ADRA può essere assimilato al concetto di honeypot, quella componente di rete in grado di funzionare come “esca” e di bloccare i potenziali attaccanti.
QNAP ADRA NDR è una soluzione evoluta, pensata per assicurare protezione e visibilità di rete al fine di mitigare potenziali attacchi a dati, server e storage.
Come già illustrato durante l’evento di presentazione, ADRA NDR non è un firewall ma deve essere considerato come un ulteriore tassello per la protezione puntuale di apparati fisici. Parliamo di una soluzione di sicurezza che non sostituisce i convenzionali meccanismi di security che sono presenti (o dovrebbero essere presenti) in azienda.
La proposta ADRA si basa sull’hardware Guardian QGD-1600P e QGD-1602P (su tre varianti di configurazione). Si tratta di appliance presenti sul mercato già da qualche tempo e dotati di una componente switch L2 e una sezione drive con QTS.
Ad affiancare questi prodotti viene introdotta una componente software che poggia sulla comprovata stabilità dell’ambiente operativo QTS e ne permette un uso integrato in rete. Adottando il pacchetto QuNDR è possibile monitorare il traffico di rete e proteggere dispositivi e storage locali da attacchi esterni.
L’appliance di rete, da installarsi il più possibile vicino ai dispositivi da proteggere, adotta l’ambiente operativo QNE Network con Linux Kernel 5.X LTS. Questo sistema è stato sviluppato da QNAP per poter controllare al meglio gli ambienti di rete e gestire risorse locali e remote, servizi applicativi e il mondo cloud.
QNE Network integra QuCPE Network Virtualization Premise Equipment, le applicazioni di gestione centrale QuWANSD-WAN e AMIZ Cloud, per offrire una infrastruttura IT next-gen di facile implementazione e manutenzione.
Protezione dati e dispositivi: le potenzialità di ADRA
ADRA non è propriamente un firewall ma può essere assimilato, almeno in parte, al concetto di honeypot, quella componente di rete capace di funzionare come “esca” e bloccare i potenziali attaccanti. La piattaforma si occupa di dissimulare la presenza di storage e server di rete, attirando i potenziali attacchi su indirizzi gestiti dal software e rendendo vano l’attacco in corso.
Il dispositivo controlla pacchetti di rete specifici che passano attraverso lo switch per cercare attività sospette. Poiché controlla solamente parti del traffico di rete, la velocità di trasmissione non è influenzata.
Gli admin e gli esperti di sicurezza aziendale possono definire regole di lavoro specifiche per l’operatività di ADRA. È così possibile stabilire il grado di protezione desiderato in funzione della porta di rete, del device da mettere in sicurezza e delle peculiarità del network in cui ci si trova ad operare.
La funzione Threat Trap simula diversi servizi comuni (come SSH e SAMBA) per indurre l’attacco del malware. Una volta avviato l’attacco, questo può essere rilevato e isolato. La sezione “Risk information” contiene un’estesa area con notifiche granulari, che permettono di tenere sotto controllo il comportamento di macchine interne o esterne alla rete. In base al potenziale tasso di rischio, ADRA può informare i team di sicurezza, facilitando l’operatività quotidiana e riducendo il tempo-uomo richiesto per ogni intervento.
Mitigare il rischio
Una volta acquisite le informazioni circa le attività potenzialmente sospette, i pacchetti di traffico di rete sono analizzati rispetto a una raccolta di regole, per determinare il tipo di minaccia. L’attacco può così essere studiato, “depistato” e neutralizzato.
L’attaccante è dunque portato a infiltrarsi all’interno di sistemi creati ad arte da ADRA, delle trappole che si comportano come device, appliance e NAS e fanno credere all’intruso di essere riuscito a penetrare nella rete. Il comportamento dei sistemi virtuali è credibile; ogni macchina riceve un IP e un MACaddress personalizzato, così da ingannare i malintenzionati.
In questo modo, quando i cybercriminali effettueranno una scansione di rete si troveranno davanti una o più macchine virtuali, veri e proprio “specchietti per le allodole”. Attaccare simili sistemi fittizi non porterà a nulla ma consentirà di tracciare le attività malevole perpetrate. Consentirà, inoltre, di salvaguardare NAS e server fisici, effettivamente presenti in rete.
Blocchi e trappole
L’accumulo di informazione e il relativo studio e analisi consentono di avviare procedure di isolamento degli IP o di blocco di specifiche attività di download, di copia o di spostamento di file pericolosi.
Per un monitoraggio ancor più puntuale, ADRA supporta il port mirroring di ciascuna porta dello switch interno, ideale per controllare con precisione le attività su server o macchine ad alta criticità.
L’interfaccia di ADRA mette a disposizione una dashboard generale che permette di tenere sotto controllo ogni aspetto del sistema e di visualizzare rapidamente lo stato attuale delle minacce e tutto il pregresso delle attività.
Il sistema beneficia di aggiornamenti continui multipli, che interessano il database operativo, le regole applicative, il sistema operativo e le componenti predefinite per le trappole da applicare (Traps) e per l’analisti DTA (Deep Threat Analysis).
Grazie all’isolamento automatico e alla possibilità di intervento manuale per la gestione del rischio, ADRA si configura come un potente strumento per i team security.Interfaccia e configurabilità sono, inoltre, alla portata degli admin con esperienza intermedia e delle infrastrutture dove non sono presenti team IT numerosi.
