Reti aziendali: i rischi del pass universale

Reti, cloud, browser e spettacolo: c’è una relazione logica e l’affrontiamo con Kurt Roemer, Chief Security Strategist di Citrix.

Quando si va a un concerto, ci dice Roemer, il biglietto che abbiamo comprato dà accesso a una determinata area della location, o a volte addirittura a un unico sedile.

L’accesso remoto alle reti aziendali funziona in maniera diversa: una connessione VPN offre una sorta di pass per il backstage che permette di muoversi liberamente in tutte le aree della location e, dal punto di vista della sicurezza, questo è un vero incubo.

Gli addetti alla sicurezza preferirebbero sostituire il pass per il backstage con biglietti assegnati individualmente. Fortunatamente esiste un modo per fare sì che ciò accada anche nel mondo delle reti aziendali.

Tutta colpa del browser

Nel cloud gli utenti si spostano liberamente dalle risorse del network aziendale a una serie di diversi servizi cloud esterni e lo strumento universale per fare questo è il browser. Un sistema comodo per gli utenti, ma che apre le porte a una serie di rischi infiniti dal punto di vista della sicurezza.

Kurt Roemer, Chief security strategist di Citrix
Kurt Roemer, Chief security strategist di Citrix

Innanzitutto, osserva Roemer, i browser sono facilmente attaccabili da exploit o vulnerabilità plug-in e tramite una miriade di vettori di attacchi come certificati maligni, o semplicemente attacchi di phishing.

È la solita storia che si ripete: gli utenti preferiscono la comodità alla sicurezza e avere un accesso basato su browser è senz’altro molto comodo.

Se a questo uniamo browser privi di patch e estensioni scritte male, come il player Flash, abbiamo grandi probabilità che si verifichi una perdita di dati aziendali e falle nella privacy.

C'è sempre la shadow IT

Un’altra cosa che non aiuta è il fatto che i dipartimenti IT di frequente utilizzano pratiche che perpetuano questo rischio: è ormai un’abitudine che sulle reti aziendali gli utenti utilizzino dispositivi, app e sistemi di file sharing di tipo consumer senza alcun tipo di controllo centrale. E negli ambienti di shadow IT, osserva Roemer, utilizzano questi tool indipendentemente dal fatto che siano approvati o meno.

Questo va spesso per mano con l’evidente mancanza di visibilità dei dipartimenti IT sul traffico delle reti. Per peggiorare le cose, gli utenti si loggano dentro l’intera rete aziendale (e non solo a singole app) attraverso connessioni VPN legati a endpoint rappresentati dai dispositivi e non dagli utenti stessi.

Impariamo dai militari

C’è una ragione per cui gli ambienti a elevata sicurezza come quelli militari sono tenuti in sicurezza dal concetto dell‘“ultimo privilegio”: solo utenti garantiti possono accedere alle risorse di cui hanno bisogno mentre il pass per il backstage rappresentato dal browser che offre un accesso indiscriminato è completamente all’opposto di questo approccio.

Così la principale sfida per le organizzazioni IT è oggi quella di adottare il massimo del minimo privilegio, senza rendere l’accesso alle risorse aziendali troppo difficile per gli utenti (che in questo caso finiranno con il cercare facili scorciatoie), e senza complicare troppo l’architettura.

L‘uscita da questo dilemma è l’idea di accesso contestuale: limitare l’accesso in maniera automatica e intelligente attraverso una valutazione basata su policy di chi accede a che cosa, da dove, quando e perché.

Queste restrizioni automatiche devono essere applicate in tempo reale, su tutti i dispositivi network, app e ambienti cloud. Questo permette ai dipartimenti IT di mettere al sicuro dati aziendali sensibili , limitare l’accesso a una un dato insieme di endpoinnt a determinate condizioni, limitare certe azioni come per esempio il copia e incolla e stabilire flussi di lavoro affidabili.

Privileged Account_Security_Lucchetto

No al browser preinstallato

Un primo passo importante per acquisire un livello di sicurezza così elevato è quello di affrontare la piattaforma universale di accesso: il browser. I dipartimenti IT non devono basarsi su nessun browser preinstallato o su nessun tipo di endpoint, piuttosto dovrebbero pubblicare un browser lanciato centralmente per gli utenti finali che offra loro un’esperienza di navigazione sicura.

Il controllo del browser darebbe all’IT il controllo su qualsiasi altro tipo di endpoint, senza dimenticare aspetti come l’aggiornamento del software del browser, la messa in sicurezza delle email e l’utilizzo die social media limitando contenuto attivo come flash e controllando la diversità del browser.

Si all'autenticazione multi fattore

Una volta ottenuto nuovamente il controllo della piattaforma browser, le organizzazioni IT possono dedicarsi a stabilire un flusso di lavoro per tutte le attività legate all’accesso tra cui per esempio l’autenticazione multi fattore (MFA).

In un mondo ideale, la MFA viene combinata con il concetto di accesso contestuale sopra menzionato: l’utente può sfogliare in ogni momento del materiale pubblicamente disponibile ma se vuole accedere ad app o a dati sensibili dovrà autenticarsi in maniera più rigorosa attraverso la scansione delle impronte digitali o un token.

Oggi le organizzazioni IT devono rivedere il loro accesso all’infrastruttura e ripensarla secondo i flussi di lavoro che permettono un livello di controllo più elevato, mantenendo il più possibile basso il livello di complessità per gli utenti finali. Il modo migliore per ottenere tutto questo è una combinazione di risorse ospitate a livello centrale e un accesso contestuale.

Per dirla con Kurt Roemer, bisogna dare agli utenti l’accesso al teatro, non al backstage. La qualità del suono è migliore nel teatro, peraltro, e l’area di backstage, essendo molto meno affollata, finirà per essere più sicura.

CONDIVIDI

LASCIA UN COMMENTO