Le VPN sono la soluzione per la sicurezza a cui si stanno affidando tutte le aziende italiane per garantire un accesso sicuro ai dati aziendali. La loro tenuta è minacciata da
attacchi DDoS e
ransomware. In più, alle VPN sono connessi endpoint che potrebbero essere veicolo di infezioni. Ecco perché è necessario
aggiungere un ulteriore livello di sicurezza, con l'
autenticazione a più fattori.
Come ha ricordato ieri
Check Point Italia, le VPN
non solo la migliore soluzione possibile. Ma l'urgenza ha imposto di lavorare con quello che c'era, soprattutto nelle realtà legacy. Sì è fatto un ampliamento delle infrastrutture il più velocemente possibile. Con l'auspicio che chi non si è affidato a professionisti della cyber security non abbia lasciato falle che quasi certamente verranno sfruttate dai cyber criminali.
Però non basta. Occorre un ulteriore livello di protezione. Il motivo lo aveva giustamente sottolineato
Gastone Nencini di Trend Micro. La VPN dà sicurezza nella trasmissione dell'informazione, non nel contenuto dell'informazione trasmessa. Questo significa che
se l'endpoint collegato alla VPN è infetto da malware, questo viene trasferito in maniera criptata all'azienda, quindi bypassando i sistemi di sicurezza a livello di gateway. Il rischio è tutt'altro che remoto.
È per questo che c'è tanta
insistenza sulla protezione degli endpoint. Che deve includere l'aggiornamento di tutti i software e i sistemi operativi e l'installazione di soluzioni di prevenzione e controllo. Proteggere gli endpoint tuttavia significa anche
accertarsi che chi accede al sistema sia una persona affidabile. Si ricorda, infatti, che il primo vettore di attacco per qualsiasi organizzazione è costituito dalle
credenziali compromesse. È quindi sconsigliato che i dipendenti in smart working usino le sole credenziali di accesso alla VPN per collegarsi. Non assicurano una protezione adeguata delle risorse critiche a cui si accede.
A tal proposito è bene ricordare la moltitudine di
campagne di phishing mirate al furto di credenziali. L'incremento delle operazioni di
credential stuffing e gli
attacchi contro Zoom e le applicazioni di videoconferenza in generale. Sono tutti sintomi del fatto che i cyber criminali stanno schierano tutte le loro armi per entrare in possesso delle credenziali dei lavoratori in smart working. Avere quelle di accesso alla VPN equivale ad avere la chiave d'accesso ai sistemi aziendali.
Per proteggere l'accesso VPN e alle risorse critiche occorre implementare l'autenticazione a più fattori (MFA). Sono molte le aziende lungimiranti che lo stanno facendo. Il concetto è sempre lo stesso: combinare qualcosa che si ha (di solito un token generato sullo smartphone) con qualcosa che si conosce (le credenziali).
Un cyber criminale potrebbe aver intercettato le credenziali, ma
in mancanza dello smartphone sarà innocuo. Ricordiamo un report di Microsoft risalente al 2019 in cui era riportato che la presenza dell'MFA può bloccare oltre il 99,9% degli attacchi di compromissione dell'account. Non solo, i dipendenti potranno accedere alle risorse critiche in maniera coerente e sicura, nel rispetto delle migliori pratiche di sicurezza informatica.
Detto questo, l'aggiunta dell'MFA alla VPN non è la procedura più semplice del mondo. Richiede tempo e impegna fortemente il team IT interno, soprattutto se l'IdP è gestito on premises.
Il problema riguarda più che altro le infrastrutture legacy. Bisogna gestire ogni caso singolarmente, contattare le persone per risolvere i problemi. E per ciascuna bisogna eseguire il provisioning, il deprovisioning e la modifica dell'accesso alla VPN. Un lavoro del genere, fatto da casa, è un vero guazzabuglio.
Tutto è più semplice se l'IdP è in cloud. È un altro motivo per il quale considerare seriamente, alla fine dell'emergenza sanitaria, uno
svecchiamento delle infrastrutture.