Due anni fa, prima che la pandemia colpisse e lo smart working prendesse piede, abbiamo scritto un blog su come il framework zero trust mobile-centric abbia rimosso i tradizionali controlli di sicurezza perimetrali per proteggere dai criminali informatici la rete aziendale e i nodi connessi. Le appliances di sicurezza legacy — in particolare i firewall di rete con gateway di scansione del malware, gli Intrusion Detection and Prevention System (IDS e IPS) e i concentratori VPN — erano il punto di applicazione delle policy (Policy Enforcement Point- PEP) che forniva i controlli di sicurezza in entrata e in uscita dalla rete, nel tentativo di tenere i ‘cattivi’ fuori dai muri perimetrali virtuali, lasciando solo i ‘buoni’ all’interno.
Il framework di sicurezza zero trust stabilisce che i controlli tradizionali non siano più adeguati a difenderci dai criminali informatici. Il dispositivo mobile, incluso il laptop o il desktop di casa, si collega alla rete internet poco sicura, dove un firewall aziendale o anche il router di casa non impedirà a questi sofisticati criminali informatici di violarne le difese.
MobileIron considera il dispositivo mobile, il laptop o il desktop di casa, come il nuovo PEP quando è collegato a internet. Prima che il medesimo si connetta alle risorse aziendali che sono in sede, nel data center o nel cloud, una soluzione di Unified Endpoint Management (UEM) controlla lo stato di sicurezza rispetto al rooting e al jailbreak. La soluzione UEM verifica anche la conformità della postura del dispositivo rispetto all’hardware, alla versione del sistema operativo adottato, e agli eventuali aggiornamenti per la propria sicurezza prima di dare accesso ad app e file di lavoro, impostazioni email e profili client VPN e Wi-Fi su ogni device. Oltretutto, MobileIron Threat Defense (MTD) aiuta a rilevare e bloccare più di 5.000 collegamenti a siti web di phishing malevoli che vengono attivati e poi rimossi quotidianamente. Dal momento che il motore di rilevamento delle minacce di Machine Learning (ML) di MobileIron risiede sul dispositivo ed è agevolato da un motore cloud-based, che fornisce più livelli di rilevamento e correzione delle minacce, le soluzioni UEM e MTD consentono di bloccare qualsiasi minaccia mobile all’inizio dell’exploit. Tutte le impostazioni del dispositivo e le policy delle app possono essere distribuite molto prima che, all’utente e al dispositivo venga concesso l’accesso condizionato alla rete aziendale. In seguito, il dispositivo verrà continuamente controllato per verificarne la conformità mentre l’utente è già collegato alla rete e ai servizi aziendali.
Senza le soluzioni UEM, MTD e Zero Sign-On (ZSO) di MobileIron, il dispositivo infetto potrebbe essere autorizzato a connettersi al Policy Enforcement Point collocato sulla rete aziendale come un firewall, un Secure Web Gateway (SWG), un Cloud Access Security Broker (CASB) o un concentratore VPN con un malware gateway prima di qualsiasi rilevamento.
Al criminale informatico basta agire correttamente una sola volta per penetrare le difese di sicurezza, mentre il responsabile della sicurezza dell’azienda e il CISO devono operare, senza errori, ogni volta! Anche se un attacco di phishing vincente riesce a eludere la navigazione sicura e i filtri DNS, comprese le protezioni anti-phishing di MTD, MTD è poi in grado di rilevare ogni artificio host-based, scansionando continuamente l’esistenza di app, codici e script dannosi presenti sul dispositivo o sui nodi collegati, evitando che questi possano evolversi per diventare una minaccia persistente avanzata, come un attacco ransomware.
MobileIron ZSO insieme alle implementazioni di FIDO2 passwordless costituiscono valide policy di Multi-Factor Authentication (MFA) per accedere alle risorse di rete e di lavoro, essendo anche un utile strumento per combattere i phishing exploit tra cui: QRLjacking e il pharming, insieme al Man-in-The-Middle (MiTM) e agli attacchi di notifica push.
Per l’implementazione di dispositivi di proprietà dei dipendenti e BYOD, è possibile fornire, da remoto sul dispositivo, un accesso separato per il Work Profiledi Android Enterprise o lo User Enrollment di Apple. Questa differenziazione è trattata quasi come se fosse un dispositivo separato, mantenendo isolati i contenuti professionali da quelli personali e assicurando all’utente sicurezza e privacy. Questo significa che tutte le applicazioni e i contenuti di lavoro necessari, insieme alle credenziali Wi-Fi e VPN e ai profili di connessione, permettono all’utente di connettersi in modo sicuro alle proprie risorse di lavoro da casa, in questo nuovo mondo Everywhere Enterprise.
MobileIron Tunnel offre una soluzione VPN per app che supporta il requisito di micro-segmentazione Zero Trust Network Access (ZTNA). Tunnel consente solo alle app autorizzate e al loro contenuto di attraversare la connessione criptata su internet verso un gateway intelligente MobileIron Sentry per accedere alle risorse di lavoro on-premise, o verso il gateway MobileIron Access per le risorse in cloud. Il gateway verifica con il sistema UEM e prevede un accesso limitato per garantire che solo l’utente trusted, il suo dispositivo, l’indirizzo IP di origine e l’app verificata, possano accedere ai dati aziendali. Queste regole di accesso possono essere applicate non solo per il traffico di rete tradizionale da client a server (da nord a sud) ma anche all’interno di quello di autorizzazione o del data center (da est a ovest) che include una continua autenticazione adattiva e controlli di autorizzazione.
Per i dispositivi BYOD, possono essere messe a disposizione app e configurazioni di contenuti simili, profili di connessione Wi-Fi e VPN e policy di accesso limitate. In aggiunta, è possibile configurare e applicare ZSO con Remote Browser Isolation (RBI) e MTD per garantire che la conformità tra utenti e dispositivi aderisca alle policy di sicurezza aziendali durante l’accesso alle risorse di lavoro. Se il dipendente viene licenziato i dati aziendali possono essere cancellati da remoto dal dispositivo mobile, dal laptop o dal desktop. Le configurazioni e le policy di provisioning vengono rimosse selettivamente per i device BYOD, o completamente cancellate — resettando il dispositivo come fornito in origine, rimuovendo tutte le configurazioni— per i dispositivi di proprietà dell’azienda.
Infine, MobileIron UEM si integra anche con altre soluzioni di rete come Pulse Secure, Cisco, Palo Alto Networks, Illumio, Akamai, Zscaler e McAfee per offrire un numero ancora più alto di controlli di identità e di accesso, tra cui il Network Access Control (NAC), ZTNA costituito da software-defined WAN (SD-WAN), da un perimetro software-defined (SDP) e SASE (Secure Access Service Edge).