È di nuovo il momento dell'anno: è il momento di fare un po' di introspezione sul recente passato e di guardare avanti a ciò che porterà il prossimo anno nel campo della cybersecurity.
Che anno è stato
Nel gennaio 2004 è stata ufficialmente fondata un'alleanza di CISO chiamata Jericho Forum (il lavoro vero e proprio è iniziato nel 2003) per definire e promuovere il concetto di de-perimetrazione (tecnicamente si trattava di de-perimetrazione, poiché il termine è stato proposto per la prima volta da Paul Simmonds e l'inventore dovrebbe scegliere l'ortografia). Il Jericho Forum ha assunto la posizione che il perimetro di rete tradizionale si stesse erodendo e che le organizzazioni non avessero interiorizzato l'impatto sulla sicurezza di tale deriva.
All'inizio del 2020, molti dei concetti espressi nei documenti pubblicati dal forum tra il 2004 e il 2013 (quando Jericho Forum ha dichiarato il proprio successo e si è fuso in The Open Group) erano ormai ampiamente accettati. Tuttavia, molte organizzazioni si sono aggrappate a un concetto poco chiaro di perimetro di rete sicuro, adottando lentamente un'architettura chiamata Zero Trust per affrontare meglio la crescente diffusione delle applicazioni SaaS.
Poi è arrivata la pandemia. Questo ha messo il turbo a diverse tendenze che erano già in atto: (a) lo spostamento verso le applicazioni software as a service (SaaS), a favore delle loro controparti on-premise, (b) lo spostamento verso i fornitori di servizi cloud , a favore dell'aggiunta di altri rack di apparecchiature ai data center di proprietà o in leasing e (c) la possibilità per gli utenti remoti di connettersi direttamente alle applicazioni cloud senza utilizzare una VPN (spesso chiamata cloud). Le tendenze (a) e (b) sono state dettate dal desiderio di non dover accatastare le apparecchiature (difficile da fare durante una pandemia), mentre la tendenza (c) è scaturita dalla necessità di mandare a casa tutti i lavoratori, rendendosi conto che la capacità VPN esistente non era sufficiente a fornire una connettività sicura (e performante) a tutti loro.
L'accelerazione di queste tendenze si è manifestata con l'esecuzione di alcuni piani per i prossimi 12 mesi durante la prima settimana di mandato di lavoro da casa. E i piani quinquennali di passaggio al SaaS e al cloud sono diventati improvvisamente piani di 24 mesi.
Le implicazioni per la sicurezza di queste mosse sono profonde. Piuttosto che de-perimetrare le loro reti lasciando che cose come l'Internet delle cose (IoT), non troppo affidabili, entrino nel perimetro (cosa che sta accadendo da un po' di tempo), le organizzazioni hanno invertito le loro architetture, allontanando la maggior parte degli utenti finali dalla rete aziendale e spostando la maggior parte delle applicazioni nel cloudin forma SaaS che utilizzando l'infrastruttura come servizio (IaaS) e la piattaforma come servizio (PaaS) fornite da aziende del calibro di Amazon, Microsoft e Google per eseguire le proprie applicazioni nel cloud.
Uno sguardo al 2021
Se si guarda al 2021, è chiaro che la pandemia continuerà a limitare i luoghi in cui i vostri dipendenti potranno lavorare e quanto sarà difficile accedere ai vostri data center fisici. E anche se queste restrizioni (si spera) cominceranno a diminuire nella seconda metà del 2021, i cambiamenti apportati dalla pandemia sono destinati a rimanere: il fatto che i dipendenti possano tornare in ufficio non significa che vorranno andarci ogni giorno. Quindi il lavoro a distanza (anche se solo in forma ibrida) è destinato a rimanere.
Ne consegue che la vostra architettura di sicurezza deve gestire i dipendenti che lavorano da luoghi sconosciuti (con una sicurezza di rete dubbia) come caso d'uso principale. Assicuratevi quindi che i computer portatili dei vostri dipendenti siano protetti in modo tale da essere ragionevolmente sicuri della loro capacità di cavarsela da soli nel grande mondo cattivo. In effetti, investire in una sicurezza che protegge gli utenti finali solo quando si trovano all'interno del vostro ufficio è uno spreco di denaro. Ciò significa generalmente investire in una soluzione moderna di rilevamento e risposta endpoint (EDR) (si noti che "antivirus" è diventato ufficialmente un termine peggiorativo). E significa che se volete interporre un proxy web (ufficialmente chiamato Secure Web Gateway da Gartner) tra i computer degli utenti finali e la grande rete internet, dovreste investire in un prodotto fornito in modalità SaaS.
Nel fornire ai vostri utenti finali l'accesso alle applicazioni SaaS aziendali (Office 365, G Suite, Salesforce, ecc.) e alle applicazioni interne erogate tramite la vostra impronta cloud (su AWS, Azure, GCP, ecc.), prendete in considerazione lo spostamento dell'infrastruttura di identità nel cloud. Quindi, piuttosto che avere Active Directory (AD) (in sede) come centro del vostro universo di identità e sincronizzare alcuni dei suoi contenuti in Azure AD o Okta o qualche altro provider di identità (IdP) cloud , prendete in considerazione l'idea di spostare il centro di gravità nel cloud e di rifattorizzare i vostri casi d'uso in sede per adattarli a questa architettura. Inoltre, passate dalle VPN tradizionali, che forniscono l'accesso all'intera rete, a Zero Trust Network Access (o ZTNA, un acronimo che non fa una piega) per fornire l'accesso solo alle applicazioni a cui l'utente finale deve accedere.
Infine, dopo aver cacciato tutte le applicazioni dalla rete, dovete riacquistare visibilità su chi sta facendo cosa ai vostri dati critici. Sapreste se una volpe (persistente) fosse entrata nel vostro pollaio (fornito da SaaS)? Il rilevamento e la risposta di rete (NDR) è una categoria recentemente standardizzata che rileva gli attacchi e risponde ad essi senza affidarsi ad agenti in esecuzione sugli endpoint (EDR). Mentre le prime versioni di NDR si concentravano sulle reti tradizionali (elaboravano solo i pacchetti), la moderna NDR abbraccia il rilevamento e la risposta alle minacce in questa nuova rete ibrida/balcanizzata che comprende IaaS, PaaS e SaaS, e unifica la visibilità sulla progressione degli attacchi in, attraverso e in tutta questa nuova rete.
La buona notizia
I cambiamenti che i team di sicurezza stanno implementando come risultato di queste tendenze ci renderanno più resistenti agli attacchi e più agili nell'affrontare gli inevitabili cambiamenti che le organizzazioni subiscono. Questa non sarà l'ultima emergenza che affronteremo nel corso della nostra vita, anche se si spera che le altre siano di scala molto più ridotta, e saremo molto più preparati ad affrontare un'emergenza la prossima volta.