Pianificare la sicurezza a lungo termine e proteggere chi lavora da remoto dalle vulnerabilità del software

Cobalt Strike: il tool preferito dai cyber criminali

Per i team IT che si preparavano ad affrontare al meglio il 2020, l’attenzione si sarebbe dovuta concentrare sui progetti di trasformazione digitale e su come i cambiamenti dettati da cloud e software avrebbero potuto supportare i progetti. In pochi mesi, lo scenario è cambiato radicalmente e le aziende hanno dovuto trovare un modo per impostare il lavoro da remoto e per identificare gli interventi necessari per il futuro. Sia i dipendenti che i team di sicurezza si sono trovati a operare a distanza senza poter lavorare insieme direttamente nella stessa sede.

A causa del coronavirus – o COVID-19 per essere precisi – molti reparti IT hanno dovuto prendere atto che le priorità delle loro aziende sono cambiate in modo significativo. Per essere di effettivo supporto, i team di sicurezza IT devono oggi essere in grado di fornire assistenza al lavoro a distanza, mantenendo le attività il più possibile operative. Questo scenario richiede risorse informatiche aggiornate e sicure anche quando l’IT ha un minore controllo e non può intervenire fisicamente sui dispositivi coinvolti.

Allo stesso tempo, le aziende possono cogliere l’occasione per guardare allo smart working come a un’opportunità che renda le persone più produttive e più soddisfatte del proprio ruolo, piuttosto che replicare semplicemente la loro funzione aziendale a casa.

Prepararsi allo smart working e alla sicurezza

Per lavorare a distanza, i dipendenti possono dover utilizzare i propri dispositivi oppure PC forniti dall’azienda. Devono avere un accesso a Internet per potersi collegare alle applicazioni o ai servizi di cui hanno bisogno. E devono essere tenuti al sicuro, in modo che le informazioni che creano o a cui accedono non possano essere accessibili a persone non autorizzate.

Questi tre principi potrebbero sembrare ovvi, ma sono tutti necessari per rendere fattibile il lavoro a distanza. Mentre fornire i dispositivi e l’accesso a Internet è relativamente semplice, la messa in sicurezza soprattutto dei dispositivi personali può essere più insidiosa. In preparazione a qualsiasi attività di lavoro a distanza, i team IT dovranno mantenere i dispositivi perfettamente aggiornati, oltre ad implementare soluzioni di sicurezza standard come i gateway VPN e i software anti-malware.

Tuttavia, l’insorgenza del coronavirus implica due importanti cambiamenti. In primo luogo, questi asset si ritrovano all’esterno della rete aziendale. Ciò significa che i computer portatili e altri device non beneficiano più del firewall aziendale o di altre tecnologie di sicurezza perimetrale che sono state implementate a livello centrale; diventa quindi importante capirne lo stato e rafforzarne la postura di sicurezza.

In secondo luogo, alcuni di questi dispositivi non sono gestiti direttamente in rete dal team IT, ma dipendono invece dal fatto che gli utenti seguano i protocolli di sicurezza e si assicurino che gli aggiornamenti siano installati quando e come necessario. Il problema più grande diventa l’identificazione e controllo dei dispositivi che si connettono alla rete, le loro vulnerabilità e, cosa importante, il processo di patching di centinaia di migliaia di endpoint remoti attraverso le Reti Virtuali Private e la limitata larghezza di banda della rete. Gestire e far rispettare tutto questo è più facile a dirsi che a farsi. Quando sorgono problemi, il personale IT non può intervenire fisicamente sul pc come avrebbe fatto normalmente.

Gestione delle vulnerabilità nel tempo

La sfida sulle vulnerabilità del software è che sono in costante aumento, ogni giorno. Dai più grandi bug nei componenti del sistema operativo che possono interessare tutti, fino a problemi specifici e seri in applicazioni di nicchia, il numero delle vulnerabilità continua a crescere. Ai problemi presenti nei programmi più vecchi se ne aggiungono di nuovi provenienti da applicazioni moderne: il problema è tenere il passo con tutte queste patch.

Le grandi aziende IT come Microsoft e Adobe rilasciano le loro patch ogni mese per facilitare il compito. La raccolta mensile delle patch dovrebbe facilitare i team IT nel testare gli eventuali aggiornamenti e poi assicurarsi che siano installati. Tuttavia, questo modello funziona meglio quando l’IT ha il pieno controllo della rete e del dispositivo. In un contesto come questo si ha il tempo di effettuare test per verificare che le nuove patch non vadano in conflitto con altre componenti software, perché i dispositivi vulnerabili hanno una protezione di base assicurata dai sistemi di sicurezza perimetrali aziendali. Permette inoltre all’IT di verificare che gli aggiornamenti siano stati installati con successo e di intervenire dove non lo sono.

Nella situazione attuale questo processo non è altrettanto semplice. Per i dispositivi di proprietà dei dipendenti, imporre livelli di sicurezza per consentire l’accesso è un passaggio che deve essere gestito con attenzione. Per i dispositivi aziendali, che sono ora al di fuori della rete aziendale, ottenere informazioni su ciò che viene installato e aggiornato è abbastanza complesso. Inoltre, questi endpoint potrebbero non avere lo stesso grado di protezione contro eventuali attacchi.

In questa situazione, i dispositivi aggiornati dal team IT prima del grande passaggio al lavoro a distanza dovrebbero essere sicuri. Ciò non toglie che col passare del tempo il livello di sicurezza non si deteriori, dato che gli aggiornamenti dovranno essere effettuati dagli utenti stessi o dall’IT su loro richiesta. Al tempo stesso l’IT potrebbe trovare più difficile avere quella “visibilità e coscienza” su aggiornamenti e potenziali vulnerabilità se i dispositivi sono sparsi in centinaia o migliaia di postazioni differenti nelle case degli utenti.

Eppure, riuscire a recuperare questa visibilità è di fondamentale importanza. Utilizzando i servizi cloud, i team IT dovrebbero essere in grado di visualizzare lo stato attuale di ogni macchina in uso ai dipendenti. Questo dovrebbe fornire una visione d’insieme di tutte le nuove vulnerabilità che vengono scoperte, e quindi mostrare tutte le risorse che si adattano allo stesso profilo. Analogamente, lo stesso approccio dovrebbe aiutare il team IT ad automatizzare il processo di patch in modo che i dispositivi ricevano automaticamente gli aggiornamenti e siano protetti nel tempo. Infine, l’IT dovrebbe essere in grado di mettere insieme le proprie regole sul patching e sulla definizione delle priorità, in modo che i nuovi problemi vengano classificati in base alla loro gravità, al rischio e al potenziale valore per i malintenzionati.

Seguendo questo modello, ogni attività di patching dovrà essere effettuata a distanza. Anziché fare affidamento sugli utenti e sulle loro capacità tecniche, le patch dovrebbero essere controllate e gestite a livello centrale in modo che i team IT possano monitorarne l’implementazione. Questo approccio garantisce che la conformità e la sicurezza rimangano costanti, consentendo alle aziende di applicare le patch quando vengono scoperte nuove minacce in-the-wild che altrimenti metterebbero a repentaglio le risorse e i dati dell’azienda.

Mettere in sicurezza l’azienda come prima

La sfida più grande per la sicurezza non è solo la configurazione del lavoro a distanza oggi, ma prevedere ciò che accadrà nelle prossime settimane e nei prossimi mesi. Supportare lo smart working significa ottenere lo stesso grado di conoscenza di tutte le risorse e di tutti i dispositivi di un’azienda nel corso del tempo, così come avviene sulla rete aziendale. Diversamente è impossibile mantenere il necessario grado di controllo e sicurezza.

Per lo smart working, questi processi possono essere snelliti e migliorati in modo che l’operatività sia più semplice e senza traumi. Gli strumenti online possono essere utilizzati per replicare l’ambiente operativo aziendale, rimuovere i problemi laddove possibile e mantenere sicuro l’intero processo. Va anche detto che alcuni lavoratori da remoto avranno bisogno di maggiore cura e supporto per mantenere i loro sistemi protetti.

È invece essenziale guardare a come comprendere le potenziali vulnerabilità man mano che si sviluppano, capire come possano essere corrette e come gestire la risposta per tutta l’azienda nel suo complesso. Questo nuovo approccio è necessario per mantenere sicuro il lavoro a distanza, rendendo l’ambiente di lavoro il più vicino possibile a quello aziendale.

A cura di Marco Rottigni, CTSO EMEA di Qualys