La segmentazione della rete è un passo fondamentale per poter implementare un approccio zero trust. Un tale approccio in una strategia solida di cybersecurity in azienda non è infatti possibile laddove non vi sia una rete che permette almeno l’isolamento sud-nord, ovvero che concerne tutto il traffico che passa attraverso il firewall e quindi da internet verso la rete.
Un’indagine condotta da Akamai rivela che il 96% delle aziende intervistate ha già adottato la segmentazione della rete. Tra queste, il 92% afferma che tale approccio ha contribuito a limitare, se non addirittura a impedire, la diffusione di attacchi informatici all’interno dell’organizzazione. In questo modo, i cybercriminali non sono riusciti a provocare danni significativi né a sottrarre grandi quantità di dati. Il motivo è semplice: quanto più la rete è segmentata e il perimetro ben definito, tanto più risulta agevole monitorare ciò che accade al suo interno. Questo consente di individuare con maggiore tempestività eventuali movimenti laterali e anomalie potenzialmente pericolose, facilitando la diagnosi e la risposta agli incidenti.
A questo punto, è bene fare un’osservazione importante: molte aziende, solo per il semplice fatto di stare già utilizzando strumenti tecnologici più evoluti e avanzati per la sicurezza informatica, hanno una cosiddetta sensazione di sicurezza tale da portarle a ritenere che non potranno mai essere attaccate. Nella pratica, poi, andando a vedere l’infrastruttura di queste aziende, ci si trova davanti a reti con 500 host tutti all’interno della stessa rete, e dove la sensazione di sicurezza è data solo dall’avere alcuni strumenti di protezione. Ora: la sicurezza informatica non è mai uno strumento che compero, quanto un insieme di procedure e di servizi messi in atto per proteggere i dispositivi e il traffico all’interno della rete.
Chiaramente ci sono moltissimi ostacoli nell’implementare la segmentazione di una rete. Spesso si interviene separando almeno la componente OT, ovvero l’ambito produttivo, da quello IT, che comprende i dipartimenti di finanza, marketing e commerciale. Questa distinzione ha l’obiettivo di rafforzare la business continuity e, di conseguenza, aumentare la produttività complessiva dell’azienda.
La maggior parte delle aziende implementa la segmentazione mediante strumenti di sicurezza di rete tradizionali, come firewall interni, VLAN e ACL (Access Control List). Tuttavia, i moderni ambienti in cui sono presenti data center ibridi e dinamici rendono questi approcci convenzionali non più pratici, in quanto faticano a stare al passo con le innovazioni, oltre a rendere la gestione delle policy sempre più complessa e costosa. In Netech, l’attività di segmentazione della rete parte solitamente da un’analisi preliminare: vengono osservate le comunicazioni tra i diversi sistemi per capire “chi parla con chi”. Nella successiva fase di separazione possono verificarsi disservizi o interruzioni (minimizzate da una corretta valutazione iniziale), che vengono risolti man mano che ogni porzione di rete viene isolata, rendendo progressivamente l’infrastruttura sempre più segmentata e sicura.
Quali sono quindi le best practices per operare la segmentazione di una rete? Innanzitutto, non effettuare una segmentazione eccessiva. Questo punto non è in antitesi con quanto già detto: molte volte si è infatti portati a esagerare. I segmenti vanno invece sempre progettati in modo che non siano segmenti che contengono un solo host, ma in modo che abbiano una valenza dal punto di vista strutturale e funzionale. Facendo questo, ricordiamo inoltre sempre che più la rete è segmentata e complessa, più diventa difficile da gestire.
Altro punto: occorre eseguire comunque delle verifiche periodiche, in quanto può accadere che l’attività di modifica della configurazione dopo l’attività di segmentazione possa creare dei cortocircuiti. Questi non vanno a inficiare sulle prestazioni della rete, ma creano ad esempio delle scorciatoie che permettono di saltare da un segmento all’altro senza il giusto controllo. É altresì necessario eseguire audit continui dei segmenti, al fine di individuare potenziali vulnerabilità, eventuali aggiornamenti necessari e confermare la presenza di autorizzazioni rigorose.
Ancora, occorre applicare sempre il principio dei privilegi minimi, o microprivilegi, per cui l’accesso a utenti, amministratori di rete e team di sicurezza viene consentito solo se necessario. Questo principio è la base dell’adozione di un modello ZTNA, ovvero Zero Trust Network Access. Si devono avere pertanto utenti amministrativi solo nella misura strettamente necessaria e solamente sulle macchine realmente gestibili, specialmente quando l’azienda ha un insieme di partner che devono cooperare all’interno dell’infrastruttura. Quindi, in caso di grandi infrastrutture occorre focalizzarsi sulla riduzione del numero di amministratori strettamente necessari, e solo sulle macchine che questi devono effettivamente amministrare.
Infine, è fondamentale limitare l’accesso ai terzi, consentendo soltanto quelli strettamente necessari. In molte organizzazioni questo rappresenta ancora un problema ricorrente: spesso, infatti, capita che nella rete rimangano attivi utenti dimenticati, account orfani o temporaneamente disabilitati. Tutte queste situazioni generano inefficienze e vulnerabilità che, al pari della mancata segmentazione, possono tradursi in gravi criticità di sicurezza.