Le Vpn sono un fondamentale strumento di cybersicurezza per le aziende, ma possono essere anche fonte di rischi e addirittura di attacchi ransomware se non vengono aggiornate regolarmente o se, anche per altri motivi, contengono delle vulnerabilità. L’obsolescenza, l’assenza di patch, la mancanza di visibilità sui fornitori e i difetti di compliance sono alcunni dei problemi emersi dall’annuale report di Zscaler dedicato al tema Vpn, condotto da Cybersecurity Insiders su oltre 600 responsabili IT e di sicurezza informatica di altrettante aziende.
I risultati parlano da soli: ben il 92% degli intervistati si è detto preoccupato per attacchi ransomware legati alle vulnerabilità delle Virtual Private Network e il 93% teme vulnerabilità di tipo backdoor derivanti da connessioni Vpn di terze parti.
Progettate originariamente per consentire l’accesso da remoto a una rete aziendale, oggi le Vpn vengono criticate da chi, come Zscaler, propone un approccio alla sicurezza sostanzialmente opposto: non una protezione perimetrale, bensì controlli continui e concessione di privilegi minimi secondo le logiche dello Zero Trust. Zscaler sottolinea come le Vpn, sia fisiche sia virtuali, permettano l’accesso di potenziali malintenzionati e come siano, inoltre, una fonte di inefficienze e i lavoro extra per l’IT, per via di prestazioni lente, frequenti problemi di connessione e complessità di manutenzione. I rischi per la sicurezza e la conformità sono risultati, comunque, la principale criticità legata alle Vpn, segnalata dal 54% degli intervistati.
Caccia alle vulnerabilità con l’AI
Se le vulnerabilità non risolte fino a ieri erano un problema, oggi lo sono doppiamente perché gli attaccanti sfruttano l'intelligenza artificiale per trovarle in modo automatico all’interno di Vpn in uso. Possono, per esempio, chiedere a un chatbot di AI generativa l’elenco completo delle CVE (Common Vulnerabilities and Exposure) associate a determinate soluzioni Vpn. Mentre in passato l’identificazione di vulnerabilità nelle Vpn richiedeva settimane o mese, oggi bastano pochi minuti. Di recente, ha svelato Zscaler, un gruppo di cyberspionaggio ha sfruttato le vulnerabilità “in una nota Vpn”, ottenendo accesso non autorizzato a reti aziendali. Ed episodi di questo tipo negli ultimi mesi sono diventati frequenti.
Il passaggio allo Zero Trust
In reazione a tutto ciò, molte aziende hanno abbandonato o sono in procinto di abbandonare le soluzioni Vpn in uso, spostandosi su un approccio Zero Trust: il 65% degli intervistati prevede di sostituire le Vpn in uso nel breve periodo (entro un anno dal sondaggio), mentre l’81% ha già adottato una strategia Zero Trust o conta di farlo entro l’anno.
“I criminali informatici sfrutteranno sempre di più l’IA per attività automatizzate di ricognizione, attacchi intelligenti di password spray e sviluppo veloce di exploit, compromettendo le Vpn su larga scala”, ha commentato Deepen Desai, chief security officer di Zscaler. “Per contrastare questi rischi, le aziende dovrebbero adottare un approccio Zero Trust pervasivo. Così facendo si elimina la necessità di esporre asset a Internet, come le Vpn fisiche o virtuali, riducendo drasticamente la superficie di attacco e l’impatto potenziale delle violazioni. È incoraggiante notare che l’81% delle aziende prevede di implementare Zero Trust entro l’anno: un passo cruciale per mitigare i rischi legati a tecnologie obsolete come le Vpn”.