Forescout: visibilità globale degli accessi per una efficace strategia Zero Trust

Quest’anno il numero di dispositivi IP presenti sul mercato supererà i 30 miliardi. Le aziende faticano non solo a valutare quanti dispositivi si connettono alle loro reti, ma anche a effettuare una loro profilazione, valutandone lo stato di sicurezza. Se non sono adeguatamente protetti, questi dispositivi rappresentano un elevato rischio informatico: nessuno, infatti, può mettere in sicurezza ciò che non è in grado di individuare.
Il tema della visibilità e del controllo degli accessi è quindi più attuale che mai, per cui non stupisce il successo che continua a registrare Forescout Technologies, azienda focalizzata su questo segmento di mercato che conta più di 1.200 dipendenti e oltre 3.700 clienti nel mondo, presente direttamente in Italia con un team operativo.

Per visibilità si intende la possibilità di riconoscere il 100% dei dispositivi (IoT inclusi) connessi a reti campus, data center, cloud e ambienti OT unitamente alla capacità di proteggere tali dispositivi con un idoneo livello di controllo. La piattaforma di sicurezza unificata Forescout consente sia alle aziende sia alle pubbliche amministrazioni di ottenere un quadro completo e dettagliato dei loro ambienti e di coordinare le azioni necessarie per la riduzione del rischio informatico e operativo. Le soluzioni Forescout garantiscono una rapida installazione, offrendo da una parte funzionalità di individuazione e di classificazione, senza agent e in tempo reale, di qualsiasi dispositivo con connessione IP, dall’altra una valutazione continua del livello di sicurezza e di rispetto delle policy di compliance aziendale dei dispositivi in questione.

L’importanza della segmentazione

Negli ultimi 20 anni, il controllo degli accessi alla rete, o NAC (Network Access Control), è stato un elemento irrinunciabile di qualsiasi strategia di resilienza informatica aziendale. Questa tecnica, che consiste nell’applicare un metodo di autenticazione volto a decidere se concedere o negare a un dispositivo l’autorizzazione ad accedere, offre un livello di protezione basilare: definisce solamente chi può entrare in rete e chi no. Negli ultimi tempi tuttavia, la varietà e il volume dei dispositivi IoT (Internet of Things) e OT (Operational Technology) in circolazione sono aumentati al punto che risulta fondamentale ampliare le capacità delle soluzioni NAC al fine di rilevare una quantità di informazioni di sicurezza più completa per decidere in maniera affidabile a chi concedere il diritto di accedere e a che livello. Con il progressivo incremento della diversificazione dei dispositivi, diventa molto difficile ottenere una visibilità totale, una classificazione accurata e una corretta applicazione delle policy. Uno dei problemi principali in questo senso è l’impossibilità di installare, come la maggior parte delle tecnologie presenti sul mercato prevede, un agent su sistemi sempre più eterogenei e con sistemi operativi sempre più diversi da quelli classici. In sostanza, la proliferazione di dispositivi IoT e OT altamente eterogenei ha evidenziato i limiti delle tecnologie NAC tradizionali.

Oggi di fatto l’innovazione non può più essere rimandata perché molti dispositivi sono connessi a reti non pronte a gestire tali rischi. La facilità con cui gli eventuali attaccanti possono spostarsi lateralmente all’interno delle reti aziendali non segmentate (Lateral spread) provoca gravi interruzioni dell’attività con conseguenti danni materiali e reputazionali. L’attacco hacker con ransomware WannaCry che ha colpito la compagnia di trasporti marittimi Maersk, per esempio, ne ha congelato l’attività per tutto il tempo necessario a bonificare la rete dal ransomware. Questo blocco avrebbe potuto essere evitato se l’architettura di rete fosse stata in grado di limitare la mobilità del virus una volta penetrato. Le reti non segmentate, in effetti, non possono assicurare il livello di granularità offerto dalle reti segmentate. I dispositivi IoT e OT che accedono a una rete che non è stata adeguatamente segmentata hanno la libertà di spostarsi lateralmente offuscando la visibilità e creando punti ciechi che potranno essere sfruttati. La segmentazione della rete, però, può essere dinamica. Per esempio, se per tutti gli ambienti e i dispositivi si adotta una strategia Zero Trust definendo criteri di accesso diversi per un computer del front desk e il laptop del CEO, il rischio di attacco viene automaticamente ridimensionato.

Un compito complesso

I responsabili della sicurezza faticano a predisporre un grado di protezione di questo tipo. Mantenere un controllo rigoroso sulle reti e sull’ecosistema dei dispositivi diventa più complicato a mano a mano che il numero di dispositivi IoT e OT aumenta. Per implementare una strategia di sicurezza davvero efficace e ottenere visibilità e controllo totali, è necessario disporre di dati inerenti ai dispositivi connessi nella loro completezza. Nel data center, nell’ambiente OT o nel cloud è possibile concedere ai dispositivi accesso limitato piuttosto che esteso all’intera rete.

L’implementazione di nuovi controlli di sicurezza nella rete aziendale è un compito complesso. La gestione di un numero crescente di vettori di attacco e, al contempo, l’esigenza di garantire il rispetto degli obblighi di conformità rappresentano una tematica di fondamentale importanza per i responsabili della sicurezza. I miglioramenti apportati alle funzionalità di segmentazione sono stati concepiti per consentire alle aziende di automatizzare il rilevamento e l’isolamento delle minacce senza incidere sull’attività. Limitando i rischi e garantendo l’applicazione dei controlli sull’intera rete, le aziende possono prepararsi a gestire in modo efficace la prossima inevitabile ondata di minacce informatiche. Abbiamo voluto approfondire questi temi con Pierfrancesco De Loiro, Country Manager di Forescout Italia.

Può descrivere a grandi linee l’attuale panorama delle minacce informatiche?

Le sfide da affrontare sono numerose, nel 2020 si sono acuite a causa della pandemia da Covid-19. La brusca transizione allo smart working e la necessità di predisporre l’accesso alla rete aziendale per i dipendenti che lavorano da casa ha determinato un’impennata dell’utilizzo delle VPN. Dal momento che svariate applicazioni aziendali sono gestite centralmente on-premise, molti dipendenti hanno bisogno di accedere alle reti aziendali e operative, soprattutto nell’ambito della pubblica amministrazione, nel settore sanitario o all’interno di aziende che forniscono infrastrutture strategiche. Le aziende non possono fare altro che affidarsi alle VPN per consentire agli utenti di collegarsi da remoto alla rete informatica aziendale tramite un canale protetto e sicuro sotto forma di un tunnel criptato virtuale. Il limite delle VPN è che la sicurezza della trasmissione dati è gestita senza offrire altre funzionalità, come i controlli antimalware o le verifiche di conformità. Pertanto le VPN non offrono un approccio adeguato alla sicurezza informatica. In realtà, fungono unicamente da corsia di accesso preferenziale alle reti aziendali ma, in assenza di una protezione idonea, possono diventare un veicolo di minacce dalle conseguenze disastrose.

Che problematiche di sicurezza sono nate dalla convergenza delle reti IT e OT?

La convergenza delle reti IT e OT nelle reti aziendali è spesso promossa come elemento fondamentale del processo di trasformazione digitale. I benefici che procura sono la possibilità di eseguire attività di manutenzione da remoto, cicli di produzione rapidi, catene di approvvigionamento brevi e, soprattutto, una progressione veloce dallo sviluppo di prototipi alla creazione del prodotto finale. Aggiungendo a tutto questo la tecnologia 5G si ottengono processi di produzione estremamente efficienti e interconnessi.
Tuttavia, oltre a questi notevoli benefici, la connessione delle tecnologie IT e OT comporta anche nuove sfide da affrontare, specialmente in materia di sicurezza informatica. Un maggiore numero di dispositivi connessi significa anche una moltiplicazione dei punti di accesso alla rete e quindi di potenziali vettori di attacco a disposizione degli attaccanti. Esistono alcune tecnologie concepite per individuare i pericoli nelle reti OT ma la loro efficacia è scarsa perché non sono in grado di assicurare un’operatività ininterrotta, condizione posta dai tecnici OT. Nel peggiore dei casi, queste difese possono persino trasformarsi in ulteriori rischi. Per questo motivo, attualmente, siamo impegnati in progetti di alto livello a sostegno di aziende alla cui operatività è legata la capacità del nostro Paese di garantire i servizi di base per i cittadini.

Quanto è importante la visibilità della rete per rendere sicuri questi ambienti?

È estremamente importante. Avere completa visibilità dei dispositivi presenti sulla rete, siano essi dispositivi personali, IT e OT, o sistemi collegati alle reti aziendali in modo permanente, è un requisito fondamentale per implementare qualsiasi strategia di sicurezza informatica. Da una ricerca condotta nel 2019 da Forescout è emerso come l’85% dei responsabili IT concordi sul fatto che la mancanza di visibilità è un significativo punto debole di qualsiasi infrastruttura di sicurezza e che le aziende che si attivano per ottenere una visibilità completa della rete scoprono, in media, il 30% in più di dispositivi rispetto al numero previsto. Con una visibilità completa, tutti questi dispositivi possono essere raggruppati e gestiti con un unico sistema di gestione, applicando policy di sicurezza a tappeto o caso per caso. Per esempio, si possono concedere autorizzazioni diverse a un laptop rispetto a un computer fisso aziendale e sottoporre istantaneamente a quarantena i dispositivi non conformi che tentano di accedere al fine di prevenire qualsiasi spostamento laterale. Questa pratica consente di individuare e di gestire le vulnerabilità prima che esse si diffondano nella rete. La segmentazione dei dispositivi connessi alla rete è un accorgimento che consente di contenere la diffusione degli attacchi impedendo che questi ultimi si propaghino all’intera rete.

Può illustrare alcuni esempi reali di utilizzo di questa tecnologia in ambienti ibridi?

In Italia lavoriamo con la quasi totalità degli istituti bancari e finanziari, molte importanti aziende manifatturiere e di servizi, imprese di logistica, aziende di servizi di pubblica utilità e pubbliche amministrazioni. Una problematica comune che ci troviamo ad affrontare è l’insufficiente visibilità sui dispositivi IT, IoT e OT connessi. A questo si aggiunge l’incapacità di identificare correttamente i dispositivi rilevati, inconveniente che impedisce di superare le verifiche ispettive, comportando elevati costi aggiuntivi per la compilazione manuale dell’inventario dei sistemi. Forescout aiuta i clienti con reti estese a ottenere visibilità su tutti i dispositivi connessi, classificandoli automaticamente a prescindere dal fatto che essi siano connessi alla rete, che siano preposti all’automazione degli edifici o che operino in ambienti OT, cloud o in data center. Uno dei casi d’uso più comuni della nostra tecnologia sono le moderne soluzioni di controllo degli accessi alla rete o NAC (Network Access Control).

Qual è l’approccio più efficace che consiglia di adottare ai CISO per elaborare una solida strategia di sicurezza di rete/OT?

Zero Trust, ossia fiducia zero, è un modello di sicurezza basato sul principio che nessuna risorsa può godere di un accesso automatico alla rete. Ogni richiesta di accesso deve essere verificata e allo stesso tempo autorizzata. Il modello si basa sul presupposto che le minacce informatiche possano essere sia esterne sia interne alla rete. Pertanto tale approccio aiuta a proteggere ambienti eterogenei e frammentati, sostituendo i tradizionali metodi di autenticazione basati sulla sicurezza perimetrale. Per poter implementare il modello Zero Trust, è necessario che le aziende dispongano di una conoscenza approfondita di ogni utente connesso, dei dispositivi che quest’ultimo utilizza e dei dati cui sta tentando di accedere. Se da un lato questo principio dovrebbe essere alla base di qualsiasi infrastruttura di sicurezza, una visibilità completa diventa imprescindibile per elaborare controlli e policy automatiche nell’ambito di una strategia Zero Trust. Prima di procedere con la definizione di parametri e di controlli da applicare, le aziende dovrebbero essere a conoscenza di chi sta tentando di accedere ai loro dati.

Forescout eyeSegment, la scelta giusta

La segmentazione della rete è considerata il miglior metodo per mettere in sicurezza i dispositivi IoT e OT non protetti. Mediante strumenti corretti e tecnologie adeguate è possibile implementare un’architettura di segmentazione della rete efficace raggruppando utenti e dispositivi per tipo e contesto aziendale in zone intelligenti e limitando l’accesso alle sole risorse della rete necessarie per il loro lavoro. Forescout EyeSegment sfrutta la funzionalità di visibilità avanzata sui dispositivi e i dati contestuali approfonditi e aggiornati in tempo reale forniti da Forescout eyeSight per mostrare i flussi di traffico e le dipendenze che intercorrono tra utenti, applicazioni, servizi e dispositivi. Sulla base di questi dati, gli utenti possono progettare, testare e monitorare le policy per valutare l’impatto che i flussi di traffico avranno sull’ambiente aziendale. Tramite Forescout EyeControl e Forescout EyeExtend le policy vengono coordinate attraverso vari punti di controllo della segmentazione nell’intero ambiente fisico, nei data center e nelle reti cloud.

EyeSegment aiuta le aziende a progettare, costruire e implementare in modo affidabile progetti di segmentazione della rete di portata variabile da applicare all’intero ambiente aziendale. Forescout EyeSegment aiuta a progettare, creare e perfezionare policy di segmentazione efficaci basati su una tassonomia aziendale in grado di essere applicata a tutte le tecnologie di base esistenti. È possibile simulare l’implementazione di policy prima della loro reale attivazione per valutarne l’impatto, limitando l’eventualità che essi provochino interruzioni dell’attività.

Quali criteri adottare

Un criterio di segmentazione è un insieme di regole che disciplina se autorizzare in toto, bloccare in toto o autorizzare parzialmente il traffico dei dati tra specifiche source e destination. Le zone vengono definite in base alle proprietà dei dispositivi connessi e possono essere popolate in modo manuale o automatico tramite l’applicazione di policy. Possono essere considerate zone anche singoli indirizzi IP e oggetti Forescout creati dalla segmentazione che fanno parte di gruppi. Ogni zona di segmentazione può essere impostata come source, destination o di entrambi i tipi. Attraverso un’unica console è possibile creare criteri di segmentazione con cui negare o autorizzare esplicitamente traffico specifico in transito attraverso domini di rete e tecnologie diverse. Ogni criterio è applicato al traffico proveniente da una specifica source e diretto a una specifica destination. Sulla base di una policy predefinita è autorizzato il traffico proveniente da qualsiasi source e diretto a qualsiasi destination ma, definendo regole ed eccezioni, è possibile stabilire il traffico autorizzato e quello rifiutato così da permettere agli utenti di specificare azioni diverse per singoli sottogruppi e servizi. Le funzioni di filtro a loro volta consentono di configurare singole policy per filtrare il traffico in base al servizio oppure all’intersezione tra zone della griglia precisando le zone di partenza e arrivo.