Nel nostro recente fireside chat, abbiamo dedicato 45 minuti a una lacuna di sicurezza che si nasconde sotto gli occhi di tutti in quasi ogni organizzazione: il modo in cui il personale si connette effettivamente al WiFi dell'ufficio. In sintesi? La maggior parte delle aziende si affida a schemi che non sono mai stati molto sicuri fin dall'inizio, e l'intelligenza artificiale ha silenziosamente trasformato un rischio a bassa priorità in un'emergenza.
Ecco cosa abbiamo trattato e perché è fondamentale per la vostra rete.
Il problema comune quasi a tutti
In fin dei conti, la maggior parte delle organizzazioni connette il personale al WiFi nello stesso modo. Come ha spiegato Andy Dancer durante la sessione, di solito "si riduce tutto a una password condivisa". Spesso quella password condivisa per il personale risiede sulla stessa rete dell'accesso ospiti, solo con credenziali diverse. È comodo. Ma è anche un rischio sistemico, perché un singolo segreto condiviso è esattamente il tipo di informazione facile da divulgare, indovinare o rubare.
Per molto tempo, l'assenza di incidenti eclatanti ha fatto sembrare questo problema puramente teorico. La realtà è più semplice: gli aggressori scelgono la strada più facile e, fino a poco tempo fa, c'erano bersagli più vulnerabili altrove. Questo calcolo sta cambiando.
Cosa ha cambiato l'intelligenza artificiale
L'intelligenza artificiale ha abbassato la soglia d'ingresso per gli attacchi WiFi su tutta la linea. Il phishing e la raccolta di credenziali sono ora più personalizzati, più scalabili e più difficili da rilevare. La decifrazione delle password è più rapida e gli strumenti possono generare tentativi di indovinare le password plausibili su larga scala. Tutto questo non richiede che un aggressore sia esperto; richiede solo che abbia accesso agli stessi strumenti di tutti gli altri.
Un punto su cui riflettere: un aggressore spesso non ha bisogno di essere all'interno del vostro edificio. Parcheggi, edifici adiacenti e antenne direzionali possono consentire a qualcuno di avere una presenza "simile a quella interna" sulla vostra rete anche da lontano. Nelle nostre dimostrazioni, abbiamo mostrato come un segnale WiFi falso trasmesso con maggiore potenza rispetto al SSID reale, abbinato a una pagina di login contraffatta e convincente, possa raccogliere credenziali senza che nessuno se ne accorga.
Perché "maggiore sicurezza al login" ha dei limiti
L'istinto è quello di aggiungere più controlli al momento della connessione. Ma finché un essere umano deve digitare delle credenziali, queste possono essere rubate. Un maggiore attrito per il personale non elimina l'esposizione di fondo; si limita a spostarla.
C'è un secondo problema che si presenta dopo la connessione. Molti strumenti di sicurezza presuppongono che la verifica sia già avvenuta nel momento in cui qualcuno si trova sulla rete. Quindi, una volta che un aggressore si è autenticato, può sembrare del tutto legittimo mentre si sposta, soprattutto dove la separazione tra personale e ospiti è debole.
Questo è anche il motivo per cui il Network Access Control (NAC) spesso delude nella pratica. Come ha osservato Andy, "circa il 70% delle distribuzioni NAC finisce per rimanere in modalità di monitoraggio" anziché applicare attivamente le policy. La prevenzione totale è difficile a livello operativo e il carico di lavoro che genera per l'helpdesk tende a spingere i team verso il monitoraggio invece del blocco.
Un approccio diverso: eliminare del tutto la password
Iain Jewitt ha riassunto l'approccio in modo semplice: "la soluzione consiste nell'escludere completamente l'elemento umano dall'equazione".
Questo è il principio alla base della soluzione WiFi per i dipendenti di Purple. Invece di chiedere alle persone di ricordare e digitare una password condivisa, l'accesso è legato all'identità. Si ottiene così una protezione standard WPA Enterprise di livello superiore, senza che il personale debba inserire password o codici. L'implementazione si sincronizza con il provider di identità esistente e gli utenti installano l'app una sola volta.
I vantaggi indiretti sono sia operativi che legati alla sicurezza. Poiché l'accesso è collegato agli account di directory, viene disabilitato automaticamente quando un collaboratore lascia l'azienda. Non c'è alcuna chiave condivisa da aggiornare periodicamente e nessuna credenziale che un utente malintenzionato possa sottrarre tramite phishing.
Come si presenta concretamente l'implementazione
Il pubblico ha posto alcune domande pratiche:
- È un processo invasivo? Non particolarmente. È possibile mantenere attiva la configurazione esistente parallelamente a Purple durante la migrazione e l'app connette gli utenti senza dover riconfigurare manualmente ogni singolo dispositivo. La maggior parte degli utenti ha bisogno di pochi giorni per l'installazione e la connessione. Durante la settimana dell'evento, un amministratore IT ha configurato connessioni sicure per i dipendenti in modalità di lavoro ibrido quasi istantaneamente.
- Sostituisce il NAC? Non necessariamente. Il NAC è prezioso quando applica criteri in modo rigoroso. Purple può fungere da livello di connessione sicura più semplice o come potenziamento focalizzato sui punti di accesso più sensibili.
- Chi è più a rischio? I servizi finanziari e tutto ciò che è legato al denaro sono i primi bersagli tipici, ma gli attacchi basati sull'intelligenza artificiale ampliano notevolmente il raggio d'azione, includendo attacchi di interruzione del servizio con ripercussioni economiche più vaste.
I punti chiave
Il WiFi per il personale rappresenta una superficie di attacco in costante crescita e l'intelligenza artificiale rende lo sfruttamento di queste vulnerabilità più economico e semplice. La soluzione non consiste nell'aggiungere ostacoli alla schermata di login, ma nel passare a un'autenticazione basata sull'identità e senza password che garantisca un accesso più sicuro alleggerendo al contempo il carico di lavoro del reparto IT e dell'helpdesk.
Se desideri valutare come implementare questa soluzione sull'hardware WiFi esistente, contattaci . Saremo lieti di guidarti lungo il percorso di migrazione.
In questo articolo abbiamo solo grattato la superficie. La registrazione completa della tavola rotonda approfondisce le minacce esistenti, i potenziali scenari di implementazione e la sessione di domande e risposte con il pubblico.
