È di nuovo quel periodo dell'anno: è tempo di dedicarsi a un po' di introspezione sul recente passato e guardare avanti a ciò che porterà il prossimo anno nel campo della sicurezza informatica.
Che anno incredibile è stato!
Nel lontano gennaio 2004, è stata fondata ufficialmente un'alleanza informale di CISO denominata Jericho Forum (il lavoro effettivo è iniziato nel 2003) con l'obiettivo di definire e promuovere il concetto di de-perimetralizzazione (tecnicamente, si trattava di de-perimeterisation, poiché il termine era stato proposto per la prima volta da Paul Simmonds e l'inventore avrebbe dovuto poter scegliere l'ortografia). Il Jericho Forum ha assunto la posizione secondo cui il perimetro di rete tradizionale si stava erodendo e le organizzazioni non avevano interiorizzato l'impatto sulla sicurezza di tale deriva.
All'inizio del 2020, molti dei concetti espressi nei documenti pubblicati dal forum tra il 2004 e il 2013 (quando il Jericho Forum dichiarò il proprio successo e si fuse con The Open Group) erano ormai ampiamente accettati. Tuttavia, molte organizzazioni continuavano ad attenersi a un concetto vago di perimetro di rete sicuro, adottando lentamente un'architettura denominata Zero Trust per gestire meglio la crescente diffusione delle applicazioni SaaS.
Poi è arrivata la pandemia. Ciò ha accelerato diverse tendenze già in atto: (a) il passaggio alle applicazioni software as a service (SaaS) rispetto alle loro controparti on-premise, (b) il passaggio ai fornitori cloud rispetto all'aggiunta di ulteriori rack di apparecchiature ai data center di proprietà o in leasing e (c) la possibilità per gli utenti remoti di connettersi direttamente alle applicazioni cloud senza utilizzare una VPN (spesso denominatacloud). Le tendenze (a) e (b) sono state guidate dal desiderio di non dover installare e impilare apparecchiature (difficile da fare durante una pandemia), mentre la tendenza (c) è derivata dalla necessità di mandare tutti i lavoratori a casa, rendendosi conto che la capacità VPN esistente era insufficiente per fornire una connettività sicura (e performante) a tutti loro.
Queste tendenze hanno subito un'accelerazione quando alcuni piani per i prossimi 12 mesi sono stati messi in atto durante la prima settimana di lavoro da casa obbligatorio. E i piani quinquennali relativi al passaggio al SaaS e cloud sono diventati cloud piani di 24 mesi.
Le implicazioni di tali mosse in termini di sicurezza sono profonde. Anziché deperimetrizzare le proprie reti consentendo l'accesso al perimetro a elementi non proprio affidabili come l'Internet delle cose (IoT) (cosa che avviene già da tempo), le organizzazioni hanno invertito le loro architetture escludendo la maggior parte degli utenti finali dalla rete aziendale e spostando la maggior parte delle applicazioni sul cloud, sia in forma SaaS che utilizzando infrastrutture come servizio (IaaS) e piattaforme come servizio (PaaS) fornite da aziende come Amazon, Microsoft e Google per eseguire le proprie applicazioni nel cloud.
Guardando al 2021
Guardando al 2021, è chiaro che la pandemia continuerà a limitare i luoghi in cui i dipendenti potranno lavorare e che sarà difficile accedere ai propri data center fisici. E anche se queste restrizioni (si spera) inizieranno ad essere revocate nella seconda metà del 2021, i cambiamenti causati dalla pandemia sono destinati a rimanere: infatti, solo perché i dipendenti possono tornare in ufficio non significa che vorranno andarci ogni giorno lavorativo. Quindi il lavoro a distanza (anche se solo in forma ibrida) è destinato a rimanere.
Ne consegue che la vostra architettura di sicurezza deve gestire i dipendenti che lavorano da luoghi sconosciuti (con una sicurezza di rete dubbia) come caso d'uso primario. Assicuratevi quindi che i laptop dei vostri dipendenti siano protetti in modo tale da garantirvi una ragionevole tranquillità riguardo alla loro capacità di difendersi da soli nel mondo esterno. Infatti, investire in qualsiasi sistema di sicurezza che protegga gli utenti finali solo quando si trovano all'interno dei confini del vostro ufficio è uno spreco di denaro. Ciò significa generalmente investire in una moderna soluzione endpoint e risposta endpoint (EDR) (si noti che "antivirus" è diventato ufficialmente un termine peggiorativo). E significa che se si desidera interporre un proxy web (ufficialmente chiamato Secure Web Gateway da Gartner) tra i computer degli utenti finali e il grande e pericoloso Internet, è necessario investire in uno che sia fornito in forma SaaS.
Nel fornire agli utenti finali l'accesso alle applicazioni SaaS aziendali (Office 365, G Suite, Salesforce, ecc.) e alle applicazioni interne fornite tramite cloud proprio cloud (su AWS, Azure, GCP, ecc.), è opportuno valutare la possibilità di trasferire l'infrastruttura di identità sul cloud. Quindi, invece di avere Active Directory (AD) (on-premise) come centro del tuo universo di identità e sincronizzare alcuni dei suoi contenuti in Azure AD o Okta o qualche altro provider cloud (IdP), valuta la possibilità di spostare il centro di gravità sul cloud rifattorizzare i tuoi casi d'uso on-premise per adattarli a questa architettura. Inoltre, passate dalle VPN legacy, che forniscono accesso all'intera rete, allo Zero Trust Access (o ZTNA, un acronimo che scorre facilmente sulla lingua) per fornire accesso solo alle applicazioni a cui l'utente finale dovrebbe accedere.
Infine, dopo aver eliminato tutte le applicazioni dalla rete, è necessario riprendere il controllo su chi sta facendo cosa con i dati critici. Sapresti se una volpe (persistente) fosse entrata nel tuo pollaio (fornito tramite SaaS)? Il rilevamento e la risposta di rete (NDR) è una categoria recentemente standardizzata che rileva gli attacchi e risponde ad essi senza fare affidamento su agenti in esecuzione sugli endpoint (EDR). Mentre le prime versioni di NDR si concentravano sulle reti tradizionali (elaboravano solo pacchetti), il moderno NDR abbraccia il rilevamento e la risposta alle minacce in questa nuova rete ibrida/balcanizzata che include IaaS, PaaS e SaaS, e unifica la visibilità sulla progressione degli attacchi all'interno, attraverso e in tutta questa nuova rete.
La buona notizia
I cambiamenti che i team di sicurezza stanno implementando in risposta a queste tendenze ci renderanno più resilienti agli attacchi e più agili nell'affrontare gli inevitabili cambiamenti che le organizzazioni devono affrontare. Questa non sarà l'ultima emergenza che dovremo affrontare nella nostra vita, anche se si spera che le altre saranno di portata molto minore, e saremo molto più preparati ad affrontare un'emergenza la prossima volta.