La crisi che stiamo affrontando ha evidenziato come vi siano aree che possono permettere di aumentare la resilienza e la produttività delle attività aziendali attraverso un approccio al lavoro che consenta anche lavoro remoto e smart working.
Dover consentire l’accesso ai dati aziendali a un numero elevato di soggetti che si collegano da remoto alla propria LAN/WAN prevede anche la gestione di un numero elevato di punti di rischio con motivazioni differenti, quali la volontà dei cybecriminali di sfruttare questo nuovo scenario, la scarsa consapevolezza degli utenti e la mancata adeguatezza delle infrastrutture di protezione e controllo aziendale.
Per affrontare con successo queste problematiche occorre quindi diminuire il livello di rischio con soluzioni cost-effective dal punto di vista della implementazione e della gestione e manutenzione.
Accesso remoto ed esigenza di un approccio Zero Trust
Solitamente in una LAN esistono soluzioni che implementano un certo livello di sicurezza per proteggere le risorse interne tramite:
- Gateway che controllano le comunicazioni su internet (Firewall, NGFW, Security Proxy, Email Security Gateway)
- Device/servizi che controllano lo stato interno della rete (ad esempio IPS/IDS, NAC, IAC/IAM)
Gli accessi remoti complicano la questione in quanto aggiungono nodi alla rete che si trovano al di fuori del perimetro protetto, ma che hanno una loro specifica esposizione al rischio e un accesso spesso indifferenziato alle risorse aziendali come se provenissero da nodi interni.
Questi accessi sono solitamente risolti tramite la tecnologia VPN, la cui sicurezza consiste proprio nel fatto che i pacchetti in transito non siano leggibili da nessuno se non dal destinatario, con un minimo controllo sulla esposizione al rischio del nodo esterno.
Il dispositivo utilizzato (pc, smartphone, tablet, router domestico o qualsiasi altro device) ha una esposizione al rischio diversa dalla rete LAN, maggiormente controllata, diventa quindi fondamentale limitare gli accessi alle sole risorse che l’utente deve poter raggiungere per contenere i rischi di compromissione.
Visibilità su servizi e accessi
Una volta connessi alla rete occorre quindi verificare un punto fondamentale: l’utente può accedere alle risorse necessarie? L’accesso alle altre risorse viene bloccato?
Questo elemento è solitamente il più critico della configurazione. La tendenza in fase emergenziale è quella di dare a tutti accesso illimitato alla rete, e questo perché configurare limitazioni di accesso dalla VPN uguali per tutti, con utenti che accedono, più o meno ovunque, è più semplice che dover intervenire con configurazioni spesso molto complesse legate a tecnologie disomogenee, magari diverse da data center a data center.
Purtroppo, in questo modo si espone la rete aziendale a un maggior rischio di compromissione e a un controllo inferiore. Occorre quindi affrontare il duplice problema di fornire accesso alle sole risorse necessarie, riconoscendo e monitorando l’attività degli utenti.
Questo tipo di problematiche è stato affrontato una decina di anni fa da Forrester (nel 2010) con la introduzione del concetto di Zero Trust.
Le componenti di un approccio Zero Trust sono fondamentalmente due, microsegmentazione e next generation access control:
- La segmentazione definisce la modalità di fornire agli utenti unicamente l’accesso alle applicazioni di cui hanno bisogno, e non a grandi parti dell’infrastruttura di rete
- Next Generation Access Control si riferisce al fatto che non dovremmo solo autenticare gli utenti sulla connessione, ma anche continuare a verificare la loro identità e applicare i loro criteri per tutta la sessione dell’applicazione.
L’applicazione di entrambe queste componenti può consentire alle organizzazioni di elevare la propria sicurezza a un livello superiore, andando a superare tutti i limiti dei modelli di sicurezza tradizionali.
Grazie alla microsegmentazione e al controllo continuato degli accessi, anche all’interno dell’infrastruttura, si ha la possibilità di evidenziare rapidamente ogni tipo di anomalia e quindi sventare sul nascere ogni possibile minaccia, anche quando viene portata dall’interno, e quindi è per sua natura più insidiosa.
La microsegmentazione in sé è molto complessa da gestire per le grandi organizzazioni che necessitano di svariati profili di accesso ed è resource-consuming sui terminatori di VPN tradizionali (tipicamente i Firewall).
Associata invece a un approccio Zero Trust, aiuta le organizzazioni a implementare policy granulari di controllo degli accessi nei propri data center, interni e cloud, migliorando così funzionalità ed efficacia dei propri processi di sicurezza, riducendo la complessità degli stack tecnologici e di conseguenza il possibile impatto della carenza di competenze specialistiche, al tempo stesso migliorando user experience e flusso dei processi interni.
A cura di Luca Maiocchi, Country Manager Italy @ Proofpoint
