Il firewall incluso nel modem del vostro provider non è uno scudo, ma una porta socchiusa che i criminali informatici sanno come attraversare senza farsi notare.
- Le minacce moderne si nascondono nel traffico web crittografato (HTTPS), che il firewall di base non è in grado di analizzare.
- Servizi utili come l’accesso remoto (RDP), se non protetti adeguatamente, diventano autostrade dirette per i ransomware.
Raccomandazione: È fondamentale superare la logica del semplice blocco e adottare un firewall di nuova generazione (NGFW) per un’ispezione profonda e un controllo granulare di tutto il traffico aziendale.
Come responsabile IT di una piccola o media impresa italiana, è probabile che tu consideri la sicurezza informatica una priorità. Hai installato antivirus, formato i dipendenti sulle email di phishing e ti affidi al firewall integrato nel router fornito dal tuo provider di servizi internet. Potresti pensare: “Siamo una piccola azienda, chi vuoi che ci attacchi?”. Questa è una percezione comprensibile, ma pericolosamente errata. Il contesto italiano mostra una realtà diversa: secondo il Rapporto Clusit 2024, in Italia si è registrato un incremento del 65% degli attacchi informatici nel 2023 rispetto all’anno precedente, con le PMI che rappresentano un bersaglio sempre più frequente e redditizio.
Il problema fondamentale non risiede nel fatto che il firewall del provider sia inutile, ma nel fatto che è stato progettato per un’era di minacce ormai superata. Funziona come un buttafuori che controlla solo la lista degli invitati (gli indirizzi IP e le porte), ma non ispeziona mai cosa c’è nelle loro valigie. Oggi, i criminali informatici non forzano più la porta; entrano vestiti da ospiti legittimi, nascondendo malware e ransomware all’interno di comunicazioni apparentemente normali, come il traffico web crittografato o le connessioni per il telelavoro. La vera sicurezza non si basa più sul bloccare ciò che è noto per essere pericoloso, ma sull’ispezionare in profondità tutto ciò che attraversa il perimetro della rete, anche ciò che sembra innocuo.
Questo articolo non vuole creare allarmismi, ma fornire una visione chiara e pragmatica dei rischi concreti che la tua azienda corre affidandosi a una protezione di base. Analizzeremo i meccanismi specifici con cui le minacce moderne aggirano i firewall standard e vedremo come le soluzioni di nuova generazione (NGFW) offrono gli strumenti per una difesa efficace, dinamica e adatta alla realtà operativa di una PMI italiana.
Per comprendere appieno le vulnerabilità e le relative contromisure, esploreremo in dettaglio i punti nevralgici della sicurezza perimetrale. Questo percorso vi fornirà una mappa chiara per valutare il vostro livello di protezione attuale e pianificare i prossimi passi.
Sommario: Le falle invisibili del firewall standard e come chiuderle
- Allow-list vs Block-list: quale approccio riduce i falsi positivi senza bloccare il lavoro?
- L’errore di non ispezionare il traffico HTTPS: come i malware passano indisturbati nel tunnel cifrato
- RDP esposto: perché lasciare la porta 3389 aperta è un invito diretto agli hacker
- Quando patchare il firewall: i rischi di attendere il weekend per un aggiornamento critico
- Cosa ti dicono i tentativi di accesso falliti sulla provenienza geografica degli attacchi?
- Guest Wi-Fi: come dare internet ai visitatori senza farli entrare nella tua rete interna
- Come i criminali lasciano “porte di servizio” per tornare dopo aver pagato
- Next Generation Firewall: come bloccare Facebook e YouTube solo a specifici reparti?
Allow-list vs Block-list: quale approccio riduce i falsi positivi senza bloccare il lavoro?
Il firewall del vostro provider opera quasi esclusivamente secondo una logica di block-list: blocca il traffico proveniente da fonti note per essere maligne. Questo approccio, sebbene utile, è intrinsecamente reattivo. Attende che una minaccia sia identificata e inserita in una “lista nera” globale, lasciando la vostra rete vulnerabile a minacce nuove o sconosciute (zero-day). Il vero problema di questo modello è il suo elevato tasso di falsi negativi: non blocca le minacce che non conosce, e oggi la stragrande maggioranza degli attacchi mirati utilizza tecniche inedite.
Un approccio molto più robusto, adottato dai firewall di nuova generazione, è quello basato sull’allow-list, un principio cardine della filosofia “Zero Trust”. Invece di chiedersi “cosa devo bloccare?”, la domanda diventa “cosa, e solo cosa, devo autorizzare?”. Questo modello prevede che tutto il traffico sia negato per impostazione predefinita. Solo le applicazioni, gli utenti e le connessioni esplicitamente approvati e necessari per l’operatività aziendale sono autorizzati a passare. Se un’applicazione non è nella lista, non comunica. Questo riduce drasticamente la superficie d’attacco, bloccando preventivamente anche le minacce non ancora scoperte e minimizzando il rischio di bloccare traffico legittimo (falsi positivi), poiché le regole sono definite sulle reali esigenze aziendali.
Piano d’azione: 5 passi per una strategia Zero Trust secondo l’ACN
- Definire presidi di sicurezza informatica conformi al quadro normativo vigente, in particolare il GDPR per la protezione dei dati.
- Identificare e classificare i dati vitali per il business e i processi critici per capire cosa proteggere con priorità.
- Implementare l’autenticazione a più fattori (MFA) su tutti i sistemi aziendali per verificare l’identità degli utenti.
- Segmentare la rete aziendale, separando logicamente reparti con diverse esigenze e livelli di accesso (es. amministrazione vs. produzione).
- Monitorare continuamente gli accessi e implementare policy di allow-listing granulari per autorizzare solo il traffico strettamente necessario.
L’errore di non ispezionare il traffico HTTPS: come i malware passano indisturbati nel tunnel cifrato
Ecco uno degli equivoci più pericolosi: molti ritengono che il lucchetto verde (HTTPS) nel browser sia sinonimo di sicurezza assoluta. In realtà, la crittografia SSL/TLS protegge la riservatezza dei dati in transito, ma non garantisce affatto che il contenuto di quel transito sia sicuro. I criminali informatici lo sanno bene e sfruttano l’HTTPS come un mantello dell’invisibilità. Le statistiche sono allarmanti: si stima che oltre il 90% del malware venga veicolato tramite traffico HTTPS cifrato.
Il firewall standard del vostro provider è cieco di fronte a questo traffico. Vede una connessione crittografata verso un server, la considera legittima e la lascia passare senza alcuna ispezione del contenuto. Questo significa che un dipendente può scaricare un file infetto da un sito in HTTPS, o un ransomware può comunicare con il suo server di comando e controllo, il tutto sotto gli occhi indifferenti della vostra prima linea di difesa.
Un Next Generation Firewall (NGFW) risolve questo problema con una funzione chiamata SSL/TLS Inspection. Agisce come un “intermediario” fidato: decifra il traffico in entrata, lo ispeziona con i suoi motori di sicurezza (antivirus, IPS, sandboxing) alla ricerca di minacce, e poi lo ri-crittografa prima di inviarlo all’utente finale. Questo processo, trasparente per l’utente, è l’unico modo per avere visibilità su ciò che si nasconde nel tunnel cifrato.
Caso d’uso: blocco di minacce zero-day con Deep Packet Inspection (DPI)
Le soluzioni NGFW, come i firewall Sophos XGS, utilizzano la tecnologia Xstream DPI (Deep Packet Inspection) per andare oltre la semplice analisi di porte e indirizzi IP. Questa funzione esamina in profondità la struttura di ogni singolo pacchetto di dati, anche all’interno del traffico cifrato. In questo modo, è in grado di identificare comportamenti anomali o pattern riconducibili a minacce sconosciute e attacchi zero-day, bloccandoli prima che raggiungano la rete interna.
RDP esposto: perché lasciare la porta 3389 aperta è un invito diretto agli hacker
Con la diffusione del telelavoro, molte PMI hanno avuto la necessità di abilitare l’accesso remoto ai computer dell’ufficio. La soluzione più rapida è stata spesso quella di “aprire” la porta 3389 (quella standard per il Remote Desktop Protocol, RDP) sul firewall, rendendo i PC aziendali direttamente accessibili da Internet. Dal punto di vista di un consulente di sicurezza, questa è una delle configurazioni più rischiose in assoluto. Lasciare una porta RDP esposta pubblicamente è come lasciare le chiavi di casa sotto lo zerbino: i criminali sanno esattamente dove guardare.
Gruppi di hacker, specializzati in attacchi ransomware, utilizzano scanner automatici che setacciano costantemente Internet alla ricerca di porte 3389 aperte. Una volta trovata, lanciano attacchi di tipo “brute force” per indovinare le password o sfruttano vulnerabilità note del protocollo RDP per ottenere l’accesso. Non è un caso che, secondo le analisi del Rapporto Clusit, circa il 90% degli attacchi ransomware al settore industriale italiano avvenga sfruttando proprio vettori di questo tipo. Il firewall del provider, limitandosi a consentire il passaggio del traffico su quella porta, non offre alcuna protezione contro questi tentativi.
L’accesso remoto è necessario, ma deve essere gestito in modo sicuro. Un NGFW permette di implementare soluzioni infinitamente più robuste, come l’obbligo di connessione tramite VPN (Virtual Private Network) con autenticazione a più fattori (MFA) o l’uso di policy di geo-blocking per consentire accessi solo da Paesi autorizzati.
Esistono diverse alternative all’esposizione diretta di RDP, ognuna con un diverso equilibrio tra sicurezza, costo e complessità. La scelta dipende dalle specifiche esigenze della PMI.
| Soluzione | Livello Sicurezza | Costo PMI | Complessità |
|---|---|---|---|
| VPN con MFA | Alto | €50-200/mese | Media |
| Remote Desktop Gateway | Molto Alto | €200-500/mese | Alta |
| Cloud AaaS (Aruba/Seeweb) | Alto | €30-150/utente | Bassa |
| NGFW con Geo-blocking | Molto Alto | €300-800/mese | Media |
Quando patchare il firewall: i rischi di attendere il weekend per un aggiornamento critico
Un altro aspetto spesso sottovalutato nella gestione dei firewall (siano essi base o avanzati) è il patch management. Ogni software ha delle vulnerabilità, e i firewall non fanno eccezione. I produttori rilasciano regolarmente aggiornamenti di sicurezza (patch) per correggere queste falle. Tuttavia, molte aziende, per timore di interrompere l’operatività, pianificano gli aggiornamenti durante il weekend o addirittura li rimandano. Questo ritardo, anche di sole 48 ore, crea una finestra di vulnerabilità estremamente pericolosa.
I gruppi criminali sono incredibilmente veloci. Quando una nuova vulnerabilità critica (chiamata “CVE”) viene resa pubblica, team specializzati lavorano per sviluppare un “exploit”, ovvero un codice che sfrutta quella falla, in poche ore. Attendere il fine settimana per applicare la patch significa regalare agli aggressori tutto il tempo di cui hanno bisogno per compromettere la rete.
Gli exploit per vulnerabilità note vengono sviluppati in poche ore, non giorni. Attendere il weekend significa lasciare la porta aperta per 48-72 ore.
– Paolo Giudice, Rapporto Clusit 2024 – Segretario generale Clusit
I Next Generation Firewall offrono strumenti per mitigare questo rischio. Una delle funzionalità più importanti è il sistema di prevenzione delle intrusioni (IPS), che può implementare il cosiddetto “virtual patching”. Anche se la patch ufficiale non è ancora stata installata sul firewall, l’IPS può essere aggiornato con una “firma” che riconosce e blocca i tentativi di sfruttare quella specifica vulnerabilità. Questo fornisce una protezione immediata e cruciale, dando al team IT il tempo di testare e distribuire l’aggiornamento definitivo in modo controllato, senza esporre l’azienda a rischi inutili.
Cosa ti dicono i tentativi di accesso falliti sulla provenienza geografica degli attacchi?
Analizzare i log del firewall è un’attività fondamentale che spesso viene trascurata. I firewall di base registrano pochi dati e in un formato difficile da interpretare, ma anche da quelle poche righe si può estrarre un’informazione preziosa: la provenienza geografica dei tentativi di accesso falliti. Se notate un numero enorme di tentativi di connessione RDP o SSH provenienti da Paesi con cui la vostra azienda non ha alcun rapporto commerciale, avete la prova che siete nel mirino di attacchi automatizzati.
Questa informazione, tuttavia, può essere fuorviante se non contestualizzata. L’immaginario collettivo vuole che gli hacker siano sempre “russi” o “cinesi”, ma la realtà è più complessa. Molti attacchi vengono fatti rimbalzare attraverso server compromessi in tutto il mondo per mascherare la vera origine. Inoltre, è importante sfatare un mito: la minaccia non è solo esterna. Dati recenti mostrano un quadro sorprendente: secondo il Rapporto Clusit 2025, l’Italia è salita alla seconda posizione mondiale come fonte di attacchi nel 2024. Questo significa che i sistemi compromessi sul territorio nazionale vengono usati come piattaforme per lanciare ulteriori offensive.
I Next Generation Firewall trasformano questi dati grezzi in intelligenza strategica. Offrono dashboard intuitive con mappe geografiche che visualizzano in tempo reale l’origine degli attacchi, permettendo di identificare immediatamente pattern anomali. Ancora più importante, consentono di implementare policy di geo-blocking. Se la vostra PMI opera solo in Europa, perché consentire tentativi di accesso amministrativo da server situati in Asia o Sud America? Con pochi click, è possibile bloccare intere nazioni o continenti, riducendo drasticamente il “rumore” degli attacchi automatizzati e concentrando le difese sulle minacce reali.
Guest Wi-Fi: come dare internet ai visitatori senza farli entrare nella tua rete interna
Offrire una connessione Wi-Fi ai visitatori, che siano clienti, fornitori o consulenti, è un servizio apprezzato e spesso necessario. Tuttavia, se questa rete “ospiti” non è correttamente isolata dalla rete aziendale interna, si trasforma in un grave rischio per la sicurezza. Un errore comune è creare una seconda rete Wi-Fi sullo stesso router del provider, magari con una password diversa, pensando che questo sia sufficiente. Non lo è.
Senza una corretta segmentazione della rete, un dispositivo infetto connesso alla rete ospiti (ad esempio, il laptop di un visitatore compromesso da un malware) potrebbe essere in grado di “vedere” e attaccare le risorse critiche della vostra rete interna, come server, file share o PC dei dipendenti. Il firewall base del provider offre opzioni di isolamento molto limitate o nulle, creando di fatto un ponte non protetto tra l’esterno e il cuore della vostra azienda.
Un NGFW gestisce questo scenario in modo radicalmente diverso, attraverso la creazione di VLAN (Virtual LAN) e policy di sicurezza specifiche. La rete ospiti viene completamente separata a livello logico dalla rete interna. Il firewall agisce come un controllore del traffico tra questi due segmenti, negando per impostazione predefinita qualsiasi comunicazione. In questo modo, i visitatori possono navigare su Internet, ma non hanno alcuna visibilità o possibilità di accesso alle risorse aziendali.
Caso d’uso: Isolamento automatico con la Sicurezza Sincronizzata
Le piattaforme di sicurezza più avanzate, come Sophos Synchronized Security, portano la segmentazione a un livello superiore. Grazie alla comunicazione costante tra il firewall NGFW e gli endpoint (PC, server), se un dispositivo sulla rete viene compromesso, viene immediatamente isolato in automatico. Il firewall riceve una notifica in tempo reale e blocca ogni comunicazione da e verso quel dispositivo, impedendo all’infezione di propagarsi lateralmente e riducendo drasticamente i tempi di risposta all’incidente.
La tabella seguente evidenzia le differenze chiave nella gestione di una rete ospiti tra un apparato standard e un NGFW.
| Funzionalità | Firewall Standard | NGFW |
|---|---|---|
| Separazione VLAN | Basica | Completa con policy granulari |
| Captive Portal | Non disponibile | Personalizzabile con logo aziendale |
| Conformità GDPR | Manuale | Automatizzata con termini servizio |
| Filtraggio contenuti | Limitato | Completo (P2P, streaming, malware) |
Come i criminali lasciano “porte di servizio” per tornare dopo aver pagato
Subire un attacco informatico, come un’infezione da ransomware, è un evento traumatico per qualsiasi azienda. La priorità diventa ripristinare l’operatività il prima possibile, pagando il riscatto o recuperando i dati da un backup. Tuttavia, una volta che l’emergenza sembra rientrata, molte PMI commettono un errore fatale: non eseguono un’analisi forense approfondita per capire come sono entrati gli aggressori e, soprattutto, se hanno lasciato delle “backdoor“.
Una backdoor è una porta di servizio nascosta, un meccanismo che consente all’attaccante di rientrare nella rete in un secondo momento, bypassando le difese principali. Può trattarsi di un account utente con privilegi elevati creato di nascosto, un piccolo software che si connette a un server esterno, o un task schedulato che riapre una porta sul firewall. Gli aggressori lasciano queste porte aperte per diversi motivi: per lanciare un secondo attacco, per vendere l’accesso ad altri gruppi criminali o per spiare l’azienda nel tempo. Questo spiega perché, come evidenziato da diverse analisi, circa il 43% delle PMI che subiscono attacchi informatici ne diventa vittima ripetutamente.
Il firewall standard è completamente inefficace nell’individuare queste attività. Un NGFW, al contrario, offre strumenti essenziali per la caccia alle backdoor. Grazie a funzionalità come l’egress filtering (controllo del traffico in uscita), può rilevare e bloccare connessioni anomale dai server interni verso indirizzi IP sospetti su Internet. I suoi sistemi IPS possono identificare comportamenti tipici delle backdoor, come l’uso di protocolli non standard o tentativi di comunicazione verso server di comando e controllo noti. L’analisi dei log, molto più dettagliata, permette di ricostruire l’accaduto e identificare tutte le azioni compiute dall’attaccante una volta entrato, facilitando la bonifica completa del sistema.
Da ricordare
- L’ispezione del traffico crittografato (HTTPS) è un requisito non negoziabile per bloccare il malware moderno.
- Le porte di accesso remoto come RDP devono essere sempre protette tramite VPN con autenticazione a più fattori, mai esposte direttamente su Internet.
- La segmentazione della rete, isolando ad esempio il Wi-Fi per gli ospiti, è un principio fondamentale per limitare la propagazione di eventuali attacchi.
Next Generation Firewall: come bloccare Facebook e YouTube solo a specifici reparti?
Oltre a bloccare le minacce esterne, un aspetto cruciale della sicurezza e della produttività aziendale è la gestione dell’uso delle applicazioni. Piattaforme come Facebook, YouTube o servizi di file-sharing come WeTransfer possono essere strumenti di lavoro utili per alcuni reparti (es. marketing) ma rappresentare una distrazione o un rischio per la sicurezza per altri (es. amministrazione).
Un firewall standard non ha la capacità di distinguere tra i diversi tipi di traffico web. Per lui, una connessione a Facebook è identica a una verso il sito istituzionale dell’Agenzia delle Entrate: è solo traffico sulla porta 443 (HTTPS). Tentare di bloccare questi servizi basandosi sugli indirizzi IP è una battaglia persa, poiché cambiano continuamente.
Molti attacchi di phishing vengono veicolati tramite messaggi sui social media. Limitare l’accesso a queste piattaforme per i reparti non autorizzati riduce la superficie d’attacco complessiva dell’azienda.
– Gabriele Faggioli, Presidente Clusit – Rapporto 2024
I Next Generation Firewall risolvono questo problema grazie alla funzionalità di Application Control. Questi sistemi sono in grado di identificare e classificare migliaia di applicazioni indipendentemente dalla porta o dal protocollo utilizzato. Questo permette all’amministratore IT di creare policy estremamente granulari. Ad esempio, è possibile:
- Consentire l’accesso a Facebook solo al reparto marketing.
- Bloccare YouTube per tutti, tranne che per la postazione dedicata alla formazione.
- Limitare la banda utilizzata dai servizi di streaming per non impattare sulle applicazioni critiche.
- Impedire l’uso di software di peer-to-peer (es. BitTorrent) che possono veicolare malware e creare problemi legali.
Caso d’uso: visibilità e controllo con l’Application Control
Con la funzionalità di Application Control, i firewall XGS offrono una visibilità completa e in tempo reale su quali applicazioni stanno transitando sulla rete aziendale. Gli amministratori non solo possono vedere quali utenti usano quali servizi, ma possono anche agire immediatamente per bloccare o limitare l’uso di applicazioni non autorizzate, potenzialmente rischiose o che consumano troppa banda, garantendo che le risorse di rete siano sempre disponibili per le attività di business prioritarie.
Questo livello di controllo non è un lusso, ma una necessità per bilanciare produttività e sicurezza. Dimostra il passaggio da una sicurezza “binaria” (blocca/non blocca) a una sicurezza “intelligente” e contestualizzata, che si adatta alle reali dinamiche operative dell’azienda.
Per proteggere concretamente e in modo proattivo la vostra PMI, il prossimo passo consiste nel valutare una soluzione NGFW che permetta un controllo granulare, un’ispezione profonda del traffico e una gestione intelligente delle applicazioni, trasformando la sicurezza perimetrale da un costo passivo a un vantaggio strategico.