Quali strumenti di sicurezza funzionano in reti isolate senza accesso a internet? La risposta pratica e piu stretta di quanto suggeriscano la maggior parte delle pagine prodotto. Alcuni strumenti continuano a funzionare interamente in locale. Altri reggono solo se riesci a far passare update, licenze o pacchetti di plugin oltre il confine. Altri ancora smettono di adattarsi non appena l'ambiente non puo piu raggiungere un cloud control plane, un feed live o una API esposta su Internet.
Questo articolo resta nel perimetro delle reti aziendali isolate con un modello operativo centrato su Active Directory e Windows. Non prova a coprire programmi di sicurezza OT o ICS. Se la tua domanda principale resta come auditare l'ambiente in se, usa Audit di sicurezza di una rete air-gapped come guida process-first e Come auditare Active Directory in un ambiente air-gapped come deep dive AD. L'obiettivo qui e diverso: quali strumenti e quali workflow restano realistici quando l'accesso a Internet e assente, fortemente mediato da broker, oppure possibile solo tramite trasferimenti offline controllati.
Quali strumenti di sicurezza funzionano in reti isolate senza accesso a internet?
Uno strumento dovrebbe contare come utilizzabile senza accesso a Internet solo se la sua funzione principale di sicurezza puo ancora essere eseguita dentro il perimetro e se le dipendenze residue sono esplicite. In pratica, questo significa rispondere prima a quattro domande:
| Domanda | Perche conta in una rete isolata |
|---|---|
| Lo strumento puo raccogliere o analizzare dati localmente? | Se la raccolta richiede un cloud control plane, non rientra in un vero air gap. |
| Ha bisogno di feed live oppure puo lavorare con staged offline updates? | Alcuni strumenti restano utili, ma solo con un workflow di trasferimento disciplinato. |
| Si puo eseguire di nuovo dopo la remediation dallo stesso lato del confine? | Una scansione una tantum e piu debole di un modello stabile di rerun locale. |
| Lo strumento mantiene le evidenze dentro l'ambiente quando serve? | Nelle reti isolate, l'uscita dei dati e spesso una superficie di controllo, non una comodita. |
Questa distinzione conta perche molti ambienti descritti come offline in realta sono solo logicamente isolati o dipendono da bastion, broker o percorsi manuali di trasferimento. La implementation guidance del BOD 23-01 di CISA resta il promemoria ufficiale piu chiaro: un ambiente fisicamente air-gapped non e la stessa cosa di uno semplicemente isolato. Uno strumento che funziona con import staged attraverso un confine di trasferimento non e la stessa cosa di uno strumento che funziona senza alcuna dipendenza esterna.
Inizia separando i workflow local-only dagli strumenti cloud-dependent
Il modo piu pulito di valutare gli strumenti in un ambiente isolato e separare tre modelli.
| Modello di strumento | Cosa continua a funzionare | Vincolo principale |
|---|---|---|
| Workflow local-only | Raccolta e revisione avvengono interamente dentro il perimetro. | Servono comunque fonti di evidenza locali sufficienti e capacita operative per interpretarle. |
| Offline-capable con staged updates | Lo strumento gira localmente, ma firme, plugin, licenze o cataloghi devono essere importati manualmente. | La freschezza operativa dipende dal processo di trasferimento, non solo dallo strumento. |
| Cloud-dependent | Il prodotto presuppone un SaaS control plane, API raggiungibili via Internet o contenuti online continui. | In un vero air gap smette in genere di adattarsi, anche se l'installer puo girare in locale. |
Questa e la cornice per il resto dell'articolo. La domanda non e se un vendor dice che il software puo essere installato su un host Windows. La domanda e se il valore di sicurezza resta in piedi quando non c'e alcun accesso diretto a Internet e nessun percorso di eccezione invisibile che faccia il lavoro reale.
Gli strumenti nativi di Windows e Active Directory continuano a funzionare offline
Il punto di partenza piu affidabile in una rete aziendale isolata resta il modello nativo di evidenza di Windows e Active Directory.
La documentazione Microsoft e le Open Specifications rendono esplicito il punto chiave: dati di directory, metadati di Group Policy, file di policy memorizzati in SYSVOL, log di eventi locali e Windows Event Forwarding non hanno bisogno di Internet per esistere o per essere esaminati. Questo significa che un workflow locale serio puo ancora basarsi su:
- query LDAP o LDAPS per utenti, gruppi, deleghe, trust e attributi rilevanti per i privilegi
- una revisione di Group Policy che copra sia i metadati di AD sia il contenuto delle policy portato da SYSVOL
- log di eventi locali piu WEF/WEC per centralizzare le evidenze dentro il perimetro
- PowerShell locale per configurazione host, postura dei protocolli e validazione dei controlli
- scansione offline di Windows Update Agent con
Wsusscn2.cabper rilevare update di sicurezza Microsoft mancanti
Il limite e che gli strumenti nativi ti forniscono fonti di evidenza, non un programma di sicurezza chiavi in mano. WEF/WEC aiuta a inoltrare cio che esiste gia, ma Microsoft documenta esplicitamente che il meccanismo resta passivo rispetto alla generazione di eventi, alla dimensione dei log, ai canali disabilitati e alla audit policy. Allo stesso modo, la scansione offline di WUA puo segnalare update di sicurezza Microsoft mancanti, ma non sostituisce un workflow connesso di vulnerability intelligence.
Per questo gli strumenti nativi compaiono nella prima riga della matrice sotto. Sono la base offline piu difendibile, ma non sono la risposta completa da soli.
Strumenti di valutazione point-in-time che possono girare in reti isolate
Due strumenti centrati su AD restano citabili qui in modo corretto, perche il loro comportamento offline o disconnesso e documentato ufficialmente e perche il loro ruolo e piu ristretto di quello di una piattaforma cloud di sicurezza.
PingCastle
PingCastle e uno degli esempi piu chiari di strumento che continua ad adattarsi a reti isolate, perche la documentazione ufficiale descrive esplicitamente diversi pattern di deployment disconnessi. Health Check e il report predefinito. La documentazione Deploy copre domini senza connessione di rete, raccolta tramite bastion, pianificazione settimanale e trasferimento cifrato dei report su canali non affidabili. La documentazione Consolidation copre il raggruppamento di piu report in una vista di livello superiore.
Questo rende PingCastle un'opzione realistica di valutazione AD point-in-time quando il requisito e:
- solo Active Directory on-prem
- un report locale HTML-first
- esecuzione da ogni dominio o da un bastion
- un modello praticabile di raccolta dei report anche quando la centralizzazione e scomoda
E un buon fit per scorecard AD offline. Non e una piattaforma generale di sicurezza offline e non risolve update intelligence, identita ibrida o ampia visibilita di host e rete fuori dal suo modello orientato ad AD.
Purple Knight
Purple Knight resta anch'esso rilevante, ma solo se descritto con precisione.
Semperis dichiara nella FAQ ufficiale che Purple Knight e software installato, che non apporta modifiche ad Active Directory, che richiede la possibilita di eseguire script PowerShell, che usa query LDAP su RPC per alcune scansioni di vulnerabilita e che non possiede capacita di phone-home. La stessa FAQ dichiara inoltre che fornisce una scorecard point-in-time e che il report include indicatori analizzati, stato pass/fail, mapping MITRE ATT&CK e guida alla remediation.
Questo rende Purple Knight utilizzabile per una valutazione di AD on-prem in un ambiente Windows-centric isolato quando vuoi uno strumento di valutazione installato localmente, e non un cloud control plane. Ma Purple Knight e anche posizionato da Semperis come prodotto di valutazione AD e Entra. La FAQ ufficiale spiega che la valutazione di Entra richiede una app registration e permessi Microsoft Graph.
ℹ️ Inferenza documentata dalle fonti ufficiali: Purple Knight resta valido per rivedere AD on-prem dentro una rete isolata, ma la parte Entra esce dal perimetro di un ambiente davvero senza Internet perche la connettivita Microsoft Graph si trova fuori da quel confine.
Questo caveat conta. Purple Knight appartiene a questo articolo per il lato AD, non come affermazione generale secondo cui tutto il suo perimetro ibrido continuerebbe a funzionare in un vero air gap.
Scanner di vulnerabilita che continuano a funzionare con staged offline updates
L'esempio di scanner piu difendibile qui e Tenable Nessus in offline mode, perche Tenable documenta il workflow in modo esplicito.
La documentazione ufficiale di Tenable afferma che Nessus puo essere impostato in offline mode e raccomanda questa modalita per scanner offline o air-gapped. La stessa documentazione afferma anche che l'offline mode disabilita le funzioni che richiedono connessione al feed di Nessus, inclusi core e plugin updates, feed status updates, collegamento a Tenable Vulnerability Management e altre funzioni dell'applicazione.
Il punto operativo importante e che offline-capable non significa self-sufficient. La documentazione Tenable su installazione e aggiornamenti offline chiarisce che:
- la registrazione offline e un processo separato
- un sistema di supporto connesso a Internet viene usato per ottenere gli artefatti necessari
- i pacchetti dei plugin devono essere trasferiti manualmente
- la freschezza dello scanner dipende da quanto bene viene gestito quel processo di trasferimento
Questo lascia comunque Nessus come voce valida in un articolo tools-first sulle reti isolate. Non lo rende semplice. In un vero air gap, lo scanner e aggiornato solo quanto il percorso di staged updates che lo alimenta.
Cosa di solito si rompe in un vero air gap
Alcune categorie di strumenti smettono in genere di adattarsi nel momento in cui l'ambiente non riesce piu a raggiungere Internet o una API esterna approvata.
- prodotti SaaS-only il cui modello principale di analisi, policy o evidenza vive in un control plane remoto
- prodotti che richiedono aggiornamento continuo di firme, reputazione o threat intelligence senza un percorso documentato di import offline
- strumenti che possono essere installati localmente ma continuano comunque a presupporre registrazione del tenant, accesso ad API cloud o correlazione via Internet per fornire il loro valore principale
- ecosistemi di agenti in cui versionamento, sincronizzazione delle policy o analitica degradano in modo netto non appena l'ambiente perde la connettivita online
E qui che i team perdono tempo. Una demo di prodotto puo sembrare abbastanza locale fino a quando non si mappa la catena nascosta di dipendenze: registrazione, controlli di licenza, feed di plugin, accesso Graph, scoring cloud oppure aiuto e aggiornamenti serviti dal web. Negli ambienti isolati, queste dipendenze fanno parte della revisione di disegno, non del rumore di fondo.
Matrice breve: strumenti di sicurezza per reti isolate senza accesso a internet
| Strumento o workflow | Funziona senza Internet? | Cosa serve ancora | Miglior fit | Dove si rompe in un vero air gap |
|---|---|---|---|---|
| Native Windows / AD tooling | Si | Capacita operativa, accesso locale alla raccolta e un modello di evidenza disciplinato | Revisione locale di base di AD, GPO, log, WEF/WEC, PowerShell e scansione WUA offline | Non fornisce da solo un programma di sicurezza confezionato. |
| PingCastle | Si, per valutazione AD | Connettivita AD, un punto di esecuzione locale o bastion e raccolta dei report | Health check AD point-in-time in ambienti disconnessi o difficili da centralizzare | Resta stretto: focalizzato su AD, HTML-first e non un workflow completo di identita ibrida o vulnerability intelligence. |
| Purple Knight | Si, per valutazione AD on-prem | Esecuzione locale, PowerShell e LDAP su RPC per alcune scansioni | Valutazione AD locale rapida con remediation a livello di indicatore | La parte Entra dipende da Microsoft Graph, quindi il perimetro ibrido non regge in un vero air gap. |
| Tenable Nessus Offline Mode | Si, a condizioni | Registrazione offline e trasferimento manuale di plugin e artefatti | Vulnerability scanning locale quando un processo di staged updates e gia stato accettato | Perde la comodita dipendente dal feed e diventa operativamente pesante se gli update offline non sono mantenuti bene. |
| ETC Collector standalone | Si | Deployment locale, accesso read-only e lo stesso workflow di rerun dentro il perimetro dopo le remediation | Revisioni di sicurezza repeatable tramite raccolta locale e rerun in ambienti aziendali prudenti o isolati | Non e pensato per sostituire ogni fonte di intelligence connessa; e piu forte quando contano soprattutto evidenze locali e rerun repeatable. |
Il punto di questa matrice non e dichiarare un vincitore. Serve a separare gli strumenti che restano operativamente onesti offline da quelli che sembrano offline solo finche non viene esaminata la loro catena di dipendenze.
Come scegliere il mix giusto per una rete aziendale isolata
Un buon stack di strumenti per una rete isolata e di solito un mix, non un singolo prodotto.
- Parti dalle fonti locali di evidenza che continuano a funzionare nativamente: dati AD, SYSVOL, log locali, WEF/WEC e revisione della configurazione host.
- Aggiungi uno strumento di valutazione AD point-in-time se hai bisogno di una vista piu rapida su privilegi e policy. PingCastle e Purple Knight sono entrambi validi, ma per motivi diversi.
- Aggiungi uno scanner offline-capable solo se l'organizzazione e pronta a mantenere correttamente il percorso di staged updates. In caso contrario, l'output dello scanner invecchiera piu rapidamente dell'ambiente.
- Preferisci strumenti che puoi rerun localmente dopo le remediation dallo stesso lato del confine. Conta piu questo dell'aspetto piu o meno raffinato del primo dashboard.
- Tieni fuori scope i prodotti cloud-dependent, a meno che l'ambiente non sia solo logicamente isolato e che il percorso di dipendenza sia approvato e documentato formalmente.
E qui che restano utili anche gli articoli di approfondimento. Usa Come auditare la sicurezza di Active Directory per la sequenza di revisione, Audit ricorrente di Active Directory per la logica di rerun, Windows LAPS non distribuito quando la riutilizzazione di admin locali esiste ancora, e Firma SMB disabilitata quando il rischio di movimento laterale continua a essere modellato dalla postura dei protocolli.
Se AD CS e presente nell'ambiente isolato, l'esposizione dei certificati continua ad appartenere allo stesso primo livello di review anche se qui non e il tema principale. Usa ADCS certificate template attacks per quel percorso.
Come EtcSec si inserisce nei workflow di sicurezza offline
Per questo caso d'uso, l'unico claim di prodotto che conta davvero e il modello di deployment e raccolta.
Il materiale ufficiale del collector di EtcSec descrive un collector read-only che puo funzionare in modalita standalone completamente locale. In questo modello, GUI e API REST restano locali, i dati restano locali e la raccolta puo continuare a coprire evidenze di Active Directory tramite LDAP o LDAPS e SYSVOL. Questo e il confine di prodotto corretto da enfatizzare in una rete isolata, perche corrisponde alla restrizione reale: raccolta locale e rerun locali contano piu della comodita cloud.
Se hai bisogno del quadro processuale piu ampio, usa Audit di sicurezza di una rete air-gapped. Se hai bisogno del quadro piu ampio di valutazione degli strumenti, usa Confronto tra strumenti di audit AD. Se hai bisogno del dettaglio di deployment del modello di collector locale in se, usa ETC Collector.
L'incastro pratico e semplice: EtcSec ha senso in questa discussione quando il requisito e raccolta locale read-only repeatable e revisione basata su rerun dentro lo stesso confine di fiducia, non quando il team vuole solo una singola istantanea.
Riferimenti primari
- CISA: BOD 23-01 Implementation Guidance
- Microsoft Learn: Use Windows Event Forwarding to help with intrusion detection
- Microsoft Learn: Using WUA to Scan for Updates Offline
- Microsoft Open Specifications: MS-ADOD
- Microsoft Open Specifications: MS-GPOD Group Policy Structure
- PingCastle Documentation
- PingCastle Health Check
- PingCastle Deploy
- PingCastle Consolidation
- Semperis: Purple Knight FAQ
- Semperis: Active Directory Security Assessment | Purple Knight
- Tenable Nessus: Offline Mode
- Tenable Nessus: Install Tenable Nessus Offline
- Tenable Nessus: Update Plugins Offline
- ETC Collector
- ANSSI: Recommandations pour l'administration securisee des SI reposant sur AD
