Smart Working e Cyber Security

09.07.2020

Marco Mariani, Presales Consultant at ETÆRIA

In questo periodo si fa un gran parlare di smart working e con piacere ammettiamo che si inizia a parlare anche di sicurezza legata allo smart working.

Come ben sappiamo gli attacchi a livello globale continuano ad aumentare, nonostante le tecnologie di sicurezza continuino ad evolvere, l'aumento della complessità dei sistemi e le componenti umane fanno sì che qualche breach sia comunque disponibile.

Lo smart working come si innesta in questo scenario?

Ora che tutti approcciano i sistemi aziendali da ogni dove, ci si è resi un po' più conto di come realmente il perimetro negli ultimi anni sia diventano più liquido: sistemi di collaboration, posta in cloud, meeting online, chi non ne usa almeno uno oggi?

E le vulnerabilità "da interferenza" che si creano?

Cosa intendiamo per "da interferenza"? pensate al DUVRI, Documento Unico di Valutazione dei Rischi da Interferenza. Passiamo ora alla cyber security mantenendo lo stesso approccio, che utilizziamo quando un lavoratore esterno, senza adeguata formazione, accede al nostro stabilimento produttivo.

È come se dessimo accesso ad un server a un lavoratore non formato, o peggio in caso di smartworking come se lo facessimo accedere alla nostra rete con un dispositivo già compromesso e/o non controllato.

Facciamo un esempio concreto di cui hanno parlato tutti nelle settimane passate: il leak di Zoom.

Quel leak ha esfiltrato dai server di Zoom migliaia di coppie e-mail e password, che a una poco attenta analisi potrebbero anche sembrare innocue, ma se ne facciamo una questione di sicurezza potrebbe non essere così, oltre a far capire perché questo tipo di leak sono così temuti.

Approcciamo il problema da un punto di vista diverso:

pensate all'utente @azienda.it la cui coppia mail e password sono ora nel dark web. Se quella password fosse anche usata per l'autenticazione di dominio o per la VPN?

Aggiungiamo questa rapida ricerca su Internet:

Abbiamo rilevato alcuni accessi web VPN, circa 890, neanche pochi per una ricerca di meno di 1 secondo e se li incrociassimo con le decine di migliaia di utenti che ora possediamo a seguito del leak? Potremmo trovare qualche match, basta solo che l'utente abbia riusato la sua password e noi siamo all'interno del perimetro aziendale.

Questo è solo un semplice esempio delle decine di tecniche che oggi gli attaccanti possono sfruttare, ma serve a portare l'attenzione sul fatto che oggi molte aziende che hanno remotizzato frettolosamente il lavoro, a causa della pandemia, si trovano ad essere più esposte delle altre in termini di sicurezza, perché probabilmente non hanno eseguito tutta quella fase di progettazione che le avrebbe portate a valutare soluzioni di processo adatte, perché - badate bene - la sicurezza è un processo, non una tecnologia.

La sicurezza è un processo, non una tecnologia.

Quando parliamo di VPN, MDM, BYOD e UBA, parliamo di processi, la tecnologia che viene scelta per dare corso al processo è la logica conseguenza della nostra analisi dei rischi e delle mitigazioni che vogliamo mettere in campo, il tutto compatibilmente con il budget che ovviamente abbiamo a disposizione.

La sicurezza deve partire da una presa di consapevolezza dei vertici aziendali, basata sul fatto che proteggere il proprio business è necessario per la sopravvivenza del business stesso, solo in un secondo momento deve essere estesa a tutti i collaboratori, perché non esiste tecnologia che tenga se l'utilizzatore non la approccia con la dovuta consapevolezza, ricordiamoci che siamo partiti da una mail e una password non sottratte a noi, ma ad un terzo, quindi un evento su cui non abbiamo nessun controllo, ma potremmo avere facilmente il controllo su una buona abitudine, quella di non riusare MAI le password.

Il Cybercrime è sempre presente e attento alle "possibilità" e "opportunità", cerchiamo di offrirgliene il meno possibile.

***

Si ricorda che l'accesso alle reti telematiche non autorizzate è un reato perseguibile, questo post ha solo fini educativi e nessuna volontà di incentivare l'utilizzo non lecito della conoscenza. Nessuna rete è stata violata per redigere l'articolo.