La pandemia COVID-19 ha creato una situazione di lavoro forzato da remoto a cui molte aziende probabilmente non erano preparate. Dalla gestione di infrastrutture VPN sottodimensionate alla larghezza di banda insufficiente e alla mancanza di dispositivi gestiti che i dipendenti possono portare a casa, i dipartimenti IT si sono ingegnati per limitare l’impatto sulla produttività e consentire l’accesso alle risorse e alle applicazioni aziendali necessarie ai colleghi per svolgere da remoto il proprio lavoro.

Sfortunatamente, la pressione da parte della dirigenza per impostare le capacità di lavoro da remoto il più rapidamente possibile, i team IT potrebbero aver trascurato le policy e le pratiche di sicurezza esistenti. Ciò potrebbe avere importanti implicazioni sulla continuità aziendale sul lungo periodo.

Pensate all’interruzione che un hacker potrebbe causare accedendo alla rete privata dell’azienda attraverso un servizio esposto o un dispositivo personale di un dipendente remoto. Da quel punto di accesso potrebbe spostarsi lateralmente e infettare i server interni con ransomware in un momento in cui anche i team IT e di sicurezza lavorano da remoto e non possono adottare un approccio hands-on per risolvere il problema.

Questo è il tipo di scenario in cui l’accesso di una persona potrebbe letteralmente rovinare un’intera infrastruttura in pochissimo tempo”, afferma Chase Cunningham, analista di Forrester specializzato in sicurezza. “Sarebbe estremamente difficile riprendersi da una situazione del genere”.

Gli attacchi ai lavoratori da remoto

In passato si sono verificati diversi casi di attacchi a servizi aziendali di Remote Desktop Protocol (RDP), che stati hackerati e usati come punti di accesso per i criminali informatici. Sfortunatamente, durante la crisi COVID-19, è probabile che aumentino gli incidenti che coinvolgono configurazioni non sicure di servizi e firewall.

La scorsa settimana i ricercatori di Bitdefender hanno dichiarato che TrickBot, un Trojan che ruba credenziali, ha aggiunto al suo arsenale un nuovo modulo che utilizza computer infetti per lanciare attacchi di forza bruta RDP. Tra gli obiettivi individuati dai ricercatori c’erano aziende dei settori telecomunicazioni, istruzione e servizi finanziari negli Stati Uniti e a Hong Kong. TrickBot ha anche moduli per rubare le credenziali OpenSSH e OpenVPN, che sono generalmente utilizzate per l’accesso remoto, ed è una nota piattaforma di distribuzione del sofisticato ransomware Ryuk.

Gli esperti concordano sul fatto che questo tipo di attacchi continuerà e si intensificherà man mano che gli aggressori colgono l’opportunità per colpire il gran numero di lavoratori da remoto che ora accedono alle risorse aziendali al di fuori del perimetro della rete aziendale protetta e potenzialmente dai propri dispositivi, meno sicuri.

I criminali risponderanno sempre alle circostanze e svilupperanno tecniche che funzionano e continuano a migliorare”, sostiene Kevin Curran, membro senior dell’Institute of Electrical and Electronic Engineers (IEEE) e dovente di sicurezza informatica all’Università di Ulster. “Ci sono molte situazioni in cui le persone si sono allontanate da ambienti in cui erano protette dal semplice fatto che esistevano firewall, avvisi e procedure di aggiornamento di software e sistemi operativi. Adesso stanno usando i loro PC personali che, per quanto ne sappiamo, potrebbero ancora eseguire Windows XP”.

Attivare il modello zero trust

Un modo per evitare alcuni di questi problemi di sicurezza e limitare il rischio è adottare un modello di sicurezza zero trust, in cui l’accesso alle applicazioni aziendali, incluse quelle legacy, è effettuato tramite un gateway sicuro basato sul web seguendo i principi del privilegio minimo con supporto per autenticazione multifattore (MFA) e controlli di sicurezza del dispositivo. Tali sistemi sono più scalabili delle VPN senza costi di infrastruttura aggiuntivi, possono integrarsi facilmente con le piattaforme Single Sign-On (SSO) esistenti e consentire policy granulari di controllo degli accessi che definiscono chi può accedere a cosa e da quale dispositivo.

La buona notizia è che, in risposta alla crisi COVID-19, alcuni vendor in questo spazio offrono prove gratuite estese dei loro prodotti. Akamai, per esempio, offre un uso gratuito di 60 giorni della soluzione Enterprise Application Access (EAA) nell’ambito del suo programma di Business Continuity Assistance. Cloudflare offre alle piccole imprese l’uso gratuito di sei mesi del suo prodotto Cloudflare for Teams, che include Cloudflare Access per un accesso zero trust alle app interne e Cloudflare Gateway per il filtro DNS e il monitoraggio della rete. Cisco offre inoltre ai nuovi clienti licenze gratuite per la sua piattaforma zero trust e MFA.

I responsabili aziendali che hanno incentivato il lavoro remoto ora hanno un motivo in più per farlo”, afferma Cunningham. “Ma la realtà è che le VPN non funzionano su questa scala, quindi dovrebbero trarre vantaggio da queste offerte [accesso zero trust] e, se non altro, usarle come test per capire dove si trovano e dove stanno andando. Non si tratta di qualcosa di utile solo per i prossimi due mesi: questo è il futuro del luogo di lavoro. Ora hanno l’opportunità di testare queste soluzioni, in molti casi gratuitamente, e continuare a crescere da lì”.

Gli approcci zero trust guadagnano popolarità

Molte aziende stavano prendendo in considerazione il passaggio al modello di sicurezza della rete zero trust ancor prima di questa crisi. Una ricerca recentemente pubblicata su responsabili IT di 100 piccole e medie imprese e aziende Fortune 500 ha rilevato che il 31% lo sta prendendo in considerazione, il 19% è in fase di adozione e l’8% lo ha già implementato nelle proprie aziende.

L’implementazione completa della sicurezza zero trust nell’intera rete aziendale non è un compito facile. Richiede un approccio graduale che prevede programmi pilota, raccolta di metriche, ottimizzazione delle policy di accesso, verifica della perfetta integrazione di vari prodotti, modifica dei flussi di dati interni e formazione dei dipendenti. Tuttavia, le aziende potrebbero iniziare ora dal lato dell’accesso remoto.

Se un anno fa mi avessero chiesto se è possibile creare una rete zero trust in poche settimane avrei risposto di no”, afferma Curran. “A essere onesti, questi sistemi basati su cloud sembrano essere il modo più semplice per raggiungere rapidamente una rete semi-zero trust. Non si tratta di vere reti zero trust, ma fanno un ottimo lavoro”.

Vorrei incoraggiare le aziende a percorrere questa strada perché, in un certo senso, si tratta di una gestione degli accessi davvero privilegiata, che è il punto di partenza per la costruzione di una rete zero trust”, aggiunge Curran. “È possibile approfondire gli altri aspetti in un secondo momento. Sono necessarie alcune modifiche alle policy aziendali e un po’ di formazione, ma è un sistema che funziona ed è più forte di qualsiasi VPN”.

Consigli per passare al modello zero trust

Quando sviluppano le loro policy di accesso, le aziende dovrebbero fare una chiara distinzione tra i dispositivi gestiti forniti ai propri dipendenti e i dispositivi personali che vengono usati per accedere alle applicazioni aziendali. Idealmente, se si trovano ad affrontare uno scenario BYOD, le aziende dovrebbero chiedere ai dipendenti di installare una soluzione di mobile device management (MDM) sui propri dispositivi personali.

I gateway di accesso zero trust basati su cloud generalmente eseguono alcuni controlli di sicurezza per la connessione dei dispositivi attraverso il browser, come la verifica dello stato di patching del loro sistema operativo e di altri software, ma ciò potrebbe non essere sufficiente, soprattutto la situazione di lavoro forzato da casa si protrarrà per mesi. Più a lungo un dispositivo rimane non monitorato, maggiori sono le possibilità che venga compromesso.

È probabile che le aziende abbiano già adottato soluzioni MDM per i propri dipendenti. In tal caso, basta contattare il proprio fornitore MDM e acquistare licenze aggiuntive.

Le app legacy devono essere eseguite in ambienti o contenitori virtualizzati e devono essere isolate dal resto della rete in modo che, se compromesse, gli aggressori non possano spostarsi lateralmente per compromettere il resto dell’infrastruttura.

In questo momento si tratta di spegnere il fuoco o controllarlo, non di raggiungere la condizione ottimale”, conclude Cunningham. “Non siamo pronti per l’ottimale. Siamo pronti per permettere alle persone di continuare a lavorare e mantenere l’economia in movimento”.