L’attuale crisi globale ha accelerato il processo di normalizzazione del lavoro da remoto che sta lentamente assumendo un ruolo centrale nella vita di molti di lavoratori. Da tempo le VPN vengono considerate una garanzia di sicurezza per l’accesso remoto alle risorse aziendali e, pur essendo piuttosto popolari, non sempre garantiscono l’affidabilità richiesta dalle nuove dinamiche di lavoro che stiamo vivendo.
Basare la propria sicurezza su una VPN è come andare a lavorare con un solo martello nella vostra cassetta degli attrezzi, e con il passare del tempo sta diventando fondamentale tenere in considerazione altri strumenti per lavorare in totale sicurezza da remoto. Le nuove modalità di lavoro hanno fatto emergere i limiti delle VPN tradizionali, rendendo chiara a tutti la necessità di un nuovo approccio per rendere sicuro l’accesso remoto.
Quando il tecnico suona alla porta per effettuare una riparazione, i proprietari di casa più attenti non si limitano a dargli in mano le chiavi di casa dicendo: “La cucina si trova dietro la prima porta a sinistra, vai pure e buon lavoro” per poi abbandonare l’abitazione. Un proprietario responsabile rimane in casa per supervisionare il tecnico e controllare che stia facendo il suo lavoro e si guarda bene dal farlo circolare liberamente in tutte le stanze.
Purtroppo, quando si tratta di sicurezza aziendale, questo è esattamente ciò che accade: una rete virtuale privata (VPN), tecnologia standard utilizzata da molte aziende per garantire ai dipendenti l'accesso remoto alle risorse interne, permette di ottenere le chiavi di casa e, una volta effettuato l'accesso, consente di vagare liberamente al suo interno. Inoltre, durante la crisi attuale, molti gateway VPN funzionano a rilento per via dell’enorme aumento di traffico che si è verificato di recente.
La necessità di instradare tutto il traffico sul data center aziendale aggiunge una notevole latenza e compromette la qualità dei servizi sensibili ai fattori temporali, come ad esempio le videoconferenze. Tuttavia, molti dei meccanismi studiati per evitare queste dinamiche rendono le VPN complesse e costose da gestire.
Cosa si rischia a fidarsi troppo
Anche se concedere l'accesso illimitato alle risorse aziendali ai dipendenti che si connettono tramite VPN è sempre stato rischioso, oggi i rischi sono aumentati esponenzialmente. Se l’azienda è in grado di controllare e verificare tutto l’ecosistema end-to-end, l’uso della VPN rappresenta un’ottima alternativa, ma se non soddisfa questi requisiti rischia di perdere il controllo sulla propria rete. Quando si verificano queste condizioni, un malintenzionato dispone di più opzioni d’attacco: ottenendo le credenziali di un dipendente che lavora da remoto, o l’accesso a un dispositivo non protetto nella rete aziendale, una classica VPN può garantire il libero accesso alla rete aziendale. Una volta entrato, il malintenzionato può cercare informazioni sensibili e installare un malware per estrarre dati, o una backdoor per accedere alla rete in un secondo momento.
I sistemi “trust” coinvolgono altri elementi oltre al canale VPN. Dato che l’endpoint è a tutti gli effetti parte della rete, c’è bisogno di verifiche costanti effettuate tramite appositi strumenti di sicurezza come firewall, IDS/IPS, AV tools e via dicendo. Questo aumenta inevitabilmente la complessità di gestione della rete, provocando dei rischi legati all'elevato numero di strumenti da monitorare.
Ovviamente deve esserci una soluzione. E infatti c’è: si chiama ‘zero-trust.’ Questo nuovo approccio alla sicurezza aziendale unisce metodi di IT security e studio del comportamento tramite Machine Learning . Il metodo Zero-trust segue questo principio: mai fidarsi, verificare sempre. Nessun utente o dispositivo viene considerato “affidabile”, indipendentemente dal fatto che acceda alle risorse dall’interno o dall’esterno della rete. Il primo step consiste nel verificare l'identità di ogni utente, idealmente applicando più metodi di autenticazione. Un buon modo per farlo è fornire ai dipendenti e collaboratori dei token tramite apposite applicazioni o sotto forma di hardware.
I dispositivi che si collegano alla rete vanno ispezionati altrettanto accuratamente, per esempio verificandone la proprietà (dispositivi aziendali o privati) e il livello di aggiornamento software. Al contempo i dati aziendali sono protetti limitando l’accesso alle risorse necessarie in base al ruolo ricoperto dall’utente.
Soluzioni Zero-trust
Le odierne soluzioni zero-trust utilizzano il machine learning (ML) per monitorare costantemente le attività degli utenti e dell’endpoint confrontandoli con modelli comportamentali e politiche aziendali. Questo consente ai team di sicurezza di rilevare velocemente le attività anomale, gli account compromessi e le minacce interne. Segnalando le attività sospette in tempo reale, lo zero-trust permette di rispondere in modo rapido e localizzato. Così facendo si riducono nettamente le tempistiche necessarie all’intervento e all’eliminazione dei malintenzionati che effettuano l’accesso alla rete.
Un approccio Zero-trust permette alle aziende di tenere il passo con le moderne tattiche dei cybercriminali, indipendentemente da dove si trovino e da quali dispositivi stiano utilizzando. Questo lo rende perfetto per la situazione attuale in cui, anche a causa della crisi globale, il lavoro da remoto è divenuto la nuova normalità.
Per riprendere la metafora utilizzata in precedenza, gli ambienti IT Zero-trust non si limitano ad accertarsi che le aziende non diano la chiave di casa al primo tecnico o visitatore che suona al campanello, ma ne verificano l’identità tramite un documento identificativo e domandano il motivo per cui si trova in un determinato spazio. Una volta identificato, tutte le altre porte di casa vengono chiuse e, se dovessero verificarsi comportamenti sospetti durante i lavori, il sistema avvertirebbe immediatamente il proprietario di casa. In questo modo le aziende possono monitorare costantemente utenti e dispositivi riducendo drasticamente le possibilità di attacco. Al contempo gli impiegati sono in grado di accedere alle risorse aziendali in modo sicuro, quando e dove vogliono.
- Darren Fields è Vice Presidente della divisione Cloud Networking EMEA presso Citrix.
