Come ci precisa Antonio Madoglio, System Engineer Manager di Fortinet, l'Advanced Threat Protection Framework è una soluzione basata sulle tecnologie, i prodotti e i servizi di Fortinet. Tale soluzione risponde all'evoluzione delle minacce APT, che prevedono diverse fasi di attacco con utilizzo di tecniche miste. È dunque necessaria una protezione multilivello, che parte dal controllo degli accessi, attuato con le funzionalità di firewalling, l'autenticazione a due fattori e il vulnerability management.
Segue poi la prevenzione delle minacce, realizzata con le capacità di Web filtering, IPS, application control, deep flow antimalware e antibot. Con la funzionalità e i servizi di sandboxing in cloud, client reputation e botnet reporting, invece, vengono aumentate le possibilità di rilevamento delle minacce.
Oltre le barriere, il framework prevede una fase di incident response, attuata con i FortiGuard Service, la messa in quarantena dei dispositivi e il servizio di FortiGuard Update.
Conclude il ciclo il monitoraggio continuo realizzato con le soluzioni di reportistica, la ricerca dei laboratori FortiGuard e le soluzioni SIEM (Security Information Event Management), di log management e intelligence service dei partner di Fortinet.
FortiOS 5.2
Con l'aggiornamento 5.2, il software per la sicurezza di Fortinet compie un passo avanti. In realtà diversi, perché le novità sono molte. Concentriamoci sulle principali, ancora una volta con l'aiuto di Madoglio, cominciando dall'integrazione con FortiSandBox.
Come abbiamo avuto modo di raccontare in occasione dell'annuncio della OS 5.0 (si veda anche "BYOD: Fortinet FortiOS per accesso sicuro da mobile e non solo"), la sandbox permette di verificare che un codice sospetto non nasconda del malware. Per questo viene effettuata una simulazione del suo funzionamento in un'area isolata e protetta. Con la 5.2 vengono aggiunte tecniche antievasive e aumentate le capacità di protezione attraverso la condivisione delle informazioni su scala globale.
Anche il sistema di gestione delle policy è stato migliorato, permettendo d'intervenire direttamente sulla tabella descrittiva per cambiare le politiche di sicurezza, in modalità drag and drop, senza passaggi ulteriori attraverso altre console.
Importante anche la funzionalità di SSL Inspection, soprattutto per chi fornisce servizi Web o ne usufruisce in cloud. Con la 5.2 le prestazioni sono state accelerate di 5 volte: "Se diventa un collo di bottiglia – spiega Joe Sarno, Regional Vice President EMEA EAST di Fortinet – finisce con l'essere disattivata, nonostante i rischi".
Joe Sarno, regional vice president Emea East di Fortinet
Ultima innovazione da segnalare è il Deep Application control, che permette di arrivare "al massimo livello di dettaglio sull'utilizzo delle applicazioni, anche in cloud", spiega Madoglio esemplificando: "Si può visualizzare l'utente, il tipo di account (per esempio gratuito o a pagamento), il dispositivo utilizzato, il tipo di traffico, il servizio e così via. Il tutto attraverso un grafico dinamico che consente facilmente di approfondire le informazioni".
Tutte le funzionalità di analisi e protezione sono supportate dalle soluzioni sviluppate da Fortinet e messe in pratica dai security gateway. Questi sono appliance che devono evidentemente essere caratterizzati da alte prestazioni, rese possibili da un'ispezione profonda del traffico realizzata "in hardware". I risultati sono quelli ottenuti per esempio dal nuovo FortiGate 1500D di cui parliamo nella prossima pagina.