Zero Trust (ZT) è un nuovo approccio di cybersecurity concettualmente semplice ed allo stesso tempo rivoluzionario, basato sul principio “Trust but verify”: serve a mitigare i rischi informatici, a ridurre le superfici d’attacco, a migliorare il controllo su “cosa fanno le persone”, nell’organizzazione e fuori, a semplificare la stessa user experience nell’acceso a risorse e servizi IT. Come è emerso durante il Cybersecurity Summit 2022, organizzato lo scorso 10 marzo a Milano da The Innovation Group, il concetto di ZT è molto evoluto e maturato rispetto alla sua prima concezione, tanto da attirare l’attenzione di un pubblico sempre più ampio. Nel corso del Summit sono intervenuti sul tema Daniele Catteddu, CTO presso la Cloud Security Alliance (CSA), che ha fornito un’introduzione ai principi chiave, discutendo i passaggi chiave per la creazione di una strategia ZT, e Marcello Fausti, CISO di Italiaonline, che ha sottolineato l’importanza di alcuni prerequisiti essenziali nel percorso di adozione di Zero Trust.
Zero Trust (ZT) è un concetto semplice: nonostante il nome, che fa pensare a una negazione, si basa su uno scopo ben preciso, ossia promuove un processo decisionale di sicurezza fondato su fatti concreti, volto ad eliminare il rumore di fondo che può portare a decisioni sbagliate.
Come ha spiegato Daniele Catteddu, CTO di CSA, non esiste al momento una definizione standard del concetto ZT, ma su alcuni principi fondamentali c’è già largo consenso. “L’approccio ZT è volto a supportare un modello organizzativo e un’infrastruttura sempre più distribuita – ha detto Catteddu -, sia a livello geografico sia per quanto riguarda la disponibilità di servizi: si propone quindi di mettere in sicurezza una situazione caratterizzata oggi da elevata complessità. Il concetto nasce infatti nel 2007, ed è strettamente collegato alla concezione della fine del perimetro nel mondo ICT”.
L’approccio Zero Trust parte dal principio che vanno difesi i singoli asset, non essendo più possibile elevare un “muro difensivo” esterno: come dire, bisogna partire “inside out”. Inoltre, fa riferimento al fatto che non ci si può più fidare di nessun utente o componente, a meno che questo non sia verificato e validato. “L’accezione degli utenti è molto ampia in ZT: quando si parla di utenti, si intendono gli umani ma anche di parti di codice, di container che devono comunicare con meccanismi trusted in infrastrutture molto complesse” ha spiegato Catteddu.
ZT si basa poi su concetti oramai noti da anni, come il “need-to-know” e “Least Privilege”. È poi fondamentale, secondo ZT, utilizzare un modello di contestualizzazione e di analisi continua dei rischi, che va supportato da un monitoraggio alimentato da informazioni che arrivano da diverse fonti.
Gli obiettivi e i benefici di ZT sono
- Le decisioni devono essere prese basandole sul rischio e sul contesto: è un framework che ha come elemento fondante la gestione del rischio “Un cultura che come latini non ci appartiene molto, ma che dovremo imparare” ha commentato Catteddu.
- Punta a ridurre la superfice di attacco tramite un modello di segmentazione molto spinta, per ridurre problematiche come escalation di privilegi e movimenti laterali.
- Offre poi numerosi benefici, come il miglioramento dell’accountability organizzativa; una semplificazione dell’esperienza utente; una riduzione della superfice d’attacco e della complessità; il rafforzamento del concetto Least privile e un miglioramento della gestione degli incidenti. Fondamentale un approccio ZT anche per la compliance: il modello fa riferimento a norme e limitazione dello scope.
Alcune raccomandazioni ulteriori fornite da Catteddu sono: in un approccio strategico allo ZT ci sono passaggi fondamentali, ossia, la mappatura delle identità (bisogna avere una chiara visione di chi ha accesso a cosa), la mappatura dei servizi, e infine, la mappatura dei flussi, ossia sapere come le identità hanno accesso alle risorse. Per avere un percorso di successo allo ZT è poi molto importante essere agili, non c’è bisogno di adottarlo interamente per tutta l’organizzazione, meglio invece partire da uno scope limitato e crescere nel tempo.
“Passare a Zero Trust è una sfida complessa – ha commentato successivamente Marcello Fausti, Responsabile Cybersecurity di Italiaonline – lo si capisce dal fatto che se ne sente parlare molto ma poi si vedono poche realizzazioni. Va sottolineato però che non si raggiunge Zero Trust con l’acquisto di una tecnologia, è uno dei casi in cui serve molto lavoro del CISO, non basta rivolgersi a un fornitore esterno. Inoltre, siamo in un periodo di passaggio, tutte le aziende sono in fase di migrazione al cloud, si adottano spesso modelli ibridi e questo complica molto la situazione”.
“Trust but Verify” è il concetto chiave del modello: dobbiamo essere in grado di sapere chi può fare qualcosa, e cosa esattamente può fare. Da qui segue il fatto che l’Identità Digitale è il nuovo perimetro delle aziende: questo però ha delle conseguenze.
- Non si può adottare un approccio Zero Trust se non si ha all’interno un’infrastruttura che possa gestire in modo adeguato questa transizione.
- Elemento fondamentale è il Directory Service e il sistema di gestione delle identità (IAM) che governa il ciclo di vita delle identità e soprattutto i ruoli delle utenze e le permission.
- Inoltre, serve dotarsi di una soluzione PAM (privileged access management), soprattutto oggi, perché serve un’attenzione particolare alle utenze privilegiate, che sono l’oggetto del desiderio degli attaccanti.
“Incamminarsi in una strada di questo tipo equivale a fare grandi progetti di Igiene Digitale – ha detto Marcello Fausti -, progetti complessi che riguardano trasversalmente tutta l’azienda, a partire da HR fino alle linee del business. La security può guidare ma senza la collaborazione di tutti non si procede. Inoltre, sono progetti che richiedono tempo, perché per ogni singolo passaggio è necessario testare gli effetti sulla base degli utenti, altrimenti i rischi di disservizio sono dietro l’angolo”.
A cura di Elena Vaciago,
Associate Research Manager, The Innovation Group