Le VPN sono ormai ovunque: si tratta di una tecnologia su cui facciamo affidamento da molti anni per assicurare la resilienza del perimetro aziendale “esteso”.
Ma siamo veramente sicuri che queste ormai soddisfino tutti i requisiti che pretende il mondo del business odierno? Servono a farci sentire più sicuri o sono veramente una misura necessaria?
Quasi venti anni fa, al loro debutto, le VPN erano lo zenit della sicurezza informatica, fornendo agli utenti un modo relativamente semplice per accedere in modo sicuro alle risorse di rete protette.
Ma nonostante la digital transformation e tutti gli altri stravolgimenti e novità degli ultimi due decenni, le VPN rimangono sinonimo di accesso remoto sicuro ancora per moltissimi, tanto che adesso sono diventate anche un servizio “consumer” conosciuto e utilizzato anche al di fuori degli ambiti aziendali.
Certo, oggi la situazione è stata esacerbata da una serie di fattori convergenti. La pandemia in primis che ha costretto milioni di lavoratori a rinchiudersi a casa e lavorare da lì, obbligando i CISO (Chief Information Security Officer) a fornire l’accesso remoto a un numero sempre più alto di utenti.
Se a questo aggiungiamo l’esplosione del cloud computing e un mondo del lavoro – Covid-19 o no – sempre più delocalizzato, è ovvio capire come il vecchio perimetro sia stato completamente abbattuto.
Nonostante questo, le organizzazioni che hanno cercato di implementare soluzioni di accesso remoto sicuro sono state costrette a installare ed espandere i loro investimenti in tecnologie VPN legacy piuttosto che a orientarsi verso una nuova generazione di soluzioni di accesso remoto sicuro.
Ma è ancora veramente la strada giusta?
Indice degli argomenti
Complessità e costi delle VPN, il primo problema per i CISO
La complessità è il primo nemico della cyber security e anche i moderni sistemi VPN richiedono un notevole grado di intervento manuale, soggetto a errori di configurazione e ad altri errori dell’operatore.
Come se non bastasse, le VPN rimangono costose e richiedono una notevole quantità di risorse di rete e di personale per funzionare correttamente. La gestione e la configurazione, per esempio, di regole per il corretto funzionamento tra firewall e VPN si traduce in costi significativi (manodopera, formazione, licenze e hardware) e in una maggiore complessità per l’utente finale e il personale IT, con una conseguente maggiore esposizione a una serie di rischi potenzialmente catastrofici.
A questo dobbiamo aggiungere che le VPN continuano a essere soggette a tantissime vulnerabilità, con nuove scoperte ogni settimana.
E, problema comune anche in altri software, anche quando vengono rilasciate patch di sicurezza in merito, il rate of adoption rimane bassissimo anche a confronto con altre soluzioni software.
Di questo si sono resi conto anche i criminal hacker, che negli ultimi anni hanno messo le VPN in cima alla lista degli obiettivi, poiché un exploit di successo può fornire un accesso illimitato a livello di sistema e un punto d’appoggio per la ricerca e l’esfiltrazione di dati sensibili.
Per esempio, REvil, gruppo dietro l’omonimo ransomware, è riuscito a colpire una serie di organizzazioni in tutto il mondo prendendo di mira le vulnerabilità Citrix e Pulse Secure VPN.
Software-Defined Perimeter, la soluzione?
Anche se è vero che le imprese hanno investito molto nelle VPN negli ultimi anni, forse l’alternativa era già disponibile.
Stiamo parlando del Software-Defined Perimeter (SDP), un modo per “nascondere” le infrastrutture collegate a Internet (server, router ecc.) in modo che i soggetti esterni e gli aggressori non possano vederli, sia che siano ospitati in locale sia in cloud.
L’obiettivo dell’approccio SDP è quello di basare il perimetro della rete su software invece che su hardware.
Un’azienda che utilizza un’unità SDP sta essenzialmente oscurando i propri server e altre infrastrutture in modo che nessuno possa vederli dall’esterno, lasciando comunque agli utenti autorizzati la possibilità di accedere all’infrastruttura.
Un SDP crea un layer virtuale intorno alle risorse aziendali a livello di rete, non a livello di applicativi. Questo lo separa da altri controlli basati sull’accesso che limitano i privilegi dell’utente ma consentono un ampio accesso alla rete.
Un’altra differenza fondamentale è che un SDP autentica i dispositivi e l’identità dell’utente.
Con un SDP, non dovrebbe essere tecnologicamente possibile connettersi con un server, a meno che non sia autorizzato a farlo. È consentito l’accesso agli utenti solo dopo averne verificato l’identità e aver valutato lo stato del dispositivo.
Una volta che l’utente e il dispositivo sono autenticati, l’SDP imposta una connessione di rete individuale tra il dispositivo e il server a cui sta tentando di accedere. Un utente autenticato non viene loggato in una rete più grande, ma riceve una propria connessione di rete a cui nessun altro può accedere e che include solo i servizi a cui l’utente ha approvato l’accesso.
Mentre le VPN consentono a tutti gli utenti collegati di accedere all’intera rete, gli SDP non condividono le connessioni di rete.
Altri attributi chiave dell’SDP includono la capacità di abilitare la microsegmentazione della rete, di far rispettare l’accesso degli utenti con i minori privilegi e di applicare le regole di conformità alla connessione (C2C) per garantire che le patch siano applicate ai dispositivi prima che questi si colleghino alla rete.
Tutto ciò serve non solo a ridurre la complessità per l’utente e l’operatore, ma rende anche molto più difficile per l’aggressore trasformare un piccolo compromesso in un vero e proprio data breach.
Anche se viviamo in un periodo di grande incertezza, i CISO che si battono per le iniziative di trasformazione digitale potrebbero raccogliere questa sfida come un’opportunità per ripensare il loro attuale paradigma di sicurezza e investire in strutture in grado di soddisfare le esigenze dell’impresa moderna.
