Per decenni l'organizzazione e la
concezione stessa dei luoghi di lavoro sono rimaste immutate, fedeli a un modello che ha radici lontane. In pochi anni lo scenario è completamente cambiato, portando le aziende ad accettare una visione profondamente diversa su come il lavoro si "spalma" nello spazio e nel tempo:
sempre meno in ufficio, sempre meno dalle 9 alle 18. Tutto bene, quindi? Dal punto di vista dell'utente, di sicuro. Ma chi si occupa della gestione del parco PC aziendale sa che la complessità in assoluto non sparisce. Se il nuovo workspace è improntato ai concetti di elasticità, adattabilità, semplicità, sicurezza... è perché
la complessità sottostante viene gestita in maniera trasparente per l'utente finale. Esistono cioè nuove soluzioni a problemi inevitabili, che riguardano la gestione dei device e soprattutto la sicurezza.
Per
Intel queste soluzioni fanno parte delle
tecnologie vPro, che sono integrate direttamente nei processori e nei chipset dei PC destinati alle imprese. Una gran parte delle tecnologie vPro presenti nei processori Core
di ultima generazione ha infatti proprio lo scopo di
implementare in hardware funzioni di protezione mirate, che spaziano dalla gestione sicura dei login alla riduzione della superficie di attacco vulnerabile a minacce software. Un approccio rafforzato anche di recente, con il lancio di diversi nuovi modelli dei processori Intel Core vPro per PC portatili e desktop.
È in particolare lato sicurezza che la nuova concezione del workspace richiede interventi mirati "dietro le quinte". Poter lavorare ovunque e in ogni momento, infatti, è un vantaggio per il dipendente ma un potenziale mal di testa per chi deve garantire la sicurezza dei vari device e delle informazioni aziendali.
Non esiste più un perimetro d'impresa all'interno del quale ci sono utenti e risorse affidabili e all'esterno del quale sono localizzate le minacce.
Armato del suo notebook, un dipendente può
collegarsi alle risorse dell'azienda da qualsiasi rete: quella della sua abitazione, di uno spazio di coworking, di un albergo, del cliente che sta visitando. In sintesi, chi si occupa di cyber security
non può prevedere completamente il contesto in cui un generico dipendente o collaboratore effettuerà ogni accesso alla rete d'impresa e alle sue informazioni. Quindi non può predisporre difese specifiche ad hoc.
Inoltre, c'è sempre la possibilità che un notebook aziendale possa essere
rubato. Perdere un computer è già spiacevole di suo, non deve diventare anche un problema per le informazioni che esso contiene ed a cui può potenzialmente accedere.
Intel vPro: approccio zero-trust
Per i teorici della sicurezza l'unica risposta a questa imprevedibilità del nuovo workspace è
un approccio in stile zero-trust: dare per scontato che un dispositivo può essere compromesso oppure usato in maniera impropria. A questo punto, per difenderlo compiutamente, diventa opportuno collocare le
funzioni di sicurezza il più possibile vicino all'hardware, perché
quelle via software sono più vulnerabili. Dall'accesso improprio sino al malware zero-day e fileless, troppe minacce si sono dimostrate in grado di violare componenti software una volta considerate più che affidabili.
Le tecnologie vPro presenti nei processori Core affrontano queste problematiche in vario modo. Ad esempio con
Intel Authenticate, un sistema gestito in hardware che permette di usare l'autenticazione a più fattori (impronta digitale, token, riconoscimenti facciale, prossimità del proprio smartphone...) per eseguire il login. Dato che il
furto di credenziali è uno dei mezzi usati più di frequente per i data breach, un approccio del genere aumenta la solidità di tutto un client.
Intel vPro: il debutto di Hardware Shield
In qualsiasi approccio alla cyber security è essenziale non riposare figurativamente sugli allori. Bisogna cioè far
evolvere costantemente le proprie funzioni di sicurezza per seguire l'evoluzione, altrettanto costante, delle minacce. Intel lo sta facendo anche per le tecnologie vPro. Una delle novità recenti è l'introduzione della tecnologia
Hardware Shield, che affronta il numero sempre maggiore di attacchi portati direttamente alle componenti firmware dei PC.
In estrema sintesi, Intel Hardware Shield è un complesso di funzioni gestite in hardware che controllano
lo stato di non compromissione dei componenti base di un endpoint. Il sistema controlla ad esempio che il BIOS e le sue impostazioni non vengano modificati e dialoga con lo strato software soprastante, in primis il sistema operativo, per passare le necessarie informazioni sullo stato dell'hardware. Questo permette di definire e gestire
policy di sicurezza che riguardino il lato tanto software quanto hardware di un computer con processori Core vPro.
Più in dettaglio, la
Trusted Execution Technology è una delle componenti principali dell'approccio Intel VPro e garantisce - mediante l'uso di funzioni di cifratura e di chip specifici -
l'autenticità e quindi l'affidabilità di una piattaforma hardware e delle componenti software che essa esegue, a partire dal sistema operativo. Le componenti base di questo particolare sistema sono disponibili anche per gli sviluppatori terze parti, grazie alle
Software Guard Extension che permettono di conservare, in specifiche zone di memoria cifrate, codice e dati utili per garantire l'esecuzione sicura di vari tipi di software.
Tutto questo ha ovviamente un occhio di riguardo per la parte di gestione. Dal punto di vista dello staff IT aziendale, infatti, un vantaggio del "modello" vPro sta nel fatto che
non richiede particolari software di management oltre quelli già usati più comunemente. Vi aggiunge però diverse funzioni che rendono più semplici alcuni compiti, soprattutto per quanto riguarda la gestione remota. Oggi che parliamo di un
workplace sempre più "destrutturato", non è un vantaggio da poco.