Col senno di poi la pandemia è stata un momento di svolta per molte cose e soprattutto i ritmi della vita lavorativa in ufficio non torneranno mai più come prima.
Questa nuova flessibilità significa che le persone non solo lavorano da casa dietro a router Wi-Fi di livello consumer, ma trascorrono anche parte della giornata collegate alla rete di un parco o di un locale pubblico.
Chi ha la responsabilità di proteggere gli asset aziendali deve quindi presupporre che questi endpoint si trovino sempre in territorio ostile.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Implementare sistemi di difesa “a strati”
Anche prima della pandemia le aziende impegnate a rafforzare la propria sicurezza provavano spesso a riportare le cose verso il punto di origine, ovvero “spingendo verso sinistra”, espressione che trae origine nel contesto dello sviluppo software dove le fasi del processo di lavoro vengono concettualizzate a partire da sinistra per andare verso destra.
Nel campo della sicurezza applicata usiamo il termine “spingere verso sinistra” non tanto riferendoci al processo dello sviluppo software bensì alla catena degli attacchi, che inizia a sinistra con le attività di ricognizione per passare quindi all’azione (esfiltrazione di dati o altri obiettivi) procedendo verso destra.
Per molti anni, le strategie di sicurezza più complete hanno comportato la presenza di difese in profondità. Non tutte le tecnologie sono adatte a intercettare una certa tipologia di minaccia e di conseguenza la cosa migliore è implementarle a strati.
Questi strati corrispondono spesso a quanto “a sinistra” qualcosa si trovi lungo la catena di attacco. Se è possibile rilevare qualcosa al perimetro della rete attraverso i filtri del firewall, della posta elettronica o del web, allora la minaccia verrà contenuta prima che possa avere un impatto negativo sulle operazioni.
Obiettivo: intercettare le minacce il prima possibile
L’obiettivo ideale è quello di intercettare e bloccare gli autori degli attacchi più a sinistra possibile, ovvero prima possibile. Spingere i rilevamenti verso sinistra avvisa i responsabili della sicurezza dell’eventuale tentativo di intrusione così da avviare attività di analisi più mirate per presidiare i punti deboli delle difese che i malintenzionati potrebbero cercare di sfruttare.
Nel caso dei dipendenti che lavorano in ufficio è possibile centralizzare il controllo di queste difese e fornire una protezione ottimale. La domanda riguarda la nostra capacità di attivare lo stesso livello di protezione anche per chi lavora da remoto, ovunque si trovi.
Riusciamo a monitorare e affrontare le minacce che colpiscono gli asset fuori dal perimetro dell’ufficio? Il lockdown ha sicuramente messo alla luce come molti utenti non avessero previsto nemmeno un piano di protezione strutturato.
Difendersi dagli attacchi agli asset remoti
Sebbene ci siano molti vantaggi nel monitorare la rete quando se ne possiede il controllo, come ridurre l’appesantimento sugli endpoint e avere la capacità di tenere le minacce lontane dagli asset sensibili, dobbiamo tuttavia riuscire a proteggerci il più possibile quando siamo in giro.
Inoltre, dobbiamo assicurarci non solo che la protezione sia ottimizzata, ma anche di non perdere la capacità di monitorare, rilevare e affrontare gli attacchi diretti contro questi asset remoti.
La maggior parte delle aziende ha iniziato a utilizzare soluzioni EDR/XDR (o prevede di farlo nel prossimo futuro), il che è un ottimo punto di partenza: ma non tutte le soluzioni risultano complete.
Le priorità nella cyber security? Best practice e buon senso operativo
Il concetto del “dentro e fuori” è obsoleto e pericoloso
Nell’era del lavoro a distanza, utenti remoti insufficientemente protetti possono andare incontro a moltissimi problemi, URL e download pericolosi, attacchi di rete, che in precedenza sarebbero stati gestiti da apposite macchine a protezione del patrimonio aziendale.
I principali componenti che mancano quando gli utenti si trovano fuori dal perimetro aziendale sono i filtri HTTPS e l’ispezione dei contenuti Web, tipicamente implementati nei firewall di nuova generazione.
Quando si aggiungono queste tecnologie alla protezione pre-esecuzione, al rilevamento comportamentale, ai modelli di machine learning, ai firewall sui client, alle soluzioni DLP (Data Loss Prevention), al controllo sulle applicazioni e alle tecnologie XDR (eXtended Detection and Response), il risultato che si ottiene è uno stack completo di difese messo di fronte agli attaccanti, nonostante gli endpoint si muovono liberamente fuori dallo spazio aziendale.
Affinché iniziative come ZTNA (Zero Trust Network Access) possano risultare efficaci dobbiamo non solo immergervi le applicazioni con le quali interagiamo, ma anche gli endpoint che vi si connettono. Semplici controlli come lo stato di aggiornamento del sistema operativo e la presenza di software di sicurezza installato possono essere un buon punto di partenza, ma la protezione non è tutta uguale.
Poiché la maggioranza dei dispositivi è connessa a Internet ogni volta che è in uso, possiamo sfruttare la potenza del cloud per ottenere protezione e monitoraggio ovunque. Le moderne soluzioni per la sicurezza devono presupporre che il dispositivo endpoint o lo smartphone si trovino costantemente in territorio ostile. Il vecchio concetto del “dentro” e “fuori” non è solamente obsoleto, ma totalmente pericoloso.
