La sicurezza Zero Trust è un approccio innovativo e di grande efficacia per la cyber-security aziendale e governativa.
Zero Trust non è un prodotto o una piattaforma, è un framework di sicurezza costruito attorno al concetto di “non fidarti mai, verifica sempre” , “presumere una violazione”.
Il modello ZERO TRUST è stato creato nel 2010 da John Kindervag, che all’epoca era il principale analista di Forrester Research Inc., per descrivere la necessità di allontanare i responsabili della sicurezza da un approccio fallimentare, incentrato sul perimetro e guidarli verso un modello che si basa sulla verifica continua della fiducia su ogni dispositivo, utente e applicazione. Ciò avviene passando dall’approccio “fidati ma verifica” a “non fidarti mai / verifica sempre”. In pratica, questo modello considera tutte le risorse come pericolose e verifica continuamente la fiducia prima di concedere l’accesso richiesto.
Nel mondo della trasformazione digitale il numero di scenari di accesso remoto in una data organizzazione è cresciuto in modo esponenziale. Le organizzazioni grandi e piccole devono ora far fronte a un’ampia gamma di requisiti di accesso remoto:
– Fornire a dipendenti e fornitori di servizio la possibilità di accedere alle risorse interne
– Consentire agli utenti interni di connettersi tramite la rete aziendale, per accedere alle risorse interne aggiungendo fattori di sicurezza aggiuntivi
Si è sentito parlare di ZERO TRUST sempre più frequentemente negli ultimi anni ma l’inizio della pandemia COVID-19 ha spostato bruscamente questa parola d’ordine in primo piano.
Infatti le organizzazioni hanno dovuto affrontare gli effetti della digitalizzazione, delle esigenze aziendali e delle superfici di attacco in continua evoluzione e che sono in esponenziale aumento per via dell’accelerazione data alla trasformazione digitale dal Covid-19. Oggi le aziende adottano prodotti di sicurezza incentrati sul riconoscimento di vulnerabilità note o di loro possibili mutazioni ma non riescono a far fronte all’evoluzione ed alla creazione di continui zero day, che causano ancora danni incalcolabili.
La parola d’ordine ZERO TRUST ha catturato sempre più l’attenzione e il focus per i C-level aziendali in quanti ci si sta rendendo conto che gli approcci tradizionali non sono più allineati al contesto di sicurezza ed in grado di far fronte all’ecosistema degli attacchi che si è creato.
Il modello di sicurezza Zero Trust rivoluziona completamente la vecchia filosofia della sicurezza del perimetro dove le organizzazioni sono concentrate sulla difesa dei loro perimetri mentre supponeva che tutto ciò che già dentro non rappresentasse una minaccia e quindi fosse autorizzato ad accedere.
Zero Trust si basa su tre semplici principi:
Verificare esplicitamente: autentica e autorizza in base a tutti i punti dati disponibili, inclusi identità utente, posizione, integrità del dispositivo, servizio o carico di lavoro, classificazione dei dati e anomalie.
Usare l’accesso con privilegi minimi: limitare l’accesso agli utenti con modalità di accesso “just-int-time” e “just-enough”, politiche adattive basate sul rischio, e protezione dei dati per proteggere sia i dati che la produttività.
Presupporre la violazione: ridurre al minimo il raggio d’azione per le violazioni e prevenire il movimento laterale segmentando l’accesso per rete, utente, dispositivi e consapevolezza dell’app. Verificare che tutte le sessioni siano crittografate end-to-end. Usare l’analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.
Avere un’identità forte è il primo passo fondamentale per il successo di un approccio alla sicurezza Zero Trust. Le identità, indipendentemente dal fatto che rappresentino persone, servizi o dispositivi IoT, definiscono il piano di controllo in cui vengono prese le decisioni di accesso.
La mentalità Zero Trust è la base per la resilienza organizzativa, la pietra miliare di una protezione efficace e il futuro della sicurezza. Sicurezza, conformità, identità e gestione non sono elementi autonomi nell’armatura digitale di un’organizzazione, ma sono interdipendenti.
Molte organizzazioni stanno ora realizzando l’urgente necessità di una sicurezza integrata e contestuale per rimodellare la propria posizione di sicurezza per il futuro. Oggi, tutte le organizzazioni, indipendentemente dalla grandezza o dalla complessità, necessitano di un modello di sicurezza che protegga persone, dispositivi, app e dati ovunque si trovino, abiliti una forza lavoro remota o ibrida e si adatti continuamente alle esigenze aziendali in evoluzione. E le organizzazioni dovranno progettare le loro moderne strategie di sicurezza per offrire semplicità di fronte alla complessità.
La cyber-security innovativa con approccio ZERO TRUST è fondamentale perché i dipartimenti IT oggi vedono quadruplicare le tipologie di attacco, devono difendere una superficie di attacco aziendale più ampia, devono proteggere i dipendenti in smart-working con dispositivi personali che non hanno la medesima postura ed igiene di cyber-security dei dispositivi aziendali.
A peggiorare le cose, il cyber crime ora si è strutturato con aziende che producono ransomware specifici per il mercato italiano che vengono venduti o affittati ad altri gruppi che li utilizzano contro le aziende italiane.
L’architettura ZERO TRUST può includere SW di controllo degli accessi (ZTNA), di rilevazione delle tecniche di defense evasion (tecnologie DECEPTIVE), di verifica dell’identità dell’utente, di disarmo totale di e-mail e file in ingresso.
(Tuttavia) In pratica, a meno che tu non sia disposto a “ricominciare da capo” e migrare l’intera infrastruttura a una nuova rete di accesso SDP, l’implementazione dei concetti Zero-Trust si rivela molto più complessa e pesante sulle risorse delle organizzazioni. Le risorse legacy come le VPN (che sono il componente principale per l’accesso sicuro nell’ambiente di oggi) e le applicazioni non web non supportano intrinsecamente i concetti Zero-Trust e non sono veramente compatibili con le soluzioni disponibili (come MFA). Pertanto, la modernizzazione dell’accesso protetto in tali ambienti legacy / misti è estremamente difficile.