Le VPN stanno diventando obsolete: è ora di passare a un approccio zero trust. L'analisi di Zscaler

Secondo l'ultimo report di Zscaler ThreatLabz le VPN rappresentano un serio problema sia per la sicurezza dei sistemi IT sia per la conformità normativa. Un rischio tanto sentito dalle imprese che il 65% dei professionisti IT intervistati da Zscaler prevede di abbandonarle definitivamente entro il prossimi anno. 

Le VPN sono una delle principali minacce alla sicurezza IT

Mettere in sicurezza gli accessi di chi lavora dall'esterno dell'azienda è una delle priorità dei team IT da ormai qualche anno a questa parte. Sono infatti cambiati i modelli di lavoro, e sono ormai tante le aziende che concedono ai loro dipendenti la possibilità di lavorare da casa uno o più giorni a settimana. Le soluzioni adottate inizialmente, in particolare durante la pandemia, stanno però iniziando a mostrare i loro limiti: le VPN, in particolare, preoccupano gli esperti di sicurezza.

Il 54% degli specialisti IT intervistati da Zscaler per il suo report, infatti, afferma che proprio la VPN è il principale motivo di preoccupazione. Per svariati motivi. Prima di tutto, perché sono state scoperte numerose vulnerabilità sulle VPN, siano esse software o hardware. Vulnerabilità che oggi, grazie ad attacchi potenziati dall'IA, possono essere scoperte in pochi minuti dai malintenzionati. 

Ma come? Tutti i software presentano dei bug: l'importante è aggiornare non appena vengono resi disponibili gli avvisi di sicurezza. Il fatto è che le segnalazioni di gravi vulnerabilità nelle VPN stanno aumentando a dismisura: secondo l'analisi di Zscaler, nell’ultimo anno circa il 60% delle vulnerabilità segnalate ha ottenuto un punteggio CVSS alto o critico – segnale di rischio significativo per le aziende coinvolte. Parliamo di bug che consentono a un attaccante di eseguire codice da remoto, e di conseguenza l'impatto di una violazione potrebbe avere conseguenze molto gravi. 

Non è l'unico problema: a preoccupare gli esperti sono anche le credenziali VPN, che possono venire sottratte e diffuse online. Così come i potenziali errori di configurazione, che se sfruttati consentirebbero a un malintenzionato di violare i sistemi IT. 

Non si tratta di preoccupazioni basate su sensazioni, ma su dati reali. Come spiega Zscaler, si è "recentemente assistito a massicci picchi di attività di scansione mirati a decine di migliaia di indirizzi IP di VPN pubblicamente ricercabili ospitati da almeno uno dei principali fornitori di sicurezza. Storicamente, questo tipo di attività ha indicato una certa probabilità che i criminali informatici possano prepararsi a sfruttare vulnerabilità non ancora divulgate in asset VPN mirati".

Come sottolinea Zscaler, inoltre, le soluzioni VPN in cloud non sono più sicure di quelle tradizionali in quanto "da un punto di vista architetturale, la tecnologia VPN basata su cloud non potrà mai raggiungere i veri principi Zero Trust, indipendentemente dal marchio".

Addio VPN: è ora di sposare il modello zero trust?

Secondo il report di Zscaler, l'81% degli esperti IT coinvolti nel sondaggio punta a passare in breve a un'architettura di tipo zero trust, che oggi è considerato un approccio alla sicurezza più efficace ed è proprio quello che propone l'azienda. Se sia fondamentale farlo, dipende dalle specificità di ogni azienda, da quante persone si collegano da remoto e con quale frequenza. E anche dai costi associati, che non vanno trascurati, soprattutto nei casi in cui siano stati effettuati investimenti significativi sulla VPN stessa.