massimizzarne la protezione

Tale sinergia si è andata man mano rafforzando con la diffusione globale dell’internet come supporto lavorativo per il mobile working e con l’introduzione dei dispositivi IoT.
Le due tipologie di difesa, cioè la DiD è la Multilivello, possono essere viste come complementari, poiché

Come è strutturato un piano di Defense in Depth

Come illustrato, la Difesa in Profondità è una tecnica di cybersecurity che implementa più layer di protezione per sistemi e reti informatiche.

Ad ogni stratificazione, poi, corrisponderà una determinato strumento o protocollo di sicurezza.

Gli strumenti che si possono sfruttare nell’impostazione di un meccanismo di Defense in Depth sono quelli tipici della cybersecurity.

L’unica differenza sarà data dalla loro combinazione, che potrà quindi portare a un potenziamento del livello complessivo di sicurezza.

Tra questi possiamo citare a titolo di esempio:

Prime linee di difesa

Vediamo ora alcune best practice su come impostare una corretta strategia di Defense in Depth.

Tra le prime linee utilizzate per la Defense in Depth si distinguono:

  • analisi del traffico tramite firewall, che impediscono l’accesso senza autorizzazione alle reti e bloccano i traffici di dati indesiderati;
  • analisi antivirus, indispensabili per proteggere i sistemi da virus e malware. Inoltre poiché le moderne varianti di virus si  basano su un sistema di firme, sarà utile dotarsi di un antivirus con l’integrazione di funzionalità euristiche, che analizzino il sistema per individuare attività sospette.
  • analisi dell’integrità dei dati. Le soluzioni per l’integrità dei dati effettuano sia il controllo dell’indirizzo IP che del checksum, per verificare che un dato sistema non sia dannoso;
  • analisi comportamentale. Questa viene attivata, o comunque si attiva, quando i sistemi di protezione precedenti sono stati superati, e dunque hanno fallito nel loro ruolo. Infatti, non appena innescato, il sistema invierà avvisi ed effettuerà controlli automatici per bloccare l’avanzamento dell’intrusione e la diffusione del malware.

Conclusioni

Dato l’incremento di frequenza e sofisticazione degli attacchi informatici, si raccomanda, quindi,  di implementate una strategia di difesa sapientemente strutturata su più livelli, così da potenziare l’azione protettiva di ciascuno strumento messo in campo.

Cyberment Srl

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!