Secondo Dick Bussiere di Arbor Networks in un ambiente sempre connesso la disponibilità ha valenza critica. Un approccio difensivo a livelli capace di andare in profondità è la tecnica da seguire. La rete va tutelata anche nella dorsale del provider.
Il Bring your own device si traduce nella richiesta, e nella aspettativa, di accesso a posta elettronica, intranet, database, sistemi Crm e altri servizi corporate da parte dei proprietari dei dispositivi.
L’introduzione degli apparecchi personali determina una serie di nuovi rischi che devono essere mitigati senza che l’It possa intervenire sulla gestione o configurazione dei dispositivi stessi.
I responsabili It, allora, devono considerare una serie di elementi come il controllo delle applicazioni e dei dispositivi, l’ottimizzazione dei livelli di sicurezza, la gestione e l’applicazione delle policy e la visibilità delle applicazioni.
Spesso, comunque, la priorità riguarda la sicurezza.
È per questo che secondo Dick Bussiere, Solution Architect di Arbor Networks, prima di implementare il modello Byod vi sono quattro elementi che andrebbero considerati: impatto sulle policy di sicurezza esistenti, policy di rete location-aware, controllo degli accessi alla intranet, visibilità su rete e applicazioni.
Impatto sulle policy di sicurezza esistenti
Per Bussiere l’impatto che il modello Buod produce sulle infrastrutture e sulle policy di sicurezza esistenti deve essere oggetto di attento esame, e di conseguenti adattamenti laddove necessario.
Rischi in passato ininfluenti devono trovare adesso la giusta valutazione alla luce dell’impiego dei dispositivi di proprietà dei dipendenti.
Alcuni esempi di rischio sono lo smarrimento del dispositivo, la configurazione non corretta, l’installazione di app pericolose, l’uso del dispositivo da parte di terzi diversi dal dipendente stesso.
Un piano di sicurezza valido necessita di una strategia che sia in grado di tutelare la confidenzialità, l’integrità e disponibilità, i tre elementi che vengono più spesso definiti come il “triangolo della sicurezza”.
Per garantire l’integrità l’It deve creare diverse aree sicure basate su firewall a filtraggio dinamico per applicare policy di sicurezza e di utilizzo della rete.
L’introduzione del modello Byod può comportare una ridefinizione di tali aree, assegnando al esempio al Byod le policy di accesso più rigide.
La confidenzialità può essere difesa in modi diversi: con l’uso della crittografia, di tecniche di autenticazione a due fattori e di policy di sicurezza attentamente studiate.
I dati aziendali sensibili memorizzati su un dispositivo personale devono essere crittografati ed è essenziale implementare dei sistemi preposti alla cancellazione delle informazioni corporate in caso di smarrimento o sottrazione del dispositivo.
Quando i dati aziendali vengono consultati attraverso reti non sicure il consiglio è quello di fare leva su connessioni crittografate.
Un altro aspetto che caratterizza il modello Byod è che i dipendenti si aspettano che i servizi delle proprie aziende siano sempre e comunque accessibili; per questo la disponibilità delle risorse deve essere assicurata attraverso l’implementazione di soluzioni Idms (Intelligent DDoS Mitigation System).
Un attacco DDoS mira a interrompere la disponibilità di un servizio verso gli utenti che lo stanno adoperando – in questo caso il servizio corrisponde al dispositivo personale del dipendente.
Questo genere di minacce richiede un meccanismo di difesa diverso, incentrato sulla mitigazione piuttosto che sull’isolamento.
Il blocco del traffico spesso completa l’obiettivo di un attacco DDoS isolando totalmente la risorsa colpita e rendendola inaccessibile agli utenti autorizzati.
Le minacce DDoS vengono mitigate grazie all’analisi euristica dei modelli di traffico e tramite l’attenta ispezione dei dati di pacchetto. Il traffico sospetto viene scartato.
Policy di rete location-aware
Per Bussiere, poi, in un mondo Byod è necessario concentrarsi su policy di rete location-aware. In particolare occorrono policy basate sulla rete che intensifichino l’effetto di quelle applicate a livello di dispositivo.
Una policy di rete location-aware cambia in base a dove si trova il dispositivo. Solo a questo punto si può dare risposta ai seguenti quesiti: quali risorse e quali dati possono essere consultati dai dispositivi mobili a seconda della loro posizione?
Come si possono porre limitazioni di accesso ai dati durante specifici momenti del giorno?
Come si possono controllare i dati che transitano sui dispositivi mobili sia a livello di rete aziendale che in remoto?
Controllo degli accessi alla intranet
L’It deve avere la capacità di controllare quali dispositivi mobili possono accedere alla Intranet autenticandoli in maniera appropriata.
Allo scopo vengono adoperate varie tecnologie di Network Access Control (Nac).
La soluzione deve funzionare senza l’installazione di client sui dispositivi personali; su questi ultimi devono essere applicate le policy di rete vigenti, a prescindere dal sistema operativo o dal proprietario.
I dispositivi che non possono essere autenticati in rete vengono posti in quarantena. In alcuni casi l’implementazione Byod può stabilire policy di accesso anche più rigide rispetto a quelle previste per le apparecchiature corporate, per la semplice ragione che i dispositivi personali non sono così fidati e sicuri come quelli invece gestiti direttamente dall’azienda.
Visibilità su rete e applicazioni
Le divisioni It necessitano di visibilità sui flussi di traffico e sull’utilizzo della applicazioni e devono definire delle regole di traffico a livello della rete interna con l’obiettivo di rilevare e comprendere le attività normali e quelle atipiche.
I modelli di flusso dei dati su base device-by-device consentono di scoprire se un dispositivo mobile stia cercando di accedere a dati autorizzati o se stia tentando di trasferirli verso destinazioni non autorizzate.
La capacità di identificare attività potenzialmente nocive assume un’importanza ancora maggiore nel momento in cui sono presenti elementi Byod non gestiti.
La visibilità sull’attività di rete è l’unico modo per rilevare questo genere di situazioni.
In sintesi
In un ambiente sempre connesso come quello proposto dal modello Byod, la disponibilità assume una valenza critica. L’utente finale porta costantemente con sé il dispositivo mobile aspettandosi servizi e applicazioni sempre e comunque accessibili e disponibili.
È pertanto fondamentale che i responsabili It delle aziende tengano conto di questi endpoint e modelli di utilizzo assolutamente non tradizionali durante la progettazione non solo della rete enterprise ma anche dei servizi cloud-based e di tutte le relative interazioni.
Adottare un approccio difensivo a livelli che vada in profondità rappresenta, come per qualsiasi altra sfida di sicurezza, la tecnica migliore.
Per garantire la disponibilità dei dati e dei servizi critici, la rete deve essere tutelata non solo nell’ambiente aziendale stesso ma anche nella dorsale del service provider e nel data center.
- Dell Quest Software: il buon Byod parte dall’utente
- Quando il Byod entra a scuola
- Avanade: il Byod rende, anche in Italia
- Focus su Byod ed Sdn nell’architettura Enterasys
- Quando l’endpoint è l’utente: come cambia la gestione con il Byod
- Apt, Byod, Cloud, Ddos: gli attacchi nel quotidiano di chi fa rete
- Byod: sulla strada della gestione unificata
- Cloud e Byod fanno una giacca da operations al Cio
- Altro che Byod, per Dell il segreto sta tutto in una X
- Sicurezza nel 2013, problemi con Byod e Html 5
- Enterasys mette il Wi-Fi al servizio del Byod
- Quando il Byod pesa troppo sulle reti
- Per Cisco il Byod richiede un approccio globale
- Byod: l’alternativa di Axway per condividere i file
- Come capire tutti gli scenari del Byod
- Ipswitch: c’è il Byod, la rete non è più quella di una volta
- Trend Micro: come ridefinire il Byod
- Siemens Ec, Ardemagni: il Byod è dirompente
- Verizon protegge il Byod
- Attacchi Ddos, la storia è maestra di sicurezza
- F5 Networks, concretamente anti Ddos
- Fermare i Ddos, obiettivo per il 2013