Sicurezza a prova di futuro

Approccio Zerotrust: quando sicurezza e agilità non sono in alternativa

Mai fidarsi di nessuno a priori e mai concedere più dello stretto necessario. Solo seguendo queste linee guida si possono minimizzare i rischi legati ad un cybercrime che si reinventa ogni giorno. Può sembrare una strategia di sicurezza troppo rigida ma si rivela l’unica che aumenta la competitività se ben messa in atto

22 Dic 2021

Nel nuovo contesto digitale disegnato dalla pandemia che ha trasformato le modalità di interazione personali, aziendali e commerciali, i tradizionali modelli di sicurezza “fanno acqua da tutte le parti”. Di fronte all’ultimo report CLUSIT, e a quel 25% degli attacchi totali registrati proprio solo in Europa, dato ben diverso dagli anni precedenti, le aziende per sentirsi al riparo potrebbero essere tentate dal chiudersi sempre di più ma sarebbe come decretare la morte del proprio business. Consapevoli di non potersi isolare in un fortino, il loro timore è quello di dover scegliere tra agilità e sicurezza, costrette a rinunciare all’una o all’altra, ma c’è una terza via da intraprendere, quella suggerita dall’approccio zero trust. E’ rivoluzionario ma può essere adottato anche gradualmente, l’importante è incamminarsi verso questa nuova sicurezza, l’unica adatta al new normal.

Cos’è l’approccio Zerotrust, non nuovo ma attuale

Eliminando l’eccessiva fiducia implicita e sostituendola con la fiducia esplicita basata sull’identità, l’approccio zerotrust decreta la fine del concetto di perimetro di rete affidabile imponendo invece che ogni transazione di rete debba essere autenticata prima che possa concretizzarsi. Come suggerisce il termine stesso, l’idea è quella di non fidarsi mai e verificare sempre perché è il concetto stesso di fiducia a dover essere considerato come una vulnerabilità: una volta concesso ad un utente l’accesso ad una rete “affidabile”, infatti gli si permette di spostarsi all’interno e potenzialmente anche di causare l’esfiltrazione di tutti i dati ai quali ha avuto legittimamente accesso.

In questa moderna struttura di sicurezza ogni accesso è governato da rigorose procedure di verifica dell’identità e dei dispositivi. Non conta la posizione di risorse e utenti: possono risiedere ovunque, on-premise, in uno o più cloud o sull’edge, a casa dei dipendenti o su dispositivi IoT, ma non sono comunque mai “degni” di fiducia a priori. Questo nuovo modo di concepire la sicurezza non si applica solo a nuovi accessi e integrazioni, è prevista di default una continua verifica sia degli utenti che degli endpoint.

Con l’introduzione dello zerotrust ciò che si richiede alle aziende è di abbandonare l‘idea di fortino sicuro e protetto in cui si sono rifugiate finora, anche negli ultimi anni illudendosi fosse un approccio valido, e abbracciarne uno che può in apparenza sembrare complesso e pericoloso dal punto di vista del business. Sì perché il principio della non fiducia implicita, se mal applicato, può diventare un vero fattore bloccante: la sfida attuale è quella invece di renderlo una leva di competitività per le aziende che, se riescono ad adottare le tecnologie e le policy adeguate possono controllare tutto il traffico dentro e fuori dal proprio perimetro implementando una sicurezza più forte e adatta al nuovo contesto. Integrandola nei propri processi se ne può aumentare l’agilità anche grazie all’implementazione di modalità di apprendimento automatico che lo zerotrust abilita e che permettono di analizzare i comportamenti, adattandosi dinamicamente nel tempo alle modifiche nei carichi di lavoro e negli ambienti applicativi.

La timeline dello zerotrust

Il tanto parlare di zerotrust nel post pandemia può far sembrare che tale concetto sia frutto della discontinuità avvertita a livello globale mentre si tratta di un’idea che ha radici nello scorso secolo, in una tesi di dottorato attorno al tema della fiducia. Ripercorrendo la storia dello zerotrust da quel pensiero deliziosamente teorico alla concretezza attuale se ne può apprezzare anche la solidità. Si ha la prova che non si tratti di una reazione di paura ma di un ragionato e doveroso aggiornamento di sicurezza in un mondo che, anche prima e al di là della pandemia, si evolve velocemente erodendo l’idea di perimetri e confini, non solo a livello IT.

  • 1994 Stephen Paul Marsh scrive una tesi di dottorato sulla sicurezza computazionale all’Università di Stirling descrivendo la fiducia con un costrutto matematico e ipotizzando che la fiducia zero superi la sfiducia nel rendere sicuri sistemi, applicazioni e reti.
  • 2003 Al Jericho Forum emerge un nuovo trend che sarò poi definito con il termine di de-perimetrazione.
  • 2009 Google implementa un’architettura a fiducia zero denominata BeyondCorp
  • 2010 John Kindervag, analista di Forrester, riprende il termine “fiducia zero” rendendolo popolare e dichiarando obsoleti i modelli di sicurezza esistenti basati sul concetto di perimetro sicuro
  • 2014 Gianclaudio Moresi, ingegnere della sicurezza svizzero, progetta il primo sistema utilizzando il principio di Zero Day Protection with Zero Trust Network
  • 2019 Gartner indica l’architettura zero-trust come componente fondamentale delle soluzioni edge per l’accesso sicuro ai servizi

I 3 principali driver dell’approccio zerotrust

Oggi, anno 2021, secondi i dati IDC; il 13% delle aziende in Europa già adotta il modello zerotrust, il 20% ha già in fase pilota l’adozione di un approccio di questo genere e un altro 43% ha pianificato iniziative in questa direzione come parte integrante della propria strategia di sicurezza. Oltre i tre quarti quindi delle imprese europee riconosce la validità di questa nuova struttura di sicurezza IT. Non si può dire che sia nata con la pandemia ma se oggi siamo ai livelli di adozione sopra descritti è certamente a causa dell’accelerazione che il Covid-19 ha innescato rispetto ad alcuni fenomeni che si possono indicare come i driver dello zerotrust

  1. Forza lavoro distribuita & Bring Your Own Device (BYOD). I nuovi modelli di lavoro a distanza richiedono la possibilità per i dipendenti di poter accedere alle risorse interne della propria organizzazione da qualsiasi luogo e in qualsiasi momento e di poter comunicare e collaborare con i colleghi in modo agile e allo stesso tempo sicuro. Non è un fenomeno di passaggio, è un nuovo panorama di workforce che l’Osservatorio Smart Working del Politecnico di Milano ha fotografato nell’ultimo suo report. Nel 2021 sono diminuiti gli smart worker dopo il picco legato ai lockdown – erano 5,37 milioni a marzo, 4,71 milioni a giugno, e 4,07 milioni a settembre – ma in futuro si assesteranno attorno ai 4,38 milioni con formule ibride: in media 3 giornate “agili” nelle grandi aziende, 2 nelle PA.
  2. Aumento dei tentativi di attacco di brute force contro il Remote Desktop Protocol (RDP). E’ stato registrato durante la pandemia e sono numeri piuttosto preoccupanti quelli contenuti nel report di Kaspersky “Story of the year: remote work”. Nel 2020, rispetto al 2019, in Italia è stata registrato un aumento del 280% per un totale di 174 miliardi, di file dannosi mascherati da applicazioni di comunicazione aziendale.
  3. Crescente utilizzo del Cloud anche per ospitare dati, risorse e servizi critici. Secondo l’Osservatorio Cloud Transformation del Politecnico di Milano nel 2021 l’adozione di questa tecnologia da parte delle aziende italiane è un dato di fatto: il portafoglio applicativo aziendale risulta erogato da ambienti eterogenei e il 44% del parco applicativo è oggi gestito in cloud pubblico o privato. Siamo vicini al sorpasso e a questo fenomeno si accompagna la sempre maggior diffusione di applicazioni basate su microservizi che possono avere componenti praticamente ovunque, quindi poco adatte a perimetri rigidi e ristretti.

Quale architettura supporta lo zerotrust

Per comprendere meglio lo zerotrust è necessario osservare l’architettura su cui si basa, nata per risolvere due precise lacune critiche identificate all’interno della progettazione di rete tradizionale: il perimetro statico e l’ampio livello di accesso. Fino a qualche anno fa la sicurezza aziendale era indissolubilmente ancorata a questi due principi oggi poco adatti ai nuovi modelli di business non solo delle big tech ma anche di un numero sempre più crescente di PMI innovative.

Un perimetro statico con una rete chiaramente definita e punti di demarcazione della sicurezza non è compatibile con il mobile, il cloud, l’IoT e l’edge computing: diventa impossibile mappare e controllare i numerosi e variabili punti di ingresso e le risorse dentro il perimetro in teoria statico risultano sempre più difficili da difendere. Con lo zerotrust non si punta più sul concetto di perimetro sicuro per cui le aziende possono prevedere tanti punti di ingresso liberamente mantenendo la sicurezza proprio a livello di workload.

L’altra criticità che l’architettura zerotrust risolve è quella degli accessi alle reti: in quelle tradizionali una volta che un utente è su un segmento può vedere e raggiungere tutti gli altri dispositivi rendendo la superficie di attacco molto estesa. In una rete a fiducia zero si creano piccoli micro-segmenti all’interno di una rete e un accesso molto limitato in modo da limitarla al minimo.

Partendo da queste due forti differenze rispetto all’architettura tradizionale, è stata ideata quella zerotrust in modo che risponda ad alcuni requisiti che la rendono davvero efficace.

  • Verifica continua della conformità degli endpoint per essere allineati alle policy di sicurezza dell’organizzazione
  • Controllo dell’accesso condizionato a tutte le applicazioni, verificando l’identità di ogni utente
  • Riduzione della superficie di attacco concedendo a ciascuno solo l’accesso alle aree legate al lavoro che deve svolgere

In un’architettura di rete zerotrust, quindi, l’autenticazione di utenti e dispositivi viene effettuata a livello di micro-segmento secondo rigorose procedure di verifica e ogni sessione deve essere autenticata, autorizzata e contabilizzata (AAA) mentre la connettività ad ogni micro-segmento è basata su un modello “need-to-know”. Una volta compresi questi meccanismi, è importante aver ben presente che non esistono prodotti intrinsecamente zerotrust, ma ci sono prodotti compatibili con un ambiente e un’architettura zerotrust, e prodotti che non lo sono.

Come ottenere un’architettura zerotrust in 5 step

Tutto ciò può sembrare molto complesso da “costruire”, viene spesso percepito anche come costoso da realizzare, ma in realtà il modello zerotrust utilizza l’architettura di rete esistente e non richiede upgrade rilevanti ma una metodologia precisa, in 5 fasi, descritta da Forrester già nel 2010.

1 Identificazione della superficie protetta, inclusi dati sensibili e applicazioni, dividendoli in tre categorie – pubblici, interni e riservati – e segmentando i più critici in micro-perimetri collegati tra loro in modo sicuro

2 Mappatura dei flussi delle transazioni di tutti i dati sensibili per avere un quadro chiaro di tutti gli utenti e i dispositivi che hanno accesso alla rete e dei loro privilegi e per conoscere le dipendenze degli oggetti di rete e di sistema mantenendo poi una visibilità granulare di quanto monitorato.

3> Definizione di un’architettura zerotrust per ogni micro-perimetro in base al flusso dei dati e delle transazioni, investendo su SDN e protocolli di sicurezza che utilizzano NGFW fisici o virtuali.

4> Creazione di una policy zerotrust utilizzando il metodo Kipling che, prendendo in esame chi, cosa, quando, dove, perché e come, fa in modo che solo gli utenti o le applicazioni noti e autorizzati possano accedere alla superficie protetta controllando tutti i dispositivi (personali, di proprietà dell’azienda o BYOD).

5> Monitoraggio e manutenzione per determinare la direzione del traffico anomalo ma  automatizzando l’ispezione e l’analisi del traffico dei registri in modo che i dati possano fluire senza influire sulle operation.

Non è necessario, e spesso è anche sconsigliato, passare dall’oggi al domani ad una architettura come quella descritta, molti la implementano step by step, partendo dalle risorse più critiche per proteggerle al meglio, altri preferiscono iniziare con quelle non critiche come test case prima di implementare la fiducia zero in modo più ampio. In ogni caso è sempre molto importante focalizzarsi sulle tre aree fondamentali: visibilità su tutti gli asset e i punti d’accesso, policy che permettano solo determinate persone di accedere a risorse specifiche, e automazione per un’applicazione corretta ed efficace anche di fronte a dei cambiamenti

Concetti alla base di una strategia di sicurezza zerotrust

Nonostante ci sia continuità nell’utilizzo dell’architettura e gradualità nel processo di adozione, non si può negare la presenza di concetti del tutto nuovi con cui gli addetti alla sicurezza delle aziende si trovano ad avere a che fare quando optano per un approccio zerotrust. Sono in esso incorporati e sono ciò che lo rendono efficace e disruptive.

I primi due che si incontrano sono quello di Zero Trust Identity (ZTI) secondo cui nessun endpoint è fidato per default, indipendentemente dalla posizione e dal tipo, e quello di Zero Trust Network Architecture (ZTNA) che limita gli utenti e l’accesso dei dispositivi a specifici segmenti di una rete. Con che criterio? Questa domanda richiede l’introduzione di un altro concetto cardine per lo zerotrust, quello del minimo privilegio.

 

Il PoLP e i suoi vantaggi in un approccio zerotrust 

In perfetta coerenza e continuità con la filosofia della fiducia zero, il Principio del Privilegio Minimo (PoLP) ritiene che per garantire la sicurezza delle informazioni, ad ogni utente debbano essere concessi i livelli – o permessi – minimi di accesso di cui ha bisogno per svolgere le proprie mansioni. Si tratta di un approccio di massima prudenza che può e viene infatti esteso anche ad applicazioni, sistemi o dispositivi connessi che necessitano di accedere ad alcune aree o micro-perimetro per eseguire un’attività necessaria.

Per applicare questo principio in modo efficace serve una gestione centralizzata delle credenziali privilegiate ma con comandi flessibili che possano bilanciare la sicurezza informatica e i requisiti di conformità con le necessità sia operative che degli utenti finali. Agilità e sicurezza devono convivere ed essere entrambe garantite perché l’approccio zerotrust sia vincente.

“Severo” e restrittivo, il Principio del Privilegio Minimo presenta diversi vantaggi:

  • Riduzione della superficie d’attacco limitando i privilegi da super-user o amministratore, i più sfruttati dagli hacker
  • Blocco della diffusione di malware (come quelli di tipo SQL injection) non più in grado di sfruttare gli endpoint con privilegi elevati per aumentare il proprio livello di accesso, spostarsi lateralmente e creare enormi danni
  • Aumento della produttività degli utenti finali riducendo i rischi legati alle loro attività ma garantendo loro la libertà di utilizzare tutto ciò che serve per completare i propri task
  • Razionalizzazione di conformità e le verifiche aiutando le aziende a dimostrare di essere compliant, grazie al percorso completo di audit delle attività privilegiate.

Un nuovo ecosistema di cybersecurity zerotrust

Prendendo per buoni questi nuovi concetti chiave, si approda ad una completamente nuova esperienza di sicurezza per l’utente che, quando richiede l’accesso ad applicazioni e dati, innesca una serie di procedure prima non previste.

Per prima cosa ad esempio ci sarà un sistema unificato di gestione degli endpoint che esamina quello utilizzato (desktop, mobile o IoT) per verificare che sia conforme. Se lo è, si procede con il controllo dell’identità dell’utente stesso, effettuato tramite metodi di autenticazione avanzati, spesso multifattoriali. Viene anche verificato che la richiesta di accesso dell’utente sia in linea con il suo comportamento normale e non rappresenti un’anomalia, dopo di ché si passa alla rete per analizzare il metodo di comunicazione che deve essere valido e la crittografia deve essere in atto. Per ottenere l’accesso alle applicazioni e ai dati è necessario fare i conti anche con la data loss prevention privacy che impedisce ad un utente di copiare i dati in altre applicazioni e ne controlla continuamente il comportamento per garantire sicurezza anche a fronte di cambi di scenario, di accesso o di privilegi.

Anche solo osservando il grado di innovazione che caratterizza questo semplice processo di accesso, emerge chiaramente come la strategia zerotrust possa rappresentare un fondamento su cui costruire un ecosistema di cybersecurity incardinato attorno a tre principi:

  1. Terminare ogni connessione per poter trattenere e ispezionare i file sconosciuti prima che raggiungano l’endpoint. Tecnologie tipiche dell’approccio tradizionale alla sicurezza come i firewall, al contrario, utilizzano un approccio “passthrough”, inviando i file ai loro destinatari nello stesso momento in cui vengono ispezionati con il rischio di non essere in grado di bloccare in tempo un file dannoso
  2. Proteggere i dati utilizzando criteri granulari e basati sul contesto, quindi sulle caratteristiche di utente e dispositivo, sul genere di applicazione richiesta e sul tipo di contenuto con riferimento a policy adattive che si adeguano ad ogni variazione rivalutando continuamente i privilegi di accesso dell’utente
  3. Ridurre il rischio non collegando mai gli utenti alle reti ma solo e direttamente alle applicazioni e alle risorse di cui hanno bisogno secondo il principio del minimo privilegio ed eliminando così il rischio di movimento laterale grazie a cui un dispositivo compromesso infetterebbe anche altre risorse di rete.

Tutti i vantaggi dello scegliere lo zerotrust

Solo la nuova fiducia, quella esplicita e basata sull’identità, che con l’approccio zerotrust prende il posto di quella implicita oggi ormai evidentemente eccessiva, è in grado di proteggere le aziende meglio e in maniera del tutto indipendente dall’ambiente. Senza richiedere modifiche architettoniche o aggiornamenti delle policy, riduce la superficie di attacco e limita il raggio di esplosione, e di conseguenza anche il tempo e il costo di risposta e pulizia, nel caso i dati vengano violati.

Riduzione del rischio aziendale e organizzativo 

Con l’approccio zerotrust nessuna applicazione e nessun servizio possono comunicare fino al momento in cui non si verifica che i loro attributi di identità, proprietà immutabili del software o dei servizi stessi, soddisfino i requisiti di autenticazione e autorizzazione e altri eventuali richieste legate al modello di fiducia predefinito. In questo modo si riesce a scoprire non solo ciò che è presente sulla rete ma anche come i vari elementi stanno comunicando. Questo tipo di strategia a lungo andare permette anche di “fare pulizia”, eliminando il software e i servizi in eccesso, inutile fonte di rischio, e controllando continuamente le “credenziali” di ogni risorsa

Abilita il passaggio ad ambienti cloud e all’uso dei container

Passando al cloud spesso le aziende devono accettare un nuovo modello di responsabilità per la sicurezza che diventa condivisa con il fornitore di servizi (CSP). Ne può scaturire la paura di perdere il controllo, la visibilità e la gestione degli accessi e un approccio come quello zerotrust può essere una risposta rassicurante in tal senso. Questo perché nella sua architettura, le policy sono legate al workload stesso e alla sua identità, la sicurezza rimane il più vicino possibile alle risorse che richiedono protezione senza più dipendere da costrutti di rete come indirizzi IP, porte e protocolli o dalle variazioni subite dall’ambiente in cui è implementata.

Mitigazione del rischio di violazione dei dati 

Ogni entità – utente, dispositivo, carico di lavoro – è ostile fino a prova contraria e, seguendo il principio del minimo privilegio, accede ad una limitata area del sistema, ma non solo. Ogni richiesta di accesso viene ispezionata, sia lato permessi che lato utenti, e la fiducia concessa non è mai permanente, va sempre riconquistata ad ogni anche minimo cambio di contesto. In questa situazione, anche nel caso che un hacker riuscisse ad approdare in un’area protetta della rete o del cloud tramite un dispositivo compromesso o un’altra vulnerabilità, non riuscirebbe comunque ad accedere o prelevare i dati e nemmeno potrebbe muoversi lateralmente. Troverebbe tutti gli accessi bloccati, ovunque tentasse di penetrare

Sostegno alle iniziative di compliance

Dimostrare di essere compliant con gli standard di privacy e con altri regolamenti è molto più semplice per un’azienda se ha la certezza che tutte le connessioni degli utenti e del workload sono schermate da Internet e quindi non possano essere esposte o sfruttate. E’ proprio ciò che avviene con la sicurezza zerotrust, portando ad una significativa diminuzione di risultati negli audit. In caso di violazione dei dati, inoltre, grazie alla microsegmentazione, ci si può avvalere di una maggiore visibilità e di un maggior controllo rispetto a quelli permessi da architetture di rete piatte che solitamente concedono accessi privilegiati troppo generosamente. C’è la microsegmentazione anche dietro al vantaggio di poter creare precisi perimetri per proteggere dati sensibili separando così quelli regolati da quelli che non lo sono.

Tempestività e precisione di risposta agli attacchi

Il livello di conoscenza e di controllo che l’approccio zerotrust è in grado di garantire ad un’azienda, sempre accurato ma anche aggiornato, in caso di violazione della sicurezza le permette di rilevare tempestivamente il momento e il luogo in cui gli hacker potrebbero aver colpito. È un vantaggio significativo considerando quanto il fattore tempo impatti sulla dimensione dei danni subiti: secondo IBM e Ponemon Institute il costo medio di una violazione dei dati a livello globale si attesta attorno ai 3,86 milioni di dollari.

Zerotrust e smart working: produttività e sicurezza crescono assieme

Declinando questi vantaggi nell’attuale contesto globale in cui la forza lavoro è ormai definitivamente distribuita, in cui i dipendenti chiedono di accedere alle risorse che servono per lavorare con diversi tipi di dispositivi, sia personali che aziendali, da diversi luoghi e in diversi momenti, un approccio zerotrust è l’unico adeguato a garantire la produttività.

Solo con l’architettura che esso prevede è possibile sia rispondere alle esigenze di sicurezza delle aziende senza perdere agilità, anzi guadagnandone, sia dimostrarsi competitivi anche dal punto di vista della talent acquisition e della talent retention garantendo

  • Scelta dell’endpoint – Mobile, desktop, BYOD, di proprietà dell’organizzazione
  • Stile di lavoro flessibile con accesso ai dati da dentro e fuori la rete interna
  • Applicazioni ovunque – SaaS, web, native e virtuali

Consapevole della necessità da parte di sempre più aziende di adottare questo approccio ma anche di farlo in modo graduale e spesso guidato, VMware ha delineato un nuovo percorso verso la sicurezza zerotrust basato su 5 pilastri: Gestione degli endpoint e conformità, Accesso condizionato, Tunnel e proxy delle applicazioni, Analisi del rischio, Remediation e orchestrazione automatizzate. Non tutti possono e devono essere applicati ogni volta, ma la possibilità di averli a disposizione in un’unica soluzione di digital workspace permette di scegliere nel tempo come comportarsi e di gestire una qualsiasi evoluzione sapendo di avere la capacità di abilitare sempre connessioni sicure su dispositivi nuovi e sconosciuti. Una presupposto fondamentale per affrontare qualsiasi strategia di crescita.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5