Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBuone pratiche
Migliori pratiche per la sicurezza della rete

Migliori pratiche per la sicurezza della rete

Le migliori pratiche di sicurezza di rete robuste sono più importanti che mai per proteggere contro le minacce informatiche sempre più sofisticate di oggi. Questo articolo esplora una gamma di migliori pratiche e tecnologie di rete e sicurezza di cui hai bisogno per rafforzare la tua rete contro l'accesso non autorizzato e le violazioni dei dati.

Tipi di dispositivi di rete e soluzioni di sicurezza

Prima di immergerci nelle migliori pratiche di sicurezza della rete aziendale, rivediamo i tipi comuni di dispositivi di rete e soluzioni di sicurezza di cui le organizzazioni possono avvalersi:

  • I bridge venivano un tempo utilizzati per collegare due o più host o segmenti di rete. Sono obsoleti e non vengono più utilizzati.
  • I hub venivano un tempo utilizzati per collegare dispositivi di rete locale (LAN). Poiché non dispongono di intelligenza integrata, i hub sono raramente usati nelle configurazioni di rete moderne.
  • Uno network switch è l'apparecchio di rete predefinito che collega computer, server, stampanti e altri dispositivi in una LAN. Utilizza gli indirizzi MAC per gestire e inoltrare i dati ai dispositivi specifici. A differenza di un hub, uno switch può indirizzare in modo intelligente il traffico per ridurre la congestione della rete e migliorare le prestazioni della rete.
  • Un network router indirizza i pacchetti di dati tra diverse reti per facilitare la connettività a Internet e la comunicazione di rete interna. I router utilizzano gli indirizzi IP per determinare il percorso più efficiente per la trasmissione dei pacchetti di dati attraverso le reti. Possono anche fornire funzionalità di sicurezza come le liste di controllo degli accessi per limitare l'accesso alla rete.
  • Un gateway funge da intermediario per dispositivi su reti separate, consentendo loro di comunicare anche se utilizzano protocolli di comunicazione diversi.
  • Un firewall separa una rete da un'altra. I firewall sono disponibili sia in forma hardware che software e possono essere integrati in dispositivi come router o server. L'esempio classico di un firewall è un'apparecchiatura dedicata che funge da barriera tra la rete interna e il mondo esterno.
  • Un sistema di network access control (NAC) valuta se i dispositivi che tentano di accedere alla rete soddisfano gli standard di sicurezza definiti (come software antivirus aggiornato, aggiornamenti di sistema e impostazioni di configurazione specifiche) e poi concede o nega l'accesso.
  • Un filtro web limita l'accesso ai contenuti di internet in base a criteri predefiniti. Ad esempio, questo tipo di soluzione di sicurezza può bloccare l'accesso a siti web dannosi o inappropriati come definito dalle politiche di un'organizzazione.
  • Un proxy server funge da intermediario tra il dispositivo dell'utente e internet. I proxy server possono mascherare l'indirizzo IP dell'utente così come filtrare le richieste web per bloccare l'accesso a siti o contenuti dannosi.
  • Un email filter (filtro antispam) aiuta a prevenire che le email indesiderate raggiungano del tutto la casella di posta dell'utente o consegna l'email ma rimuove collegamenti ipertestuali potenzialmente pericolosi e allegati. I filtri semplici utilizzano politiche organizzative o modelli specificati dal fornitore per rilevare lo spam; i filtri avanzati impiegano metodi euristici per individuare schemi sospetti o la frequenza delle parole.
  • Le soluzioni di mitigazione DDoS sono progettate per identificare gli attacchi di tipo Distributed Denial of Service (DDoS) nelle loro fasi iniziali, assorbire il conseguente picco di traffico e aiutare a individuare l'origine dell'attacco.
  • I bilanciatori di carico contribuiscono alla sicurezza della rete distribuendo uniformemente il traffico di rete su più server. Ad esempio, possono aiutare a prevenire che un singolo server diventi sovraccarico durante un attacco DDoS.

Per maggiori informazioni di base, rivedere il modello OSI per i sistemi di rete nell'Appendice A.

Migliori pratiche per la sicurezza delle reti aziendali

Tenendo a mente questi concetti di base, esploriamo le migliori pratiche di sicurezza di rete note che possono aiutare la tua organizzazione a migliorare la sua postura di sicurezza per bloccare gli attacchi, nonché le migliori pratiche per rilevare e rispondere prontamente alle minacce in corso.

Migliori pratiche di sicurezza della rete per la prevenzione delle minacce

Separa la tua rete.

Una delle pratiche migliori fondamentali per la sicurezza della rete, network segmentation implica la divisione di una rete in zone logiche o funzionali. Questo può essere realizzato attraverso mezzi fisici come router e switch, o virtualmente utilizzando VLAN. L'obiettivo è contenere una violazione della sicurezza in una singola zona e quindi limitare interruzioni e danni. La segmentazione consente inoltre ai team IT di applicare diversi controlli di sicurezza e monitoraggio a ciascuna zona. 

In particolare, le organizzazioni possono impostare una demilitarized zone (DMZ) come buffer tra la loro rete interna e internet o altre reti non affidabili. La DMZ ospita servizi rivolti all'esterno come i server di applicazioni web; se questi servizi vengono compromessi, un attaccante non ha accesso diretto alla rete interna.

Una forma estrema di segmentazione è l'air gap, dove i sistemi (come server con backup o altre informazioni sensibili) sono completamente disconnessi dalla rete.

Posiziona correttamente i tuoi dispositivi di sicurezza.

Come posizioni i tuoi dispositivi di sicurezza influisce sulla quantità di protezione che forniscono. Il posizionamento efficace dei firewall è particolarmente importante. Idealmente, un firewall dovrebbe essere situato in ogni giunzione della zona di rete per fungere da barriera tra i diversi segmenti. I firewall moderni spesso includono funzionalità integrate come sistemi di rilevamento e prevenzione delle intrusioni, mitigazione DDoS e filtraggio web, rendendoli molto adatti per la difesa del perimetro.

I firewall per applicazioni web (WAF) sono meglio posizionati nelle zone dove sono ospitate le applicazioni, come la DMZ. Questa collocazione aiuta a proteggere le applicazioni web da minacce come l'iniezione SQL e lo scripting tra siti. I bilanciatori di carico che gestiscono il traffico delle applicazioni o i server DNS dovrebbero anche essere situati all'interno della DMZ per ottimizzare il flusso di traffico e migliorare la sicurezza.

Assicurare fisicamente le apparecchiature di rete.

Un'altra migliore pratica per la sicurezza dell'infrastruttura di rete è controllare rigorosamente l'accesso all'infrastruttura di rete. Solo il personale autorizzato dovrebbe avere accesso a luoghi come armadi di cablaggio, quadri principali di distribuzione (MDF), quadri intermedi di distribuzione (IDF), server e, soprattutto, centri dati. Dovrebbe essere richiesta l'autenticazione per entrare in qualsiasi area critica.

Inoltre, le organizzazioni dovrebbero proibire l'uso di chiavette USB e dischi esterni per impedire agli insider di rimuovere dati sensibili.

Utilizzare la traduzione degli indirizzi di rete.

La traduzione degli indirizzi di rete (NAT) converte tutti gli indirizzi privati di un'organizzazione in un unico indirizzo IP pubblico per le comunicazioni esterne. Senza NAT, il mondo avrebbe esaurito gli indirizzi IPv4 molto tempo fa. Ma il vantaggio del NAT per la sicurezza della rete è che maschera la struttura della rete interna agli estranei, aggiungendo un livello di privacy e sicurezza.

Utilizzare firewall personali.

I firewall personali sono firewall basati su software che risiedono su ogni computer o server. Sebbene siano spesso integrati nel sistema operativo, possono anche essere installati come applicazioni di terze parti. Come i firewall convenzionali, limitano il traffico in entrata e in uscita per proteggere il dispositivo.

Configurare i firewall personali può inizialmente richiedere molto tempo a causa della varietà di applicazioni e servizi in esecuzione su un dispositivo. Tuttavia, trascurare questo passaggio per comodità può lasciare i dispositivi vulnerabili a malware e attacchi informatici. Abilitare sempre i firewall personali per garantire la sicurezza di ogni dispositivo all'interno della rete più ampia.

Utilizzare l'elenco bianco quando è fattibile.

Il whitelisting delle applicazioni è la pratica di creare un elenco di software approvati e consentire l'esecuzione solo di quelle applicazioni. Questa strategia può ridurre significativamente il rischio; ad esempio, può impedire l'esecuzione di malware consegnati tramite attacchi di phishing o siti web malevoli.

Tuttavia, l'uso delle liste di autorizzazione non è sempre pratico, poiché l'elenco deve essere costantemente aggiornato con tutte le applicazioni che chiunque all'interno dell'organizzazione ha una legittima ragione per eseguire.

Utilizza un server proxy web per gestire l'accesso a Internet.

Autenticando e monitorando le connessioni in uscita, un server proxy web aiuta a garantire che sia consentito solo il traffico web avviato da utenti legittimi. Ad esempio, ciò aiuta a prevenire che il malware all'interno della rete comunichi con il server di comando e controllo dell'attaccante.

Applica il principio del minimo privilegio.

Concentrarsi esclusivamente sulle minacce informatiche esterne può trascurare l'aspetto altrettanto critico delle minacce interne. È fondamentale limitare i diritti di accesso di ogni utente a ciò che è essenziale per i loro ruoli; ciò riduce il danno che un utente può causare accidentalmente o deliberatamente, e il potere che un attaccante otterrebbe compromettendo l'account. Inoltre, implementare misure di autenticazione robuste per rendere inutili le credenziali rubate.

Richiedere l'uso di VPN per l'accesso remoto.

Una rete privata virtuale (VPN) stabilisce una connessione di rete sicura e privata su un'infrastruttura di rete pubblica. Consente agli utenti remoti di connettersi alla rete come se fossero connessi localmente. Le VPN possono anche essere utilizzate per collegare in modo sicuro LAN attraverso internet utilizzando un tunnel sicuro che cripta tutti i dati in transito. Le VPN richiedono o hardware specializzato o software VPN installato su server e workstation.

Migliori pratiche di sicurezza della rete per la rilevazione e risposta alle minacce

Definire i protocolli di rete di base e monitorarne l'utilizzo.

Stabilire l'utilizzo di base di diversi protocolli nelle reti cablate e wireless. Per creare una base di riferimento accurata, i dati dovrebbero essere raccolti da una varietà di fonti tra cui router, switch, firewall, punti di accesso wireless, analizzatori di rete e collezionatori di dati dedicati. Quindi monitorare le deviazioni da queste basi, che possono indicare il tunneling dei dati, software malevolo che trasmette dati a destinazioni non autorizzate e altre minacce.

Utilizza honeypots e honeynets.

Un honeypot è un sistema esca progettato per sembrare un vero asset di rete, e un honeynet è una rete di honeypot che simula un ambiente di rete più grande e complesso. Sono progettati per attirare gli avversari a interagire con essi, sia per deviare gli attori malevoli dai veri asset sia per consentire ai team di sicurezza di studiare le tecniche di attacco e raccogliere altre informazioni per una gestione efficace delle minacce.

Utilizzare sistemi di rilevamento e prevenzione delle intrusioni.

È fondamentale monitorare e registrare l'attività in tutta la rete e analizzarla per individuare accessi insoliti, eventi sospetti sui computer e altre anomalie. Un sistema di intrusion detection system (IDS) monitora i flussi di dati della rete per attività potenzialmente dannose e avvisa gli amministratori in caso di anomalie. Un sistema di intrusion prevention system (IPS) monitora anche il traffico di rete per le minacce; tuttavia, oltre a segnalare agli amministratori, può agire automaticamente per bloccare o mitigare le minacce.

Questi strumenti possono essere una parte preziosa della vostra strategia di sicurezza della rete. Ad esempio, confrontando l'attività corrente con una baseline stabilita, potrebbero rilevare un picco di attività di rete che potrebbe indicare un attacco ransomware o di SQL injection. Possono anche utilizzare firme di attacco — caratteristiche distintive comuni a un attacco specifico o a un modello di attacchi — per individuare attacchi che non generano attività in violazione della baseline della vostra organizzazione.

Automatizza la risposta agli attacchi quando è appropriato.

Molti strumenti di sicurezza moderni possono essere configurati per rispondere automaticamente a minacce note. Ad esempio, questi sistemi possono:

  • Bloccare l'indirizzo IP — Un IPS o firewall può bloccare l'indirizzo IP da cui ha origine l'attacco. Questa opzione è molto efficace contro gli attacchi di phishing e di denial-of-service. Tuttavia, alcuni aggressori falsificano l'indirizzo IP sorgente durante gli attacchi, quindi verrà bloccato l'indirizzo sbagliato.
  • Interrompere le connessioni — I router e i firewall possono essere configurati per interrompere le connessioni che un intruso mantiene con il sistema compromesso indirizzando pacchetti TCP RESET verso l'attaccante.
  • Acquisire ulteriori informazioni — Gli strumenti possono anche raccogliere informazioni preziose che aiutano a determinare il punto di accesso iniziale, quali account sono stati compromessi, come si sono mossi gli intrusi nella rete e quali dati sono stati compromessi.

Migliore prassi bonus

Una pratica finale di sicurezza della rete si applica sia alla prevenzione delle minacce che al rilevamento e risposta.

Utilizzare più fornitori.

L'utilizzo di soluzioni di diversi fornitori rafforza la resilienza informatica riducendo il rischio associato a un unico punto di fallimento — se una soluzione di un fornitore viene compromessa, la presenza di soluzioni di altri fornitori aiuta a mantenere lo scudo difensivo. Questo approccio consente anche una maggiore adattabilità in risposta alle minacce in evoluzione e ai requisiti di sicurezza. Più in generale, può portare a prezzi competitivi e stimolare l'innovazione, poiché i fornitori si sforzano di offrire soluzioni più avanzate ed economicamente vantaggiose.

Conclusione

Attenendosi alle migliori pratiche di sicurezza della rete dettagliate qui, la vostra organizzazione può ridurre il rischio di costose interruzioni aziendali e incidenti di sicurezza, nonché garantire la conformità con gli odierni rigorosi mandati legislativi.

Appendix A: Il Modello OSI

Il modello OSI (Open Systems Interconnection) è un framework consolidato per i sistemi di rete. Comprende sette strati, dall'hardware fisico alle interazioni a livello di applicazione:

Layer

Funzione

Tipi di dispositivi di rete

Protocolli o Standard

7: Applicazione

Fornisce servizi come email, trasferimenti di file e server di file

HTTP, FTP, TFTP, DNS, SMTP, SFTP, SNMP, RLogin, BootP, MIME

6: Presentazione

Fornisce crittografia, conversione del codice e formattazione dei dati

MPEG, JPEG, TIFF

5: Sessione

Negoziare e stabilire una connessione con un altro computer

Gateway

SQL, X- Window, ASP, DNA, SCP, NFS, RPC

4: Trasporto

Supporta la consegna end-to-end dei dati

Gateway

TCP, UDP, SPX

3: Rete

Esegue il routing dei pacchetti

Router

IP, OSPF, ICMP, RIP, ARP, RARP

2: Collegamento dati

Fornisce controllo degli errori e trasferimento dei frame di messaggio

Passare

Ethernet, Token Ring, 802.11

1: Fisico

Si interfaccia fisicamente con il mezzo di trasmissione e invia dati attraverso la rete

Hub

EIA RS-232, EIA RS-449, IEEE, 802

Netwrix Auditor for Network Devices

Migliora la sicurezza della tua rete con visibilità sui cambiamenti di configurazione, tentativi di accesso, minacce di scansione e malfunzionamenti hardware sui tuoi dispositivi di rete

Scarica la prova gratuita di 20 giorni

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management