Le organizzazioni adottano la strategia Zero Trust (ZT) per rivoluzionare le pratiche di gestione della sicurezza dei dati e delle reti nel tentativo di migliorare la protezione degli asset critici in contesti ad alta distribuzione.
Tuttavia, lo ZT richiede una pianificazione preventiva e un allineamento strategico con l’azienda, poiché quanta più questa è solida, tanto maggiori sono le possibilità di successo in termini di implementazione.
Inoltre, le organizzazioni – integrando l’architettura Zero Trust (ZT Architecture -ZTA) con il proprio modello operativo – possono trasformare il business, garantendo una sicurezza adeguata senza ostacolare i processi, oltre a salvaguardare la privacy, la conformità e la gestione del rischio.
Indice degli argomenti
Principi Zero Trust
È doveroso evidenziare che lo ZT è una strategia e un approccio completo alla sicurezza che implica l’adozione di vari principi, oltre alla progettazione di strategie e l’impiego di diverse tecnologie. Di fatto, le organizzazioni, grazie allo ZT, possono affrontare l’evoluzione del panorama delle minacce e i limiti dei tradizionali modelli di sicurezza basati sul perimetro.
La Cloud Security Alliance (CSA) ha pubblicato un guida dal titolo “Zero Trust guiding principles v 1.1.” che fornisce principi guida progettati per aiutare i professionisti a implementare e gestire con successo il percorso ZT. Vediamo di che si tratta.
Definizione degli obiettivi
Lo ZT è un cambiamento di paradigma rispetto al tradizionale modello di fortezza, considerando che oggi le organizzazioni vivono in un ecosistema distribuito e, molto spesso, globale. Ne consegue che la strategia ZT è progettata per allineare l’architettura di sicurezza con la forza lavoro distribuita dell’organizzazione e il modello tecnologico diffuso.
Inoltre, la gestione del rischio della catena di approvvigionamento (Supply Chain Risk Management – SCRM) e la gestione del rischio di terze parti (Third Party Risk Management – TPRM) si concentrano su aspetti specifici di questo ecosistema distribuito e sono i primi esempi di come i principi ZT possano svolgere un ruolo fondamentale.
La strategia ZT comporta l’adozione di una mentalità incentrata sui risultati che favorisce anche l’allineamento tra la strategia aziendale, il modello operativo e l’architettura di sicurezza, permettendo all’organizzazione di:
- Creare valore
- Ridurre i costi di conformità, stabilendo una base per tutte le esigenze di conformità, resilienza informatica e privacy
- Ridurre l’impatto degli incidenti
- Ridurre sia la complessità dell’IT sia il debito dei processi
- Ridurre il costo totale di proprietà (Total Cost of Ownership – TCO)
- Gestire meglio il rischio di terze parti
- Stabilire un programma di governance, gestione del rischio e conformità (Governance Risk & Compliance – GRC) più resiliente ed in grado di difendersi dalle minacce attuali e future.
Fonte immagine – CSA – Zero Trust Guiding Principles v1.1 guide
Evitare complicazioni
L’evoluzione verso una soluzione ZT non è così complessa come potrebbe sembrare, soprattutto se perseguita attraverso una serie di passaggi progressivi e dando priorità alle risorse più critiche.
I controlli preventivi, investigativi e correttivi (o reattivi) che vengono implementati e testati costituiscono la base della strategia ZT. Di fatto, si tratta di garantire:
- Controlli di accesso con privilegi minimi
- Separazione dei compiti
- Segmentazione/Micro-segmentazione
- Registrazione e monitoraggio
- Configuration Drift Remediation (correttiva/reattiva)
Fonte immagine – CSA – Zero Trust Guiding Principles v1.1 guide
Di fatto, lo ZT permette alle organizzazioni di avere controlli più granulari e più sensibili grazie a: l’aggiunta di autenticazione e autorizzazione continue, l’analisi del comportamento di utenti ed entità (e punti di applicazione dinamica delle policy.
Inoltre, l’Intelligenza Artificiale (IA) contribuisce a facilitare il monitoraggio, l’individuazione di configurazioni errate e il rilevamento dell’eccesso di privilegi più rapido, oltre a facilitare un’analisi delle cause principali e l’identificazione di modelli sospetti.
È doveroso sottolineare che le tipologie di controllo non devono essere reinventate o risultare eccessivamente complicate per l’implementazione della strategia ZT, dato che l’IA oggi garantisce sia un’ottimizzazione dei processi sia una riduzione della complessità, del Total Cost of Ownership (TCO) e dei tempi di reazione, oltre ad automatizzare la gestione del ciclo di vita delle identità ed il rilevamento.
Ancora, l’incorporazione della segmentazione e della micro-segmentazione aiuta a rafforzare i controlli e a ridurre l’impatto di un incidente.
I prodotti non sono la priorità
In passato la risoluzione dei problemi tecnologici comportava l’acquisto di prodotti e, molto spesso, di servizi di consulenza. Oggi, invece, l’adozione della strategia ZT implica comprendere meglio le proprie esigenze e scegliere i prodotti giusti, se necessari. Inoltre, il maggiore impiego dell’IA e l’adozione di approcci security-by design e security-by default comporta una minore dipendenza da prodotti e risorse aggiuntive.
L’accesso è un atto deliberato
Lo ZT si differenzia per una mancanza di dipendenza da un perimetro fisico o di rete ed include un trasferimento di responsabilità ai fornitori di prodotti e di servizi, riducendo l’onere a carico delle organizzazioni per l’implementazione di controlli compensativi e altre pratiche di sicurezza, oltre a consentire di riutilizzare le risorse per attività più strategiche e altre attività proattive.
Inoltre, oggi, le organizzazioni si trovano in un ambiente globale che comporta una maggiore dipendenza da ciò che esiste al di fuori del proprio perimetro fisico e di rete.
L’identità – grazie alla strategia ZT – è verificata in modo esplicito e l’accesso è concesso solo dopo che l’autorizzazione è stata sottoposta a tale processo di verifica, potendo utilizzare anche l’AI, non solo per garantire l’accesso sicuro all’interno di un contesto, ma anche per reagire in tempo reale.
Approccio inside-out
Le organizzazioni devono essere in grado di comprendere cosa si sta cercando di proteggere, adottando un approccio inside out, dato che il valore dell’asset è l’elemento che determina le priorità in termini di sicurezza. Pertanto, è necessario disporre di un inventario degli asset e categorizzarli in base al valore.
Successivamente, dopo aver individuati gli asset maggiormente critici da proteggere e le relative relazioni, è possibile identificare sia le superfici di protezione sia quelle di attacco, oltre a verificare come proteggere i dati, le applicazioni, risorse e servizi, i.e. i cosiddetti Data, Application, Asset e Services (DAAS).
Fonte immagine – CSA – Zero Trust Guiding Principles v1.1 guide
La guida CSA fa riferimento al Metodo Kipling per garantire l’allineamento della strategia- politica di sicurezza all’interno del modello di business.
Tale metodo si basa su una serie di domande – “chi, cosa, quando, dove, perché e come” – che implicano una stretta sinergia-collaborazione tra i proprietari degli asset (l’azienda) e i depositari degli asset (di solito l’IT), senza dimenticare che l’AI può essere sfruttata per generare una versione iniziale di queste strategie-politiche che successivamente dovranno essere riesaminate e revisionate.
Di seguito le domande indicate dal metodo Kipling a cui le organizzazioni devono attenersi.
Fonte immagine – CSA – Zero Trust Guiding Principles v1.1 guide
Superare il paradosso del difensore
Le strategie ZT, come ampiamente reiterato, si fondano sulla verifica dell’identità e dei permessi di accesso di ogni utente prima di concedere l’accesso alle risorse, rispondendo così alla maggiore esposizione del perimetro organizzativo nel contesto digitale odierno.
Lo ZT mira, di fatto, a ridurre il rischio e le conseguenze delle violazioni, facilitando un ripristino più rapido grazie a rigorosi controlli di accesso.
Inoltre, lo ZT contribuisce a contenere gli incidenti tramite segmentazione e micro-segmentazione che ostacolano i movimenti laterali dei cyber criminali e limitano la propagazione di azioni dannose. Per esempio, un account compromesso resta confinato all’interno delle risorse collegate a quell’utente; mentre un attacco ransomware su una macchina specifica non si diffonde a tutto il sistema.
Ogni richiesta di accesso, quindi, comporta la verifica dell’identità e dei permessi, con il tracciamento delle interazioni. Tali operazioni, grazie all’IA, possono essere automatizzate, rendendo l’analisi e l’interrogazione dei dati più efficienti. Inoltre, la capacità di correlare identità, azioni e risorse rafforza la prevenzione della perdita di dati (Data Loss Prevention – DLP).
Inoltre, attraverso i principi ZT e i meccanismi avanzati di rilevamento, è possibile individuare potenziali minacce prima che si concretizzino, riducendo la complessità delle attività di gestione e di prevenzione delle violazioni.
Comprendere la propria propensione al rischio
La propensione al rischio rappresenta il livello di rischio che un’organizzazione è disposta ad accettare per raggiungere i propri obiettivi, mentre il rischio intrinseco si riferisce al rischio presente prima di qualsiasi intervento (i.e. i trattamenti). Di fatto, le organizzazioni puntano a gestire il rischio portandolo entro un livello accettabile, in linea con la loro propensione al rischio.
Inoltre, se da un lato l’adozione dell’IA aggiunge oggi una nuova dimensione a questa valutazione, dall’altro lato introdurre sfide nel mantenere la triade di sicurezza CIA (i.e. Integrity, Confidentiality e Availability) nei modelli, nei dati di addestramento, negli input, negli output e nell’accesso ai modelli stessi.
Pertanto, una strategia ZT può aiutare a ridurre il rischio intrinseco a livelli accettabili, applicando controlli che ne limitano la probabilità. Analizziamo nel dettaglio cosa comporta tutto ciò.
Fonte immagine – CSA – Zero Trust Guiding Principles v1.1 guide
Confidentiality
Si tratta di garantire il mantenimento delle restrizioni autorizzate in termini di accesso e di divulgazione delle informazioni, compresi i mezzi per proteggere la privacy personale e le informazioni proprietarie. Inoltre, le informazioni non devono essere rese disponibili o divulgate a persone, ad entità o permettere processi non autorizzati. L’esfiltrazione dei dati è un esempio di perdita di Confidentiality di un asset.
Integrity
Si tratta di proteggere le informazioni da modifiche o da distruzioni improprie, oltre a garantire l’autenticità delle informazioni. Ovvero i dati non devono aver subito mai alterazioni o danneggiamenti in modo non autorizzato (i.e. esempio, un file infettato da un virus informatico; oppure i deep fake, le allucinazioni dell’IA e tutte le forme di frode comportano una perdita di integrità).
Availability
Si tratta di garantire l’accesso e l’utilizzo tempestivo e affidabile delle informazioni. Ne consegue che tutte le organizzazioni devono determinare la propria propensione al rischio e si tratta di capire sia cosa è stato concordato sia il ruolo della strategia ZT, oltre a conoscere gli strumenti regolarmente utilizzati dall’organizzazione (i.e. il Registro dei rischi).
Lo ZT viene utilizzato, di fatto, per ridurre il rischio a livelli accettabili. Pertanto, man mano che si presentano nuove minacce o vengono create nuove vulnerabilità, la strategia di ZT contribuirà a ridurne la probabilità o l’impatto, rendendo l’organizzazione più resiliente ed agile.
Il ruolo di supporto e di committment della leadership per il successo della strategia ZT
È fondamentale, per garantire il successo della strategia ZT, ottenere la cooperazione a tutti i livelli dell’organizzazione, in primis, l’impegno effettivo della leadership.
Inoltre, è opportuno definire una strategia di comunicazione efficace, considerando che occorre pianificare un flusso informativo strutturato e tracciabile che assicuri il pieno allineamento tra tutti gli stakeholder. Tale approccio favorisce il progresso verso il modello ZT e chiarisce ruoli e responsabilità, facilitando così una gestione coordinata e consapevole dell’intero processo.
Diffondere una cultura ZT
È essenziale ricordare che il rischio cyber e l’adozione della strategia ZT sono responsabilità condivise da tutta l’organizzazione, non solo dall’IT o dal Chief Information Security Officer (CISO).
Ne consegue che diventa essenziale promuovere l’implementazione dei principi ZT nella cultura aziendale per assicurare che le decisioni siano allineate alla strategia complessiva, contribuendo a migliorare la cyber hygiene dell’organizzazione e a difendersi dagli attacchi.
Si consiglia, a tal proposito, erogare la formazione partendo dagli amministratori che hanno accesso privilegiato, dalle figure di alto profilo (i.e. i dirigenti) e dai ruoli più esposti a rischi (i.e. ufficio acquisti-fornitori).
Implementazione progressiva della strategia ZT
Lo ZT, come già sottolineato, è una strategia e non un insieme specifico di prodotti. Esso consente ai team di raggiungere il successo in modo incrementale, senza grandi costi iniziali. Inoltre, le superfici di protezione – costituite da elementi DAAS – devono essere identificate e classificate in ordine di priorità in base alle dimensioni e all’impatto.
Pertanto, è opportuno iniziare “in piccolo”, dato che è più facile ottenere e mantenere il consenso della leadership quando si sceglie come progetto pilota una superficie di protezione circoscritta e con costi contenuti, permettendo così di evidenziare meglio il cambiamento del paradigma di sicurezza e dimostrarne il valore aggiunto a livello aziendale.
Monitoraggio continuo
Il continuo monitoraggio permette di rilevare tempestivamente attività sospette. Inoltre, la registrazione degli eventi è altresì indispensabile per individuare gli indicatori di compromissione (Indicators of Compromise – IoC) e valutarne l’impatto e raccogliere prove.
Ancora, il mantenimento di un’infrastruttura ZT richiede: audit regolari in termini di privilegi di accesso; monitoraggio costante dei comportamenti di rete; aggiornamento delle patch di sicurezza; valutazioni periodiche del rischio; maggiore consapevolezza sulla sicurezza da parte degli utenti. Senza dimenticare che, oggi, le organizzazioni possono sfruttare altresì l’IA per svolgere tali attività in modo più efficace ed agile.
Conclusione
La strategia ZT, se ben compresa, diventa un alleato fondamentale per le organizzazioni, contribuendo a rafforzare la sicurezza, a incrementare la resilienza e a facilitare con successo la trasformazione digitale. Per questo motivo, si raccomanda alle organizzazioni di adottare i principi ZT delineati nella guida di CSA, garantendo così una pianificazione, un’implementazione e una gestione ottimali, oltre a massimizzare l’efficacia delle proprie iniziative di sicurezza.
