Alla fine, il COVID ci ha lasciato qualcosa di buono. Siamo stati costretti a fare i conti con il lavoro ibrido, ossia un po’ da casa, in treno, in hotel, dai nostri clienti, in coworking o in ufficio.
Tralasciando i risvolti socioeconomici sui quali sono stati sparsi fiumi di inchiostro, quello che ci ha insegnato quel periodo (con lacrime e sangue) è che un sistema di collegamento da remoto dedicato normalmente a pochi “eletti”, era improvvisamente diventato uno strumento irrinunciabile per poter far lavorare la gente da remoto. La VPN (Virtual Private Network).
Io personalmente, la prima settimana di lockdown, ho installato un numero di connessioni che probabilmente non avevo configurato in tutta la mia vita. I cybercriminali a quel punto hanno visto la manna dal cielo e mai come in quel periodo hanno diffuso ransomware. Ma perché? Perché i nostri computer sono usciti dal castello ben protetti e sono andati a stare in una tenda in mezzo ad un campo, scarsamente protetti.
Le reti aziendali sono internamente (o dovrebbero esserlo) tipicamente sicure. Le reti casalinghe o ancor peggio quelle pubbliche di bar, ristoranti, hotel, treni, aeroporti e similari, l’ultima cosa che sono, è essere sicure.
La logica del funzionamento delle VPN è un sistema che ha servito onorevolmente i servizi informatici ma che, dopo le recrudescenze dei ransomware che hanno sfruttato i punti deboli, le ha rese “vecchie” rispetto alle più sofisticate nuove tecniche di attacco. La risposta a questa “obsolescenza tecnologica” ha fatto nascere ed apprezzare la nuova architettura che prende il nome di ZTNA (Zero Trust Network Access).
Cerchiamo di capire perché il vecchio modello non funziona più rispetto alla nuova soluzione tecnologica. Il principio di base del funzionamento della VPN è piuttosto semplice. L’utente si autentica sul servizio esposto pubblicamente e, dopo una serie di validazioni tecniche di cifratura e routing dei protocolli di comunicazione, il computer viene “proiettato” all’interno della rete aziendale. Proprio come se l’utente fosse seduto sulla propria scrivania.
Bellissimo! Abbiamo risolto il problema. Non proprio. Ne abbiamo creato un altro più serio. Di fatto il computer dove viene installato il client VPN può essere tanto un pc aziendale che uno personale. Entrambi, quando si trovano fuori dall’ecosistema aziendale, possono essere estremamente vulnerabili. Quelli aziendali devono essere configurati con particolari policy che prevedano questo utilizzo, mentre quelli personali di casa sono senza controllo alcuno, per cui tecnicamente pericolosissimi per la sicurezza dei nostri sistemi.
Per non parlare della tipologia di connessione che utilizziamo fuori dall’azienda. La rete wi-fi domestica, l’hotspot dell’hotel, ristorante, aeroporto, treno e così via. Quali garanzie di sicurezza ci danno? Nessuna.
E quando ci connettiamo in VPN è come se tirassimo giù il ponte levatoio del nostro castello. Nessuno ci controlla più. Possiamo entrare e agire indisturbati. Questo perché un notevole numero di configurazioni aziendali prevede il fatto che il computer connesso tramite VPN possa vedere interi segmenti di rete. Quindi vedere i server, posta, gestionale, archivi tecnici, commerciali, cartelle condivise, stampanti ecc.
Questo approccio del “mi fido di te” fatto alla sola porta d’ingresso, è il paradiso dell’hacker. Ha solo un punto su cui lavorare per poter entrare nel castello. Una volta superato questo, non solo ha compromesso il computer remoto ma si è anche garantito la possibilità di muoversi liberamente all’interno della rete (o delle reti) con quello che si chiama tecnicamente “movimento laterale”. Può così cercare gli archivi da criptare per poi chiedere il riscatto, i repository dei backup da distruggere, i dati da esfiltrare e così via. La VPN che era nata per proteggere ora sta diventando un’autostrada per fare attacchi informatici.
Lo Zero Trust Network Access (ZTNA) rivoluziona completamente questo approccio. Ma come? Vediamolo insieme.
Intanto facciamo un paragone “medioevale” per evidenziare questa differenza enorme tra i due sistemi. La VPN possiamo assimilarla al ponte levatoio del nostro castello; invece, lo ZTNA ad una scorta armata che ci accompagna in ogni stanza del nostro castello e controlla cosa facciamo. In buona sostanza lo ZTNA non “collega” l’utente alla rete ma lo collega alla singola applicazione di cui ha bisogno, controllando come si “comporta” e rendendo tutto il resto delle risorse invisibili.
Ma come funziona? Cerco di essere il più semplice possibile. Abbiamo per primo un “broker” che riceve le nostre richieste. Un po’ come fanno i portali di prenotazione tipo Booking.com: riceve le richieste e le necessità specifiche di ogni utente. Quale città, quanto tempo, quante stelle, quanti siete, ecc. Il broker ZTNA fa esattamente la stessa cosa. Vi chiede chi siete, guarda il catalogo delle applicazioni e dove indirizzarvi. Il broker ha un suo indirizzo pubblico di rete che non è il vostro dove avete i servizi da offrire. E già qui non rendiamo pubblico il nostro perimetro esterno. Tutto passa da questo filtro.
Il secondo passaggio fondamentale è verificare effettivamente se siete CHI dite di essere. Viene quindi fatta una verifica della vostra identità mediante servizi che prendono il nome di IAM (Identity Access Management) che con sistemi avanzati e con l’utilizzo di MFA (Multi Factor Authentication), certificano che siete effettivamente voi.
Terzo step è quello di “perquisirvi” un po’ come dobbiamo fare quando passiamo i controlli di sicurezza all’aeroporto e transitiamo sui body scanner. Lo ZTNA fa proprio quello che si chiama in gergo il Posture Check, ossia controlla che abbiamo un antivirus, il sistema operativo non abbia delle vulnerabilità critiche ecc. Se il computer risulta avere una postura di sicurezza non “green”, l’accesso viene immediatamente bloccato. Importantissimo questo aspetto, poiché questo controllo non viene fatto solo in concomitanza del primo accesso ma in modo continuativo durante l’utilizzo delle applicazioni.
Ultima fase, un gateway “proietta” le richieste al servizio richiesto. Di fatto il computer che si collega non accede direttamente alla risorsa ma “passa” da una testa di ponte rendendola quindi tecnicamente non raggiungibile in modo diretto. Con questo sistema il movimento laterale è impossibile. Abbiamo quindi fermato ed eliminato le vulnerabilità intrinseche proprie del metodo di connessione VPN.
In questo scenario, se ipotizziamo che un hacker prenda il possesso del computer, si troverebbe di fatto in una prigione nella cella di isolamento senza possibilità alcuna di vedere la rete, scansionarla e quindi non può attaccarla. L'invisibilità come arma di difesa. Proprio per questa sua proprietà, lo ZTNA ha la capacità di rendere l’infrastruttura "oscura" a chiunque voglia accedervi da reti potenzialmente insicure.
Perché quindi è vitale per le nostre PMI? La NIS2, normativa europea per la cybersecurity, ha imposto un rigoroso controllo della supply chain dei fornitori IT. Dargli una VPN per quanto limitata, espone direttamente i sistemi anche critici (vedi le reti OT di cui abbiamo parlato nei precedenti articoli). Non sapendo e non potendo sapere esattamente qual è la postura di sicurezza del nostro fornitore, lo ZTNA ci risolve alla radice questo problema.
Altro aspetto è la User Experience. Diciamolo onestamente. Noi tecnici IT ci siamo sempre fatti odiare dagli utenti remoti. Instabilità, problemi di connessione, apri, chiudi, usa questa icona e non l’altra e chi più ne ha ne metta. Spesso i prodotti ZTNA sul mercato sono del tutto trasparenti agli utenti così ci facciamo, se non amare, almeno non odiare dai nostri utenti.
Fine del terrore da parte degli amministratori di sistema, su quale connessione gli utenti remoti stanno utilizzando. Lo ZTNA cripta il traffico a livello di applicazione, rendendo irrilevante la sicurezza della rete di trasporto.
Per gli imprenditori, il passaggio dalla VPN allo ZTNA rappresenta un investimento sulla resilienza. In un'epoca in cui i Ransomware mettono in ginocchio intere produzioni industriali, rendere la propria rete "invisibile" e segmentata è un enorme passo avanti sulla postura di sicurezza. È l'unico modo per garantire che, qualunque cosa accada fuori, l’azienda ne sia completamente immune.
Per maggiori informazioni:
Sito web: www.seccomarco.com