Che cos’è l’ispezione profonda dei pacchetti?

L’ispezione profonda dei pacchetti (DPI) si riferisce al metodo di esaminare il contenuto completo dei pacchetti di dati mentre attraversano un punto di controllo della rete monitorata. Mentre le forme convenzionali di stateful packet inspection valutano solo le informazioni di intestazione dei pacchetti, come l’indirizzo IP di origine, l’indirizzo IP di destinazione e il numero di porta, la deep packet inspection guarda una gamma più completa di dati e metadati associati ai singoli pacchetti. L’ispezione profonda dei pacchetti non solo esamina le informazioni nell’intestazione del pacchetto, ma anche il contenuto contenuto contenuto nel carico utile del pacchetto.

I ricchi dati valutati dall’ispezione profonda dei pacchetti forniscono un meccanismo più robusto per applicare il filtraggio dei pacchetti di rete, poiché DPI può essere utilizzato per identificare e bloccare più accuratamente una serie di minacce complesse che si nascondono nei flussi di dati di rete, tra cui:

• Malware
• Tentativi di esfiltrazione dei dati
• Violazioni dei criteri di contenuto
• Comando criminale e comunicazioni di controllo

Le capacità di ispezione profonda dei pacchetti si sono evolute per superare i limiti dei firewall tradizionali che si basano sull’ispezione dei pacchetti con stato. Per comprendere il progresso offerto dall’ispezione profonda dei pacchetti, pensatelo in termini di sicurezza aeroportuale.

Il filtraggio statico dei pacchetti sarebbe come convalidare la sicurezza dei bagagli controllando le etichette dei bagagli per assicurarsi che gli aeroporti di origine e destinazione corrispondano ai numeri di volo registrati. Al contrario, il filtraggio tramite l’ispezione profonda dei pacchetti sarebbe più simile all’esame dei bagagli ai raggi X per garantire che non ci sia nulla di pericoloso all’interno prima di instradarli ai voli appropriati.

Casi d’uso per l’ispezione profonda dei pacchetti

L’analisi dei flussi di traffico tramite l’ispezione profonda dei pacchetti apre una gamma di casi d’uso nuovi e migliorati per la sicurezza.

Bloccando il malware

Quando è abbinato agli algoritmi di rilevamento delle minacce, l’ispezione profonda dei pacchetti può essere utilizzata per bloccare il malware prima che comprometta gli endpoint e altre risorse di rete. Ciò significa che può aiutare a filtrare l’attività di ransomware, virus, spyware e worm. Più in generale, fornisce anche visibilità sulla rete che può essere analizzata attraverso l’euristica per identificare modelli di traffico anormali e avvisare i team di sicurezza di comportamenti dannosi indicativi di compromissioni esistenti.

Fermare le fughe di dati

La deep packet inspection può essere utilizzata non solo per il traffico in entrata, ma anche per l’attività di rete in uscita. Questo significa che le organizzazioni possono usare quell’analisi per impostare i filtri per fermare i tentativi di esfiltrazione dei dati da parte di aggressori esterni o le potenziali fughe di dati causate sia da insider malintenzionati che negligenti.

Il valore aggiunto di visibilità delle applicazioni offerto dalla deep packet inspection permette alle organizzazioni di bloccare o strozzare l’accesso ad applicazioni rischiose o non autorizzate, come i downloader peer-to-peer. Allo stesso modo, l’analisi più profonda di DPI apre la strada alle organizzazioni per bloccare i modelli di utilizzo che violano le politiche o prevenire l’accesso non autorizzato ai dati all’interno delle applicazioni approvate dall’azienda

Vantaggi e sfide del DPI

La maggiore visibilità fornita dall’analisi di sondaggio del DPI aiuta i team IT ad applicare politiche di cybersecurity più complete e dettagliate. Questo è il motivo per cui molti fornitori di firewall si sono mossi per aggiungerlo alle loro liste di funzionalità nel corso degli anni.

Tuttavia, molte organizzazioni hanno scoperto che l’abilitazione di DPI nelle appliance firewall spesso introduce colli di bottiglia di rete inaccettabili e degrado delle prestazioni. Prima di tutto, queste appliance on-premises sono legate alle reti aziendali e richiedono che le organizzazioni facciano il backhaul del traffico dagli utenti remoti attraverso questa infrastruttura affinché i pacchetti passino attraverso i punti di controllo dell’ispezione DPI. Questo introduce un’enorme latenza per questo crescente numero di utenti ed è sempre più impraticabile, dato che molte aziende sono state costrette a supportare una forza lavoro completamente distribuita. Inoltre, questi problemi di prestazioni probabilmente spingeranno molti utenti e dipartimenti a saltare del tutto l’ispezione. Quando questi utenti si connettono al cloud e alle risorse online direttamente senza una connessione VPN, finiscono per bypassare del tutto le protezioni perimetrali della rete.

E poi c’è la sfida del traffico crittografato. Mentre alcuni firewall pretendono di eseguire l’ispezione profonda dei pacchetti sul traffico HTTPS, il processo di decrittazione dei dati e l’ispezione in linea con i flussi di traffico è un’attività ad alta intensità di elaborazione che travolge molti dispositivi di sicurezza basati su hardware. In risposta, gli amministratori spesso scelgono di disattivare la funzionalità all’interno dei loro firewall.

Questo lascia un enorme punto cieco di visibilità della rete man mano che la prevalenza di TLS/SSL sul web cresce. Le attuali stime del settore mostrano che fino al 95% dell’attività web oggi avviene attraverso canali crittografati. Gli aggressori riconoscono le sfide che le loro potenziali vittime affrontano nell’estendere il controllo DPI su questo traffico, ed è per questo che circa due terzi del malware ora si nascondono sotto la copertura di HTTPS.

Come risultato, le organizzazioni che cercano di raccogliere i benefici di DPI tendono a cercare mezzi tecnici aggiuntivi per abilitare la funzionalità.

Come i gateway web sicuri offrono la funzionalità DPI

Riconoscendo che i firewall servono ancora uno scopo prezioso soprattutto al perimetro della rete, molte organizzazioni si stanno rivolgendo ai gateway web sicuri basati sul cloud per aiutarli a rimuovere l’onere delle prestazioni dell’ispezione profonda dei pacchetti da questi dispositivi. Questi filtri web proteggono il traffico utente in uscita, idealmente utilizzando la funzionalità DPI che può esaminare sia il traffico HTTP che HTTPS generato dagli utenti indipendentemente dalla loro posizione. Scaricando il traffico crittografato e remoto degli utenti attraverso un gateway web sicuro basato sul cloud, le organizzazioni possono scalare l’analisi profonda del traffico di DPI senza mettere sotto pressione i dispositivi basati su hardware esistenti.

Nella stessa ottica, questa architettura rende anche più semplice eseguire l’ispezione profonda dei pacchetti fuori dai confini della rete aziendale.