I rischi che si corrono con le VPN tradizionali hanno favorito un passaggio graduale verso la sicurezza Zero Trust, che offre maggior controllo e flessibilità per una gestione efficace dell'accesso remoto. È la summa delle osservazioni emerse nel VPN Risk Report di Zscaler, che contiene i risultati di una indagine annuale condotta da Cybersecurity Insiders sui rischi legati all’utilizzo della VPN. Per il report sono stati intervistati oltre 350 professionisti IT del Nord America impiegati in aziende che hanno dipendenti in tutto il mondo.

Telelavoro e Zero Trust

L'aumento del numero di telelavoratori ha portato a un'impennata degli attacchi contro gli utenti di VPN. Dato che le VPN concedono un maggior grado di fiducia agli utenti rispetto all'architettura Zero Trust, i criminali informatici sono più attivi nel cercare di ottenere un accesso non autorizzato alle risorse di rete attraverso superfici di attacco esposte. Secondo il report, il 44% dei professionisti della sicurezza informatica ha riportato un aumento degli exploit che hanno preso di mira le VPN aziendali nell'ultimo anno, a dimostrazione dei rischi associati a questa tecnologia.

La situazione ha portato il 68% delle aziende intervistate a dichiarare che sta accelerando i progetti Zero Trust. A differenza delle VPN, l'architettura Zero Trust considera tutte le comunicazioni di rete come potenziali minacce e richiede modalità di accesso più restrittive utilizzando policy di convalida basate sull'identità.

Inoltre, con il principio del privilegio minimo, i team IT e della security possono impedire agli utenti l’accesso a determinate applicazioni, e indirettamente agli attaccanti di sfruttare l'accesso concesso per muoversi lateralmente all'interno della rete. L'architettura di sicurezza Zero Trust riduce inoltre i rischi legati alla rete eliminando la superficie di attacco, celando le risorse aziendali alle minacce provenienti da Internet e collegando gli utenti direttamente alle applicazioni e alle risorse di cui hanno bisogno.

Un bagno di realtà

Dal sondaggio emerge comunque che nel 95% dei casi gli ambienti di lavoro fa ancora affidamento sulle VPN per supportare una combinazione di ambienti di lavoro ibridi e distribuiti, che oltre ai dipendenti coinvolgono anche stakeholder esterni quali clienti, partner e terze parti.

Questo perché le architetture di sicurezza di rete tradizionali sono molto diffuse e profondamente radicate nei data center aziendali. Non deve quindi sorprendere il dato riportato sopra. Le cose fortunatamente stanno cambiando, dato che il 65% delle aziende sta valutando l'adozione di alternative alla VPN. In questa fase, tuttavia, Zscaler reputa fondamentale mettere in guardia le aziende da offerte ingannevoli in cui VPN basate su cloud vengono spacciate per soluzioni di sicurezza Zero Trust.

Sono atteggiamenti che sarebbero attuati da quelli che Zscaler indica come “fornitori storici di soluzioni per la sicurezza delle reti che hanno interesse a mantenere questa situazione per l’accesso remoto”. La sostanza è che le VPN basate sul cloud non possono garantire lo stesso livello di sicurezza di una soluzione Zero Trust, perché la tecnologia VPN presenta le stesse carenze e gli stessi rischi delle macchine virtuali cloud come nelle appliance.