Sicurezza IT, come scegliere la protezione giusta secondo WatchGuard

A fronte di una situazione dove gli attacchi alla sicurezza IT sono sempre più mirati e sofisticati è necessario attivare una protezione sempre più efficace, che sappia anche anticipare eventuali minacce. Ma come scegliere quella più adatta? Abbiamo posto questa e anche altre domande a Gianluca Pucci Manager Sales Engineer, WatchGuard Italy. 

– La situazione globale degli attacchi è preoccupante e in continua evoluzione. Quali osservatori privilegiati, quali tendenze potete evidenziare?

Si dice sempre che una crisi o una situazione critica possano rappresentare un’opportunità, se la si sa cogliere. Purtroppo, è una verità che vale in assoluto, quindi anche per i cyber criminali. Infatti, eventi tragici come la pandemia e la guerra in Ucraina hanno rappresentato (e stanno rappresentando) un vettore di attacco efficacissimo. Sfruttando la drammaticità di tali eventi a livello sociale i cyber criminali fanno leva sulla debolezza umana per perpetrare i più classici attacchi di phishing, iniezioni di malware, furto di credenziali e così via. Personalmente, porrei particolare attenzione alle news veicolate dai media o da qualsiasi altro vettore, come per esempio le mail, che tendono a colpire la sensibilità della persona, sfruttando le tragedie o gli eventi nefasti della storia recente.

– Quali sono gli obiettivi più sensibili?

I cyber criminali eseguono delle indagini prima dell’attacco, raccogliendo informazioni sull’infrastruttura che intendono colpire. Per evitare di essere facili obiettivi di un attacco meglio effettuare degli assessment per scoprire se si ha un’infrastruttura debole, credenziali ad alto rischio di furto, sistemi operativi obsoleti o non patchati.

Le infrastrutture pubbliche, per il ruolo che rivestono, si prestano particolarmente a essere obiettivi di attacchi. In questo senso, abbiamo chiari esempi quali il caso della Regione Lazio dell’estate dello scorso anno piuttosto che attacchi a ospedali, Comuni o realtà simili.

– Come si realizza una vera “protezione proattiva”?

La protezione proattiva è un’inversione di tendenza rispetto alla consueta linea di difesa. In passato si tendeva aspettare passivamente che si verificasse una minaccia, cercando una soluzione ai danni che tale minaccia procurava, oggi invece si tenta di prevenirla. Quindi con la “protezione proattiva” si sposano due luoghi comuni: “la migliore difesa è l’attacco” e “prevenire è meglio che curare”.

In buona sostanza, lavoriamo in termini di difesa proattiva attraverso il threat hunting, ovvero un sistema di cybersicurezza che è in grado di procacciare le minacce quando non sono state ancora rilevate dai sistemi basici se non di anticiparle, grazie anche all’intelligenza artificiale. Questo significa studiare e capire il nemico al fine di essere pronti, raccogliendo le informazioni e tentando di agire prima di essere colpiti proattivi. Ovviamente, per realizzare questo tipo di attività, è indispensabile un ottimo sistema di monitoring e di raccolta telemetrica, sistema di cui sono dotate tutte soluzioni tecnologiche di WachGuard, a partire dagli endpoint fino alla difesa del perimetro.

– Sicurezza Zero-Trust: cosa significa?

Zero-Trust letteralmente significa non fidarsi di nessuno. Personalmente, però, adeguandolo al concetto di networking locale direi “non fidarsi di niente e di nessuno”. Questo perché oltre a dovere far coincidere l’identità fisica con quella logica, e quindi accertarsi dell’identità a livello digitale (ci sono diverse tecnologie che operano in tal senso), si deve anche pensare a due ulteriori fattori. Il primo è il cambiamento del perimetro: oggi è disgregato dal concetto consueto perché non esistono più una zona interna e una esterna della rete. Lo smart working estende il perimetro fino a dove si trovano i lavoratori. Inoltre, le risorse vengono trasferite nel cloud. Quindi, il perimetro si sfalda. Se l’azienda non capisce questo concetto, si presta ad avere diverse superfici di attacco. A maggior ragione, il concetto di non fidarsi di nessuno aumenta in larga scala e quindi si deve pensare molto bene non solo a proteggere l’identità fisica ma anche a proteggere tutti le connessioni intranet o extranet che fanno riferimento all’infrastruttura.

– Come si implementa una sicurezza Zero-Trust?

La sicurezza Zero-Trust può essere implementata con diverse tecnologie. Nel caso si necessiti di una credenziale, per una risorsa web, una VPN o il solo uso del pc, per poter confermare che l’utente sia realmente quello che ha il permesso di accesso normalmente si adotta la multifactor authentication, di cui WatchGuard è fautrice perché la prevede nel proprio portafoglio prodotti. Questa tecnologia implica che l’utente, oltre a fornire le credenziali corrette, confermi la sua identità tramite una one time password legata al suo profilo biometrico tramite il cellulare. Collegando tale utente con l’impronta digitale piuttosto che con il viso si è certi dell’identità.

Si dovrebbe però anche implementare un’assoluta e stringente sicurezza all’interno del perimetro aziendale. Questo lo si può ottenere segmentando la rete e utilizzando precise policy di sicurezza. Infatti, sarebbe bene adottare una strategia di sfiducia comune per tutti i segmenti di rete a disposizione, esterni o interni che siano, richiedendo permessi e autenticazioni senza fare alcuna eccezione. Questo è il metodo più concreto per applicare la filosofia Zero-Trust. Se vogliamo, è il più duro, ma anche il più efficace.

– Carichi di lavoro e archivi dati si sono concentrati sui server aziendali e nel cloud, come è possibile garantire un lavoro fluido e sicuro per tutti?

Come detto, il perimetro aziendale è cambiato e quindi le varie entità spostano nel cloud l’infrastruttura, che è aperta ai servizi informatici per ospitare nuove realtà e non essere più dipendenti dalla rete locale. Per poter lavorare concretamente a fronte di questa transizione servono affidabilità, linea dati e sicurezza.

Per esempio, se si è effettuata una decentralizzazione, quindi è stato spostato dalla rete un servizio mettendolo nel cloud, si può ottenere velocità e sicurezza collegando la rete stessa all’entità esterna tramite una VPN. Si potrebbe usare una tecnologia IKEv2, che oggi è la più veloce e la più sicura, proteggendo ulteriormente la rete con la multifactor authentication. In questo modo si ottengono i tre elementi fondamentali: velocità, performance e sicurezza. Questo, quando si lavora con il cloud, è uno dei metodi che si tende a proporre a livello di best practice per trovare una coniugazione delle richieste tipiche dei clienti, che sono appunto di performance, affidabilità e sicurezza.

– I workload si stanno rapidamente spostando verso “la nuvola”, come è possibile ottenere la visibilità dei dati e il controllo degli accessi? Come abilitare una security efficace?

Sfrutto il trend della decentralizzazione dei servizi nel cloud per fare due esempi: nel cloud si può avere una web application legata a un’autenticazione (come Office 365, Go to meeting o Salesforce) che normalmente potrebbe essere oggetto di un attacco semplicemente usando le credenziali rubate. Quindi comprando nel deep web un database di utenze (rappresentate da username e password) si potrebbe tentare di accedere a diversi profili che, se legati solo a quel sistema di sicurezza, garantirebbero un accesso totale alla risorsa.

Si può però aumentare il livello di protezione implementando la multifactor authentication a fianco di username e password. Quindi, per accedere serve un riconoscimento biometrico perché il profilo è legato all’identità fisica. Per chi decentralizza un servizio su uno dei più grossi service provider, come Microsoft Azure o Amazon AWS, WatchGuard ha delle soluzioni di front end chiamate Firebox Cloud pronte a terminare delle VPN verso le sedi centrali. In pratica, estendiamo la protezione di WatchGuard all’ambiente cloud. Perciò tutto quello che era normalmente esposto viene protetto dai nostri servizi, gli stessi che si ritrovano nelle piattaforme hardware che abbiamo come nostra tecnologia.