Le VPN sono la soluzione per la sicurezza a cui si stanno affidando tutte le aziende italiane per garantire un accesso sicuro ai dati aziendali. La loro tenuta è minacciata da attacchi DDoS e ransomware. In più, alle VPN sono connessi endpoint che potrebbero essere veicolo di infezioni. Ecco perché è necessario aggiungere un ulteriore livello di sicurezza, con l'autenticazione a più fattori.

Come ha ricordato ieri Check Point Italia, le VPN non solo la migliore soluzione possibile. Ma l'urgenza ha imposto di lavorare con quello che c'era, soprattutto nelle realtà legacy. Sì è fatto un ampliamento delle infrastrutture il più velocemente possibile. Con l'auspicio che chi non si è affidato a professionisti della cyber security non abbia lasciato falle che quasi certamente verranno sfruttate dai cyber criminali.
Però non basta. Occorre un ulteriore livello di protezione. Il motivo lo aveva giustamente sottolineato Gastone Nencini di Trend Micro. La VPN dà sicurezza nella trasmissione dell'informazione, non nel contenuto dell'informazione trasmessa. Questo significa che se l'endpoint collegato alla VPN è infetto da malware, questo viene trasferito in maniera criptata all'azienda, quindi bypassando i sistemi di sicurezza a livello di gateway. Il rischio è tutt'altro che remoto.

È per questo che c'è tanta insistenza sulla protezione degli endpoint. Che deve includere l'aggiornamento di tutti i software e i sistemi operativi e l'installazione di soluzioni di prevenzione e controllo. Proteggere gli endpoint tuttavia significa anche accertarsi che chi accede al sistema sia una persona affidabile. Si ricorda, infatti, che il primo vettore di attacco per qualsiasi organizzazione è costituito dalle credenziali compromesse. È quindi sconsigliato che i dipendenti in smart working usino le sole credenziali di accesso alla VPN per collegarsi. Non assicurano una protezione adeguata delle risorse critiche a cui si accede.

A tal proposito è bene ricordare la moltitudine di campagne di phishing mirate al furto di credenziali. L'incremento delle operazioni di credential stuffing e gli attacchi contro Zoom e le applicazioni di videoconferenza in generale. Sono tutti sintomi del fatto che i cyber criminali stanno schierano tutte le loro armi per entrare in possesso delle credenziali dei lavoratori in smart working. Avere quelle di accesso alla VPN equivale ad avere la chiave d'accesso ai sistemi aziendali.
Per proteggere l'accesso VPN e alle risorse critiche occorre implementare l'autenticazione a più fattori (MFA). Sono molte le aziende lungimiranti che lo stanno facendo. Il concetto è sempre lo stesso: combinare qualcosa che si ha (di solito un token generato sullo smartphone) con qualcosa che si conosce (le credenziali).

Un cyber criminale potrebbe aver intercettato le credenziali, ma in mancanza dello smartphone sarà innocuo. Ricordiamo un report di Microsoft risalente al 2019 in cui era riportato che la presenza dell'MFA può bloccare oltre il 99,9% degli attacchi di compromissione dell'account. Non solo, i dipendenti potranno accedere alle risorse critiche in maniera coerente e sicura, nel rispetto delle migliori pratiche di sicurezza informatica.

Detto questo, l'aggiunta dell'MFA alla VPN non è la procedura più semplice del mondo. Richiede tempo e impegna fortemente il team IT interno, soprattutto se l'IdP è gestito on premises. Il problema riguarda più che altro le infrastrutture legacy. Bisogna gestire ogni caso singolarmente, contattare le persone per risolvere i problemi. E per ciascuna bisogna eseguire il provisioning, il deprovisioning e la modifica dell'accesso alla VPN. Un lavoro del genere, fatto da casa, è un vero guazzabuglio.

Tutto è più semplice se l'IdP è in cloud. È un altro motivo per il quale considerare seriamente, alla fine dell'emergenza sanitaria, uno svecchiamento delle infrastrutture.