Di Rodman Ramezanian - Global Cloud Threat Lead, Skyhigh Security
22 ottobre 2024 3 Minuti di lettura
In qualità di professionista della sicurezza informatica presso Skyhigh Security e di tecnologo impegnato nella difesa delle risorse critiche della nostra nazione, ho trascorso anni a osservare gli attori delle minacce che sondano e sfruttano i dispositivi edge rivolti a Internet, ovvero quei gateway critici che collegano le nostre reti aziendali al mondo digitale più ampio. Ecco perché accolgo con grande favore l'ultima guida dell'Australian Cyber Security Centre (ACSC) sulla sicurezza di questi componenti vitali dell'infrastruttura.
Il momento non potrebbe essere migliore. Stiamo assistendo ad un'impennata senza precedenti di attacchi sofisticati che prendono di mira i dispositivi edge, dai firewall di nuova generazione ai bilanciatori di carico e ai concentratori VPN. Non si tratta più di semplici componenti di rete: sono la prima linea di difesa in un panorama informatico sempre più ostile. Se compromessi, possono fornire agli aggressori un punto d'appoggio privilegiato nelle nostre reti, esponendo potenzialmente dati sensibili e sistemi critici.
Il problema fondamentale delle tecnologie VPN, ad esempio, risiede nel fatto che creano un punto di accesso pubblico, un bersaglio costante per gli aggressori alla ricerca di punti deboli. Un'autenticazione (o uno sfruttamento) di successo tramite VPN consente sia agli utenti che agli aggressori di accedere alla sua rete. Con un alto potenziale di guadagno, le VPN rimangono un obiettivo primario. Gli attacchi passati, presenti e futuri lo dimostrano: i dati lucrativi li rendono un bersaglio implacabile per i criminali informatici.
E come dice il vecchio detto: "Se sei raggiungibile, sei violabile". Cosa abbiamo imparato dalle recenti minacce?
- Minacce insider e ingegneria sociale: Lapsus$ ci ha mostrato l'enorme impatto dello sfruttamento delle tecnologie di accesso remoto basate sull'edge, sfruttando gli insider fidati e l'ingegneria sociale.
- Ransomware: Campagne come *Qilin*, *Akira* e *Fog* continuano a colpire le organizzazioni a livello globale che si affidano a VPN e credenziali statiche nelle tecnologie edge-based.
- Vulnerabilità: Le falle critiche e le vulnerabilità zero-day nei dispositivi edge di Fortinet, Check Point, Ivanti e altri continuano a lasciare esposte le organizzazioni.
- Campagne mirate: Gli aggressori prendono continuamente di mira le tecnologie VPN edge-based di Cisco, Check Point e altri per violare le reti utilizzando credenziali rubate.
Ciò che rende particolarmente preziosa l'ultima guida dell'ACSC è il suo approccio olistico alla sicurezza dei dispositivi edge. Piuttosto che concentrarsi esclusivamente sulle configurazioni tecniche, sottolinea l'importanza di un'architettura di sicurezza completa, di controlli di accesso adeguati e di un monitoraggio continuo. Ciò si allinea perfettamente con quanto abbiamo osservato sul campo: il successo della protezione dei dispositivi edge richiede una strategia stratificata che combini solidi controlli tecnici con solide pratiche operative.
Le loro linee guida parlano dell'Autenticazione a più fattori (MFA) come di un'importante strategia di mitigazione, ma aggiungerei che al giorno d'oggi è necessario molto di più per integrare l'MFA. In molti dei suddetti attacchi informatici e campagne di minacce, gli aggressori hanno aggirato molto facilmente l'MFA con le cosiddette tecniche di MFA Fatigue o Bombing.
Quindi, potrebbe chiedersi: a cos'altro dovremmo pensare?
A questo punto potrebbe venire subito in mente "Zero Trust". Sfortunatamente, Zero Trust è stato pubblicizzato al di fuori di ogni proporzione razionale. Tutto il clamore sembra eludere un punto fondamentale: La Fiducia Zero non è un prodotto, e mi congratulo con l'ACSC per non averlo suggerito. Sebbene un prodotto o un servizio possa effettivamente far parte di una strategia di sicurezza Zero Trust, nessun singolo prodotto può soddisfare tutti i requisiti Zero Trust e trasformare la sua organizzazione. L'architettura Zero Trust richiede il coordinamento di più sistemi, dai servizi di identità e autenticazione ai motori di classificazione dei dati.
A differenza dei sistemi VPN tradizionali che tendono a fidarsi degli utenti una volta che si sono connessi alla rete, l'architettura Zero Trust verifica continuamente ogni utente e dispositivo che tenta di accedere alle risorse, indipendentemente dalla loro posizione o dall'accesso precedente. Questa verifica costante diventa cruciale nel mondo di oggi, dove il lavoro si svolge ovunque, dalle reti dell'ufficio al Wi-Fi di casa, ai bar, rendendo più difficile mantenere la sicurezza semplicemente fidandosi di tutti coloro che si trovano all'interno del perimetro di una rete aziendale.
Per ampliare la guida dell'ACSC, è necessario effettuare una transizione basata sul rischio dalla sicurezza tradizionale ai margini. Sebbene i servizi di sicurezza erogati nel cloud offrano vantaggi interessanti, un approccio ibrido ha spesso un senso strategico maggiore. Alcuni sistemi critici e dati sensibili potrebbero dover rimanere in sede a causa di requisiti normativi e/o di sovranità, sensibilità e classificazione dei dati, problemi di latenza o considerazioni di continuità aziendale.
La chiave è modernizzare la sicurezza edge riconoscendo che parti diverse della sua infrastruttura possono richiedere approcci diversi. Ciò potrebbe significare mantenere alcuni componenti e infrastrutture on-premises che supportano ancora i principi Zero Trust per casi d'uso specifici, mentre adottare servizi di sicurezza erogati dal cloud per altri, assicurando che ogni scelta sia guidata dalla valutazione del rischio piuttosto che seguire un mandato universale cloud-first.
Queste linee guida ci ricordano che la sicurezza edge va oltre le patch e le regole del firewall. Si tratta di costruire sistemi resilienti che bilanciano la sicurezza con le esigenze aziendali. Mentre il lavoro ibrido e le complesse catene di fornitura digitali diventano la norma, la nuova guida alla sicurezza dei bordi dell'ACSC offre una solida base per proteggere i nostri punti di ingresso cruciali della rete.
Sebbene alcuni possano sostenere che la nuova guida sulla sicurezza dei bordi dell'ACSC non sia sufficientemente esaustiva o prescrittiva per "coprire tutte le basi", per così dire, serve come importante promemoria e invito all'azione per rivalutare la forte dipendenza dalle tecnologie tradizionali basate sui bordi e sul perimetro, che sono ancora prevalenti nei nostri settori governativi e delle infrastrutture critiche, nonostante le numerose minacce in evoluzione.
Torna ai blog