Cos’è Zero Trust ?

Sapete che la tecnologia è diventata davvero importante quando i governi iniziano a parlarne, o addirittura a imporla. Il fatto che l’amministrazione Biden abbia pubblicato un ordine esecutivo sulla sicurezza informatica nazionale, incaricando le organizzazioni governative di applicare l’architettura Zero Trust, dimostra l’importanza del concetto. Non solo per le istituzioni governative, ma anche per le imprese. Una convalida unica e tradizionale è lungi dall’essere sufficiente per proteggere l’accesso e i dati. 

Cos’è esattamente Zero Trust?

È il nome dato a un modello di sicurezza IT che richiede che tutti gli utenti e i dispositivi, all’interno o all’esterno del perimetro di rete dell’organizzazione, siano autenticati e autorizzati ad accedere a reti, applicazioni e dati.

Quando si parla di Zero Trust, una validazione unica e tradizionale è lungi dall’essere sufficiente. È probabile che le minacce e le caratteristiche degli utenti cambino e gli hacker e gli attacchi informatici diventino sempre più sofisticati.

Pertanto, le organizzazioni devono garantire che tutte le richieste di accesso siano continuamente verificate prima di consentire la connessione a qualsiasi risorsa (rete, applicazioni, dati…).

Qual è il valore di Zero Trust?

Un approccio Zero Trust alla sicurezza delle informazioni e alla gestione dei rischi non è solo una questione tecnica, ma apporta anche valore aziendale a qualsiasi organizzazione, commerciale o no-profit, grande, media o piccola:

• Risparmio di costi e efficienza operativa grazie alla centralizzazione e all’automazione delle politiche di sicurezza.
• La riduzione del rischio di violazione dei dati e di perdite finanziarie è il risultato di una migliore protezione dei dati sensibili e della proprietà intellettuale.
• Evitare potenziali sanzioni e reputazione negativa del marchio.
• Riduzione dei tempi, dei costi e degli sforzi necessari per soddisfare e riferire sui requisiti di conformità.

Allineando gli obiettivi di sicurezza e di business nell’intera organizzazione, l’IT in generale e la sicurezza in particolare si trasformano in fattori abilitanti per il business.

Da dove viene il concetto?

Il concetto di Zero Trust Framework affonda le sue radici nel principio secondo cui nessun individuo o sistema dovrebbe essere considerato attendibile in modo implicito, indipendentemente dal fatto che si trovi all’interno o all’esterno del perimetro di un’organizzazione. È stato coniato da John Kindervag, ex analista di Forrester Research, nel 2010. Il ruolo del NIST (National Institute of Standards and Technology) in questo contesto è stato significativo; hanno formulato linee guida come SP 800-207, che delineano l’architettura Zero Trust e forniscono una tabella di marcia alle organizzazioni per implementarla, riflettendo una comprensione in evoluzione della sicurezza di rete.

Zero Trust viene spesso paragonato al quadro CARTA (Continuous Adaptive Risk and Trust Assessment) di Gartner, che adotta un approccio simile ma distinto. Mentre entrambi si concentrano sull’autenticazione continua e sulla valutazione della fiducia, CARTA enfatizza le risposte adattive ai rischi. È più dinamico e adatta i controlli di sicurezza in tempo reale, considerando il rischio in continua evoluzione associato a utenti e sistemi. Zero Trust, d’altro canto, rimane coerente nel negare la fiducia indipendentemente dallo stato o dal comportamento dell’utente o del sistema.

Mentre il modello Zero Trust opera partendo dal presupposto che una violazione è inevitabile e quindi verifica sempre tutto, CARTA lavora sull’analisi continua dei livelli di rischio e di fiducia, adattando le misure di sicurezza secondo necessità. Entrambe le strategie mirano a offrire approcci alla sicurezza più sfumati e flessibili rispetto ai metodi tradizionali, ma i loro punti focali e le loro strategie divergono, riflettendo filosofie e metodologie diverse all’interno dei moderni paradigmi di sicurezza informatica.

Quali sono i principi fondamentali del quadro Zero Trust?

Zero Trust è un concetto di sicurezza secondo il quale nessun utente o sistema deve essere considerato attendibile per impostazione predefinita, indipendentemente dalla sua ubicazione all’interno o all’esterno dei confini dell’organizzazione. È un approccio che contraddice il tradizionale modello “fiducia ma verifica”. L’implementazione di Zero Trust è ben spiegata nel framework NIST 800-207, una linea guida che fornisce informazioni vitali su come le organizzazioni possono utilizzare Zero Trust Architecture (ZTA). Il NIST descrive i principi fondamentali come segue:

• Verifica continua: Zero Trust impone una convalida coerente di utenti e dispositivi, non solo al punto di ingresso ma durante l’intera sessione. Questa autenticazione e autorizzazione continue garantiscono che la fiducia non venga mai data per scontata e che sia possibile rispondere dinamicamente a potenziali cambiamenti di rischio.
• Limitazione del raggio dell’esplosione: compartimentalizzando l’accesso e le autorizzazioni, Zero Trust limita i danni potenziali se un sistema viene compromesso. Se viene attaccata una parte, il “raggio dell’esplosione” è limitato, poiché l’aggressore non ottiene l’accesso automatico all’intera rete. Questa segmentazione è fondamentale per ridurre i rischi e consentire una rapida mitigazione.
• Automatizzazione della raccolta e della risposta del contesto: Zero Trust sfrutta la tecnologia per raccogliere contesto in tempo reale sul comportamento di un utente o di un sistema, come informazioni sul dispositivo, attributi dell’utente e condizioni di rete. L’automazione di questi processi consente una risposta rapida alle attività sospette, garantendo che i protocolli di sicurezza si adattino e reagiscano istantaneamente.

Il framework NIST 800-207 guida le organizzazioni nello sviluppo di questi principi in una strategia di sicurezza coerente. Abbracciando la verifica continua, limitando il raggio dell’esplosione e automatizzando la raccolta e la risposta del contesto, il modello Zero Trust rappresenta un approccio più rigoroso e adattivo alla sicurezza, allontanandosi dalle difese statiche per adottare una postura più fluida e consapevole del contesto. È una trasformazione completa che richiede una conoscenza approfondita della tecnologia, delle persone e dei processi all’interno di un’organizzazione, che lavorano tutti all’unisono per creare un ambiente più sicuro.

Quali sono i problemi con il concetto di “fiducia ma verifica” e perché Zero Trust è migliore?

Il principio “fiducia ma verifica”, sebbene ampiamente utilizzato, presenta i suoi inconvenienti. Presuppone un certo livello di fiducia intrinseca all’interno di un’organizzazione o di un sistema e quindi si affida a processi di verifica per garantirne l’integrità. Ciò può portare all’autocompiacimento e a un’eccessiva dipendenza dai metodi di verifica, che possono essere sfruttati da utenti interni malintenzionati o aggressori sofisticati. I meccanismi di verifica potrebbero indebolirsi nel tempo o essere configurati in modo errato, consentendo l’accesso non autorizzato.

L’approccio Zero Trust, d’altro canto, assume una posizione più scettica, non presupponendo alcuna fiducia per alcun utente, sistema o processo, sia all’interno che all’esterno dell’organizzazione. Questo paradigma richiede autenticazione e autorizzazione continue per tutti gli utenti e i dispositivi. Applicando misure di sicurezza coerenti su tutta la rete, il modello Zero Trust riduce al minimo i rischi associati alla fiducia mal riposta o al fallimento della verifica. Riconosce che le minacce possono provenire sia dall’interno che dall’esterno di un’organizzazione, fornendo così un meccanismo di difesa più olistico e adattivo, visto come un miglioramento rispetto al principio “fiducia ma verifica”.

Quali sono i casi d’uso più comuni per Zero Trust?

Il concetto di Zero Trust ha guadagnato notevole popolarità nell’architettura di rete moderna e ha vari casi d’uso.

• Sicurezza del lavoro remoto: con l’aumento delle pratiche di lavoro remoto, Zero Trust viene utilizzato per garantire che tutte le connessioni remote siano autenticate e convalidate continuamente. Ciò garantisce che gli utenti possano accedere in modo sicuro alle risorse richieste, sia all’interno che all’esterno del perimetro di rete tradizionale, senza concedere autorizzazioni eccessive.
• Controllo dell’accesso di terze parti: le organizzazioni spesso collaborano con terze parti come fornitori, consulenti e partner. Zero Trust aiuta a controllare e monitorare l’accesso di queste terze parti a informazioni sensibili. Valutando continuamente la fiducia e garantendo solo i diritti di accesso necessari, è possibile ridurre al minimo il rischio di violazioni dei dati.
• Microsegmentazione in ambienti cloud: in ambienti cloud complessi, la microsegmentazione che utilizza i principi Zero Trust aiuta a suddividere la rete in segmenti più piccoli. Applicando controlli di sicurezza su ciascun segmento, è possibile impedire l’accesso non autorizzato. Se un utente malintenzionato riesce ad accedere a una parte del sistema, rimane comunque isolato dagli altri segmenti, proteggendo le risorse critiche.
• Sicurezza IoT (Internet delle cose): man mano che i dispositivi IoT continuano a proliferare nei vari settori, creano una rete complessa di gadget interconnessi, molti dei quali hanno diversi livelli di sicurezza. Zero Trust può essere applicato per gestire questi dispositivi verificando costantemente la loro identità e applicando il controllo degli accessi basato su policy. Anche se un dispositivo si trova all’interno della rete interna, deve comunque dimostrare la propria legittimità, riducendo il rischio che un dispositivo non sicuro venga sfruttato come punto di ingresso per un attacco.

Incorporando questo caso d’uso aggiuntivo, Zero Trust offre un approccio completo alla sicurezza che comprende lavoratori remoti, accesso di terze parti, microsegmentazione del cloud e dispositivi IoT. È un modello lungimirante che riconosce la fluidità e la complessità dei moderni ambienti digitali, fornendo una protezione a più livelli che valuta continuamente la fiducia e risponde in modo adattivo alle minacce emergenti.

Come implementare un framework Zero Trust? Quali diverse fasi ci sono?

L’adozione di un quadro Zero Trust è un processo completo che richiede una pianificazione e un’implementazione approfondite in diverse fasi. Considera le seguenti fasi di implementazione:

• Valutazione: prima di implementare un framework Zero Trust, le organizzazioni devono valutare la propria infrastruttura di sicurezza esistente. Ciò include l’identificazione delle vulnerabilità, la comprensione del flusso di dati e la valutazione degli attuali controlli di accesso.
• Pianificazione e sviluppo della strategia: una volta completata la valutazione, le organizzazioni devono sviluppare una strategia su misura. Ciò include la definizione dei principi di zero trust specifici dell’organizzazione, il loro allineamento con gli obiettivi aziendali e l’identificazione della tecnologia e delle risorse necessarie.
• Implementazione di Identity and Access Management (IAM): Zero Trust fa molto affidamento su una rigorosa verifica dell’identità. L’implementazione di IAM garantisce che solo le persone autorizzate abbiano accesso a risorse specifiche e che le loro attività siano costantemente monitorate.
• Segmentazione della rete: Zero Trust richiede la separazione delle reti in segmenti più piccoli e isolati. In questo modo, se si verifica una violazione, è possibile contenerla all’interno di un singolo segmento, limitandone i potenziali danni.
• Monitoraggio e analisi continui: l’implementazione di strumenti di monitoraggio e analisi continui garantisce che le organizzazioni possano rilevare e rispondere rapidamente a qualsiasi attività sospetta. L’analisi in tempo reale del comportamento degli utenti e del traffico di rete è essenziale.
• Formazione e istruzione: educare i dipendenti sui principi Zero Trust e sul loro ruolo nel mantenerlo è vitale. Una formazione regolare garantisce che tutti comprendano le politiche e le seguano.
• Gestione e ottimizzazione continue: un framework Zero Trust non è una soluzione “imposta e dimentica”. Sono necessari revisioni, aggiornamenti e perfezionamenti regolari per adattarsi alle nuove minacce e alle esigenze aziendali in evoluzione.

Seguendo queste fasi, le organizzazioni possono costruire un solido framework Zero Trust in linea con i loro requisiti specifici, fornendo una maggiore sicurezza contro le minacce informatiche in continua evoluzione.

Quale tecnologia si nasconde dietro Zero Trust?

Le tecnologie alla base di Zero Trust includono Identity and Access Management (IAM), Multifactor Authentication (MFA), microsegmentazione e crittografia robusta. IAM garantisce la corretta identificazione degli utenti, mentre MFA aggiunge un ulteriore livello di autenticazione. La microsegmentazione suddivide i perimetri di sicurezza in piccole zone per mantenere un accesso separato per parti separate della rete. Insieme, queste tecnologie creano un sistema in cui la fiducia non è mai data per scontata e deve essere sempre verificata.

Fortunatamente, molte aziende dispongono già di IAM e MFA, ma il solo fatto di disporre di queste tecnologie non è sufficiente per presumere che sia stato raggiunto il livello Zero Trust. Inoltre, secondo Gartner , poche organizzazioni hanno effettivamente completato le implementazioni Zero Trust. Gartner prevede che entro il 2026, il 10% delle grandi imprese disporrà di un programma Zero Trust maturo e misurabile. Per riferimento: all’inizio del 2023, meno dell’1% aveva già in atto un programma Zero Trust.

Gartner prevede che entro il 2026, il 10% delle grandi imprese disporrà di un programma Zero Trust maturo e misurabile. Per riferimento: all’inizio del 2023, meno dell’1% aveva già in atto un programma Zero Trust.

Perché è importante un approccio Zero Trust?

Le politiche Zero Trust sono adottate a livello strategico per stabilire, monitorare e mantenere perimetri sicuri all’interno dell’accesso a reti, applicazioni e dati.

Poiché gli utenti stanno diventando sempre più mobili e si trovano ad affrontare minacce informatiche sofisticate, ci si può aspettare che le organizzazioni adottino rapidamente una mentalità di sicurezza Zero Trust per ridurre al minimo la diffusione delle violazioni e le loro conseguenze, siano esse finanziarie o legate al marchio. Si tratta di un aspetto particolarmente critico poiché le aziende tendono ad aumentare il numero di endpoint all’interno della propria rete e ad espandere la propria infrastruttura per includere applicazioni e server basati su cloud.

In che modo l’AMF può aiutarti a raggiungere Zero Trust?

Sebbene non esista una soluzione valida per tutti, ci sono alcuni elementi essenziali per qualsiasi dispositivo Zero Trust, inclusa l’MFA.

L’autenticazione multifattore (MFA) è parte integrante dell’architettura Zero Trust. Nei modelli convenzionali, gli utenti all’interno della rete sono spesso considerati affidabili per impostazione predefinita. Zero Trust elimina questa fiducia intrinseca e l’MFA la rafforza richiedendo due o più metodi di verifica: qualcosa che conosci (password), qualcosa che possiedi (un dispositivo mobile) o qualcosa che sei (verifica biometrica). Ciò aggiunge complessità al processo di autenticazione, rendendo più difficile l’accesso per gli utenti non autorizzati. Richiedendo più elementi di prova per l’identità dell’utente, l’MFA garantisce che, anche se un fattore viene compromesso (come una password), ulteriori livelli di autenticazione devono comunque essere eliminati. Ciò integra la filosofia Zero Trust garantendo continuamente che la fiducia venga guadagnata e verificata nuovamente, rafforzando in modo significativo la sicurezza del sistema.

Tuttavia, non tutte le soluzioni MFA sono uguali poiché le tecnologie alla base sono piuttosto diverse. Esistono diversi criteri da considerare quando si valuta la sicurezza e l’esperienza utente dei diversi fornitori.

Perché lavorare con TrustBuilder per Zero Trust?

TrustBuilder è riconosciuta per la sua esperienza nell’implementazione di architetture Zero Trust e, come fornitore affidabile di soluzioni IAM (Identity and Access Management), si distingue nel settore. L’approccio innovativo dell’azienda include una solida soluzione per l’autenticazione a più fattori (MFA) e integra l’autenticazione adattiva e l’autenticazione step-up. Queste caratteristiche permettono a TrustBuilder di monitorare e verificare continuamente se gli individui possono mantenere l’autorizzazione per accedere alle risorse o eseguire transazioni. Le offerte dell’azienda, complete e personalizzate, garantiscono un elevato livello di sicurezza in ogni punto di accesso, proteggendo le risorse critiche e promuovendo contemporaneamente agilità ed efficienza. L’impegno di TrustBuilder per l’innovazione e la collaborazione la rende un partner preferito per la creazione di un ambiente Zero Trust resiliente e flessibile.

Fonte: https://www.trustbuilder.com/mfa-zero-trust