Uso promiscuo dei dispositivi digitali: quali impatti per la security aziendale - Cyber Security 360

TECNOLOGIA E SICUREZZA

Uso promiscuo dei dispositivi digitali: quali impatti per la security aziendale

L’attuale contesto di smart working e l’uso promiscuo dei dispositivi digitali hanno causato un forte decremento delle difese e una forte carenza di slancio operativo per rispondere agli incidenti: una totale destabilizzazione della postura digitale, con impatti notevoli per la security aziendale. Ecco perché

22 Feb 2021
R
Marco Ramilli

Founder & CEO di Yoroi

Stiamo assistendo ad un importante cambiamento di paradigma nell’uso promiscuo di dispositivi digitali, ancora una volta guidato dalla pandemia: nell’attuale contesto di smart working, organizzato o forzato che sia, dal concetto di BYOD (Bring Your Own Device), cioè l’utilizzo dei dispositivi personali per uso lavorativo, si sta passando ad una metodologia organizzativa del lavoro basata sul TYWD (Take Your Working Device), prendere il proprio dispositivo di lavoro per portarlo a casa.

Uso promiscuo dei dispositivi digitali: il BYOD

Finora, infatti, c’era il dispositivo personale, tablet, smartphone, smartwatch, PC o laptop che apparteneva a noi come persone fisiche e che racchiudeva parte del nostro lavoro e della nostra presenza digitale.

Per comodità di utilizzo, per non interagire con dispositivi multipli ed evitare di passare da un dispositivo ad un altro in modalità “zapping” per la lettura di e-mail private o professionali o per controllare i social media, abbiamo chiesto la possibilità di introdurre tali dispositivi al centro della nostra attività lavorativa, portandoli all’interno della nostra azienda.

Da questo è nato il concetto di Bring Your Own Device (BYOD). Un dispositivo unico e personale, portato all’interno della propria azienda, prima per uso esclusivamente personale e poi, nel tempo, per uso promiscuo.

Durante questa prima fase evolutiva verso l’unificazione dei dispositivi informativi, numerose furono le tematiche aperte in azienda come, per esempio, quelle relative al dipartimento IT che, quasi improvvisamente, vide entrare all’interno del perimetro aziendale dispositivi eterogenei e privi di software standard.

Alcuni già infetti da malware ed altri senza alcuna possibilità di essere controllati in quanto aventi software obsoleti o sistemi operativi non compatibili con i sistemi aziendali.

Un momento molto interessante e di profondo cambiamento per le nostre aziende che hanno dovuto cambiare per prima cosa le politiche interne agli accessi informativi e successivamente adattare i propri sistemi IT per permettere ad oggetti non standard (e spesso insicuri) l’ingresso nei propri sistemi.

Uso promiscuo dei dispositivi digitali: dal BYOD al TYWD

Il lavoro deve adattarsi, non si può stare nello stesso luogo, gli ampi spazi, gli “open space” realizzati abbattendo gli ormai ex uffici, non risultano più adatti alla nuova realtà, sono troppo affollati, portano troppa contaminazione e così, molto velocemente, prende ampio spazio il lavoro da remoto.

Sia esso nella sua coniugazione di “smart working”, sia esso nell‘accezione di “remote working”, velocemente cambia le regole in gioco.

WEBINAR
Smart Working in azienda: come integrare davvero collaborazione e comunicazione
Risorse Umane/Organizzazione
Smart working

Le affollate LAN aziendali diventano quasi deserte, il throughuput dei singoli switch di distribuzione decresce di circa 2/3, gli unici strumenti ancora attivi sono i server aziendali che, con esclusione di quelli adibiti alla produzione, percepiscono un sensibile raffreddamento delle proprie CPU.

Velocemente i dispositivi aziendali, laptop, tablet, smartphone, affollano un ambiente “militarizzato” come quello aziendale, studiato, ponderato e classificato da anni di evoluzione per entrare nelle nostre abitazioni. Una nuova era sembra affacciarsi all’improvviso. Dal “BYOD” al “TYWD”, ovvero (come mi piace definirlo): Take Your Working Device, a casa.

I dispositivi aziendali sono stati studiati in termini di software, di accessi e politiche di utilizzo per operare principalmente all’interno della rete aziendale ove fosse possibile un accesso diretto in caso di manutenzione o mal funzionamento e fosse scontata la presenza di sistemi perimetrali come per esempio: proxy per il filtering dei contenuti sulla navigazione, firewall attivo a livello 7 (Next Gen), la presenza di un sistema di anomaly detection per controllare connessioni anomale, la presenza di un sistema anti intrusione e un security operation center in monitoraggio e risposta a incidenti di sicurezza.

Dal BYOD al TYWD: nuove problematiche di sicurezza

Oggi tali dispositivi si trovano dietro ad un router domestico e con un accesso diretto, attraverso un canale VPN, all’interno delle nostre reti aziendali. L’ IT improvvisamente si trova a dover risolvere problematiche mai viste, senza diritti amministrativi e senza conoscere procedure standard per operare con sicurezza.

Le numerose certificazioni in loro possesso non sono più utili in questo contesto:

  • “l’amministratore non riesce ad accedere al sistema aziendale, ha un router NetGear, è necessario creare un tunnel IPSec”;
  • “il direttore del personale ha un DLink e non riesce ad accedere al sistema di gestione ore”;
  • “il capo dell’automazione non riesce a controllare la produzione, ha una rete domestica realizzata dal nipote che a sua volta possiede una piccola impresa di system integration artefice di quella rete domestica”.

Questi solo alcuni dei numerosi casi “fuori standard” (realmente accaduti) con cui l’IT è costretta a confrontarsi a seguito del remote working.

Parallelamente gli analisti SOC, che dopo mesi avevano portato il grado di contaminazione a livelli controllati (DEFCON 4) improvvisamente osservano impennate di allarmi, di eventi, di tickets da dover gestire.

Tornano in vita trojan che non si vedevano da anni, si vedono comunicazioni a server Command and Control vecchie di mesi, si osservano scansioni interne, tentativi di exploiting dei consueti sistemi EthernalBlue/Romance, la totale disfatta del tanto faticato Defcon raggiunto con l’operatività di mesi.

Impatti sulla security aziendale

Tutto questo ha avuto un impatto molto importante sulla gestione della sicurezza aziendale, riducendo notevolmente l’attenzione sui piccoli rumori e amplificando l’attenzione alla riduzione di eventi macroscopici ma importanti da eliminare.

L’IT ha dovuto cedere sulle politiche aziendali per permettere il corretto funzionamento del business, i sistemi di protezione perimetrale letteralmente scavalcati e gli analisti dei team di difesa costretti a chiudere tickets piuttosto che effettuare analisi.

Il risultato? Un forte decremento delle difese, del livello di attenzione per quello che è significativo, una forte carenza di slancio operativo per rispondere agli incidenti, una totale destabilizzazione della postura digitale.

Se fossimo dei medici fisiatri, probabilmente, paragoneremmo questo fenomeno ad un fenomeno post-traumatico, ovvero a come la postura è cambiata a seguito di un trauma come può essere un incidente automobilistico.

Conclusioni

Oggi conosciamo tutto ciò, sappiamo che numerose politiche aziendali non possono essere più attuate, conosciamo il nuovo perimetro e sappiamo che tale concetto non esiste più. Dobbiamo fare i conti con la “liquidità” dei sistemi informativi, con la contaminazione delle reti, dobbiamo accorgerci che, così come il business è cambiato, anche i sistemi informativi sottostanti stanno e devono evolversi.

Non possiamo avere un business liquido e affermare che attraverso una semplice VPN “ritorniamo al paradigma di prima” (tutti in LAN), questo è semplicemente posticipare il problema reale.

Dobbiamo fare evolvere i nostri sistemi di difesa, comprendere che oggi i sistemi esperti posti alla difesa del nostro digitale sono formati sempre più spesso da specialisti e non da generalisti, dovremo agevolare team esterni che possano intervenire rapidamente con le giuste figure di riferimento nei tempi concordati, dovremmo esternalizzare tali funzionalità in centri di competenza sempre più focalizzati in tecnologie proprietarie, al fine di esserne i migliori utilizzatori.

Dovremmo, insomma, internalizzare la “governance”, ovvero il governo di tali team per meglio aderire a processi esterni ai propri processi aziendali.

Un “new normal” si avvicina non solo per la società, ma anche per la tecnologia in suo supporto. Estote parati.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga

@RIPRODUZIONE RISERVATA

Articolo 1 di 5