Vivo in centro città e la pausa pranzo non è più come una volta. Anche se alcune persone sono tornate a lavorare in ufficio, sembra che la maggior parte non lo abbia fatto. Guardando al passato, la pandemia sarà probabilmente un punto di svolta per molte cose nel mondo, e i ritmi della vita lavorativa incentrata sull’ufficio saranno qualcosa che non tornerà mai più come prima.
Grazie a questa maggiore flessibilità, i dipendenti non si limitano a lavorare da casa dietro a router Wi-Fi di livello consumer, ma trascorrono anche parte della giornata al parco o al bar, o magari si concedono una “vacanza di lavoro”. I responsabili della protezione delle risorse aziendali devono pensare che questi endpoint siano sempre in territorio ostile.
Anche prima della pandemia, le organizzazioni impegnate a migliorare la propria maturità in materia di sicurezza cercavano spesso di “spostarsi a sinistra”. Che cosa significa spostare a sinistra? Al livello più elementare, significa avvicinare le cose all’inizio. Ha origine dallo sviluppo del software, in cui le fasi del processo di sviluppo sono concettualizzate da sinistra a destra, dove la sinistra è l’inizio. Anche nella sicurezza applicata usiamo il termine “spostare a sinistra”, ma piuttosto che riferirci al processo di sviluppo del software ci riferiamo alla catena di attacco, che si muove dalla ricognizione a sinistra all’azione (esfiltrazione o altro obiettivo dell’attaccante) a destra.
Da molti anni, le strategie di sicurezza più complete prevedono la difesa in profondità. L’idea è che non tutte le tecnologie sono adatte a rilevare un determinato tipo di minaccia, quindi è meglio distribuirle a strati. Questi livelli spesso corrispondono direttamente a quanto qualcosa è “a sinistra” nella catena di attacco. Se riuscite a rilevare qualcosa al confine della rete attraverso il firewall, la posta elettronica o i filtri web, avete contenuto la minaccia prima che abbia un impatto negativo sulle vostre attività.
L’ideale è rilevare e bloccare un attaccante il più a sinistra possibile, cioè il più presto possibile. Spingendo i rilevamenti a sinistra, inoltre, si avvisano gli analisti della sicurezza che potrebbe essere in corso un’intrusione, avviando una caccia alle minacce più mirata per anticipare le lacune nelle difese che l’aggressore potrebbe tentare di sfruttare.
Per i dipendenti in ufficio, è possibile centralizzare il controllo di queste difese e fornire una protezione ottimale. La domanda è: siete in grado di fornire la stessa protezione ai lavoratori remoti, indipendentemente dalla loro posizione? Siete in grado di monitorare e rispondere alle minacce rilevate su tali risorse quando sono fuori dall’ufficio? Come molti hanno osservato, questo non ha funzionato come avremmo voluto quando eravamo tutti in lockdown, molti di noi senza un sistema di protezione adeguato.
Sebbene il monitoraggio della rete quando se ne ha il controllo presenti ancora molti vantaggi, tra cui una riduzione del carico di lavoro degli endpoint e la possibilità di tenere le minacce a distanza dalle risorse sensibili, dobbiamo assicurarci di poter portare con noi la maggior parte di questa protezione quando siamo in giro.
Dobbiamo essere certi non solo che la difesa sia ottimizzata, ma anche che non si perda la capacità di monitorare, rilevare e rispondere agli attacchi rivolti a queste risorse remote. La maggior parte delle organizzazioni è passata all’utilizzo di soluzioni EDR/XDR (o ha in programma di farlo nel prossimo futuro), il che è un ottimo inizio, ma non tutte le proposte che offre il mercato sono complete.
Nell’era del lavoro a distanza, gli utenti remoti non sufficientemente protetti possono incorrere in numerosi problemi – URL e download dannosi e attacchi alle reti, per citare solo i più banali – che nei tempi passati sarebbero stati gestiti dalle macchine a guardia del “fortino” aziendale. I principali componenti mancanti quando gli utenti sono “fuori dal fortino” sono il filtraggio HTTPS e l’ispezione dei contenuti web, del tipo di quelli tipicamente implementati nei firewall di nuova generazione. Se si aggiungono queste tecnologie alla protezione pre-esecuzione, al rilevamento comportamentale, ai modelli di machine learning, ai firewall client, al DLP, al controllo delle applicazioni e all’XDR, si comincia a vedere una serie completa di difese che gli aggressori devono superare, anche se gli endpoint sono ormai “liberi”.
Affinché iniziative come l’accesso alla rete zero trust (ZTNA) siano efficaci, non dobbiamo solo proteggere le applicazioni con cui interagiamo, ma anche gli endpoint che vi si connettono. Semplici controlli come l’aggiornamento del sistema operativo e la presenza di software di sicurezza possono essere un buon inizio, ma non tutte le misure di protezione sono uguali.
Poiché la maggior parte dei dispositivi è connessa a Internet ogni volta che viene utilizzata, possiamo sfruttare la potenza del cloud per fornire protezione e monitoraggio capillari. Le moderne soluzioni di sicurezza devono partire dal presupposto che il dispositivo o il telefono endpoint si trovi sempre in un ambiente ostile. La vecchia idea dell’interno e dell’esterno non è solo obsoleta, ma anche pericolosa.