Autore: Redazione SecurityOpenLab
Mai come dall’inizio della pandemia con l’improvvisa esplosione del lavoro da remoto, le problematiche dell’accesso alle applicazioni, identificazione dell’utente e forte protezione dell’endpoint sono diventate di primaria importanza. Da un giorno all’altro siamo passati da circa 800.000 lavoratori remoti in Italia a 8 milioni con un impatto enorme sia a livello infrastrutturale che logico, che ha colto di sorpresa moltissime aziende.
Immediatamente si è evidenziato il problema di consentire agli utenti remoti l’accesso sicuro alle applicazioni e ai dati aziendali, spesso da dispositivi domestici non forniti dall’azienda stessa. La tecnologia ci aiuta fortunatamente con una serie di soluzioni studiate allo scopo e già disponibili.
Partendo dal livello più basso, tipo pila OSI, si deve partire dalla connessione sicura con l’azienda: questa può essere implementata con una tecnologia matura, come quella delle VPN arrivata ormai a livelli di sicurezza e inviolabilità molto elevate; per l’azienda stessa si può garantire con firewall per la sicurezza perimetrale di nuova generazione, aggiornati allo stato dell’arte per il blocco delle minacce zero day tramite tecnologie avanzate come il sandboxing e l’Intelligenza Artificiale.
Salendo poi al livello di autenticazione dell’utente è impossibile utilizzare banalmente login e password, soprattutto quando viene lasciata autonomia all’utente per la scelta. La tecnologia attuale dispone di sistemi di autenticazione multifattore dove, oltre a login e password, occorre inserire una password temporanea randomica o autorizzare più semplicemente l’accesso con una APP.
Bisogna poi considerare un altro importante aspetto: la sicurezza dell’endpoint. Classici antivirus basati su firme statiche sono ormai del tutto inefficaci contro le minacce zero day studiate apposta per eluderli. Lo stato dell’arte obbliga a dotare l’endpoint - che ricordiamo potrebbe essere il computer domestico magari utilizzato per altre decine di attività non lavorative - di un sistema avanzato EPP (Endpoint Protection Platform) corroborato con tecnologia EDR (Endpoint Detection Reponse).
Uno dei problemi maggiori di un lavoratore remoto è il phishing declinato in tutte le sue varianti: sostanzialmente una email a me diretta, credibile, ben formattata, che mi induce a cliccare su qualcosa per carpirmi credenziali o per introdurre nel mio PC del codice che verrà poi attivato a fine malevolo, per rubare dei dati o rilasciare un ransomware che cripta i miei dati al fine di chiedere un riscatto e che potrebbe propagarsi in azienda se ho volumi remoti montati. Solo un sistema avanzato che analizzi dove io vado quando clicco (analisi del DNS) oltre ai processi funzionanti nel mio PC (analisi comportamentale) può darmi un estremo livello di protezione anche contro queste minacce.
Come ultimo livello, occorre considerare l’accesso alle applicazioni che dovrà avvenire solo su portali protetti da criptazione SSL, dove all’utente verrà concesso di attivare solo gli applicativi autorizzati e funzionanti all’interno dell’ambiente browser protetto.
WatchGuard abbraccia il concetto di Zero Trust ("non fidarti mai, verifica sempre") che utilizza più livelli di protezione per prevenire le minacce passando da una forte automazione tramite il cloud che riduce in modo consistente le ore di lavoro dell’IT.
Sono quattro gli ambiti sui quali lavoriamo specificatamente per la protezione dei dati e delle applicazioni fruibili da un enpoint: consentire un accesso sicuro, evitare il furto di credenziali, proteggere dal phising, bloccare il malware, disattivare i ransomware. Queste tecnologie sono incluse nel nostro bundle “WatchGuard Passport” per l’endpoint e nei nostri pluripremiati firewall Firebox per il perimetro dell’azienda.
L’accesso sicuro può avvenire tramite l’accesso alle risorse aziendali via VPN point-to-point o l’accesso su un portale applicativo via browser con collegamento in SSH dove solo le applicazioni autenticate per quel particolare utente sono pubblicate, visibili e lanciabili.
Le credenziali dell’utente sono protette con il nostro sistema di autenticazione MFA (multifattore) AuthPoint che, dopo l’inserimento di login e password, chiede una ulteriore conferma tramite un’APP sul dispositivo mobile posseduto dall’utente oppure, in caso di mancanza di connessione, inserendo la password temporanea che l’APP visualizza.
La protezione dal phishing avviene con il nostro “DNSwatchGo” che analizza se il sito dove stiamo per essere collegati è autentico oppure è un sito fake creato per rubare credenziali o iniettare del codice malevolo. Ne effettua il blocco ritornando una pagina personalizzabile di Alert. La navigazione può anche essere disciplinata da remoto evitando al telelavoratore di andare a navigare su siti improduttivi o pericolosi secondo le policy aziendali.
Il blocco dei malware e dei ransomware avviene tramite il nostro prodotto “AD360” il quale rileva nuove minacce con il machine learning e l’AI, utilizza la cloud sandboxing per l'endpoint, impedisce agli aggressori di utilizzare tecniche di exploit, isola gli host infetti, è in grado di impedire ai ransomware di crittografare i file con la tecnologia EDR Endpoint Detection & Response e mette a disposizione un sistema di classificazione dei processi ‘zero trust’: il 99,98% è un processo automatico, lo 0,02% è manuale delegato a ‘risorse’ che analizzano la pericolosità del processo mettendoci a disposizione una sicurezza al 100%.