Nel precedente articolo, dal titolo Il proxy è morto? Perché le tecnologie di RBI riducono rischio ransomware, abbiamo fatto un focus su realtà che sono prevalentemente on prem con pochissimi o addirittura nessun servizio in cloud, illustrando un subset di nuove funzionalità da accoppiare ai “vecchi proxy” allo scopo di rendere più sicura la navigazione Internet e ridurre il rischio di infezioni /malware da attacchi Phishing o di altra natura.
Quando il proxy on prem è sicuramente morto
Ma cosa succede se l’azienda ha già messo una zampetta sul cloud o si appresta a farlo o usufruisce già di piattaforme as a services (SaaS) con una roadmap cloud oriented?
In questo caso il proxy on prem è sicuramente morto, non ha senso investire in una tecnologia on prem che comunque non arriverà mai agli stessi livelli di protezione di quanto abbiamo discusso nel precedente articolo. Non fraintendetemi, non è impossibile costruire un ecosistema on prem con funzionalità similari di sanitizzazione, RBI e Behavioral analysis ma dovete lasciare sul piatto delle funzionalità oltre che a dover gestire una infrastruttura estremamente complessa che comunque si sposa mal volentieri se avete la posta già in cloud.
Torniamo al nostro proxy agonizzante. La scelta dovrebbe essere di non investire in appliance/ferro o macchine virtuali per il proxy on prem e sposare immediatamente uno dei tanti vendor che offrono la navigazione come fosse una commodity, tutto in cloud ovviamente e che possano garantirvi tutte le feature viste nel precedente articolo.
Cosa possiamo aggiungere a questo punto? Che altre opzioni ci sono sul tavolo nel caso di una navigazione avanzata tutta in cloud? Tante. Innanzitutto possiamo proteggere la navigazione anche quando il laptop è in mobilità, a casa, non connesso alla VPN.
Dobbiamo infatti ricordare che spesso i laptop sono usati in modalità promiscua (anche per uso personale) ed è proprio in queste circostanze che sono più a rischio, con una navigazione non filtrata da nessun sistema poiché non connessi in VPN o fuori dalla Lan aziendale.
Con una scelta di un proxy in cloud la user experience è trasparente ed ottima per l’utente
Con una scelta di un proxy in cloud la user experience è trasparente ed ottima per l’utente. Si ritrova applicate le stesse policy di quanto è in ufficio ma è a casa senza dover tirar su la VPN. Possiamo anche fare uno step ulteriore, con un light agent da installare sulle macchine degli utenti che è in grado di innalzare il livello di sicurezza e che può avere anche funzionalità di DLP (Data Loss Prevention), di rilevare “Anomalies Detection” gerando alert nel caso in cui un file viene scaricato da un’app e caricato in un altro cloud storage (ad esempio), di monitorare l’accesso ad applicazioni SaaS dalla console centrale per gli amministratori, di creare regole Risk based associate a ciascuna applicazione, di avere un dettaglio esaustivo sui malware identificati con la possibilità di estrarre report in formato STIX e PCAP (utile per analisi forense).
Un tempo queste funzionalità collassavano prevalentemente nei cosiddetti CASB (Cloud Access Security Broker). I CASB nascevano nel 2010 circa e le organizzazioni lo usavano come complemento ai proxy per controllare lo “shadow IT”, servizi che il Business comprava in autonomia senza informare il Dipartimento di Information technology. Nel corso del tempo, soprattutto per le scelte aziendali di essere sempre più anfibie, ibride, con un pezzo on prem ed un pezzo in Cloud, i vantaggi e le funzionalità del CASB hanno iniziato a sovrapporsi sempre di più a quelle del Next Generation Web Gateway di cui abbiamo discusso nel precedente articolo, che il Gartner chiama Secure Web Gateway (SWG)
Sostanzialmente nel Secure Web gateway sono collassate varie funzionalità e investire in un CASB puro non ha più senso.
Con la navigazione ibrida, abbiamo altre opzioni per “sicurizzare” la navigazione?
Torniamo ancora alla navigazione ibrida, alla Remote Browser Isolation come mitigazione di vari scenari di attacco. Abbiamo altre opzioni per “sicurizzare” la navigazione?
Bisogna citare almeno una, spesso poco usata ma molto potente. Lavorare sui DNS.
Ricordo che, quando clicchiamo un link, inizia un process di connessione tramite DNS.
Inoltre i Ransomware, una volta eseguiti sulle macchine vittime, usano i DNS come metodo di comunicazione con i server di Comando e Controllo. Utilizzare tecniche di threat intelligence e di analisi del DNS è fondamentale per bloccare per rilevare e bloccare il traffico.
Ci sono piattaforme che monitorano milioni di richieste DNS, le processano ed analizzano per rilevare indirizzi che nascondono insidie. Spesso questo monitoraggio è arricchito e correlato con altre fonti di intelligence in modo da fornire una navigazione sicura all’utente.
Nell’ultimo e, prometto, breve terzo atto di questo percorso vedremo che opzioni ci sono per le realtà che sono per lo più tutte in cloud.
Per leggere la prima parte:
Il proxy è morto? Perché le tecnologie di RBI riducono rischio ransomware
English (US)