"Gli amici non lasciano gli amici usare la VPN" - La tecnologia fatta per gli anni novanta non è adatta al 2021

"Gli amici non permettono agli amici di usare la VPN". Ho letto questa affermazione in un blog post di Matthew Sullivan (a cui do tutti i crediti creativi) e sono stato immediatamente venduto nella linea. In questo post del blog discuteremo perché le classiche soluzioni VPN (Virtual Private Network) non sono più "abbastanza buone" per le aziende per consentire il lavoro remoto e il telelavoro. Per chiarezza, quando parliamo di VPN, non stiamo parlando specificamente di connessioni VPN gestite da P2P per collegare 2 siti, o di servizi VPN commerciali (che si presume diano un'esperienza di navigazione in Internet più privata e sicura).

Le VPN - Virtual Private Network - risalgono agli anni Novanta. Nel 1996, Gurdeep Singh-Pall, dipendente Microsoft, "inventò" il PPTP (Point-to-Point Tunneling Protocol). Offriva un metodo per implementare reti private virtuali e una connessione Internet sicura. Nel 1996, il mondo contava 36 milioni di utenti Internet (fonte). Due terzi di essi risiedevano negli Stati Uniti. C'erano ben 100.000 siti web, Netscape era il browser preferito e a 33,8Kbps gli utenti erano in grado di navigare sul web alla velocità della luce. La VPN era lo strumento più adatto all'epoca. Ovviamente i tempi sono cambiati.

I tipici problemi di sicurezza con le VPN aziendali

- Una volta che sei dentro, sei davvero "dentro

Secondo un'analisi IDC, più del 40% delle violazioni della sicurezza provengono da utenti autorizzati come appaltatori, fornitori e dipendenti. Questo significa che le VPN in genere non hanno i controlli granulari necessari per assegnare agli utenti diritti specifici. Una volta che un utente remoto è autenticato da una VPN, quell'utente è considerato fidato e ottiene l'accesso a qualsiasi cosa sulla rete aziendale. Questo rende la rete aziendale e le sue risorse piuttosto vulnerabili e aperte ad attacchi o perdite di dati.

La gestione dell'accesso degli utenti VPN non è solo legata ad Active Directory (AD) ma anche ai certificati dei dispositivi. Ciò implica che quando un dipendente lascia l'azienda, il suo certificato di dispositivo deve essere revocato - come si può intuire, è qualcosa che purtroppo viene spesso dimenticato.

- Necessità di eseguire sempre l'ultima versione

Le piattaforme VPN sono piuttosto popolari. Anche per gli hacker. Nessuna piattaforma può beneficiare di una sicurezza assoluta, e questo è certamente anche il caso delle piattaforme VPN. Solo nell'ultimo anno, molte delle piattaforme VPN più popolari e utilizzate sono state violate nel nucleo (e solo nell'end-point). In alcuni casi ci sono volute settimane ai venditori per arrivare con una patch di sicurezza che mettesse un tappo nel buco. Quello che segue è solo un piccolo elenco di vulnerabilità recenti per piattaforma:

• • • Avviso di sicurezza di Palo Alto Network PAN-SA-2019-0020in relazione a CVE-2019-1579;
    • Avvisi di sicurezza FortiGuard FG-IR-18-389in relazione a CVE-2018-13382; FG-IR-18-388in relazione a CVE-2018-13383; FG-IR-18-384in relazione a CVE-2018-13379;
    • Avviso di sicurezza di Pulse Secure SA44101in relazione a CVE-2019-11510, CVE-2019-11508, CVE-2019-11540, CVE-2019-11543, CVE-2019-11541, CVE-2019-11542, CVE-2019-11539, CVE-2019-11538, CVE-2019-11509, CVE-2019-11507.
    • Avviso di sicurezza di Citrix CTX267027in relazione a CVE-2019-19781.

Il messaggio è chiaro, soprattutto se si considera che è facile rilevare quale tecnologia VPN è utilizzata da chi: avere sempre l'ultima versione in esecuzione, applicare sempre tutte le patch di sicurezza, e farlo immediatamente. Ad essere onesti, questa dovrebbe essere una procedura predefinita per qualsiasi soluzione software in questi giorni.

- Facendo solo login/password

L'autenticazione a più fattori è il minimo assoluto di cui gli utenti hanno bisogno per autenticarsi con la VPN. Sfortunatamente, non è ancora un default in molte organizzazioni... e questo è come lasciare la porta di casa aperta. Molte password degli utenti sono già state violate e sono raccolte in database sul darkweb (onestamente, persino io posso trovarle). Inoltre, usando semplicemente "123456" come password, gli hacker hanno già un'incredibile possibilità di entrare. Per completezza, le password più comuni secondo SplashData nel 2019 sono state

• • • 123456
    • 123456789
    • qwerty
    • password
    • 1234567
    • 12345678
    • 12345
    • iloveyou
    • 111111
    • 123123

E se costringete gli utenti ad avere almeno un numero e una lettera in una password, #11 nella lista è 'abc123'. Non c'è da stupirsi che uno studio di Microsoft abbia scoperto che l'uso dell'MFA blocca gli attacchi di account takeover nel 99,9% dei casi. In conclusione: usate l'MFA. Sempre. È un minimo assoluto.

- Dispositivi compromessi

Gli utenti finali devono attivare la connessione VPN tramite il client VPN sul loro dispositivo - in genere un computer portatile. Una volta che il collegamento tra il dispositivo e la rete aziendale è fatto, le porte del Valhalla sono tipicamente aperte. Anche se l'autenticazione avviene con una sicurezza aggiuntiva come l'MFA. Ciò significa: se il dispositivo che esegue il client VPN è compromesso con il malware, l'apertura di una connessione VPN può anche consentire al malware di trovare la strada per la rete aziendale.

È il motivo per cui si vuole abilitare la VPN solo sui dispositivi di proprietà e gestiti dall'azienda. L'IT ha bisogno di avere un controllo ottimale del dispositivo, essere certo che esegue l'ultima versione del sistema operativo e le patch, ha un servizio anti-malware attivo, ecc. Proprio per queste ragioni, l'esecuzione della VPN sui dispositivi di proprietà dell'utente è un assoluto no-go dal punto di vista della sicurezza.

Inoltre, il fatto che ci siano probabilmente - probabilmente - dati riservati sul dispositivo dell'utente finale sarà un rischio per la sicurezza in quanto tale. Anche per i dispositivi gestiti.

La flessibilità e il lato UX della VPN

L'idea di VPN è l'estensione di un dispositivo su una rete domestica (per esempio) nella rete aziendale. Fondamentalmente, agisce come se il dispositivo fosse in esecuzione nella LAN. Questo ha alcune conseguenze;

• • • gli utenti possono in genere utilizzare tutti i software e i file locali in esecuzione sul dispositivo stesso
    • quando si accede a risorse sulla rete aziendale, esse sono completamente scaricate (o caricate); per esempio, se si lavora su un file di database su uno sharedrive, il file viene scaricato e caricato costantemente
    • Usando lo split tunnelling, il traffico (come YouTube e i social media) può essere instradato attraverso l'accesso internet pubblico invece che attraverso la VPN. Ma questo comporta ovviamente altri rischi per la sicurezza. L'alternativa è quella di instradare tutto il traffico attraverso la VPN aziendale, il che può creare uno sforzo sulla capacità della VPN.

In conclusione: La VPN dà agli utenti (se hanno un portatile gestito) la loro esperienza di ufficio conosciuta. Ma ha un costo in termini di capacità.

- Qualsiasi dispositivo

Come hai capito, dal punto di vista della sicurezza, è consigliabile abilitare la VPN solo sui dispositivi che gestisci completamente. Ma per estendere su questo, la maggior parte dei client VPN aziendali non sono disponibili su tutti i dispositivi e sistemi Operating (ad esempio dispositivi MacOS, Chromebooks, Raspberry Pi, tablet Android, ...). Questo pone una seria limitazione ai vostri, e ai vostri utenti, gradi di libertà.

- Capacità

Come descritto sopra, le piattaforme VPN hanno tipicamente bisogno di assorbire molta capacità di download e upload. Queste piattaforme sono raramente scalate per permettere a 100% di utenti di lavorare in remoto allo stesso tempo. Di conseguenza, la capacità e i relativi problemi di prestazioni sono più frequenti che rari.

In Awingu, gestiamo le cose in modo diverso

Awingu è uno spazio di lavoro unificato basato su browser. Rende le applicazioni e i desktop basati su RDP disponibili in HTML5, su qualsiasi browser. Aggrega anche file server, intranet, applicazioni web, SaaS, ... dietro un unico pannello di vetro con Single Sign-On. Date un'occhiata all'Awingu architettura e caratteristiche per saperne di più.

- Awingu ha i livelli minimi di sicurezza incorporati

Awingu permette un livello minimo di sicurezza informatica per i suoi utenti. Awingu è tipicamente distribuito sopra un RDS (Terminal Server) e un accesso RDP. Puoi interpretare questo documento come un riassunto dei livelli di sicurezza che Awingu abilita sopra il 'semplice' RDP/RDS.

• • • Autenticazione a più fattori: Awingu è dotato di una soluzione MFA integrata e può (se necessario) integrare facilmente il tuo attuale metodo di autenticazione. Aggiungendo l'MFA, si minimizza il rischio di "attacchi di forza bruta". L'MFA integrata in Awingu supporta l'uso di token One-Time (HOTP) e Time-Based token (TOTP). Awingu integra anche DUO Security, Azure MFA, SMS Passcode o servizi basati su Radius.
    • Crittografia su HTTPSTra l'utente finale (browser) e l'apparecchio virtuale Awingu, Awingu favorisce e abilita la crittografia su HTTPS. Awingu permette l'uso di propri certificati SSL (o SSL Proxy). Inoltre, Awingu ha un'integrazione integrata con Let's Encrypt, che genera automaticamente un certificato SSL unico e si occupa del suo rinnovo.
    • Solo la porta 443Quando è impostato correttamente, Awingu richiede solo che la porta 443 sia disponibile per i clienti finali.
    • Ampio controllo dell'uso : Awingu è dotato di un ampio registro di utilizzo. Il controllo dell'utilizzo tiene traccia di quale sessione di applicazioni gli utenti aprono (o chiudono) e quando e dove (da quale indirizzo IP) lo fanno. Tiene anche traccia dei file aperti, cancellati, condivisi, ecc. Il registro di controllo è disponibile tramite la dashboard di Awingu (admin) e si possono estrarre rapporti personalizzati.
    • Rilevamento delle anomalie: vieni informato sulle irregolarità nel tuo ambiente, come ad esempio qualcuno che accede troppo spesso con una password sbagliata o qualcuno che cerca di accedere dall'estero. Queste informazioni sono disponibili tramite il cruscotto Awingu (solo per gli amministratori).
    • HTML iso RDP: RDP è noto per avere numerosi exploit, specialmente quando si eseguono versioni più vecchie e senza patch. L'HTML riduce al minimo il "vettore di minacce" specifico di RDP (ad esempio Bluekeep, NotPetya).
    • Controlli d'uso granulari: diritti specifici possono essere assegnati per ogni utente (gruppo); per esempio impedire l'uso della stampante virtuale (cioè non stampare a casa), impedire il download (o l'upload) di file da e verso il desktop locale, impedire la condivisione di sessioni di applicazioni Awingu, impedire la condivisione di file Awingu, ecc.
    • Registrazione della sessione: Awingu può abilitare la registrazione automatica delle applicazioni o degli utenti impostati (nota: esclusa per le sessioni Awingu Reverse Proxy). L'utente finale riceverà un avviso della registrazione prima di avviare la sua applicazione/desktop Awingu e dovrà 'accettare'.
    • Nessun dato locale: Tutte le applicazioni, i file, i desktop ospitati, ecc. girano in HTML5 all'interno del browser. Non c'è impronta sul dispositivo (cfr. controlli d'uso granulari) e solo le "immagini" dello schermo sono condivise.

- Awingu permette una migliore UX

Con Awingu, gli utenti possono prendere qualsiasi dispositivo, anche il loro dispositivo privato, e lavorare. Può essere un dispositivo Windows 7, un MacBook o un tablet. È un'esperienza semplice e coerente.

L'autore

Arnaud Marliere

Responsabile vendite e marketing

Linkedin Twitter Facebook Youtube Busta