Un tema al centro dei nuovi sviluppi di cybersecurity è Zero Trust: questo modello prevede che, ogni volta qualcuno o qualcosa abbia accesso a una rete, senza prova contraria e senza una verifica, non sia considerato affidabile. In un mondo in cui il perimetro di sicurezza ha perso senso, ogni transazione deve essere autenticata prima di potersi concretizzare.
Per le aziende, in un contesto in cui la superfice attaccabile continua a crescere e le risorse critiche sono sempre più esposte, diventa fondamentale ripensare il concetto di rischio per proteggersi meglio. E questo comporta che, nel contesto odierno, “accordare fiducia” come fatto finora (ai fornitori della supply chain, a terze parti che accedono ai sistemi aziendali, a device non gestiti che si collegano alla rete) è un lusso che non possiamo più permetterci.
L’adozione di Zero Trust sta crescendo, grazie a vantaggi come la maggiore sicurezza, il maggiore controllo sugli accessi e la visibilità incrementata. Abbiamo affrontato il tema con Vittorio Baiocco, Responsabile Sicurezza ICT e Team SOC di Inail, e con Alessio Setaro, CISO di Leroy Merlin Italia, per comprendere le motivazioni, le priorità, le opportunità e i punti critici di questa trasformazione del controllo degli accessi a risorse e applicazioni critiche nelle aziende italiane.
TIG. Quale approccio state seguendo per rafforzare la sicurezza degli accessi? Avete definito una strategia e una roadmap verso il modello Zero Trust?
Vittorio Baiocco. Nel nostro caso, abbiamo intrapreso un percorso Zero Trust di messa in sicurezza degli accessi che passa attraverso vari accorgimenti, come l’introduzione della gestione degli accessi tramite multi factor authentication (MFA) o SPID per le applicazioni legacy, l’introduzione di sistemi di gestione degli accessi privilegiati (PAM) e di edge security in ottica multi-cloud. Inoltre, stiamo iniziando a introdurre la security posture per accessi da remoto o Lan interna. Per quanto riguarda la roadmap Zero Trust, abbiamo cominciato ad applicare profili utenti più stringenti e una segmentazione della rete più granulare.
Alessio Setaro. Abbiamo una strategia per l’adozione del modello Zero Trust, ma siamo consapevoli che non è un percorso breve e non è solo una questione tecnologica, ci sono elementi organizzativi da considerare, soprattutto legati alla profilazione degli utenti sulla base dei processi di business da proteggere. Abbiamo fissato degli obiettivi chiave da raggiungere nei prossimi 12 mesi per preparare la roadmap: questo ci porterà a essere in una condizione “ZT ready”. Il primo milestone che stiamo puntando a mettere a terra è quello di gestire con principi ZT gli accessi remoti: oggi abbiamo la classica VPN protetta con multi factor authentication (MFA) ma la direzione che stiamo prendendo è quella verso un Zero Trust Network Access (ZTNA), in modo da poter fare valutazioni su chi si sta connettendo alla VPN. C’è il tema della client sanitization / validation, ossia, i device dovranno rispondere a specifici requisiti, come la tipologia di antivirus, il patching, la tipologia di utente. In base a tutti questi elementi, gli accessi autorizzati saranno esclusivamente quelli legati a specifiche tipologie di profilo degli utenti.
TIG. Quali sono le priorità che vi siete dati nel vostro percorso verso Zero Trust?
Vittorio Baiocco. Partiamo prioritariamente dagli utenti più critici, da una ridefinizione dei profili degli utenti e, parallelamente, dalla segmentazione della rete. È un percorso molto lungo e le tecnologie a supporto possono aiutare a velocizzare il passaggio e a mettere in sicurezza gli aspetti più critici.
Alessio Setaro. Nei primi passaggi che stiamo mettendo in pista, stiamo lavorando all’implementazione di regole più stringenti utilizzando la funzionalità del next generation firewall (NGF), per quanto riguarda gli accessi all’interno della rete, cercando di profilarli il più possibile su categorie di utente, in modo da aggiungere controlli per tipologia di utente oltre alle classiche regole del firewall. Lavoreremo inoltre prioritariamente sugli utenti delle terze parti. Nel settore Retail si collabora infatti con una buona percentuale di contractor e consulenti esterni, utenti che rappresentano un rischio soprattutto nel caso in cui non venga fornito loro un device aziendale. Abbiamo individuato questa come prima priorità, ed a seguire, gli utenti amministrativi interni, con il vantaggio che sugli interni si ha maggiore visibilità grazie ai presidi di protezione utilizzati dall’azienda, mentre sugli esterni questo risulta difficile e quindi si rischia di dover rispondere sempre in modalità reattiva e non proattiva.
TIG. Siete per un percorso di migrazione graduale o diffuso del modello Zero Trust di accesso sicuro?
Vittorio Baiocco. In una realtà enterprise, vasta ed eterogenea, è possibile solo applicare un modello graduale. In questo modo, c’è la possibilità di un adeguamento continuo della fiducia, usando le informazioni per assegnare o rimuovere le autorizzazioni agli utenti. Dove la tecnologia permette di farlo in automatico avremo sicuramente vantaggi in termini di velocità, altrimenti in modalità manuale sarà richiesto ovviamente più tempo. Un passaggio graduale comunque massimizza la produttività e può diminuire i rischi. La seconda ipotesi – una migrazione diffusa al modello ZT – è implementabile solo se si parte da zero o se si introducono soluzioni che verificano e controllano a livello più alto, come nel caso delle soluzioni ZTNA, tool che fanno una segmentazione di rete senza intervenire direttamente sulla rete fisica. Infatti, in questo modello, ad esempio l’identità non si basa sull’indirizzo IP, ma su attributi logici come i nomi delle macchine virtuali.
Alessio Setaro. Il punto fondamentale anche in questo caso è la riduzione del rischio: poiché non si può fare tutto e subito, vanno ponderate energie e risorse in base al rischio. Noi, con il supporto degli advisor di Threat Intelligence, abbiamo definito per Zero Trust una strategia graduale che avesse senso. Senza inseguire quick win, quindi senza pensare di poter deliverare subito una soluzione che a livello di protezione dal rischio potrebbe valere poco, abbiamo definito un approccio che ci permette di avere buoni risultati sul fronte della riduzione del rischio. È la conferma che l’approccio basato sulla Threat Intelligence è quello che deve sempre guidare le decisioni.
TIG. State considerando il tema della microsegmentazione?
Vittorio Baiocco. La microsegmentazione può essere utile e nel cloud è già in essere. Abbiamo compiuto uno studio basato su rischi e requisiti di questi ambienti per applicare concetti di multitenant e network security group. Invece, on-prem abbiamo ancora un approccio di contesti DMZ virtuali, ma lo stiamo rivalutando in modo da introdurre sistemi di controllo e segmentazione fino a livello applicativo. Sul cloud, sembra assurdo, ma è così, siamo più avanti che non sull’on-prem. Sul cloud, essendo ambienti nuovi, con best practice e policy adeguate, è possibile realizzare più facilmente una sicurezza degli accessi avanzata, mentre è molto più difficile per ambienti legacy.
Alessio Setaro. Abbiamo valutato la microsegmentazione ma in questo momento, per come siamo fatti noi, è di difficile attuazione, le soluzioni che abbiamo visto lavorano tutte a Layer 7 quindi a livello applicativo. Il resto rimane in zona grigia. Per noi poi è impensabile dotare il client di un ulteriore agent. Inoltre, l’approccio che dicevo prima, con le regole per next generation firewall, può essere alternativo alla microsegmentazione.
TIG. Quali sono le difficoltà che state incontrando nel percorso verso Zero Trust?
Vittorio Baiocco. Le difficoltà principali sono legate alla User experience: si mette un po’ in crisi il rapporto con l’utente, dove gli utenti sono abituati ad avere un certo profilo e certi privilegi che vengono ridotti. Poi c’è il tema della retro-applicabilità del modello ai sistemi legacy – assolutamente la parte più difficoltosa da realizzare. C’è anche il problema di definire un approccio agli accessi completamente diverso, non solo per utenti normali ma anche per addetti ai lavori come i sistemisti.
Alessio Setaro. La principale difficoltà non è di natura tecnologica (come sempre del resto …). Il problema nel definire profilazione e livelli di accesso vale soprattutto per ambienti legacy, dove abbiamo protocolli e autorizzazioni che vanno rivisti per il nuovo paradigma. Gli aspetti organizzativi sono importanti, perché per la definizione dei profili, serve avere una visione a livello organizzativo dei profili autorizzativi. C’è un lavoro importante da fare per spiegare internamente in azienda cosa è esattamente Zero Trust – un lavoro da fare con funzioni aziendali che vanno oltre i dipartimenti tecnologici e di cybersecurity.
TIG. Cosa potrebbe aiutare l’implementazione di un’architettura Zero Trust?
Vittorio Baiocco. È di fondamentale importanza applicare il modello su tutto il perimetro (applicativo, infrastrutturale, virtuale) e qui abbiamo la difficoltà maggiore. Un altro aspetto importante è avere un punto centralizzato per la definizione delle politiche da implementare. L’automazione è quanto mai necessaria: poiché non è un modello monolitico, anzi spesso è in continua evoluzione, le attività manuali aumentano i tempi e i costi della gestione. Seguire un’architettura SASE potrebbe essere già un punto di partenza per implementare questi principi in modo più semplice, però stiamo parlando di cloud. Potrebbe aiutare a mettere in sicurezza anche le infrastrutture ibride, ma non risolve il problema dell’on-prem, che rimane la parte più complicata da far migrare, in quanto, almeno inizialmente, andrebbe fatto in modo prevalente con attività manuali.
Alessio Setaro. Il nostro obiettivo finale è avere innanzitutto un sistema Zero Trust per gli accessi delle terze parti e degli utenti che introducono rischi nell’organizzazione, quanto meno su una superficie critica che può impattare sui processi core del business. Al momento, ci stiamo concentrando su un perimetro legato dall’area tecnologica per sfruttare la possibilità di poter gestire e sperimentare le soluzioni in autonomia o comunque con il supporto dei dipartimenti tecnologici del nostro gruppo in modo tale da produrre un business case che ci supporti nel portare avanti questo verbo all’interno dell’organizzazione. Ci aspettiamo che sarà un percorso complesso e lungo con una previsione di completamento della roadmap che potrebbe richiedere anche più di 2, 3 anni.
A cura di Elena Vaciago,
Associate Research Manager, The Innovation Group
Precedenti Articoli e Interviste sul Tema ZERO TRUST:
13 GIUGNO 2022 – COME IMPLEMENTARE UN’ARCHITETTURA ZERO TRUST
23 MARZO 2022 – ZERO TRUST: COME AVERE UN APPROCCIO EFFICACE
8 MAGGIO 2020 – ZERO TRUST, CRESCE L’ADOZIONE DEL MODELLO
—————–
Il tema degli sviluppi ZT sarà discusso in occasione della Executive Conference
LE BEST PRACTICE DELLA CYBERSECURITY NEL 2022
Passare dalla Cybersecurity alla Cyber Resilience
14 luglio 2022 – Identità Golose – Via Romagnosi 3 – Milano
La conferenza del prossimo 14 Luglio 2022, “LE BEST PRACTICE DELLA CYBERSECURITY NEL 2022. Passare dalla Cybersecurity alla Cyber Resilience” (con un formato altamente interattivo) presenta le Best Practice più attuali nella gestione del cyber risk, ossia, come:
- Prevenire, mitigare, rispondere agli attacchi Ransomware: da dove partire, cosa è prioritario considerare
- Adottare Cybersecurity e Intelligenza artificiale per mettere in sicurezza il Cloud
- Comprendere come impostare un percorso verso la Zero Trust security
- Cogliere l’opportunità del PNRR per investimenti in cybersecurity
- Collegare cybersecurity, IT, gestione dei rischi e Innovazione digitale
- Accelerare SecOps e Risposta con una Real-time Cyber Threat Intelligence
- Rinnovare la Data Protection, tra resilienza cyber e Business Continuity.
ISCRIVITI SUBITO per confermare la tua presenza!!!