Vai al contenuto principale

Bloccare Malware e Phishing al Network Edge

Questa guida di riferimento tecnica descrive l'architettura, l'implementazione e l'impatto aziendale dell'adozione di una protezione dalle minacce a livello di rete per proteggere i dispositivi IoT e degli ospiti non gestiti al network edge. Offre indicazioni pratiche per i leader IT per bloccare malware e phishing in modo proattivo.

📖 3 minuti di lettura📝 713 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Buongiorno e benvenuti a questo briefing tecnico di Purple. Sono la vostra guida di oggi e parleremo di una decisione architetturale fondamentale per i gestori di spazi fisici: bloccare malware e phishing a livello di perimetro di rete (Network Edge). Ci rivolgiamo a responsabili IT, architetti di rete, CTO e direttori operativi che gestiscono reti presso hotel, catene di vendita al dettaglio, stadi e spazi del settore pubblico. Se gestite il WiFi per gli ospiti o grandi reti pubbliche, conoscete bene il problema dei dispositivi non gestiti. Non è possibile installare un agente endpoint sullo smartphone di un ospite e non si può assolutamente controllare quali link vengano cliccati. Quindi, qual è la soluzione? La protezione al perimetro di rete. Spostando il punto di applicazione della sicurezza sul gateway, bloccate le minacce prima ancora che raggiungano il dispositivo. Analizziamo l'architettura tecnica, partendo dal filtraggio DNS. Quando un dispositivo si connette alla vostra rete e tenta di accedere a un dominio dannoso - ad esempio, un link di phishing nascosto in un SMS - la query DNS raggiunge innanzitutto il vostro gateway perimetrale. Invece di risolvere l'indirizzo IP e consentire il flusso di traffico, il gateway perimetrale verifica il dominio confrontandolo con i feed di intelligence sulle minacce in tempo reale. Se viene contrassegnato come dannoso, la richiesta DNS viene reindirizzata verso un sinkhole. La connessione viene interrotta prima ancora che venga scaricato un singolo byte di malware. Questo è un approccio proattivo, non reattivo. Esaminiamo uno scenario reale. Consideriamo una grande catena di negozi che offre WiFi gratuito per gli ospiti. Durante la stagione festiva, l'affluenza di clienti registra un picco e migliaia di dispositivi non gestiti si connettono ogni giorno. Una campagna di phishing mirata colpisce la regione, imitando un popolare servizio di consegna. Senza protezione perimetrale, un ospite clicca sul link, il suo dispositivo viene compromesso mentre è connesso alla vostra rete e improvvisamente la reputazione del vostro IP crolla o, peggio, viene tentato un movimento laterale contro la vostra VLAN POS. Con la protezione al perimetro di rete, nel momento stesso in cui l'ospite clicca sul link dannoso, la query DNS viene intercettata. Il gateway perimetrale rileva che il dominio è stato registrato tre ore prima ed è stato segnalato dalla threat intel. La connessione viene bloccata, l'ospite visualizza una pagina di blocco sicura e la vostra rete rimane protetta. Non è richiesto alcun agente endpoint. Questa architettura semplifica anche la conformità. Sia che si tratti di PCI-DSS nella vendita al dettaglio, di GDPR in Europa o di conformità IWF per le reti WiFi pubbliche nel Regno Unito, il filtraggio perimetrale fornisce la registrazione centralizzata e l'applicazione delle policy necessarie per gli audit. Avrete un audit trail completo delle query DNS e delle minacce bloccate. Ora parliamo di implementazione. L'errore più comune è il blocco eccessivo (over-blocking), che genera ticket di assistenza e frustra gli ospiti. La chiave è un'applicazione granulare delle policy. Non desiderate un blocco generico su tutti i domini registrati di recente se il vostro team di marketing lancia frequentemente siti temporanei per le campagne.È necessario un approccio multilivello. Il Livello 1 è rappresentato dall'intelligence sulle minacce a monte - che blocca malintenzionati noti, server di comando e controllo di botnet e punti di distribuzione di malware. Il Livello 2 è il filtraggio dei contenuti basato su categorie, che garantisce la conformità alle normative locali. Il Livello 3 è il controllo degli accessi, che applica policy diverse in base al ruolo dell'utente. Un ospite riceve una policy restrittiva, mentre il personale della struttura su un SSID aziendale riceve una policy diversa. E per quanto riguarda il DNS crittografato? Protocolli come DNS over HTTPS (DoH) e DNS over TLS (DoT) possono aggirare il filtraggio edge tradizionale se non gestiti correttamente. La tua architettura edge deve tenerne conto, bloccando i resolver DoH pubblici noti per forzare il fallback sul tuo DNS sicuro, oppure implementando l'ispezione SSL per i dispositivi gestiti, sebbene quest'ultima opzione non sia praticabile per le reti ospiti. Per il WiFi ospiti, forzare il traffico attraverso il tuo DNS sicuro e bloccare le porte alternative è l'approccio standard. Passiamo ora a una sessione di domande e risposte rapide basata sulle domande più comuni dei clienti. Domanda 1: Il filtraggio edge aumenta la latenza? Risposta: In modo minimo. Un gateway edge robusto memorizza nella cache le risposte DNS e utilizza il routing anycast verso il nodo di intelligence sulle minacce più vicino. La latenza aggiunta è in genere nell'ordine di singoli millisecondi, impercettibile per l'utente. Domanda 2: Qual è l'impatto sul ROI? Risposta: Il ROI si misura nella riduzione degli incidenti e nella semplificazione della gestione. Elimini i costi di licenza per singolo dispositivo della sicurezza degli endpoint per i dispositivi BYOD. Riduci inoltre drasticamente le ore di helpdesk dedicate a indagare sui dispositivi compromessi o a gestire indirizzi IP inseriti in blacklist. Domanda 3: Questo sistema può proteggere i dispositivi IoT? Risposta: Sì. Questo è un vantaggio enorme. Le smart TV nelle camere d'albergo, la segnaletica digitale nei negozi o i terminali POS spesso non possono eseguire agenti endpoint. La protezione edge li copre automaticamente perché tutto il loro traffico deve passare attraverso il gateway. In sintesi, la protezione basata esclusivamente sugli endpoint non è sufficiente per le moderne reti delle strutture. È necessario un unico punto di applicazione per tutto il traffico. La protezione dell'edge di rete è proattiva, conveniente e copre ogni dispositivo, gestito o non gestito. Rappresenta lo standard architetturale per il WiFi ospiti sicuro e le reti delle strutture. Grazie per aver seguito questo briefing tecnico. Assicurati di consultare la guida di riferimento completa per diagrammi architetturali dettagliati, passaggi di implementazione e ulteriori letture su WiFi analytics e distribuzioni specifiche per il settore. Rimani al sicuro.

header_image.png

Executive Summary

Per i CTO e gli architetti di rete che gestiscono ambienti ad alta affluenza, proteggere i dispositivi non gestiti rappresenta una sfida operativa cruciale. Non è possibile distribuire un agente endpoint sullo smartphone di un ospite e non si può fare affidamento sugli utenti per evitare proattivamente i link dannosi. Questa guida illustra in dettaglio come l'implementazione della protezione dalle minacce a livello di rete possa bloccare malware e phishing alla periferia della rete (network edge) prima ancora che raggiungano il dispositivo dell'ospite. Applicando le policy di sicurezza sul gateway tramite il filtraggio DNS e l'integrazione della threat intelligence, le strutture possono proteggere proattivamente il traffico BYOD, IoT e degli ospiti. Questo approccio riduce i costi di gestione della risposta agli incidenti, garantisce la conformità a standard quali GDPR e PCI-DSS e mantiene un ambiente sicuro per gli utenti del servizio Guest WiFi nei settori dell'hospitality Hospitality , del retail Retail e dei trasporti Transport .

Approfondimento Tecnico

Architettura di Protezione al Network Edge

La protezione antimalware al network edge sposta il punto di applicazione della sicurezza dall'endpoint al gateway. Quando un dispositivo si connette alla rete della struttura e tenta di risolvere un dominio, la query DNS viene intercettata dal gateway edge. Invece di seguire la risoluzione standard, la query viene valutata rispetto a feed di threat intelligence costantemente aggiornati.

architecture_overview.png

Se il dominio è associato alla distribuzione di malware, a campagne di phishing o a infrastrutture di comando e controllo (C2) di botnet, la richiesta DNS viene reindirizzata verso un sinkhole. La connessione viene interrotta prima che venga scaricato qualsiasi payload dannoso. Questo blocco proattivo impedisce il movimento laterale e protegge la reputazione IP della struttura.

Componenti Chiave

  1. Motore di filtraggio DNS: ispeziona tutte le richieste DNS in uscita. La configurazione di questo motore per bloccare i risolutori DoH (DNS over HTTPS) pubblici noti è essenziale per evitare che gli utenti eludano il DNS sicuro della struttura.
  2. Integrazione della threat intelligence: si abbona a feed di intelligence globali che classificano i domini in tempo reale in base alla reputazione, allo stato dei domini registrati di recente e alle attività dannose note.
  3. Applicazione delle policy: applica regole granulari in base al ruolo dell'utente (ad esempio, personale rispetto agli ospiti) e alla categoria di contenuto, garantendo l'adesione alla guida sulla conformità IWF IWF Compliance for Public WiFi Networks in the UK .

Guida all'Implementazione

L'implementazione della protezione a livello di edge di rete richiede un approccio graduale per ottenere la massima copertura di sicurezza con la minima interruzione.

Passo 1: Segmentazione della rete

Assicurati che la tua rete sia opportunamente segmentata utilizzando le VLAN. Il traffico degli ospiti, il personale aziendale, i dispositivi IoT e i sistemi POS devono trovarsi su segmenti isolati. Questo limita il raggio d'azione dell'impatto in caso di compromissione di un dispositivo prima dell'accesso alla rete.

Passo 2: Configurazione del gateway

Configura il router edge o il firewall per inoltrare tutto il traffico DNS a un servizio di filtraggio DNS sicuro. Implementa regole firewall che blocchino il traffico in uscita sulla porta 53 (DNS) e sulla porta 853 (DoT) verso qualsiasi destinazione diversa dai resolver sicuri approvati. Per ulteriori informazioni sull'ottimizzazione delle reti moderne, consulta Office Wi Fi: Optimize Your Modern Office Wi-Fi Network .

Passo 3: Definizione delle policy

Stabilisci le policy di base. Blocca a livello globale le categorie dannose note. Per il filtraggio dei contenuti, applica policy specifiche per la sede - ad esempio, applica un filtraggio più rigoroso in un ambiente sanitario Healthcare rispetto al commercio al dettaglio generico.

Best Practice

  • Applicazione granulare delle policy: Evita blocchi generalizzati che generano ticket di assistenza. Utilizza il controllo degli accessi basato sui ruoli (RBAC) integrato con il tuo provider di identità (ad esempio, con la licenza Purple Connect).
  • Registrazione completa: Mantieni un audit trail completo delle query DNS e delle minacce bloccate. Questo è essenziale per la risposta agli incidenti e i report di conformità. Consulta Explain what is audit trail for IT Security in 2026 per i requisiti dettagliati.
  • Monitoraggio continuo: Utilizza WiFi Analytics per monitorare le prestazioni di rete e gli eventi di sicurezza in tempo reale.

Risoluzione dei problemi e mitigazione dei rischi

Gestione del DNS crittografato

I sistemi operativi moderni utilizzano sempre più spesso DoH e DoT, che crittografano le query DNS e possono aggirare il tradizionale filtraggio edge. Per mitigare questo problema, mantieni una blocklist aggiornata dei resolver DoH pubblici noti (come 8.8.8.8 e 1.1.1.1) per costringere i dispositivi a ripiegare sul DNS sicuro della sede servito sulla porta standard 53.

Blocco eccessivo del traffico legittimo

I feed di threat intelligence aggressivi possono talvolta contrassegnare domini legittimi, in particolare i domini registrati di recente utilizzati per le campagne di marketing. Stabilisci un processo rapido di inserimento nella whitelist e offri al team delle operazioni IT gli strumenti per risolvere rapidamente i falsi positivi.

comparison_chart.png

ROI e impatto aziendale

Il business case per la protezione dal malware a livello di rete edge si basa sulla riduzione del rischio e sull'efficienza operativa. Bloccando le minacce a livello di gateway, le sedi eliminano i costi di licenza per dispositivo associati alla sicurezza degli endpoint per i dispositivi BYOD e guest. Inoltre, riduce drasticamente il tempo che il personale dell'IT service desk dedica a indagare sui dispositivi compromessi o a gestire gli indirizzi IP inseriti in blacklist. La connettività sicura e affidabile che ne deriva non solo migliora l'esperienza degli ospiti, ma tutela anche la reputazione del brand della sede.

Definizioni chiave

Network Edge

Il confine in cui una rete locale si connette a Internet, generalmente gestito da un router, firewall o gateway.

Questa è la posizione ottimale per implementare i controlli di sicurezza per i dispositivi non gestiti, poiché tutto il traffico deve transitare da qui.

Filtraggio DNS

Il processo di blocco dell'accesso a determinati siti web o indirizzi IP tramite l'intercettazione delle query DNS e la loro valutazione rispetto a una policy o a un feed di minacce.

Utilizzato per impedire proattivamente ai dispositivi di connettersi a domini dannosi prima del trasferimento di qualsiasi dato.

Sinkholing

Il reindirizzamento del traffico dannoso verso un indirizzo IP sicuro e controllato anziché verso la destinazione originaria.

Quando un dispositivo ospite tenta di raggiungere un server malware, il gateway edge esegue il sinkholing della richiesta, prevenendo l'infezione.

Feed di Threat Intelligence

Un flusso di dati continuamente aggiornato relativo a minacce informatiche potenziali o in corso, inclusi domini e indirizzi IP dannosi noti.

I gateway edge utilizzentano questi feed per decidere in tempo reale se consentire o bloccare il traffico.

DoH (DNS over HTTPS)

Un protocollo per eseguire la risoluzione remota del Domain Name System tramite il protocollo HTTPS, crittografando i dati.

Sebbene sia positivo per la privacy, il DoH può aggirare il filtraggio edge aziendale, a meno che i resolver DoH noti non vengano esplicitamente bloccati.

Segmentazione VLAN

La suddivisione di una singola rete fisica in più reti logiche per isolare il traffico.

Essenziale per separare il traffico non attendibile degli ospiti dai sistemi aziendali sensibili o dai POS.

BYOD (Bring Your Own Device)

La pratica di consentire ai dipendenti o agli ospiti di utilizzare i propri dispositivi personali sulla rete dell'organizzazione.

I dispositivi BYOD in genere non sono gestiti, rendendo impossibile la sicurezza degli endpoint e rendendo necessaria la protezione al network edge.

Audit Trail

Un registro cronologico delle attività di sistema, incluse le query DNS e le connessioni bloccate.

Richiesto per la conformità a framework come PCI-DSS e GDPR per dimostrare che i controlli di sicurezza sono attivi.

Esempi pratici

Un hotel da 500 camere ha l'esigenza di proteggere il WiFi degli ospiti garantendo al contempo che i dispositivi IoT (smart TV, comandi delle camere) siano protetti da server di comando e controllo esterni.

Implementare un gateway al network edge con filtraggio DNS. Segmentare la rete in VLAN Ospiti, IoT e Aziendale. Configurare il gateway per intercettare tutte le query DNS provenienti dalle VLAN IoT e Ospiti, instradandole al servizio DNS sicuro. Applicare una policy rigorosa per la VLAN IoT che consenta solo la risoluzione di domini noti e necessari (allowlisting), applicando invece una policy standard di blocco delle minacce per la VLAN Ospiti.

Commento dell'esaminatore: Questo approccio è altamente efficace poiché riconosce l'impossibilità di installare agenti endpoint sulle smart TV. Utilizzando la segmentazione VLAN combinata con un filtraggio edge granulare, l'hotel applica i principi zero-trust per l'IoT mantenendo un'esperienza fluida per gli ospiti.

Una grande catena di vendita al dettaglio subisce frequenti inserimenti in blacklist degli indirizzi IP a causa di dispositivi degli ospiti che inviano spam mentre sono connessi al WiFi del negozio.

Implementare la protezione malware al network edge con feed di threat intelligence attivi. Configurare il firewall per bloccare il traffico SMTP in uscita (porta 25) per tutto il traffico degli ospiti. Abilitare il filtraggio DNS per reindirizzare tramite sinkholing le richieste verso domini noti di botnet e distribuzione di spam.

Commento dell'esaminatore: Il blocco della porta 25 è una best practice standard, ma la sua combinazione con il filtraggio DNS all'edge impedisce ai dispositivi compromessi di raggiungere i propri server C2 fin dall'inizio, proteggendo la reputazione IP del rivenditore e riducendo le segnalazioni dell'ISP.

Domande di esercitazione

Q1. Un amministratore di rete di uno stadio nota che, sebbene il filtraggio DNS sia abilitato, alcuni dispositivi degli ospiti raggiungono ancora domini dannosi noti. Qual è la causa più probabile e come dovrebbe essere affrontata?

Suggerimento: Considerare i protocolli moderni che potrebbero aggirare il filtraggio standard sulla porta 53.

Visualizza risposta modello

I dispositivi stanno probabilmente utilizzando protocolli DNS crittografati come DNS over HTTPS (DoH) o DNS over TLS (DoT), che bypassano il filtro standard sulla porta 53. L'amministratore dovrebbe aggiornare le regole del firewall per bloccare i risolutori DoH/DoT pubblici noti e bloccare il traffico in uscita sulla porta 853, costringendo i dispositivi a ripiegare sul DNS sicuro della struttura.

Q2. Quando si distribuisce la protezione edge della rete in un ambiente ospedaliero, in che modo le policy dovrebbero differire tra il WiFi ospiti e la VLAN dei dispositivi IoT medici?

Suggerimento: Pensa al concetto di minimo privilegio e al comportamento prevedibile.

Visualizza risposta modello

Il WiFi ospiti dovrebbe utilizzare una policy standard di blocco delle minacce (bloccando malware, phishing e contenuti inappropriati secondo le linee guida IWF), consentendo comunque l'accesso generale a Internet. La VLAN IoT medica dovrebbe utilizzare una rigida policy di "diniego predefinito" con una allowlist, consentendo la comunicazione solo con server di fornitori specifici e richiesti. I dispositivi IoT hanno pattern di traffico prevedibili, il che rende l'inserimento in allowlist altamente efficace.

Q3. Un cliente retail desidera implementare il filtraggio edge ma teme che vengano bloccati domini di campagne marketing legittimi registrati di recente. Quale processo dovrebbe essere implementato?

Suggerimento: Concentrati sui flussi di lavoro operativi e sul bilanciamento tra sicurezza ed esigenze aziendali.

Visualizza risposta modello

Implementare un flusso di lavoro rapido per l'inserimento in allowlist. Sebbene i "Domini registrati di recente" rappresentino una categoria di minaccia comune, il team IT dovrebbe disporre di un processo per verificare e inserire rapidamente in allowlist i domini forniti dal team di marketing prima del lancio delle campagne, garantendo che la sicurezza non ostacoli le operazioni aziendali.

Continua a leggere questa serie

DNS Over HTTPS (DoH): implicazioni per il filtraggio del WiFi pubblico

Questa guida di riferimento tecnico spiega come il DNS over HTTPS (DoH) aggiri il tradizionale filtraggio dei contenuti sulla porta 53 nelle reti WiFi pubbliche. Fornisce strategie di mitigazione pratiche e indipendenti dai fornitori per consentire ad architetti di rete e responsabili IT di ripristinare la visibilità, garantire la conformità e proteggere l'accesso degli ospiti negli ambienti aziendali.

Leggi la guida →

Public WiFi Liability: perché il Content Filtering è obbligatorio

Questa guida tecnica di riferimento illustra i rischi legali e operativi derivanti dall'offerta di un servizio WiFi pubblico non filtrato, spiegando in dettaglio perché il content filtering rappresenta un requisito di implementazione obbligatorio per i gestori delle location. Fornisce strategie di architettura attuabili, passaggi di implementazione e tattiche di mitigazione del rischio per proteggere le reti da attività illegali, violazioni del copyright e non conformità normativa. I gestori delle location e i CTO troveranno casi di studio concreti, framework decisionali e linee guida di configurazione per implementare un ambiente Guest WiFi difendibile e conforme.

Leggi la guida →

Conformità IWF per le reti WiFi pubbliche nel Regno Unito

Questa guida autorevole descrive in dettaglio i requisiti tecnici, l'architettura e le strategie di implementazione per le reti WiFi pubbliche conformi a IWF nelle sedi del Regno Unito. Fornisce ai responsabili IT framework operativi per mitigare i rischi legali mantenendo al contempo un accesso alla rete ad alte prestazioni.

Leggi la guida →