Il parere di Qualys

Risponde Marco Rottigni, Chief Technical Security Officer EMEA di Qualys

Autore: Redazione SecurityOpenLab

La sicurezza degli smartphone è fondamentale quanto quella dei client, nel momento in cui i dipendenti lavorano da casa usando servizi cloud e strumenti Android/iOS propri per accedere alle app aziendali critiche. Qual è la migliore strategia per fare che malware e altre insidie non minaccino l'azienda passando per lo smartphone del dipendente?

L’utilizzo di strumenti ad alta mobilità per la produttività aziendale è un tema che è enormemente evoluto dal concetto di BYOD (Bring Your Own Device) di qualche anno fa, complici alcune macro-tendenze quali la trasformazione digitale e alcuni eventi planetari come la recentissima emergenza pandemica.

I paradigmi operativi che questi eventi hanno generato evolvono il concetto verso un vero e proprio Enterprise Mobility Computing che deve giocoforza ancorarsi a solide basi cloud e di infrastruttura dati mobile. Il primo aspetto da predisporre quindi è accertarsi che questi dispositivi entrino a tutti gli effetti nell’inventario digitale gestito dell’azienda. Trattandosi talvolta di dispositivi personali, il rispetto della privacy per alcune informazioni memorizzate in questi device deve essere garantito con una differenza di trattamento rispetto alla gestione dei dispositivi aziendali. Una volta garantita la visibilità, è fondamentale costruire o rafforzare due altre funzionalità: osservabilità e rimedio prioritizzato della superficie vulnerabile.

L’osservabilità richiede aggregazione di metadati e telemetria collezionata da sensori in grado di formare l’informazione che si desidera tracciare, ad esempio “quanti sistemi hanno la tal app come da policy?” oppure “quanti sistemi hanno il PIN di oltre sei caratteri come da specifica compliance?”

Il rimedio prioritizzato della superficie vulnerabile si fonda sulla combinazione di due capacità: determinare sia a livello di sistema operativo che di app installate le vulnerabilità esposte e arricchire il contesto con informazioni di severità, compromissibilità e minaccia di attacco. Esattamente come per il resto dell’infrastruttura aziendale, il rafforzamento di queste abilità permetterà di prevenire con un programma di rimedio efficiente un’esposizione troppo elevata al rischio di cyber attacchi.

Il 2021 dovrebbe essere l'anno del 5G. Da una parte avvantaggerà con la larghezza di banda e la velocità superiori rispetto al 4G. Dall'altra sono attese nuove minacce che correranno più veloci e potranno causare danni maggiori. Che cosa consigliate alle aziende per farsi trovare pronte?

L’inserimento dei dispositivi mobili nell’inventario digitale e nel programma di gestione del ciclo di vita e di rimedio della superficie vulnerabile è un ottimo inizio, che deve essere combinato con un efficace monitoraggio dei segnali di anomalie. Vista l’elevata mobilità di questo ambiente della biodiversità digitale aziendale, una soluzione SaaS fondata su cloud diventa l’ideale per garantire la granularità che questo monitoraggio richiede.

Un altro concetto importante di cui potenziare la messa in opera è un’architettura Zero Trust per quanto riguarda l’accesso a dati ed applicazioni, ancora su solidi princìpi di sicurezza logica come il minimo privilegio necessario. È infine utile combinare quanto sopra con un programma di compliance integrato nei controlli di sicurezza in modo da semplificare il tracciamento delle difformità da policy, che non è altro che un’ulteriore sfaccettatura della superficie vulnerabile.

Fra le applicazioni mobile più diffuse, e più insidiose se scaricate gratuitamente dagli store, ci sono le app VPN. Quali requisiti devono avere per essere affidabili?

La risposta semplice è “devono godere della fiducia dei processi di sicurezza”. Spesso i mondi dello sviluppo applicativo e della security vengono percepiti in azienda come silos disgiunti e nocivi l’uno per l’altro: il primo, abilitante per un business agile, digitale, veloce ed efficiente; la seconda, fattore di rallentamento ed ostacolo per i processi di business.

Quando la maturità digitale combina questi due fondamentali operativi in processi ben integrati, raggiungere una rapida qualificazione dell’infrastruttura IT e del parco applicativo del grado di vulnerabilità esposto diventa un processo normale, efficace ed efficiente.

Le VPN sono soltanto un’ulteriore componente di questa infrastruttura – dal punto di vista dell’accesso sicuro – e del parco applicativo – dal punto di vista delle app per dispositivi mobili. E come tali vanno trattate e autorizzate. Questo livello di integrazione permette anche interventi più rapidi o controlli compensativi nel momento in cui questi sistemi, diventati obiettivi di crescente interesse da parte degli attaccanti visto il periodo, presentano nuove vulnerabilità da rimediare.

Qual è la vostra proposta per i clienti aziendali che devono mettere in sicurezza gli smartphone dei dipendenti?

La soluzione Qualys si fonda su una piattaforma SaaS basata su un cloud di proprietà, suddiviso su più data center per garantire gravità regionale del dato trattato in Europa, USA, Medio-Oriente e Asia-Pacifico. La piattaforma accoglie diverse applicazioni abilitabili in base a necessità per armonizzare le esigenze di un inventario digitale IT, di security e di compliance. Questa armonizzazione normalizza, indicizza ed arricchisce di contesto la telemetria collezionata sul campo da sensori specializzati, inclusi agenti per i mondi Android e iOS.

Integrata o meno con eventuali MDM (Mobile Device Management) o EMM (Enterprise Mobility Management) presenti nell’organizzazione, la soluzione Qualys VMDR (Vulnerability Management, Detection, and Response) for Mobile permette l’aggiunta all’inventario di dispositivi mobili aziendali e personali, la determinazione della superficie vulnerabile e un’attività di prioritizzazione del rimedio basata sul rischio cyber. La copertura è sia per il sistema operativo che per le applicazioni installate sui dispositivi.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.