Sicurezza Aziendale: Come Minimizzare i Rischi delle VPN Fornitori

Manuel Roccon : 30 Aprile 2024 07:26

Le VPN sono uno strumento generalmente sicuro per potersi collegare da remoto a un’infrastruttura informatica. Le VPN di cui stiamo parlano non sono quelle che usiamo per “nascondere” la propria identità su internet o per bypassare limitazioni geografiche per accesso a dei servizi internet. Sono quelle utilizzate dalle organizzazioni per accedere alle proprie risorse da remoto.

Le VPN delle organizzazioni

Quando siamo collegati in VPN, effettivamente colleghiamo “un cavo virtuale” tra il nostro dispositivo e la rete remota attraverso un tunnel. Queste VPN generalmente sono fornite dai firewall aziendali, possono essere open source come OPVPN, oppure proprietarie del brand.

In ambito aziendale sono utilizzate sia dai dipendenti per accedere alle risorse aziendali, sia da personale non aziendale, come i fornitori per compiere quelle attività di supporto e manutenzione. Sebbene le VPN siano sicure e il traffico generalmente è cifrato la VPN e protetto da autenticazione, resta sempre un vettore di attacco se non adeguatamente protette.

Generalmente i dipendenti che le utilizzano, si collegano da un’area sicura. Un dispositivo messo a disposizione del reparto IT con configurate le minime best practice aziendali.

Queste best practice generalmente sono:

• Utilizzo da parte degli utenti account con diritti limitati che ne impedisce la modifica del sistema operativo e la possibilità di avviare software con diritti elevati.
• Presenza di un antivirus centralizzato che fornisce avvisi in tempo reale, oltre ad avere funzioni di isolamento del dispositivo se compromesso.
• Sistemi di patch management che ne garantiscono la presenza degli ultimi aggiornamenti.
• MDM che permettono un reset da remoto in caso di sospetta compromissione o perdita del dispositivo
• Sistemi DLP che limitano l’accesso e alle flash USB.

Ma per quanto riguarda i fornitori?

Sappiamo bene che ci dobbiamo fidare e fare delle raccomandazioni sulle giuste best pratice da adottare, ma i dispositivi da dove verranno stabilite le connessioni VPN non sono dispositivi controllati dall’organizzazione.

Quindi quali possono essere i rischi?

• Il dispositivo non ha le minime best practice conformi allo standard aziendale dell’organizzazione, magari privi di antivirus e dispositivi usati anche per scopi personali.
• Gli utenti possono collegarsi a qualunque orario.
• Le VPN una volta collegate hanno accesso a tutta la rete aziendale.
• Vengono forniti accessi sui sistemi troppo elevati, magari anche quelli di amministratore di dominio.
• Posso esportare dati e trasferirli nei propri dispositivi.

E se il fornitore venisse compromesso, pensiamo a un malware che infetta il suo dispositivo collegato in VPN collegato alla nostra rete aziendale a orari insoliti. Oppure pensiamo se il nostro fornitore subisse un data breach e venissero rubate le connessioni VPN archiviate sui loro sistemi assieme alle credenziali salvate sul notepad

E’ chiaro che bisogna porre delle limitazioni.

Come potremmo limitare questi rischi?

Innanzi tutto, account nominali, in modo da conoscere sempre chi ha fatto accesso a che ora, in caso di compromissioni o anomalia è più facile capire l’origine del problema. Gli account dovrebbero essere centralizzati in modo che disattivando il sistema, si perda qualunque tipo di accesso nella rete.

Non meno importante MFA, nel caso un aggressore rubasse i dati di accesso come spiegato prima, MFA impone inserimento di un codice di solito “distante” dalle configurazioni VPN e credenziali rubate. Rispettare sempre l’autorizzazione minima. L’autorizzazione minima deve essere data sia sui sistemi in cui il fornitore deve far accesso da remoto, quindi mai un amministratore di dominio ma account locali, sia limitare porte e IP dove queste connessioni possono accedere.

Per esempio, se il l’utente deve accedere al server in RDP, dalla VPN potrà accede solo ed esclusivamente al IP Y alla porta 3389, tutte le altre richieste saranno droppate. L’accesso al server sarà al massimo amministratore locale.

Orari di accesso

Bene questo è un tassello fondamentale. Permettere di far collegare le persone senza un’autorizzazione è rischioso e non fa capire agli IT chi si sta collegando in quel giorno. Mi è capitato di vedere inoltre dipendenti delle aziende fornitrici si colleghino a qualunque ora senza avvisare, quando se succedesse qualcosa lo si scoprirebbe solo la mattina seguente.

E’ importante che gli accessi abbiano delle scadenze, magari limitati alla sola giornata (per esempio in ad Microsoft è possibile impostare la Scadenza). E’ comprensibile che questo genera più complessità e più interazione, ma la sicurezza della infrastruttura da difendere è molto più importante.

Per finire, potrebbe essere buona norma inserire un limite di tentativi di connessione prima della disattivazione dell’account, anche momentaneo. Tutti questi dati come connessioni VPN, tentativi sbagliati accessi RDP ecc.. è utile monitorarli tramite sistemi di audit o SIEM in modo da avere visioni in modo semplificato delle anomalie.

Manuel Roccon
Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Lista degli articoli