Nel maggio 2021, l’ordine esecutivo (Executive Order 14028) emesso dall’amministrazione Biden ha imposto alle agenzie federali il compito di migliorare la propria sicurezza informatica, e nello specifico ha raccomandato le pratiche di sicurezza Zero Trust. L’ordine è arrivato durante la pandemia da Covid19, che aveva spinto un maggiore ricorso al digitale da parte di molte organizzazioni del settore pubblico e privato. In quegli anni si era anche assistito al moltiplicarsi di attacchi informatici di alto profilo, tra cui quelli di SolarWinds, Colonial Pipeline e JBS. Tra le diverse misure, l’ordine del presidente Biden ha richiesto alle agenzie federali di stabilire internamente piani per l’adozione dell’architettura Zero Trust, con obiettivi concreti da raggiungere entro la fine dell’anno 2024.
Cos’è l’architettura Zero Trust? Si tratta in sostanza di un modello di sicurezza che riconosce le minacce all’interno e all’esterno delle reti. Invece di continuare a fidarsi di qualsiasi elemento, nodo o servizio (come avviene ora), un sistema Zero Trust richiede che tutto sia costantemente verificato e autenticato: consente agli utenti di avere pieno accesso solo a quanto necessario per lo svolgimento del proprio lavoro. Questo aiuta a contenere i rischi di violazione informatica. Secondo il modello Zero Trust (ZT), un’intrusione o un attacco possono sempre avvenire: quindi, incorpora il monitoraggio continuo della sicurezza alla ricerca di attività sospette nelle reti e nei sistemi. Questo avviene fatto attraverso controlli granulari e basati sul rischio, e su un’automazione della sicurezza.
Secondo ZT, l’accesso con privilegi minimi andrebbe poi applicato per ogni decisione di accesso, mantenendo gli ambienti il più chiusi possibile. In ZT, infatti, l’accesso a una risorsa informativa (rete, dati, applicazioni e servizi) è consentito per un determinato periodo di tempo con il minor numero possibile di privilegi. Le decisioni di autorizzazione sono prese attraverso la valutazione continua dei privilegi dell’utente e dell’integrità del dispositivo, nonché altre informazioni contestuali. Le risorse e l’infrastruttura sono monitorate attivamente, per valutare lo stato attuale della sicurezza, per la diagnostica e per una mitigazione continua. Una segmentazione Zero Trust aiuta poi, in caso di sospetto incidente, a isolare e mettere in sicurezza singoli device e insiemi di device: si basa su una visualizzazione continua sul traffico di rete, su come workload e device comunicavano, su policy granulari che possono permettere di interrompere le comunicazioni, su aspetti come asset discovery, classificazione, analisi dei comportamenti, su una risposta automatica volta ad arrestare eventuali movimenti laterali.
Qual è la situazione corrente con riferimento ai problemi legati alla sicurezza degli accessi e all’evoluzione dell’architettura di sicurezza verso i principi Zero Trust? Uno studio che risponde a queste domande è il “2023 Zero Trust Security Report” di Cybersecurity Insiders, basato su una survey che ha coinvolto 398 professionisti IT e di cybersecurity negli USA. Obiettivo era comprendere le ultime tendenze di adozione, le sfide, le lacune e le preferenze per una sicurezza Zero Trust.
Quali sono le priorità delle aziende con riferimento alla messa in sicurezza degli accessi
Considerando le priorità dei prossimi anni con riferimento alla sicurezza degli accessi, l’autenticazione multifattore, unita al PAM (privileged account management), risulta al primo posto, con il 65% delle risposte. Seguono il rilevamento di attività anomale con risposta (50%), la sicurezza degli accessi per i device personali non gestiti (46%), visibilità e metriche specifiche (44%).
Fonte: 2023 Zero Trust Security Report, Cybersecurity Insiders
Quali problemi incontrano le organizzazioni nell’assicurare la sicurezza degli accessi
È chiaro che le aziende hanno molti timori con riferimento alle attuali modalità di accesso a reti, sistemi, dati aziendali. Al primo posto (con il 48% delle risposte) figura il tema che alcuni device potrebbero essere particolarmente rischiosi: sistemi non conosciuti, come quelli utilizzati da terze parti o dagli stessi dipendenti in home working; sistemi non compliant o non gestiti dal punto di vista delle regole di cybersecurity aziendali.
Il secondo problema indicato dai rispondenti (47%) è invece quello dell’eccesso di privilegi agli accessi attribuiti ai singoli dipendenti. Segue l’effetto degli attacchi cyber (46%): pensiamo ad esempio al fatto che il phishing ha proprio lo scopo di fornire agli hacker le credenziali per entrare direttamente nei sistemi. Poi, il rischio legato alla Shadow IT (l’uso di app e servizi come il cloud che sfugge al controllo dell’area IT), citato dal 40% dei rispondenti, e il problema di dover affrontare questi temi con procedure manuali, un freno per una reazione veloce dell’IT ai nuovi rischi (37% dei rispondenti).
Fonte: 2023 Zero Trust Security Report, Cybersecurity Insiders
Quanto è diffuso l’eccesso di privilegi tra gli utenti
Intervistando le persone dell’IT e della cybersecurity, sembrerebbe che i privilegi siano in qualche modo sotto controllo: solo un 10% risponde che tutti gli utenti aziendali possono accedere a qualsiasi informazione. Nella maggior parte dei casi (46% delle risposte), sembrerebbe che soltanto “alcuni utenti” abbiano privilegi di accesso superiori a quelli effettivamente richiesti nelle loro attività.