Akamai + Guardicore: Zero Trust end-to-end
È facile da notare: gli attacchi ransomware sono esplosi con una crescita di oltre il 150% nel 2020. Questa minaccia è destinata a crescere perché i criminali inventano nuovi modi per guadagnare l'accesso a reti e sistemi e la superficie di attacco si espande con lo smart working e la proliferazione di dispositivi con connessione a Internet. Questa tendenza è il motivo per cui siamo entusiasti della joint venture, ormai ufficiale, che è stata stipulata tra Akamai e Guardicore: la sfida posta dai ransomware non è mai stata così massiccia e l'opportunità per queste due aziende, ora fuse in un'unica società, di impedire gli attacchi non è mai stata così tangibile. Insieme, possiamo respingere la crescente marea delle minacce.
Il ransomware è un problema complicato, ma la protezione dai ransomware si riduce ad un unico, semplice principio: Tutti i flussi di traffico devono essere ispezionati e controllati, indipendentemente dagli endpoint.
Il punto è che il ransomware, per assolvere la sua funzione, deve spostarsi. Dal punto in cui si origina, deve trovare un posto da cui può accedere e crittografare i dati più importanti. Questo spostamento, in genere, richiede più hop su diversi dispositivi e server. Ogni hop è un flusso di traffico che può spostarsi da nord a sud, ossia tra un dispositivo e un server, o da est a ovest, ossia tra un server e l'altro. Il blocco dei ransomware, pertanto, si riduce all'ispezione e al controllo di ogni flusso di traffico per confermare che sia autorizzato e non contenga malware.
Con Akamai e Guardicore ora insieme, abbiamo la capacità di realizzare questa strategia. Con la nostra tecnologia combinata, i clienti potranno ispezionare e controllare il flusso del traffico aziendale, da nord a sud e da est a ovest.
I criminali come riescono a guadagnare l'accesso la prima volta?
I criminali dispongono di varie strategie che possono usare per mettere piede nell'azienda la prima volta. Si parla del primo hop. Le strategie che i criminali usano per il primo hop includono il phishing, lo squatting, l'utilizzo di credenziali rubate, lo sfruttamento di vulnerabilità nelle applicazioni per interazioni pubbliche e l'accesso fisico a laptop o server. Un sistema di difesa dai ransomware deve considerare tutte queste strategie.
Nel caso della difesa dal phishing, spesso si crea un'eccessiva dipendenza dalla formazione. Ovviamente, la formazione è importante, ma i dipendenti non devono avere l'unico onere di stabilire se qualcosa è sospetto: il panorama delle minacce e gli strumenti utilizzati dai criminali stanno cambiando troppo rapidamente. Idealmente, la tecnologia deve intervenire prima che i dipendenti debbano prendere una decisione. La tecnologia, inoltre, può fornire un altro livello di difesa aiutando a correggere l'errore umano, ad esempio bloccando i siti web sospetti anche se un dipendente fa clic su un link dannoso.
Akamai offre diversi prodotti in grado di bloccare il ransomware al primo hop mentre l'attacco cerca di prendere piede.
Il nostro firewall DNS e la nostra soluzione SWG (Secure Web Gateway), entrambi parte di Secure Internet Access Enterprise, possono bloccare l'accesso ai siti di phishing e squatting con il filtraggio di hostname e URL
La nostra soluzione multifattore anti-phishing (MFA), idealmente senza password, può bloccare i criminali che cercando di utilizzare credenziali rubate
La nostra soluzione di accesso Zero Trust (oggi nota come Enterprise Application Access) può bloccare lo sfruttamento delle vulnerabilità dei server garantendo che i server siano visibili solo agli utenti che hanno già autenticato e autorizzato
Inoltre, la nostra soluzione WAF (Web Application Firewall) può assicurare che il flusso di traffico non contenga attacchi (del resto, anche gli accessi autorizzati possono contenere attacchi)
Come prevenire la diffusione del ransomware
Naturalmente, nessuna difesa è perfetta, quindi cosa succede se il criminale riesce a penetrare nel sistema? Cosa succede se viene presa di mira la supply chain e il criminale guadagna immediatamente l'accesso alla rete?
Anche se la prevenzione è sempre preferibile, la realtà è che le minacce, a volte, riescono nel loro scopo. Le organizzazioni devono predisporre una strategia per la protezione delle infrastrutture e delle informazioni più importanti una volta che il ransomware sia riuscito a violare i sistemi di difesa iniziali. Ecco perché è fondamentale ispezionare e controllare il traffico da est a ovest o da un server ad un altro. Nella maggior parte dei casi, il ransomware ha bisogno almeno di un hop est-ovest per trovare i dati più importanti e arrecare danno. Inoltre, nel caso di attacchi originati da un accesso fisico, bloccare gli attacchi passando da un server all'altro potrebbe essere l'unica opportunità disponibile per prevenire la diffusione del ransomware.
La tecnologia di microsegmentazione di Guardicore è un mezzo di protezione fondamentale per bloccare la diffusione di malware all'interno di un'organizzazione. Questa tecnologia logicamente divide l'azienda in segmenti con propri controlli di sicurezza ben definiti in modo da consentire ad ogni processo di comunicare solo con gli altri processi con cui ha bisogno di comunicare. Questo approccio risolve il problema della proliferazione dei malware nell'azienda tramite uno spostamento da est a ovest.
La nuova frontiera
Grazie alle funzioni di ispezione e controllo di tutti i flussi di traffico aziendali fornite da Akamai e Guardicore, stiamo aprendo una nuova frontiera: la scomparsa del perimetro aziendale.
Molte aziende stanno ancora utilizzando un approccio alla sicurezza basata sulla nozione obsoleta di una rete aziendale protetta dietro un firewall. Questo approccio, tuttavia, è incoerente con il nostro mondo basato sul cloud, che consente di lavorare ovunque. Le applicazioni per interazioni pubbliche, i server virtualizzati e una combinazione di tecnologie cloud e on-premise implicano che un approccio alla sicurezza con un perimetro aziendale protetto, in cui solo se un utente o un'applicazione si trovano sulla rete sono affidabili, lascia le organizzazioni estremamente vulnerabili sia perché nulla blocca i criminali se queste difese non sono efficaci (o i criminali guadagnano l'accesso ad un dispositivo affidabile) sia perché è molto difficile proteggere infrastrutture e applicazioni basate sul cloud con i tradizionali sistemi di sicurezza, pur mantenendo elevate le performance. Questa complessità aumenta solo se lo smart working continua a rendere indistinto il confine tra sfera personale e professionale, casa e ufficio.
Dobbiamo adottare pienamente il concetto Zero Trust e abbandonare l'idea che tutto ciò che si trova all'interno della rete aziendale sia affidabile. Proprio perché lo smart working continua ad essere la norma, tutti gli accessi ai sistemi aziendali vanno considerati come accessi remoti e nessun dispositivo (da quelli degli stagisti a quelli dei CEO) deve avere un accesso completo alla rete senza restrizioni Questo approccio aiuta a bloccare lo sfruttamento delle vulnerabilità e a garantire che, se un dispositivo viene violato, non venga compromessa di conseguenza tutta l'azienda.
Se il nostro approccio alla sicurezza aziendale, indipendentemente che si tratti di un utente finale, di una sede o di un dispositivo, si basa sulla premessa secondo cui nessun flusso di traffico è affidabile, i sistemi di difesa di un'organizzazione diventano molto più forti. Un approccio Zero Trust completo che combina la protezione offerta da Akamai e Guardicore renderà estremamente difficile per un ransomware riuscire a complicarvi la vita.
