In questi giorni dove il Coronavirus tiene banco in tutti i media italiani le preoccupazioni sono già tante. Probabilmente il tema è troppo spettacolarizzato dalla “solita stampa” italiana che butta sul tavolo numeri confusi e senza un criterio serio di paragone che aiuterebbe a capire. Faccio un esempio semplice: si dice che in Italia i casi positivi al tampone sono 150 circa mentre in Germania 18. Non si dice invece che l’Italia ha fatto più di 6000 tamponi mentre la Germania solo 600 e la Francia 400. Non si dice che dei 150 positivi italiani solo circa 20 presentano sintomi mentre gli altri sono asintomatici, il che vuol dire che se non avessero fatto il tampone non avrebbe probabilmente mai saputo di essere positivi perchè non si sono ammalati. Quindi, se la Germania avesse fatto lo stesso numero di tamponi dell’Italia probabilmente avrebbe un numero proporzionale di positivi. Basta poco per fare chiarezza. Purtroppo invece il messaggio di allarmismo ormai è passato e anche le aziende stanno prendendo contromisure: tutti quelli che possono lavorare da remoto devono stare a casa e lavorare in “smart working” collegandosi in VPN alla rete aziendale. Qui sorge il mio grande cruccio di questi giorni. Qui entra in gioco la mia previsione che spero non si avveri.
Pensiamo al numero di collegamenti VPN che decuplica velocemente in pochi giorni, forse più che decuplica. Il tutto organizzato velocemente, in emergenza, e senza i corretti sistemi di sicurezza informatica. Infatti, la VPM fornisce da anni ai lavoratori remoti un tunnel sicuro verso la rete aziendale ma recentemente le aziende lungimiranti e a conoscenza dei rischi informatici di una VPN migrano verso un approccio di sicurezza chiamato zero trust, che risolve le tante vulnerabilità della VPN.
Come funziona e quali rischi ha una VPN?
Le VPN fanno parte di una strategia di sicurezza basata sul concetto di perimetro di rete: i dipendenti fidati sono all’interno e quelli non fidati sono all’esterno. Ma quel modello non funziona più in un moderno ambiente aziendale in cui i dipendenti mobili accedono alla rete da una varietà di posizioni interne o esterne, con device non solo aziendali ma anche propri (spesso i dipendenti lavorano con un desktop aziendale che non possono portare a casa, quindi si affidano al loro laptop personale con un semplice programma di VPN) e in cui le risorse aziendali non risiedono dietro le mura di un data center aziendale, ma in ambienti multi-cloud. Gartner prevede che entro il 2023, il 60% delle aziende eliminerà gradualmente la maggior parte delle proprie VPN a favore dell’accesso alla rete a rischio zero.
L’incremento vertiginoso di utilizzo di VPN aziendali in Italia in questi giorni aprirà le porte a malware e malintenzionati fisici verso gli asset di rete, aprirà le porte alla possibilità di iniettare un file malevolo che silente e nascosto ai tradizionali sistemi di sicurezza opera dietro le quinte rubando, copiando o semplicemente criptando completamente dati e backup. Questi rischi possono arrivare da chiunque si connetta in VPN: dipendente, fornitore, consulente. E’ già stato ampliamente visto che i fornitori di gestionali che supportano da remoto una azienda via VPN portano all’interno, a loro insaputa, importanti rischi. Leggi questo articolo sulla sicurezza delle VPN.
Zero-Trust e l’approccio Privileged Remote Access
Le aziende moderne hanno abbandonato da tempo la “modalità VPN” ed i protocolli RDP. Questi metodi di accesso sono dei veri e propri “tunnel” che consentono ad eventuali malintenzionati di superare le barriere di sicurezza e agire indisturbati all’interno delle reti aziendali. L’esistenza di questi accessi rappresenta un elemento di elevata vulnerabilità, che non solo aumenta l’esposizione dell’organizzazione al rischio di subire attacchi ai propri Asset critici, ma costituisce spesso una violazione alle normative in tema di compliance.
Per garantirsi la sicurezza con l’approccio zero-trust implementato, ad esempio, dai moduli di Privileged Remote Access di BeyondTrust (www.beyondtrust-italia.it). Privileged Remote Access consente la gestione dei privilegi di acceso e il controllo delle sessioni remote in totale sicurezza e nel rispetto delle regole di compliance, senza ostacolare il lavoro degli utenti. Il controllo degli accessi privilegiati avviene applicando una politica di privilegio minimo che fornisce agli utenti il giusto livello di privilegio. Quello necessario al proprio ruolo, con responsabilità individuale per gli account condivisi. La soluzione consente inoltre di definire da quali endpoint gli utenti possono accedere, di pianificare quando possono accedervi e di inserire le applicazioni in una “whitelist” o “blacklist”.
La mia previsione che spero non si avveri
Purtroppo temo che la mancanza di consapevolezza, insieme all’alto numero di VPN “up-and-running” di questi giorni causerà un notevole incremento dei malware iniettati nelle reti aziendali, che lavoreranno silenti per i prossimi mesi. Pochi sanno che un attacco informatico mediamente dura 279 giorni. Proprio perché oggigiorno riescono ad eludere facilmente i classici sistemi di difesa. Quindi tra qualche mese vedremo un incredibile aumento di “attacchi eseguiti” con risultati devastanti per le aziende interessate. Questi nuovi malware evoluti, silenti e nascosti operano rubando le informazioni sensibili e poi ricattando l’azienda. Ad esempio se rubano dati di amministrazione e finanza illegale, ad esempio riguardanti evasione o elusione fiscale dell’azienda, poi ricattano l’azienda chiedendo un “pagamento del pizzo” periodico e continuato nel tempo. In cambio non divulgheranno ai quattro venti ed alla Guardia di Finanza i dati rubati. Altri esempi, invece, riguardano riscatti in Bitcoin proporzionali al fatturato aziendale per inviare la chiave di de-criptaggio di tutti i dati e backup, quindi per sbloccare l’azienda. Purtroppo, vedremo tra qualche mese questo ulteriore risultato dell’emergenza Coronavirus, che forza le aziende a lavorare in smart-working e che porta la maggior parte di esse a farlo nel modo insicuro tramite VPN.