Le VPN ad accesso remoto si trovano a dover affrontare i ransomware 

Un altro giorno è passato e, purtroppo, un altro attacco informatico è stato introdotto accidentalmente nei sistemi di sicurezza passando attraverso la VPN. 

Secondo un articolo di Computer Weekly, Travelex è stata colpita dal ransomware Sondinokibi, che a Capodanno ha disabilitato i sistemi IT della società di cambio. L'attacco è stato reso possibile nel momento in cui la società si e‘ dimenticata di applicare le patch ai server Pulse Secure VPN.  

Purtroppo questi rapporti stanno diventando sempre piu‘ comuni, in quanto le VPN sono ora il bersaglio preferito dei criminali informatici. 

I sistemi datati favoriscono gli attacchi 

Quando le VPN ad accesso remoto furono introdotte per la prima volta 30 anni fa, il loro impatto fu decisamente qualcosa di straordinario. L'accesso remoto da qualsiasi luogo era un concetto lungimirante e ai tempi rivoluzionario. Le VPN furono create in un periodo in cui la maggior parte delle app era in esecuzione nel datacenter, che poteva essere protetto facilmente grazie a una serie di apparecchi di applicazione di sicurezza della rete. 

Il mondo però è cambiato, man mano che le app interne si sono spostate sul cloud. Oggi e‘ necessario offrire un'esperienza di alto livello, che è ciò che gli utenti si aspettano, con la consapevolezza che il 98% degli attacchi alla sicurezza proviene ormai da Internet. 

Le VPN ad accesso remoto richiedono che i server siano esposti a Internet e gli utenti vengano posizionati sulla rete aziendale attraverso tunnel statici che generano buchi attraverso i firewall. Oggigiorno la tecnologia stessa, appositamente creata per proteggere le aziende, le ha rese invece vulnerabili ai moderni attacchi di malware e ransomware.  

Cosa avviene esattamente? 

L'impatto di un attacco malware 

Proprio la scorsa settimana, Medium.com ha pubblicato un articolo che descrive come il ransomware Sondinokibi venga introdotto tramite una VPN. Diamo un'occhiata approfondita al processo tipico attraverso cui il malware viene introdotto in una rete sfruttando la vulnerabilità stessa della VPN: 

1. I criminali informatici eseguono la scansione di Internet alla ricerca di server VPN ad accesso remoto senza patch. 
2. Ottengono l'accesso remoto alla rete (senza nomi utente o password valide). 
3. Gli aggressori visualizzano i registri e le password memorizzate nella cache in testo normale. 
4. Ottengono l'accesso dell'amministratore di dominio. 
5. Il movimento laterale avviene su tutta la rete. 
6. L'autenticazione multifattore (MFA) e la protezione degli endpoint vengono disabilitati. 
7. Un ransomware (ad es. Sondinokibi) viene introdotto nei sistemi di rete. 
8. L'azienda viene tenuta in ostaggio in cambio di un riscatto. 

Impatti negativi della VPN 

Molte organizzazioni ritengono ancora che sia necessario disporre di VPN ad accesso remoto e, in alcuni casi, potrebbe anche essere così, ma sempre più spesso le VPN stanno aprendo la rete a Internet e, di conseguenza, sottoponendo l'azienda a maggiori rischi.  

• L'applicazione delle patch è spesso lenta o viene dimenticata: ricordare e persino trovare il tempo di installare le patch dei server VPN è piuttosto difficile. I team devono fare di più con meno risorse, e questo si traduce in una sfida per le risorse umane a disposizione che porta a vulnerabilità in termini di sicurezza.  
• Posizionamento degli utenti sulla rete: è forse la genesi di tutti i problemi relativi alle VPN ad accesso remoto. Affinché le VPN funzionino, le reti devono essere rilevabili e questa esposizione apre l'organizzazione agli attacchi. 
• Rischio laterale su scala esponenziale: una volta in rete, il malware può diffondersi lateralmente, nonostante gli sforzi fatti per eseguire la segmentazione della rete (che è di per sé un processo complesso). Come accennato in precedenza questo può inoltre indurre all'abbattimento di altre tecnologie di sicurezza, come MFA e sicurezza degli endpoint. 
• La reputazione dell'azienda: i clienti si fidano del fatto che l'organizzazione proteggerà le loro informazioni e fornirà loro il miglior livello di servizio possibile. Per farlo, le aziende devono essere in grado di proteggersi. Le notizie di un attacco ransomware hanno un impatto negativo sulla reputazione del marchio. 

L'importanza di trovare un nuovo approccio 

Gli impatti negativi e la debolezza intrinseca della VPN hanno condotto alla ricerca di una soluzione alternativa. Gartner afferma che questo fermento ha creato un mondo in cui: "Entro il 2023, il 60% delle aziende escluderà gradualmente la maggior parte delle proprie reti private virtuali (VPN) ad accesso remoto, a favore dell'accesso alla rete zero trust (ZTNA)". 

Se si stanno prendendo in considerazione dei metodi alternativi, come l'approccio ZTNA, è bene tenere a mente alcuni punti da illustrare ai propri dirigenti:  

• Ridurre al minimo i rischi aziendali: l'approccio ZTNA consente l'accesso a specifiche applicazioni aziendali (basato su policy), senza la necessità di accedere alla rete. Inoltre, nessuna infrastruttura viene mai esposta, pertanto lo ZTNA rimuove la visibilità di app e servizi da Internet. 
• Abbassare i costi: spesso, l'approccio ZTNA può essere distribuito come servizio completamente in cloud, il che significa che non ci sono server da acquistare, da gestire o a cui applicare patch. E questo non si limita al solo server VPN. Oggi, l'intero gateway VPN in ingresso può essere più piccolo o completamente rimosso (firewall esterno, DDoS, VPN, firewall interno, bilanciatore del carico, ecc.).  
• Offrire un'esperienza utente migliore: data la maggiore disponibilità dei servizi ZTNA in cloud rispetto ai gateway degli apparecchi VPN, limitati in ingresso, agli utenti da remoto viene fornita un'esperienza di accesso più rapida e senza interruzioni, indipendentemente dall'applicazione, dal dispositivo o dalla posizione.  

NOTA: non tutte le soluzioni ZTNA sono uguali. Attenzione ai fornitori che si definiscono "zero trust", ma offrono soluzioni che continuano a mettere gli utenti sulla rete ed espongono le app aziendali a Internet. 

Se si intende sostituire la propria VPN ad accesso remoto, questa pagina potrebbe rivelarsi utile. Nel frattempo, è bene non dimenticarsi di applicare le patch ai propri server VPN e assicurarsi di restare sempre un passo avanti rispetto agli attacchi, controllando queste risorse fondamentali: 

• Tre modi in cui l'approccio ZTNA protegge dai ransomware 
    
• Scopri le aree di esposizione della tua rete grazie allo strumento di analisi della superficie di attacco Internet di Zscaler. 

 
Christopher Hines è il responsabile marketing del prodotto per Zscaler Private Access e Z App.