Il bisogno di mettere a punto nuove strategie di sicurezza at the edge è sempre più sentito.
Dall’inizio della pandemia globale di COVID-19, i cyberattacchi sono notevolmente aumentati. Uno dei fattori chiave di questo fenomeno è stato l’aumento del numero di aziende che si sono ritrovate a sviluppare rapidamente la propria capacità di rete per soddisfare i crescenti volumi di traffico dovuti ai lavoratori da remoto.
Con questo aumento sono sopraggiunti molti più punti di accesso insicuri at the edge, come i computer portatili o altri dispositivi mobile che non sono stati adattati per l’uso aziendale. La maggior parte delle violazioni ha origine dai dipendenti che inavvertitamente rendono accessibili le loro password aziendali.
Inoltre, i lavoratori da remoto che accedono ai sistemi aziendali tramite internet pubblico o VPN non rinforzati per gli elevati volumi di traffico, rendono più complicato per le aziende proteggere dalle possibili minacce.
Un’altra tipologia molto comune diffusa durante la pandemia sono stati attacchi di phishing. I ricercatori del team Cisco Umbrella hanno rilevato un aumento significativo di domini dannosi utilizzati per effettuare attacchi informatici.
I risultati emersi mostrano che tra il 19 marzo 2020 e il 19 maggio 2020, il numero di domini contenenti la parola “covid” o “corona” a cui i clienti aziendali hanno avuto accesso è cresciuto da 47.059 a 71.286. Nel marzo 2020, il 4% di questi domini sono stati bloccati in quanto “dannosi”, tuttavia, entro maggio 2020 questo dato era aumentato al 34%.
Maggiori punti di accesso at the edge aumentano gli attacchi alla sicurezza
Prima della pandemia, le aziende digitali avevano già introdotto il maggior numero di access point attraverso dispositivi appartenenti all’Internet of Things (IoT), veicoli connessi/trasporti intelligenti (CVST) e dispositivi personali che le persone usano per monitorare la propria salute. Oggi, con la maggior parte delle persone che lavorano da remoto, si aprono quindi nuovi canali di rischio.
Per esempio, molti lavoratori da remoto accedono ad applicazioni di collaborazione come Cisco Webex, Microsoft Teams o Zoom tramite internet pubblico. Questi sistemi richiedono canali di collaborazione più sicuri come le reti private virtuali (VPN) e i controlli di sicurezza per i cloud come i firewall distribuiti dai servizi Network Edge da parte dei principali provider Check Point o Fortinet.
Nuovi tipi di attacchi richiedono nuovi profili e controlli di sicurezza
La sicurezza, la gestione dell’identità, le politiche e i controlli di accesso devono essere implementate sia sui computer degli utenti at the edge sia all’interno dei sistemi aziendali per poter supportare l’aumento del traffico dovuto dal lavoro da remoto.
Le strategie di sicurezza che le aziende possono sviluppare per adattarsi a questo nuovo mondo distribuito includono quanto segue:
- La sicurezza “zero trust” si basa sull’idea secondo cui le organizzazioni non dovrebbero fidarsi di nulla all’interno o all’esterno dei propri perimetri di sicurezza e che dovrebbero convalidare tutti e tutto ciò che cerca di ottenere l’accesso. In particolare, la zero trust security supporta una strategia di micro-segmentazione e controlli di policy perimetrali più granulari basati su identità (cioè, utenti), luoghi e altri dati che determinano la fiducia nei confronti di un utente, server o applicazione che cerca di accedere a una particolare parte dell’azienda.
- Le soluzioni Secure Access Service Edge (SASE) forniscono un accesso completo alla rete globale con una sicurezza di rete integrata. Combina SD-WAN e servizi di sicurezza di rete, come secure web gateway (SWG), cloud access security broker (CASB), firewall as a service (FWaaS) e altri, e li fornisce come servizio cloud. Anziché inviare il traffico ai sistemi di sicurezza della sede centrale dell’azienda, SASE fornisce servizi di sicurezza e implementazione delle policy alle fonti (utenti, applicazioni, dispositivi ecc.) on demand. Ogni persona o dispositivo, che si tratti di un telefono cellulare o di un apparecchio abilitato all’IoT, viene automaticamente convalidato al momento dell’ingresso nella rete mediante la zero trust security.
- L’autenticazione a più fattori (MFA) dovrebbe essere coinvolta nell’autenticazione privilegiata generale per gli account utente che contengono informazioni sensibili. Per esempio, i conti bancari, le carte di credito o di investimento o le informazioni mediche (cioè, i login al portale del paziente) dovrebbero tutti supportare l’MFA in modo che gli utenti possano proteggere doppiamente le loro informazioni personali mentre accedono a questi account dall’internet pubblico. Inoltre, le soluzioni di gestione dell’identità, come i key management services (KMS) che mantengono privati i dati degli utenti separandoli da qualsiasi chiave di accesso, dovrebbero essere utilizzate dalle organizzazioni IT sia per i servizi on-premise che per quelli cloud.
- Le soluzioni di intelligenza artificiale e apprendimento automatico (AI/ML) possono registrare e analizzare volumi di dati da più punti di accesso per identificare anomalie nei modelli di traffico dati e attuare controlli in tempo quasi reale. Queste tecnologie identificano immediatamente le minacce in modo efficace perché riescono ad assimilare rapidamente nuovi modelli e schemi di comportamento, come ad esempio monitorando i flussi di traffico dei lavoratori da remoto. I controllori di rete software-defined stanno anche gestendo sempre più il traffico aziendale proveniente da varie fonti, ispezionando e rimuovendo il traffico non autorizzato.
Come ridurre la superficie di attacco con l’interconnessione privata
Molte organizzazioni IT stanno utilizzando l’interconnessione privata diretta e sicura tra il traffico dati degli utenti e i servizi di sicurezza sulla piattaforma Equinix tramite Equinix Fabric.
Uno di questi casi d’uso è Link11 e il suo cliente, un fornitore di servizi IT internazionale. Sfruttando l’interconnessione diretta e sicura sulla piattaforma Equinix via Equinix Fabric, la piattaforma Cloud Security di Link11 fornisce una protezione di livello mondiale contro DDoS e altri cyberattacchi attraverso servizi di mitigazione AI predittivi e completamente automatizzati, tutto in tempo reale.
Invece che rimandare il traffico ai sistemi di sicurezza della sede centrale, SASE fornisce servizi di sicurezza e applicazione delle policy per le fonti on demand.
Il cliente di Link11 supporta la trasformazione digitale delle imprese, sviluppando soluzioni IT innovative che portano i suoi clienti nel cloud, integrano i processi digitali e supportano i sistemi IT.
Dato l’aumento di volume e di complessità degli attacchi DDoS, l’azienda aveva bisogno di scalare la capacità di mitigazione del suo data center e del suo sistema di sicurezza.
Sfruttando il servizio di protezione DDoS cloud-native di Link11 sulla piattaforma Equinix è stato garantito che solo il “traffico pulito” raggiunga le reti dei suoi clienti.
Trasmettendo il 90% del suo traffico IP attraverso la piattaforma Link11 Cloud Security via Equinix Fabric, il traffico del fornitore di servizi IT viene controllato e purificato utilizzando filtri e meccanismi AI. Questo ha permesso all’azienda di offrire la protezione DDoS nel cloud a tutti i suoi clienti, rendendo gli errori di sistema legati a DDoS un problema del passato.
Inoltre, con gran parte del traffico internet che passa attraverso i data center Equinix, Equinix Connect ed Equinix Internet Exchange forniscono un’interconnessione diretta e sicura e un peering point-to-point per consentire un accesso sicuro e controllato ai sistemi e ai servizi aziendali dall’internet pubblico.