Diversi tipi di malware hanno la capacità di spostarsi lateralmente all'interno dell'infrastruttura aziendale, infettando le macchine connesse all'interno dell'azienda. Mi chiedevo in che modo è possibile che un computer infetto (BYOD) connesso a un'organizzazione tramite VPN sia in grado di infettare altri computer?
Una vera VPN connette un dispositivo a livello di rete nella rete aziendale. I dati sensibili verranno elaborati sul sistema locale, in modo simile a un desktop all'interno dell'azienda. A meno che non siano presenti protezioni aggiuntive, questo tipo di configurazione rende il movimento laterale per un aggressore facile quanto lo spostamento laterale all'interno delle altre reti aziendali. E dato che i dispositivi BYOD di solito trascorrono molto tempo al di fuori della (ben) rete aziendale ben protetta, questo significa essenzialmente che questo tipo di installazione dovrebbe essere una buona idea dal punto di vista di un utente malintenzionato e dovrebbe quindi essere vista come una pessima idea dal punto di vista dell'azienda.
Ci sono diversi miglioramenti che possono essere fatti per aumentare la sicurezza e ridurre il rischio. Un modo sarebbe quello di aggiungere un firewall restrittivo e un sistema di rilevamento / prevenzione delle intrusioni tra la rete VPN e l'altra rete aziendale nella speranza che il firewall prevenga un qualche tipo di movimento e l'IDS / IPS il resto. La registrazione dettagliata dell'attività di rete consentirebbe di rilevare almeno la causa degli attacchi in un secondo momento, se qualcuno ha il tempo e le conoscenze per analizzare tutti questi registri. Tuttavia, il collegamento di un dispositivo che non dovrebbe essere considerato affidabile anche in modo limitato a una rete sensibile non sembra davvero una buona idea, vale a dire che il rischio dovrebbe ancora essere considerato elevato.
Un'opzione migliore nella maggior parte dei casi è probabilmente quella di non utilizzare affatto una VPN "reale". Usate invece un software desktop remoto, in cui tutta l'attività è in esecuzione su qualche sistema all'interno dell'azienda e il sistema locale è essenzialmente solo un monitor stupido che mostra cosa succede a distanza e tastiera e mouse forniscono un'interazione limitata. In questo modo tutti i dati vengono elaborati sulla base di sistemi ben protetti in azienda e i dati sensibili non escono dalla rete aziendale. Il malware simile sul dispositivo BYOD non può semplicemente spostarsi nella rete aziendale poiché l'unico percorso in questa rete è l'attività della tastiera e del mouse. Esiste ancora un rischio considerevole con questo tipo di configurazione poiché un utente malintenzionato potrebbe ottenere l'accesso alle credenziali del desktop remoto e quindi connettersi alla rete aziendale. Ma è meno rischioso di una connessione VPN diretta e l'uso dell'autenticazione a due fattori può ridurre ulteriormente il rischio (ma non eliminarlo completamente).
Un altro modo sarebbe quello di non collegare un dispositivo arbitrario tramite VPN alla rete aziendale ma solo dispositivi affidabili e gestiti dalla società, ad esempio non BYOD. Naturalmente, è necessario garantire che questi dispositivi non siano modificati da un utente malintenzionato. Esistono tuttavia modi per proteggere l'integrità di questi dispositivi anche se non sono all'interno dell'azienda, ad esempio combinando avvio protetto, disco crittografato e autenticazione basata su hardware (smart card personalizzate o simili).