Traduzione dell'intervista per entrepreneur.com di Bibhuti Kar, Capo del dipartimento Ricerca e Sviluppo di Quick Heal Technologies

L'adozione della "digitalizzazione" è cresciuta enormemente e costantemente in tutte le imprese e i governi del mondo. Ha persmesso loro di espandersi in modo molto ambizioso a livello globale, e di rimanere sempre ON, cioè sempre attivi e connessi. Oltre ai vantaggi derivanti dall'uso delle tecnologie mobile, oltre alla banda larga residenziale, oltre  ai vantaggi della gestione dei dati via wireless e mobile, c'è anche da tenere in considerazione che i dipendenti di oggi preferiscono "fondere" lavoro e vita riducendo gli sforzi. I datori di lavoro sono felici di fornire questa flessibilità, perché garantisce la possibilità di essere costantemente attivi e online. 

La tecnologia era già avviata su questo percorso, in vista del raggiungimento di un obiettivo apparentemente utopico come il "lavorare ovunque, in qualsiasi momento, utilizzando qualsiasi tipo di dispositivo". Non serviva alcun altro catalizzatore ma poi...

poi è arrivata la pandemia!

Improvvisamente lavorare da remoto è diventato l'unico modo per garantire la continuità aziendale. Il termine "WFH" - Work From Home, che fino a poco tempo fa era riservato al vocabolario di una ristretta minoranza di lavoratori esperti di tecnologia e di una ristretta cerchia di impiegati, è divenuto a causa della pandemia un termine normale e diffuso, mano a mano che si moltiplicava il numero dei lavoratori da remoto. Non solo: tutti gli studi più recenti sono concordi nel rilevare che la maggior parte dei lavoratori che ha sperimentato il lavoro da remoto vorrà proseguire con questa modalità lavorativa anche nel periodo post pandemia. 

Tutto questo rappresenta una sfida senza precedenti per gli esperti di sicurezza e i responsabili della sicurezza IT aziendale, divenendo fondamentale e irrimandabile la necessità di proteggere le risorse digitali dei dipendenti e dell'azienda. 

Sebbene le misure di sicurezza adottabili siano infinite (letteralmente), vorrei elencare 5 considerazioni "chiave", disponibili e di facile implementazione, per proteggere la forza lavoro remota in continua espansione ma anche le imprese che si stanno adattando a questo cambiamento. 

"Zero trust" è un paradigma di sicurezza traducibile con "non fidarti di nessuno per l'accesso ad una risorsa aziendale, a meno che non sia esplicitamente previsto e consentito". Tecnicamente definito "whitelisting", è un modello diverso dalle soluzioni di accesso remoto dell'era firewall / VPN (definite "blacklisting"). 

Un tunnel VPN tradizionale porta l'utente remoto dentro la rete locale aziendale (LAN), dalla quale ha accesso laterale a tutti gli altri servizi. Questo modello è estremamente pericoloso (data la quantità di malware che ormai prevedono esplicitamente meccanismi di diffusione laterale per accedere a tutti gli host connessi alla rete - N.d.r). Non solo: un tunnel VPN non basta a sé stesso, anzi dovrebbe essere supportato da una protezione firewall per rendere la rete aziendale a prova di attacco. La complessità di queste soluzioni però apre numerose nuove possibilità di errore umano e di amministrazione e, come si sa, tali errori possono rivelarsi molto costosi. 

Il paradigma "zero trust user" prevede che tutte le richieste di accesso alle applicazioni aziendali da parte di un utente siano intercettate, valutate (l'utente che si è autenticato è valido?) e gestite secondo le autorizzazioni previste (quali privilegi ha quel dato utente?): solo al termine di tutte queste verifiche viene consentito l'accesso ai servizi richiesti.  

Passare da un meccanismo di blacklisting ad uno di whitelisting non solo impedisce movimenti laterali, ma semplifica anche il processo decisionale e riduce il rischio di errore umano, garantendo in tal modo servizi diffusi in più ambienti di hosting. Chi ci guadagna di più è il lavoratore remoto, che non ha più necessità di contattare il server VPN prima di accedere all'ambiente aziendale. 

I Ransomware sono ormai diventati infinitamente potenti durante la pandemia e hanno, nei fatti, dato vita ad una nuova tipologia di attacchi denominata "ransomhack". La novità sta nel fatto che un attacco ransomware non si limita più alla criptazione dei file (rendendoli illeggibili), ma ha aggiunto il furto dei dati stessi: ecco perché da un solo attacco ora conseguono due richieste di riscatto (riportare in chiaro i file, pagare per non far rendere pubblici quelli rubati - N.d.r). 

Il modo più semplice per evitare di pagare il riscatto è quello di criptare continuamente i dati critici sui dispositivi degi utenti, sfruttando criptazioni di alta qualità, e di eseguire il backup periodico dei dati aziendali. Entrambe le soluzioni sono disponibili da anni e possono essere facilmente configurate per i dispositivi degli utenti remoti. 

L'autenticazione multi fattore è ormai irrinunciabile per la gestione di tutti gli accessi critici, quindi è altamente consigliabile applicarla per impostazione predefinita. Un secondo fattore di convalida, che sia una OTP (one time password) o un token generato da un secondo dispositivo dell'utente, garantisce maggiore certezze nell'autenticazione dell'utente. 

Implementare la MFA rende impossibile per gli attaccanti limitarsi ad attacchi di brute-force o di crack di password deboli per ottenere l'accesso illimitato ad un utente e quindi ai dati critici aziendali. Ecco perché l'MFA, che complica molto la vita dei cyber attaccanti, sta riscuotendo molto successo come modalità di autenticazione degli utenti. Tuttavia, ancora si fatica ad applicare questo meccanismo di protezione a infrastrutture di rete critiche come firewall, UTM, router perimetrali ecc... La compromissione di credenziali amministrative, che troppo spesso sono deboli, su una infrastruttura critica può concretamente essere sventata grazie alla tecnologia MFA, che necessita solo di implementazioni molto semplici. 

La maggior parte delle compromissioni è causata da dispositivi che non sono stati aggiornati con le patch di sicurezza e gli update forniti dai rispettivi produttori e dai vendor dei sistemi operativi. Non solo: quando viene garantita agli utenti la massima flessibilità nell'uso dei dispositivi tramite i quali accedere ai servizi aziendali, una soluzione di sicurezza olistica diventa difficile. 

La capacità di determinare la natura e la posizione del dispositivo utilizzato dal dipendente remoto (sistema operativo, versione, vendor ecc...) è quindi fondamentale per garantire la flessibilità in azienda, pur salvaguardando le risorse. 

Tutte le considerazioni sopra esposte sono fornite tenendo di conto che la forza lavoro moderna spesso sceglie di usare dispositivi personali per accedere ai servizi aziendali. Tuttavia un dispositivo personale è decisamente più esposto ad attacchi e infezioni, perché soggetto ad attacchi di phishing mirato, ai rischi conseguenti a cattive abitudini di navigazione, all'accesso a wi-fi gratuite e pubbliche ecc...

I dipartimenti IT hanno, di fronte a loro, due possibilità per garantire la flessibilità agli utenti senza compromettere la sicurezza degli asset aziendali. 

La prima scelta è quella di registrare i dispositivi personali dei dipendenti nelle risorse IT aziendali, installandovi un agent di sicurezza. Con questo passaggio, il dispositivo personale dell'utente viene gestito come qualsiasi dispositivo fornito dall'IT. L'agent può eseguire firewall distribuiti, scaricare policy specifiche e gestire l'accesso, la conformità e la posizione dei dispositivi. Tuttavia è a rischio la privacy dei dipendenti, preoccupati inoltre da quali dati di telemetria sono raccolti dal datore di lavoro dai loro dispositivi personali tramite l'agent di sicurezza. 

La seconda possibilità è quella di consentire alcune applicazioni, preferibilmente ospitate in cloud (servizi di posta elettronica, messaggistica aziendale, calendario), protette con un'adeguata MFA. E, per essere doppiamente sicuri, è utile implementare soluzioni di data leak protection e firewalling.