SOLUZIONI DI SICUREZZA

Zero Trust: come evitare che diventi solo una nuova tecnica di blocco

Per garantire la massima sicurezza informatica in un ambiente cloud ormai senza perimetro è utile superare il concetto di Zero Trust e adottare quello di “continuous adaptive trust”, quindi una fiducia in adattamento continuo. Ecco perché

10 Nov 2021
T
Neil Thacker

CISO EMEA/LATAM di Netskope

Zero trust è oggi uno dei termini più utilizzati nel panorama della cyber security, motivo per cui viene usato “liberamente”, spesso con grande imprecisione. Sviluppato originariamente quando le aziende avevano un numero ridotto di dipendenti da remoto, il concetto di Zero Trust di allora era focalizzato solo sull’identificazione dell’identità di utente e dispositivo.

Le cose sono cambiate nel corso degli ultimi anni e, ad oggi, il numero di approcci “Zero Trust” forse eguaglia addirittura quello dei vendor che lo promuovono; tuttavia, la maggior parte degli esperti di sicurezza concorda sul fatto che il principio fondamentale dello Zero Trust è il passaggio da “fidarsi, ma verificare” a “verificare, poi fidarsi”.

Nella pratica, “verificare, poi fidarsi” è un’affermazione troppo permissiva in ambienti dinamici e al contempo anche rigida. L’approccio “verificare, poi fidarsi” prevede che, una volta effettuata la verifica, si possa proseguire. In caso di mancata verifica, si deve optare per un blocco permanente.

È quindi facile capire che, se la prima opzione lascia una lacuna enorme nelle difese di un’azienda, la seconda impatta sulla sua produttività.

Zero trust: un nuovo approccio metodologico alla cyber security

Un adeguamento continuo della “fiducia”

Ciò che realmente serve in un ambiente cloud senza perimetro è un concetto di “continuous adaptive trust”, quindi una fiducia in adattamento continuo. L’inequivocabile termine “zero” è inadatto in un ambiente caratterizzato da così tante sfumature. È il contesto a fare la differenza e le valutazioni sulla fiducia richiedono le giuste informazioni per determinare i vari livelli di autorizzazione in modo efficace.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

L’architettura SASE rappresenta un modello piuttosto nuovo per mettere in sicurezza una infrastruttura IT priva del concetto di perimetro tradizionale e presenta vantaggi decisivi nell’applicazione dell’approccio “Zero Trust” grazie alla visibilità e alle informazioni che consente di ottenere.

Lo “Zero Trust” in un ambiente SASE è piuttosto una sorta di “fiducia in continuo adattamento”, trasversale a utenti, dispositivi, reti, applicazioni e dati.

L’abbondanza di informazioni contestuali disponibili all’interno di una piattaforma SASE elimina la necessità di fidarsi implicitamente, ma anche quella di basare le decisioni relative alle autorizzazioni su singoli frammenti di informazione (ad esempio, su un indirizzo IP).

Al contrario, le decisioni possono basarsi su un set di parametri su misura, rivalutati continuamente, e creati utilizzando più elementi contestuali e interconnessi (ad es. identità dell’utente + identificazione del dispositivo + orario + geolocalizzazione + ruolo aziendale + tipologia di dati).

Poiché con SASE la policy di sicurezza segue i dati, e non l’utente o il dispositivo, sarà la risorsa stessa a determinare efficacemente il livello di fiducia appropriato, per una sola e specifica interazione, valutando di volta in volta la modifica dei parametri.

Non è sufficiente valutare il livello di fiducia all’inizio di un’interazione. Tale valutazione deve invece avvenire durante tutta l’interazione, facendo in modo che il contesto venga continuamente esaminato, affinché le alterazioni che si verificano possano risultare in un adeguamento (in positivo o in negativo) del livello di fiducia appropriato che, a sua volta, consenta di cambiare il tipo di accesso garantito alla risorsa.

La gestione della fiducia

Ovviamente, va riconosciuto che i modelli “Zero Trust” richiedono l’aggiunta di un livello di gestione.

I responsabili delle risorse devono valutare attentamente e modificare continuamente non solo gli elenchi degli utenti autorizzati ad accedere alle risorse, ma anche definire le caratteristiche e gli elementi contestuali che, insieme, determinano il livello di accesso consentito alle risorse.

Spesso la gestione delle autorizzazioni viene effettuata manualmente, tuttavia i processi automatizzati stanno diffondendosi sul mercato.

L’equilibrio fra autorizzazione e restrizione

I vantaggi di un approccio di adeguamento continuo della fiducia (continuous adaptive trust) sono numerosi. Tre, tuttavia, sono quelli più lampanti:

  1. vi sono maggiori opportunità per garantire vari livelli di accesso, e ri-orientare la maggior parte delle decisioni sulla sicurezza, modificando la risposta da “no” a “sì, a condizione che…”;
  2. si limita l’accesso inappropriato, riducendo l’impatto degli account compromessi;
  3. una migliore e costante visibilità sui tipi di dati sensibili, le sedi e i movimenti.

Mentre il secondo e il terzo punto rappresentano una chiara riduzione dei rischi, il primo è più cruciale quando si vuole ‘vendere’ questo approccio internamente.

Il termine “Zero Trust” attrae gli esperti di sicurezza non appena udito, grazie al suo suono inequivocabilmente sicuro.

Qualche malinconico potrebbe dire che se non ti fidi di nessuno, nessuno ti farà del male. E sebbene una nutrita schiera di esperti di sicurezza potrebbe scherzare sul fatto che il proprio lavoro sarebbe più facile senza dipendenti, dobbiamo accettare che garantire gli accessi fa parte della nostra mansione esattamente come impostare restrizioni e blocchi.

È proprio qui che entra in gioco l’adeguamento continuo della fiducia, perché utilizza le informazioni per conferire e rimuovere le autorizzazioni in modo dinamico. Con questo approccio, ogni azienda può massimizzare la sua produttività senza alcuna inutile esposizione ai rischi.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing
@RIPRODUZIONE RISERVATA

Articolo 1 di 5