Proteggere l’infrastruttura IT aziendale creando una barriera? Idea superata. I confini del perimetro sono infatti svaniti da tempo. Questo, però, non significa la fine della sicurezza IT. Semmai un nuovo inizio, dove il provider giusto per i servizi di sicurezza gioca un ruolo importante.
Testo: Andreas Heer, Immagini: Adobe Stock,
«Il perimetro non esiste più.» Non si tratta certo di una novità, visto che gli esperti avevano colto questo cambiamento già da tempo, almeno in riferimento al settore IT. Ad esempio, questo articolo tratto dalla rivista americana CSO già nel 2011 parlava della fine del perimetro noto e della ricerca di uno nuovo. I motivi alla base di questo fenomeno sono tanto vari quanto noti. Gli apparecchi mobili come smartphone e tablet e le forme di lavoro flessibili non vincolate a un luogo fisso fanno saltare i confini della classica infrastruttura locale. Il perimetro si disgrega. E i responsabili IT non sono più nella condizione di proteggere l’intera infrastruttura con una soluzione adeguata di sicurezza informatica. Per non parlare poi degli attacchi cibernetici con e-mail di phishing e siti web predisposti, che spesso riescono a scavalcare con facilità la barriera protettiva.
Ciò non significa che la classica protezione perimetrale con firewall e IDS/IPS non sia più necessaria. Il problema è che non protegge più l’intera infrastruttura di un’azienda, ma solo l’ambiente di rete locale. Al centro di un moderno sistema IT aziendale c’è infatti il cloud. A voler essere più precisi, da un punto di vista geografico non si trova in posizione centrale, ma spesso è ubicato al di fuori del perimetro, nel centro di calcolo di un provider.
L’accesso alle applicazioni aziendali presenti nel cloud non avviene solo attraverso apparecchi ben controllati e ben gestiti all’interno della barriera aziendale, ma da qualsiasi luogo. I collaboratori mobili utilizzano le applicazioni aziendali mentre sono in viaggio, attraverso un qualsiasi accesso a internet. E da tempo ormai fornitori e partner si connettono in digitale utilizzando diverse interfacce. I clienti, intanto, utilizzano web browser o app per accedere ai sempre più numerosi servizi online. Questo tipo di interconnessione è il presupposto per processi digitali efficienti. Possibilità di controllo per i responsabili della sicurezza su tutte queste tipologie di connessioni e apparecchi? Nessuna. Zero.
La «Zero Trust Policy» è uno degli approcci tentati per tenere alto, nonostante tutto, il livello di sicurezza IT. Non esiste più una distinzione tra traffico «buono» all’interno della barriera e traffico «pericoloso» all’esterno di essa. Ciononostante, per l’innata paranoia di uno specialista di sicurezza IT, tutto il traffico dati va considerato come potenzialmente «pericoloso». O riassumendo: niente fiducia senza una barriera.
La conseguenza di questa situazione è che l’intero traffico dati deve essere monitorato in cerca di eventuali attività pericolose. Ogni accesso a qualsiasi sistema effettuato con qualsiasi apparecchio deve essere registrato e poi valutato a livello centrale con un sistema di «Threat Detection». E ancor meglio sarebbe se ogni azienda integrasse anche sistemi di accesso fisici. A volte infatti le anomalie si manifestano solo combinando tra loro fonti di dati diverse. Un po’ come quando il signor Rossi entra in ufficio e dopo cinque minuti si registra nell’ERP da un luogo geograficamente molto distante.
Le misure di monitoraggio che hanno sostituito la semplice protezione perimetrale vanno da un sistema di monitoraggio centralizzato a un completo Security Operations Center (SOC). Zone di sicurezza divise per fasce al posto di una fitta barriera, monitorate attraverso un sistema centralizzato. E fin qui tutto chiaro. Ma dove reperire gli specialisti che ridimensionino i «falsi positivi» e che intervengano laddove gli automatismi dei sistemi di sorveglianza mostrano i propri limiti?
Un approccio efficace consiste nell’utilizzo dei Managed Security Services (MSS). Affidare alcuni componenti della sicurezza IT a un provider esterno specializzato può permettere di far fronte a eventuali lacune presenti nel proprio organico. O più semplicemente può rappresentare un’alternativa economica all’organizzazione di una propria infrastruttura di sicurezza completa. Le forme miste vanno altrettanto prese in considerazione. Si potrebbero, ad esempio, monitorare all’interno dell’azienda i sistemi della rete locale e del proprio centro di calcolo e, contemporaneamente, delegare la sicurezza degli ambienti cloud esternalizzati agli stessi partner cloud. In un certo qual modo, continuare a controllare come di consueto quello che è rimasto all’interno del vecchio perimetro ed esternalizzare solo le estensioni.
E da ultimo, una buona notizia: anche se il perimetro viene dato per morto, alcuni concetti di sicurezza conservano la loro validità. Come sempre, la sicurezza IT continua ad aver bisogno di un mix equilibrato di prevenzione, capacità di riconoscimento dei tentativi di attacco e relativa reazione adeguata. In collaborazione con un provider competente in materia di sicurezza, le aziende possono esternalizzare alcuni compiti a essa legati e concentrarsi maggiormente sulla sensibilizzazione dei propri collaboratori.
Maggiori informazioni