VPN sotto attacco… e si ricorre sempre più al modello Zero Trust
Zscaler ha pubblicato la nuova edizione del suo VPN Risk Report, che contiene i risultati dell’indagine annuale condotta da Cybersecurity Insiders sui rischi legati all’utilizzo delle VPN. Il report, per il quale sono stati intervistati oltre 350 professionisti IT del Nord America presso aziende con dipendenti dislocati a livello internazionale, evidenzia un numero crescente di minacce alla sicurezza specifiche per le VPN e la necessità di un’architettura di sicurezza Zero Trust per le aziende. Nonostante l’elevata consapevolezza dei rischi legati all’impiego delle reti VPN, il telelavoro ha costretto molte aziende a fare ampio ricorso ai metodi di accesso tradizionali durante la pandemia. Allo stesso tempo, i criminali informatici continuano a sfruttare vulnerabilità di lunga data e hanno incrementato la frequenza degli attacchi contro le VPN.
“Come dimostrano le numerose e sofisticate violazioni e gli attacchi ransomware, le VPN continuano a essere uno degli anelli deboli della sicurezza informatica. Le loro carenze strutturali costituiscono un punto di ingresso per i criminali informatici e offrono loro l’opportunità di spostarsi lateralmente all’interno della rete ed esfiltrare i dati” spiega Deepen Desai, Global CISO di Zscaler. “Per salvaguardarsi dall’evoluzione delle minacce, le aziende devono utilizzare un’architettura Zero Trust che, a differenza delle VPN, non porta gli utenti sulla stessa rete che contiene le informazioni critiche dell’azienda, impedisce il movimento laterale grazie alla segmentazione di applicazioni e utenti, riduce al minimo la superficie di attacco e offre un’ispezione TLS completa per prevenire le intrusione la perdita di dati”.
Nonostante il numero dei dipendenti rientrati in ufficio sia aumentato, nel 95% dei casi gli ambienti di lavoro coinvolti nell’indagine fa ancora affidamento sulle VPN per supportare una combinazione di ambienti di lavoro ibridi e distribuiti che spesso si estendono su più aree geografiche. Oltre ai dipendenti in telelavoro, le grandi aziende spesso estendono l’accesso alla rete ad altri stakeholder esterni, tra cui clienti, partner e terze parti. In molti casi questi utenti si connettono da dispositivi non affidabili su reti non sicure e usufruiscono di una libertà molto maggiore del necessario, contribuendo ad aumentare i rischi per la sicurezza. A differenza delle VPN, complesse e poco sicure, l’architettura Zero Trust migliora la sicurezza dell’azienda senza sacrificare la qualità dell’esperienza dell’utente. Inoltre, una soluzione Zero Trust consente ai team IT di mantenere segreta la posizione della rete e delle applicazioni, riducendo la superficie di attacco e la minaccia di attacchi provenienti da Internet.
L’aumento del numero di telelavoratori in tutti i settori ha portato a un’impennata degli attacchi informatici volti a colpire gli utenti di VPN. Poiché le VPN concedono un maggior grado di fiducia agli utenti rispetto all’architettura Zero Trust, i criminali informatici sono più attivi nel cercare di ottenere un accesso non autorizzato alle risorse di rete attraverso superfici di attacco esposte. Secondo il report, il 44% dei professionisti della sicurezza informatica ha riportato un aumento degli exploit che hanno preso di mira le VPN aziendali nell’ultimo anno, a dimostrazione dei rischi associati a questa tecnologia.
Le architetture di sicurezza di rete tradizionali sono molto diffuse e profondamente radicate nei data center aziendali; tutto ciò rende difficile sfidare lo status quo e adottare nuove architetture. Non deve quindi sorprendere che quasi tutte le aziende intervistate continuino a utilizzare le VPN pur sapendo di essere prese di mira da ransomware e malware. Nel frattempo, i fornitori storici di soluzioni per la sicurezza delle reti hanno interesse a mantenere questa situazione per l’accesso remoto. Le aziende devono diffidare degli approcci tradizionali che si affidano alle VPN basate sul cloud ed esaminare le tecnologie dei fornitori per capire se porteranno vantaggi significativi in termini di riduzione dei rischi e di esperienza degli utenti. La tecnologia VPN presenta le stesse carenze e gli stessi rischi delle macchine virtuali cloud come nelle appliance e, per questo, dovrebbe essere evitata a favore di approcci più moderni.
I rischi che si corrono con le VPN tradizionali hanno favorito un passaggio graduale verso la sicurezza Zero Trust, che offre maggior controllo e flessibilità per una gestione efficace dell’accesso remoto. Il 78% delle aziende intervistate per il report ha dichiarato che il modello di lavoro dei loro collaboratori sarà ibrido, con la conseguente crescente necessità per soluzioni di sicurezza Zero Trust in azienda.
A fronte della migrazione ad ambienti di lavoro remoti e ibridi, il 68% delle aziende intervistate ha dichiarato che sta accelerando i progetti Zero Trust. A differenza delle VPN, l’architettura Zero Trust considera tutte le comunicazioni di rete come potenziali minacce e richiede modalità di accesso più restrittive utilizzando policy di convalida basate sull’identità. In questo modo i team IT e della sicurezza possono impedire agli utenti l’accesso a determinate applicazioni e impedire a pirati informatici di sfruttare l’accesso concesso per muoversi lateralmente all’interno della rete. L’architettura di sicurezza Zero Trust riduce inoltre i rischi legati alla rete eliminando la superficie di attacco, celando le risorse aziendali alle minacce provenienti da Internet e collegando gli utenti direttamente alle applicazioni e alle risorse di cui hanno bisogno.