Spesso ritenute “blindate” per definizione, le reti private virtuali andrebbero messe alla prova. Gartner suggerisce un percorso a tappe
Molte organizzazioni commettono l’errore di escludere le reti private
virtuali (Vpn) all’interno delle attività di assessment delle vulnerabilità
e della sicurezza, credendo che questi tunnel siano caratterizzati da una inespugnabilità
intrinseca. In realtà, molte volte questo assunto si è rivelato
infondato. Ecco perché il processo di accertamento e tuning di una Vpn
dovrebbe essere attentamente valutato.
In linea di principio, si tratta di un processo sequenziale (suddiviso in sei
passaggi) che, secondo Gartner, si sviluppa identificando le vulnerabilità
all’interno di ogni sua fase, neutralizzandole e, con cadenza periodica,
tarando di nuovo tutta l’infrastruttura, sulla base dell’evoluzione
delle minacce.
Assessment del gateway Vpn.
Il primo passo nel testing della sicurezza di una
rete privata virtuale è quello di capire e inquadrare le vulnerabilità
associate al deployment di una Vpn. Anche se molte aziende compiono abitualmente
un accertamento delle vulnerabilità, troppo spesso escludono interventi
specifici sulle Vpn, specie se utilizzano sistemi agent-based (che prevedono
l’impiego di agenti intelligenti a guardia della rete privata virtuale,
che generano allarmi immediatamente recapitati al responsabile della sicurezza
qualora verifichino eventi anomali, come un’impennata improvvisa di traffico).
La maggior parte degli strumenti di scanning oggi in commercio dispone di funzionalità
specifiche per l’accertamento dei gateway Vpn anche se la loro reale efficacia
è variabile.
Analisi dei percorsi degli attacchi.
Le vulnerabilità rilevate nella fase di configurazione o deployment della
Vpn richiedono una revisione delle modalità attraverso le quali l’accesso
remoto può diventare realmente un vettore di accesso alle infrastrutture
critiche e alle applicazioni. Questa analisi potrà essere condotta manualmente,
nell’ambito della fase successiva (penetration testing). Tuttavia, esistono
diversi strumenti in grado di automatizzare tale attività. Vendor come
McAfee o nCircle, ad esempio, stanno progressivamente includendo informazioni
topografiche sui propri prodotti, in modo da garantire che funzionalità
di questo tipo possano essere automatizzate. La facoltà di determinare
il percorso dell’attacco, l’analisi topografica dello stesso e il
penetration testing sono fondamentali per la comprensione del reale grado di
inespugnabilità di una Vpn.
Penetration test.
Questa tipologia di analisi consiste nel valutare la sicurezza
di un sistema cercando di violarlo, sottoponendolo a un’ampia varietà
di attacchi informatici. L’obiettivo è di mettere a nudo le vulnerabilità
sfruttabili da terzi per ottenere accessi non autorizzati al sistema informativo
aziendale. Oltre ai problemi di sicurezza, dovranno essere rilevati (quali possibili
punti deboli) i problemi relativi alla configurazione (che incidono sulla robustezza
e le performance del sistema) e gli errori di progettazione della rete.
La maggior parte delle aziende non riesce a condurre internamente queste verifiche
e, spesso, questa fase del processo viene esternalizzata. Esistono due diverse
tipologie di fornitori per tali servizi: da un lato i grandi consulenti, quali
Kpmg, Deloitte&Touche, PricewaterhouseCoopers o Ernst&Young; dall’altro
i grandi specialisti di sicurezza quali Cybertrust, McAfee, Symantec o VeriSign.
Iniziano, tuttavia, a diffondersi anche tecnologie preconfezionate di penetration
testing, come quelle di Core Security.
Accesso degli utenti e provisioning. L’accesso degli utenti deve essere
attentamente monitorato nell’ambito di policy predefinite. L’output
di un dispositivo Vpn, come un login e i suoi settaggi, dovrà inevitabilmente
essere inserito all’interno di una policy specifica di gestione dei log.
Così, bisognerà predisporre allarmi e report ad hoc, per monitorare
l’attività degli utenti e identificare tempestivamente le violazioni.
A fronte di una sospetta travalicazione delle policy di sicurezza di una Vpn,
dovrà essere predisposto un meccanismo che disabiliti automaticamente
gli account e le password rilasciate di default.
Monitoraggio ambientale.
Il controllo dei comportamenti “leggeri” o sospetti è fondamentale,
almeno tanto quanto la tecnologia. Alcuni tool permettono di importare i log
Vpn, aggregarli, analizzarli e correlarli, generando allarmi e report in merito
ai comportamenti sospetti. Il monitoraggio del traffico, così come l’analisi
dei comportamenti delle reti (Network behavior analysis, Nba), possono contribuire
a identificare le violazioni delle policy o i comportamenti anomali.
Sicurezza dei client Vpn.
La sicurezza di una rete privata virtuale può essere facilmente compromessa
anche sul lato client (spesso portatore di vulnerabilità intrinseche).
Un client infetto, infatti, potrà propagare virus o malware lungo il
tunnel della rete privata virtuale, oppure agire come una porta d’ingresso
per l’attacker, che potrà così agire indisturbato sulla
rete semplicemente perché è riuscito a carpire Id e password malconservate.
Il gateway Vpn dovrà essere controllato attentamente, per evidenziare
la correttezza delle configurazioni dei client e la loro autenticazione, prima
di garantire a questi device l’accesso alla rete privata virtuale. Occorrerà
verificare, inoltre, la conformità del client con le policy aziendali
in materia di dotazione di antivirus, antispyware, autenticazione degli utenti
e protezione dei dati a livello locale. I dispositivi non conformi dovranno
essere trattati come ostili, quindi messi in quarantena e valutati attentamente
all’interno di una iniziativa apposita di controllo degli accessi in rete.
