Trasformazione digitale e nuovi modelli di sicurezza informatica: l’esperienza di INAIL

INAIL, come tutte le altre organizzazioni, sta abbracciando la trasformazione digitale per gestire i continui cambiamenti dell’ambiente aziendale. Il lavoro a distanza dovuto al Covid-19 ha accelerato la trasformazione e la sicurezza da un centro di costo diventa un driver strategico per la crescita. L’affermazione del cloud computing e lo smart working hanno ridefinito il perimetro di sicurezza. Così come i cittadini ormai usano abitualmente i portali della pubblica amministrazione per accedere ai servizi, oggi anche i dipendenti, lavorando da remoto, accedono ai dati al di fuori della rete aziendale, condividendo gli stessi dati con collaboratori esterni quali partner e fornitori.

Le applicazioni e i dati aziendali si stanno spostando da on-premise ad ambienti ibridi e cloud per essere resi disponibili a tutti. Il nuovo perimetro non è definito dall’ubicazione fisica dell’organizzazione: ora si estende a ogni punto di accesso che ospita, archivia o accede a risorse e servizi aziendali. Oggi le organizzazioni hanno bisogno di un nuovo modello di sicurezza che si adatti in modo più efficace alla complessità dell’ambiente moderno, abbraccia la forza lavoro mobile e protegge persone, dispositivi, applicazioni e dati ovunque si trovino.

In quest’ottica l’Istituto ha intrapreso un percorso evolutivo verso il modello di Zero Trust Security.

Zero Trust

I principi alla base di Zero Trust sono: “mai fidarsi, verificare sempre”, applicare il più basso accesso privilegiato ed assumere sempre che una violazione di sicurezza sia già avvenuta o che comunque è solo una questione di tempo che questo avvenga. Questi principi sono applicati attraverso un piano di controllo completo per fornire più livelli di difesa.

Fondamentalmente INAIL si è evoluta per andare oltre l’ambiente on-premise ed includere gli ambienti ibridi o multi-cloud. L’approccio è di agevolare il lavoro degli utenti e dei dipendenti lavorando dietro le quinte per mantenere gli stessi al sicuro. La chiave è la visibilità end-to-end utilizzando threat intelligence, risk detection e criteri di accesso condizionato per valutare tutte le richieste di accesso e automatizzare la risposta in tutti i livelli di difesa.

Identity

La prima linea di difesa è l’identità e la verifica che solo le persone, i dispositivi e i processi a cui sono stati attribuiti gli accessi alle risorse possano effettivamente farlo.

Attraverso l’integrazione di servizi di Identity sia on-premise che su cloud, INAIL fornisce servizi di autenticazione e autorizzazione per tutte le app locali, applicazioni cloud based e SaaS. Durate l’accesso alle risorse viene verificata tale identità con un’autenticazione forte, assicurando che l’accesso sia conforme e tipico per tale identità e segua i principi di accesso con privilegi minimi.

Tutto questo è supportato da tecnologie di Conditional Access che consentono di impostare criteri per valutare il livello di rischio legato all’utente, al dispositivo, sign-in location o altro decidendo infine se dare l’accesso, quale tipo di accesso o per esempio chiedendo un ulteriore fattore di autenticazione.

Endpoint

Una volta che a un’identità è stato concesso l’accesso a una risorsa, i dati possono fluire verso una varietà di dispositivi diversi, come smartphone, dispositivi gestiti da partner ecc. Questa diversità crea un’enorme superficie di attacco, che richiede il monitoraggio e l’applicazione di criteri di sicurezza e conformità del dispositivo per un accesso sicuro.

L’istituto, attraverso l’uso di opportuni strumenti di controllo degli endpoint, si assicura che i dispositivi gestiti e le app installate rispettino determinati requisiti effettuando inoltre il controllo della navigazione, indipendentemente da dove il dispositivo può connettersi. L’accesso da dispositivi personali avviene solamente tramite VDI. Con il futuro uso di meccanismi XDR, si potrà identificare e contenere le violazioni scoperte su un endpoint e forzare il dispositivo a tornare in uno stato affidabile prima che gli sia consentito riconnettersi alle risorse.

Applicazioni

Le applicazioni e le API forniscono l’interfaccia tramite la quale vengono utilizzati i dati. Possono essere on-premise, cloud workload o applicazioni SaaS. I controlli e le tecnologie dovrebbero essere applicati per scoprire lo Shadow IT, garantire le autorizzazioni in-app appropriate, monitorare i comportamenti anomali, controllare le azioni dell’utente e convalidare opzioni di configurazione sicure.

In questo ambito l’Istituto sfrutta un cloud access security broker (CASB) con un catalogo di un grande numero di applicazioni. Questo fornisce visibilità sull’uso delle applicazioni, monitorando comportamenti anomali degli utenti, controllando l’accesso alle risorse, fornendo la capacità di classificare e prevenire la perdita di informazioni sensibili, proteggendo e valutando la conformità dei servizi cloud.

Network

Tutti i dati sono accessibili tramite l’infrastruttura di rete. I controlli di rete devono fornire controlli per migliorare la visibilità e impedire agli aggressori di spostarsi lateralmente sulla rete. Le reti dovrebbero essere segmentate e protette dalle minacce in tempo reale, utilizzare crittografia end-to-end e collezionare dati da utilizzare per monitoraggio e analisi.

Anche su questo aspetto l’Istituto adotta pratiche e tecnologie per limitare fenomeni di blast radius e lateral movement, proteggersi e rispondere a minacce e attacchi con uso combinato di Firewall, Web Application Firewall e DDoS Protection. Il servizio di WAF è integrato in un servizio di application delivery network (ADN) che offre un unico punto di accesso per le applicazioni su tutti i cloud utilizzati dall’Istituto.

Infrastruttura

Che si stia parlando di container o microservizi, di server on-premises o di VM su cloud la valutazione di versione e configurazione, l’accesso just-in-time per rafforzare la difesa, l’utilizzo della telemetria per rilevare attacchi e anomalie, bloccare e segnalare automaticamente i comportamenti a rischio e intraprendere azioni protettive sono tutti fattori da introdurre per garantire la sicurezza.

Il monitoraggio è fondamentale per il rilevamento di vulnerabilità, attacchi e anomalie ed è per questo motivo che INAIL usa:

• Sistemi di logging combinati ad un sistema di gestione del livello di sicurezza e protezione dalle minacce che insieme supportano il SOC anche nella gestione delle configurazioni ed aggiornamento del software su tutta l’infrastruttura sia on-premise che cross-cloud e multipiattaforma.
• SIEM e SOAR che insieme a tool di monitoraggio della sicurezza offrono una protezione dalle minacce approfondita e ampia per i workload multi-cloud consentendo il rilevamento e la risposta automatizzati.
• Tool di Vulnerability Assessment con conseguenti processi di piani di rientro.

Dati

I dati rappresentano il valore più grande di ogni azienda. I dati devono quindi essere protetti e, dove possibile, rimanere al sicuro anche quando lasciano l’infrastruttura e le reti controllate dall’organizzazione. L’orientamento generale è di crittografarli e dare un accesso limitato ad essi classificandoli ed etichettandoli.

INAIL ha già avviato una serie di progetti per limitare l’accesso ai dati solo alle persone ed ai processi che ne hanno bisogno. Impostando determinati criteri ed utilizzando il monitoraggio in tempo reale, sarà possibile bloccare o limitare la condivisione non consentita di dati sensibili.

Con un sistema automatico di etichettatura dei dati e classificazione dei file, sarà possibile assegnare dei criteri alle etichette per automatizzare qualsiasi azione protettiva come la crittografia, la limitazione dell’accesso o limitazioni verso applicazioni e servizi.

Conclusioni

INAIL e le persone del suo SOC stanno sviluppando giuste competenze in relazione al nuovo paradigma di sicurezza. È in corso una revisione dei processi interni per meglio adattarsi ai nuovi strumenti e alle nuove modalità di applicazione della sicurezza. Il nuovo layer di sicurezza che si sta pian piano costituendo viene già utilizzato per la protezione di applicazioni e dati presenti su più cloud ed on-premise. Questo dà la possibilità all’Istituto di lavorare in agilità non legandosi ad alcun cloud provider, ma scegliendo il meglio che il mercato offre, proteggendolo e controllandolo utilizzando gli stessi strumenti e processi per tutti.

L’esperienza in corso consentirà, in un domani non troppo lontano, di offrire questi stessi servizi di sicurezza di livello premium anche ad altre organizzazioni della pubblica amministrazione.