La pandemia di coronavirus e la conseguente adozione “forzata” di politiche di smart working ha di fatto costretto le aziende a concedere ai dipendenti l’accesso da remoto ai network aziendali avvenuto, il più delle volte, mediante una VPN in grado di garantire il massimo livello di sicurezza al perimetro virtuale dell’organizzazione: purtroppo, però, questo gateway sicuro potrebbe trasformarsi facilmente in una porta di accesso per le vulnerabilità.
Le VPN (Virtual Private Network), lo ricordiamo, rappresentano un fattore critico di successo per le aziende moderne perché consentono loro di offrire ad un vasto bacino di stakeholder, dai dipendenti che lavorano da remoto ai partner e, a volte, anche ai clienti, la possibilità di connettersi alle informazioni aziendali sensibili in maniera sicura. Anni fa questa opportunità di collegamento poteva essere concessa solo attraverso l’affitto di linee dati o reti fisiche dedicate.
Come è noto, le VPN forniscono un modo semplice per creare comunicazioni virtuali crittografate sfruttando le peculiarità della rete Internet. Tuttavia, negli ultimi mesi sono state scoperte diverse vulnerabilità delle VPN, già ampiamente sfruttate, che hanno messo a rischio quello che una volta era considerato il modo più sicuro e affidabile per accedere alle risorse aziendali.
Proviamo dunque ad analizzare la problematica ed evidenziare alcune raccomandazioni o alternative per rendere sicuro l’accesso remoto alle risorse aziendali ai vari partner.
Indice degli argomenti
Le VPN rappresentano un must per le aziende moderne
Al giorno d’oggi, la maggior parte delle aziende di livello Enterprise, ma non solo, sono fisicamente distribuite geograficamente, anche a livello planetario per effetto della globalizzazione, con un’operatività h24. La dimensione di una sede remota può comprende un singolo dipendente oppure filiali più grandi con diversi lavoratori.
Le comunicazioni tra queste sedi possono riguardare dati aziendali sensibili, come quelli protetti dalla proprietà intellettuale, le informazioni personali dei clienti o dei dipendenti e, talvolta, anche informazioni sanitarie. Inoltre, per lo svolgimento delle loro varie funzioni, le aziende scambiano frequentemente informazioni anche con i loro partner commerciali e i dipendenti a contratto.
Una VPN rappresenta lo strumento principe, e anche quello ad oggi più utilizzato, per estendere l’uso degli strumenti interni come l’ERP (Enterprise Resource Planning), l’Human Resource Information Systems (HRIS), le chat, le audio/videoconferenze e un’ampia gamma di altri strumenti di collaboration e, di conseguenza, migliorare la produttività aziendale.
Le VPN sono vantaggiose anche dal punto di vista economico perché consentono di ridurre i costi delle trasferte, delle riunioni in presenza e, perfino, degli affitti di interi edifici adibiti ad uffici.
Un recente sondaggio, rivolto ad aziende che sfruttano le VPN, ha evidenziato enormi risparmi in termini di produttività. Al contempo, anche i dipendenti che hanno partecipato all’indagine aziendale hanno segnalato un incremento delle performance e della qualità del lavoro, nonché un miglioramento della loro qualità di vita.
VPN sinonimo di sicurezza
Gli esperti di sicurezza informatica hanno indicato la VPN tra le 4 tecnologie essenziali per il business moderno (Ponemon Institute, “2020 State of Cybersecurity Study”).
La VPN, oltre a ridurre i costi operativi dell’azienda e del lavoratore, rappresenta un importante strumento per garantire la privacy e la sicurezza di qualsiasi organizzazione.
Tutte le aziende, piccole o grandi che siano, hanno la necessità di condividere le informazioni con i propri partner e i dipendenti in maniera protetta e riservata. Questa peculiarità è diventata la principale finalità di una VPN nel contesto aziendale. Non esiste nessun altro dispositivo di sicurezza in grado di offrire lo stesso servizio e fornire la privacy e la sicurezza richieste nelle comunicazioni.
La maggior parte della appliance VPN offrono funzionalità come il Context-Switching, il Virtual Network Mapping ed i Role Based Access Controls (RBAC).
Anche le ultime proposte IETF, e molti degli studi di ricerca dell’IEEE Computer Privacy and Security, hanno preso in considerazione la standardizzazione del modello con cui una VPN garantisce la sicurezza dei dati digitali con la separazione granulare dei ruoli (RFC2764).
In pratica, la maggior parte delle aziende considerano la VPN come lo standard de facto per fornire un accesso sicuro alle loro entità, sfruttandole quindi non solo come entry point alla rete, ma anche come il checkpoint finale per la sicurezza.
Infatti, le più recenti appliance VPN forniscono la funzione di un Rule-based Firewall e la possibilità di utilizzare il Virtual Routing (MPLS Multi-Protocol Label Switching) rendendo molto conveniente dipendere interamente da questa tecnologia per la sicurezza della rete e l’accesso sicuro per una vasta gamma di esigenze.
SSL: un nuovo modo per introdurre vecchi problemi
Inizialmente, le VPN impiegavano protocolli specifici, per esempio l’IPSec (Internet Protocol Security), e/o dispositivi hardware e software dedicati per consentire le comunicazioni attendibili tramite la rete pubblica.
Dal 2005, è stata introdotta la crittografia SSL (Secure Sockets Layer) e il suo successore TLS (Transport Layer Security). Questi protocolli, già inclusi nei browser, rendono più facile l’utilizzo della VPN, con un processo di on-boarding più semplice, bypassando il provisioning e l’installazione del software VPN tradizionale. La progettazione di una VPN basata su SSL permette l’implementazione client e clientless, e consente agli utenti di lavorare in mobilità senza problemi.
L’adozione dei protocolli SSL e TLS non è stata avulsa dalle problematiche che contemplano le implementazioni non corrette e le limitazioni intrinseche del protocollo. Anche l’aumento della potenza di calcolo è diventato un problema, soprattutto per le implementazioni legacy, perché consente di rompere facilmente gli algoritmi. Infatti, il successo di diversi attacchi nei confronti di SSL e TLS è stato così rilevante che anche IETF ha pubblicato una Request for Comments (RFC) dedicata dal titolo “Summarizing Known Attacks on Transport Layer Security (TLS) and Datagram TLS (DTLS)”.
I protocolli SSL/TLS applicati alle VPN hanno evidenziato diversi problemi, spesso, con livelli di criticità elevata. Molte di queste erano già note nelle implementazioni dei web server e dei browser web. Infatti, durante la conferenza BlackHat 2019, alcuni ricercatori hanno presentato uno studio che rileva più di 200 Common Vulnerability Exposures (CVE) ad alta gravità scoperte nel 2018 che hanno interessato i principali prodotti VPN. Alcune di queste vulnerabilità consento, ad esempio, attacchi di tipo cross-site scripting che possono essere perpetrati contro le VPN ed essere utilizzati per rubare le credenziali o le sessioni attive (CVE-2017-14186).
I produttori hanno sviluppato e reso disponibile le patch di sicurezza per i propri prodotti VPN, in grado di risolvere, di volta in volta, le falle scoperte, ma, al contempo, si sono resi conto che i loro clienti non effettuano il deployment delle patch con la stessa frequenza.
La causa principale di questa criticità è riconducibile alla circostanza che, spesso, tali apparati rimangono sempre attivi, perché devono garantire l’Alta disponibilità (HA) del servizio (ovvero con livelli di Uptime Five Nines o maggiori) e, conseguentemente, non vengono aggiornati con la stessa tempistica con cui sono rilasciati gli aggiornamenti di sicurezza. (I dati dei produttori indicano che, mediamente, una patch di sicurezza è installata dopo 38 giorni dalla data di rilascio).
La VPN rappresenta un obiettivo costante degli attaccanti
Le statistiche sui cyber attacchi rilevano che gli hacker mainstream prendono regolarmente di mira le VPN aziendali. Spesso la VPN non è l’obiettivo finale dell’attacco, ma rappresenta il posto migliore in cui trovare i punti di ingresso per accedere alla rete o ai servizi dell’azienda.
Nel mese di ottobre 2019, la National Security Agency (NSA) ha rilasciato un avviso (Cybersecurity Requirements Center Advisory), evidenziando la minaccia che “Advanced Persistent Threat actors actively exploiting VPN vulnerabilities”, riferito specificatamente a tre grandi fornitori di tecnologie per l’implementazione di VPN sicure.
Ciò conferma che le VPN continuano a rappresentare un vettore di attacco privilegiato per coloro i quali desiderano accedere alle reti interne aziendali e li agevolano per concretizzare i tentativi di accesso persistente alle risorse aziendali sensibili. Le organizzazioni, che non inseriscono le VPN nel loro modello di minaccia, scopriranno rapidamente che la loro VPN è l’obiettivo degli attaccanti.
Le VPN come gateway sicuro: le contromisure da seguire
Le criticità fin qui emerse consentono di identificare alcune delle migliori pratiche di implementazione e gestione delle VPN. Su questa tematica il NIST ha elaborato una serie di raccomandazioni: il NIST SP 800-77 Revision 1 “Guide to IPsec VPNs” (giugno 2020) che si occupa delle VPN tradizionali e il NIST 800-113 “Guide to SSL VPNs” (luglio 2009) che riguarda le VPN SSL.
Di seguito sono elencate una serie di indicazioni per le aziende che intendono rendere resiliente i propri asset digitale agli attacchi veicolati tramite le VPN:
Implementare e garantire modelli basati sulla fiducia
Le VPN SSL forniscono un efficiente punto di ingresso alla rete aziendale, ma, come accennato in precedenza, sono soggette a molti dei problemi di sicurezza che hanno afflitto le varie implementazioni basate su SSL/TLS. Molte di queste vulnerabilità sono le stesse scoperte precedentemente nelle prime configurazioni dei web server con sessioni SSL/TLS.
Alcuni avvisi di vulnerabilità hanno evidenziato che molti fornitori non hanno garantito ai propri prodotti modelli di fiducia della sicurezza basati sul proprio dominio. Queste best practices devono essere adottate dai fornitori di VPN SSL e devono essere applicate mediante un’adeguata configurazione da parte dell’azienda, per assicurare che i servizi erogati dispongano di una protezione sufficiente ai noti attacchi HTTPS.
Includere la VPN tra i vettori critici di attacco
L’intero ciclo di vita di una VPN (pianificazione, progettazione, implementazione, integrazione, messa in esercizio e monitoraggio continuo) dovrebbe rappresentare un elemento fondamentale nell’architettura della sicurezza di un’azienda e del team di monitoraggio della sicurezza (SOC) per gli aspetti citati.
L’adozione di una VPN è una decisione importante e deve essere valutata dal team che progetta l’architettura di sicurezza (vedere le raccomandazioni nella sezione 4 del NIST 800-133 “Architettura”). Allo stesso tempo, chi esegue un penetration test deve modellare le minacce in modo da comprendere la VPN tra i vettori di attacco maggiormente critici.
A volte, quando le VPN sono posizionate all’interno della DMZ, non vengono osservate e monitorate dal Security Operations Center (SOC). Il SOC deve avere molta familiarità con le VPN e con i piani di risposta modellati per scenari come la compromissione della VPN. Questi processi dovrebbero essere indicati in maniera chiara nel manuale del SOC, in modo tale che, in presenza di un avviso di compromissione della VPN, possa intervenire tempestivamente e risolvere il problema.
Progettare la VPN con disponibilità elevata e ridondanza
La sezione 3.3.3 del NIST 800-113 indica considerazioni specifiche per l’Alta Disponibilità delle VPN.
In alcuni contesti, le VPN non possono essere riconfigurate o aggiornate con le ultime patch di sicurezza perché devono ottemperare al requisito dell’Alta disponibilità (HA). Anche se molti fornitori hanno dotato i propri prodotti di funzionalità per lavorare in modalità ad alta disponibilità, questi non vengono configurati per consentire di effettuare il deployment delle patch e la manutenzione appropriata.
Fortunatamente, i prodotti più recenti offrono la possibilità di utilizzare le VPN in configurazioni active/active, ciò consente alle organizzazioni di installare le patch e ripristinare il servizio VPN senza interruzioni di attività e fornisce la migrazione delle sessioni attive in tempo reale.
Questo aspetto cruciale dell’architettura VPN offre ai team dell’IT la possibilità di applicare le patch immediatamente dopo il rilascio da parte del fornitore. Si consiglia ai fornitori di VPN di dotare i propri dispositivi in una funzionalità di patching live per ridurre al minimo i tempi di inattività ed essere più efficaci nel garantire la sicurezza continua di questi elementi critici per l’azienda.
Adoperare un sistema di Identity and Access Management
L’autenticazione degli utenti rappresenta, indubbiamente, un elemento critico della gestione degli asset digitali, in particolar modo se acceduti da remoto. Pertanto, è fondamentale integrare la componente VPN con un sistema di Identity and Access Management, possibilmente basato su un Multifactor Authentication, in modo da assicurare l’accesso degli utenti autorizzati alle risorse aziendali, applicazioni e dati, e contestualmente, proteggerli dagli accessi non autorizzati.
Un sistema IAM, ben configurato, abilita il team di sicurezza al monitoraggio degli accessi autorizzati e al rilevamento in tempo reale delle anomalie o dei tentativi di accesso abusivo.
Privilegiare l’utilizzo di client gestisti dell’IT aziendale
Alcune aziende stanno adottando la politica aziendale Bring Your Own Device (BYOD) per consentire ai collaboratori di portare i propri dispositivi personali sul posto di lavoro e usarli per avere gli accessi privilegiati alle informazioni aziendali e alle loro applicazioni. Questo modello assicura dei vantaggi in termini economici e produttivi, ma può diventare un elemento critico per il rischio cyber.
Affinché sia sempre garantito il livello di sicurezza informatica, definito dalla politica di cyber security aziendale, tutte le apparecchiature informatiche che si collegano alla rete devono rispondere agli stessi requisiti.
Pertanto, non dove essere consentito che un apparato non gestito dal settore IT, che sia di proprietà dell’azienda o del lavoratore, possa interagire con i sistemi IT dell’azienda, in particolar modo se accede tramite VPN. In caso contrario, le falle di sicurezza, eventualmente presenti sul dispositivo del lavoratore o del partner, diventano vulnerabilità della infrastruttura IT aziendale.
Per risolvere la problematica è opportuno utilizzare un sistema di Mobile device management per gestire i dati e le app aziendali da remoto e distribuire i software e le policy adottate dall’azienda.
VPN come gateway sicuro: le nuove tendenze
Come dicevamo, le VPN rappresentano un ottimo strumento per le aziende che hanno la necessità di fornire l’accesso in mobilità ad un vasto bacino di stakeholders, dai dipendenti che lavorano da remoto ai partners e, a volte, anche ai clienti. Negli anni questa richiesta è cresciuta, come conseguenza della trasformazione digitale dei processi aziendali, dell’introduzione di nuovi modelli lavorativi come lo smart-working e dell’utilizzo di nuove tecnologie (BYOD e IoT). Per questi motivi sono emersi anche i limiti sull’utilizzabilità di questa tecnologia.
Le VPN risentono molto della scalabilità del servizio perché l’incremento di utenti richiede un crescente fabbisogno di risorse. Inoltre, non offrono un sistema di monitoraggio e controllo adeguato alle nuove esigenze di cyber security.
Una valida alternativa, in grado di superare alcuni dei limiti delle VPN, è rappresentata dal Virtual Private Cloud (VPC).
Il VPC è un’idea più recente ed è un concetto di più alto livello rispetto alla VPN. Un VPC può servirsi di una tecnologia VPN per creare connessioni sicure su una rete pubblica, ma aggiunge anche funzionalità che rendono la gestione di rete semplificata e più flessibile.
Sono di solito caratterizzate da una serie di funzionalità costruite sulla tecnologia VPN nello strato più basso, ma poi permettono la creazione di topologie di rete virtuali (set di reti) e di domini broadcast, spesso danno più controllo sull’assegnamento di un indirizzo IP e consentono di connettere facilmente la rete aziendale fisica alla porzione cloud della rete.
Quindi, il focus del VPC non è solo una connessione sicura tra due computer come per la VPN, ma piuttosto lo stabilire una rete completamente privata, virtuale, on-demand, nel cloud.
Le aziende moderne hanno una forte esigenza di spostare i propri dati e servizi sul cloud per sfruttarne le peculiarità e, di conseguenza, devono dimenticare il concetto di perimetro aziendale e concedere l’accesso ai propri servizi e dati da qualsiasi luogo e in qualsiasi orario, senza ridurre i livelli di sicurezza.
La VPN, e di conseguenza anche il VPC, è una soluzione site-centric e consente alle organizzazioni di creare tunnel crittografici e sicuri tra i collaboratori in mobilità e le risorse di rete. L’accesso tramite una VPN si basa sulla fiducia tra l’utente e queste risorse.
Le nuove esigenze anzidette (Cloud, Mobility, BYOD, IoT, ecc.) hanno fatto emergere un nuovo paradigma di sicurezza che rimuove l’idea di fiducia.
Questa caratteristica sta spingendo le aziende a spostare i propri asset digitali sulle Zero Trusted Network (ZTN). Delle reti terze, sia per l’azienda che per il dipendente, che consentono il collegamento solo ad un set predefinito di servizi e dati e, inoltre, grazie all’attivazione di security policy è possibile monitorare in maniera efficace le attività, i comportamenti e gli accessi eseguiti da remoto.
Con questa soluzione si realizza una o più sottoreti dedicate (cosiddetta segmentazione) in cui gli utenti non accedono direttamente alle risorse, ma queste ultime vengono esposte in maniera selettiva all’interno di un network separato a cui gli utenti remoti possono accedere e interagire solo con le risorse a cui sono abilitati.
Tutto ciò che non è dichiarato all’interno della ZTN è invisibile agli utenti. (Zero Trust == Fiducia Zero). La segmentazione delle reti non consente la comunicazione diretta tra le sottoreti ed elimina un numero elevato di minacce. Il modello può essere implementato in cloud e, quindi, assicurare elevati livelli di disponibilità, flessibilità, scalabilità e, al contempo, una riduzione significativa dei costi di gestione.
A differenza delle tecnologie VPN, gli utenti non vengono mai collegati alla rete e le applicazioni non sono mai esposte a Internet. Questo permette di creare una superficie definita zero attack, che è in grado di proteggere l’azienda da minacce come, per esempio, la recente ondata di malware e attacchi che hanno preso di mira, con successo, i servizi VPN.