Il COVID-19 sta spingendo le agenzie a trovare alternative alle VPN e sta aumentando il bisogno di supportare i programmi BYOD

Un anno fa, anzi non più di un mese fa, solo una parte dei dipendenti statali e dei collaboratori lavorava da remoto. Oggi, nel bel mezzo della pandemia causata dal coronavirus, l'Office of Management and Budget (OMB M:2016) ha imposto di promuovere l'uso del telelavoro, sostenere la mission dell'agenzia e incoraggiare tutti i dipendenti e i collaboratori che possono lavorare da casa a farlo. Ciò pone alle agenzie delle sfide in termine di sicurezza e accesso, che devono risolvere rapidamente. MobileIron offre soluzioni di livello governativo, descritte in dettaglio di seguito, che sono già state adottate da alcune agenzie.

 

Il grande cambiamento

Il numero di lavoratori che si collegano alle reti federali è aumentato drasticamente in tempi brevissimi. Alcuni lavoratori avevano già usato la modalità del telelavoro, almeno occasionalmente o in caso di necessità. Tuttavia, nella maggior parte delle agenzie federali solo un massimo del 20% dei dipendenti aveva lavorato da remoto, anche in caso di chiusure prolungate dovute a eventi atmosferici. Ora invece in alcune agenzie l'80% o più dei dipendenti si connette da casa e, dopo l'ordinanza dell'OMB, questa percentuale è destinata a continuare a salire nel prossimo futuro. Tanti utenti non sono stati messi nelle condizioni di lavorare ufficialmente da remoto. Non sono stati dotati di apparecchiature fornite dal Governo (GFE) o non sono stati formati in maniera appropriata sulle modalità di connessione, sul sign-on e sull'accesso alle reti, alle applicazioni e alle risorse federali. Quindi, stanno usando i dispositivi di loro proprietà, come smartphone, tablet e (spesso) computer portatili e desktop obsoleti con sistemi operativi e protezioni antivirus non aggiornati (se non addirittura completamente privi di protezione antivirus).

Lo tsunami di connessioni dai dispositivi personali degli utenti alle reti federali ha portato all'allentamento di alcune policy in materia di accesso e sicurezza e all'aggiramento di altre. Inoltre, anche nel caso in cui gli utenti accedano a una rete governativa tramite una rete privata virtuale (VPN) consolidata, le VPN non sono state progettate per sostenere un volume di traffico simile, né per fornire controlli di sicurezza aggiuntivi per dispositivi mobili e BYOD in generale.

L'aumento del numero dei telelavoratori e delle connessioni di rete ha ampliato la superficie di attacco e di conseguenza le agenzie e i dipendenti federali sono oggi più a rischio che mai. Questi dispositivi personali non previsti potrebbero non essere dotati di funzionalità di autenticazione appropriate e molti potrebbero non utilizzare credenziali multifattore o credenziali derivate approvate. Furti di identità, attacchi di phishing mirati ad acquisire e compromettere le credenziali di autenticazione (in particolare ID e password degli utenti), codici malevoli e minacce avanzate persistenti sono in costante aumento. Ed è sempre più probabile che queste minacce riescano a colpire nel segno a causa del volume maggiore di telelavoratori e che prendano di mira soprattutto quelli che hanno meno familiarità con i processi e la tecnologia di sicurezza. Negli ultimi giorni ci sono stati attacchi contro lo US Department of Health and Human Services sotto forma di attacchi a livello di stato nazionale, finalizzati a diffondere informazioni errate e accrescere la paura e l'incertezza tra la popolazione statunitense. È inoltre probabile che aumentino gli attacchi Denial of Service (DoS), man-in-the-middle (MITM) e a forza bruta contro portali di accesso con sistemi di autenticazione di base.

 

La sfida

Uno dei modi usati dalle agenzie federali per cercare di proteggere le loro reti e le loro risorse IT è chiedere agli utenti di usare una VPN. Sebbene esistano vari tipi di VPN diverse, tra cui remote-access, site-to-site, Layer 3 Multiprotocol Label Switching (L3MPLS), Dynamic Multipoint VPN (DMVPN) e altre ancora, tutte condividono l'obiettivo comune di crittografare e proteggere le comunicazioni end-to-end e hanno tutte qualche limite in comune. Quasi tutte le VPN sono in grado di operare in modalità diverse, ad esempio a livello di dispositivo, sempre attiva, on-demand o per-app. La modalità per-app si avvia solo quando viene lanciata l'applicazione configurata e consente solo il passaggio del traffico di quell'applicazione nel tunnel crittografato. Di conseguenza, il consumo della batteria è inferiore rispetto al caso in cui la VPN sia sempre attiva. Tuttavia, questa modalità è molto specifica rispetto al traffico che viene protetto. Nel caso specifico dei telelavoratori, la VPN ad accesso remoto è quella più applicabile. Le VPN delle reti aziendali tradizionali sono costose, complesse e richiedono tempi di implementazione lunghi. Le VPN con terminazioni al margine della rete aziendale supportano un numero limitato di connessioni concomitanti e sono vincolate dall'uso di chiavi di licenza. Inoltre, la configurazione e implementazione dei punti di terminazione appropriati di queste VPN porta via molto tempo e lavoro agli amministratori della rete.

Come se non bastasse, le licenze VPN sono costose e spesso non possono essere estese dinamicamente per essere adattate al significativo aumento di utenti e di ore di connessione al giorno. Molte agenzie federali continuano ad affidarsi a questi tipi di VPN per le loro reti aziendali tradizionali. Le iniziative federali di modernizzazione dell'IT hanno spinto alcune agenzie ad adottare una soluzione VPN per-app, che offre un controllo specifico maggiore sugli endpoint di origine e terminazione del tunnel VPN, una crittografia più efficace e altre funzioni aggiuntive. Ciò nonostante, questo tipo di VPN aggiunge anche vincoli alla larghezza di banda e costi di licenza, oltre a complicare i tentativi da parte degli amministratori di rete di fornire la manutenzione e gli upgrade richiesti, configurare le impostazioni dei gateway della VPN e gestire la crittografia e i certificati richiesti.

In quasi tutti i casi, queste VPN non sono progettate per i dispositivi mobili o per il traffico che generano. Le VPN aziendali non hanno la capacità di applicare le policy di sicurezza a un dispositivo mobile o di valutarne la conformità ai requisiti di base previsti.

 

Cosa offriamo di diverso e più efficace

La soluzione di MobileIron sfrutta un componente integrato della VPN chiamato Tunnel, usato insieme al sistema operativo nativo, MobileIron Unified Endpoint Management, per rendere sicuri i dati a riposo e applicare le policy di sicurezza informatica che possono validare lo stato di conformità del dispositivo prima di avviare l'applicazione e consentire l'accesso. MobileIron è in grado di determinare se il dispositivo è soggetto a jailbreak, se il suo sistema operativo è aggiornato, se il dispositivo si trova su una rete Wi-Fi autorizzata (o non autorizzata/pubblica), se l'applicazione è approvata e fornita da un app store affidabile e, infine, se il dispositivo è attualmente protetto da una soluzione di difesa dalle minacce per i dispositivi mobili, in grado di rilevare e rimediare a minacce e app dannose. Oltre a questo, MobileIron offre un'autenticazione multifattore e una consapevolezza contestuale del dispositivo, dell'utente e delle credenziali più efficaci, che vengono tutte integrate nel controllo degli accessi zero sign-on.

MobileIron Tunnel consente alle aziende di autorizzare qualsiasi app aziendale, incluse quelle interne e di terze parti, ad accedere alle risorse della rete o dell'intranet aziendale utilizzando una connessione di rete protetta. Le VPN app possono essere stabilite su qualsiasi rete, comprese le reti cellulari, per verificare che i dati federali siano sempre sicuri. Tunnel sfrutta anche l'avanzato motore di conformità closed-loop di MobileIron per verificare che i dispositivi non conformi non vengano autorizzati ad accedere ai dati sensibili dell'agenzia.

Inoltre, Tunnel migliora significativamente l'esperienza utente, stabilendo connessioni VPN app su richiesta o sempre attive senza richiedere all'utente di effettuare passaggi aggiuntivi. Le app personali e dannose vengono bloccate in modo che solo i dati appropriati passino attraverso Tunnel, garantendo così una maggiore protezione dei dati governativi e della privacy degli utenti.

A ottobre del 2019, Branko Bokan della Cybersecurity and Infrastructure Security Agency (CISA), parte della DHS, ha dichiarato che: “Per fornire la massima copertura contro le minacce dirette ai dispositivi mobili, le aziende devono distribuire le funzionalità Enterprise Mobility Management (EMM), Mobile Threat Defense (MTD) e Mobile App Vetting (MAV) unitamente, sotto forma di una soluzione integrata e non come una serie di prodotti indipendenti.”

MobileIron è una soluzione completa e integrata che fornisce una piattaforma di sicurezza informatica innovativa per dispositivi basati su iOS, Android, MacOS e Win10, che combina le capacità EMM, MTD e MAV in un'unica soluzione di sicurezza zero trust mobile-centrica. Questo approccio consente alle agenzie di avere il pieno controllo un controllo sui dati governativi che circolano su dispositivi, app, reti e servizi cloud.

Con le misure di contenimento del COVID-19 in vigore, la necessità di fornire queste capacità ha visto una rapida accelerazione. Per ricevere maggiori informazioni ed essere contattati da un rappresentante MobileIron, fate clic qui.

Bill Harrod

Bill Harrod

Federal CTO, MobileIron

About the author

Bill Harrod is the Federal CTO at MobileIron. He is an accomplished information security executive and cybersecurity professional with experience managing cybersecurity risk and designing and delivering security solutions to federal agencies and Fortune 500 companies. He is an expert on Federal Identity, Credential and Access Management Architecture (FICAM). Previously, he served as a senior manager at Deloitte and senior principal consultant at CA Technologies.