In ambito cybersecurity si sta delineando un approccio focalizzato sulla strategia più che sulla tattica, lo zero trust.
Per introdurlo partiamo dal fatto che chi si occupa di definire le strategie di cybersecurity solitamente è coinvolto in quattro livelli di impegno.
Strategia generale, l’obiettivo finale di ogni azienda. La direzione strategica di un’organizzazione, che si tratti di una società o di un intero paese, è determinata ai livelli più alti, dai governi e dai consigli direttiv delle aziende. Si tratta della vision e ldela direzione da seguire.
Al secondo livello c’è la strategia: l’idea di fondo utilizzata per raggiungere l’obiettivo finale, definito nella strategia generale. Capi di agenzia, legislatori, generali per lo stato, vice presidenti e responsabili di linee di business per le aziende. L’idea deve essere accolta dal top management e poter essere implementata a livello più basso.
Poi si passa alla tattica, ossia al modo in cui realizziamo l’idea per raggiungere l’obiettivo. Molte persone confondono strategia e tattica e credono di essere strategiche quando, in realtà, sono tattiche. La tattica viene implementata ai livelli più bassi dell’organizzazione.
Infine ci sono le operation: è il modo in cui si utilizzano gli elementi che abbiamo a disposizione. Gli aspetti operativi sono spesso trascurati perché ci si focalizza su attività o tattiche, senza capire l’importanza dell’integrazione operativa. Tattica e operations si allineano per realizzare l’idea strategica in modo tale che gli obiettivi vengano raggiunti.
Quindi, cosa possono fare gli operatori di cybersecurity per allinearsi alle iniziative strategiche delle aziende che devono proteggere?
Ce lo spiega John Kindervag, Field Chief Technology Officer di Palo Alto Networks.
Differenza fra intrusione e violazione
Per prima cosa, è necessario definire l’obiettivo strategico per la sicurezza nell’era digitale, che deve essere fermare le violazioni dei dati.
Per farlo si deve aggiornare la considerazione sul data breach, che non è un’intrusione (qualcuno supera la barriera), ma una violazione, che accade quando i dati vengono prelevati da una rete o da un sistema aziendale e posti nelle mani di persone non autorizzate e, soprattutto, malintenzionate. Quindi, per avere successo in sicurezza, bisogna evitare che dati sensibili finiscano nelle mani sbagliate. Per fare questo è necessaria una strategia che si chiama Zero Trust.
Battere il modello broken trust
Esiste un modello broken trust, costruito sull’assioma “fidati, ma verifica”. È un modello di antropomorfizzazione della rete, alla quale si attribuisce fiducia, ed è il problema principale che si affronta nella sicurezza oggi. La fiducia, spiega Kindervag, è una vulnerabilità. Non serve a un’azienda, né sposta pacchetti su una rete.
Gli unici utenti che beneficiano della fiducia nei sistemi sono gli aggressori che li sfruttano per scopi pericolosi. Bisogna eliminare l’idea di fiducia dai nostri sistemi digitali se si ha speranza di proteggere dati e asset sensibili da intrusioni e violazioni da parte di malintenzionati.
Per questo, secondo Kindervag è necessario adottare il modello Zero Trust.
Zero trust significa sicurezza integrata
In primo luogo la cybersecurity da centro di costo deve diventare un abilitatore di business.
Per farlo i responsabili di business e tecnologia devono ripensare il proprio approccio alla sicurezza in diversi modi, tra cui:
La sicurezza deve allinearsi alle funzioni di business.
La sicurezza deve essere inclusa nella progettazione di reti e applicazioni.
La sicurezza deve essere agile e dinamica, con la flessibilità di effettuare cambiamenti.
Si possono raggiungere questi obiettivi con il modello Zero Trust, con cui le aziende possono posizionarsi con un ruolo non costantemente reattivo alle minacce, ma con la sicurezza integrata nelle proprie tecnologie, cultura e operazioni.
Oggi i decision maker aziendali devono essere aggiornati sulle sfide che i loro team di IT e sicurezza si trovano ad affrontare, in particolare su questo cambio di paradigma importante. Quando capita alla sicurezza, il problema più grande affrontato dai professionisti è l’infrangersi del loro modello di fiducia tradizionale, basato sull’approccio “fidati, ma verifica”.
In questo modello, la rete è stata divisa in due parti, una esterna (la rete untrusted, che collegava l’azienda alla Internet pubblica) e una trusted, a cui tutti gli utenti interni avevano accesso alle risorse sensibili. Questo è ben rappresentato dalla classificazione delle interfacce dei primi firewall. Solitamente avevano due interfacce: una definita trust e l’altra untrust.
Questo modello pervasivo prevede che indicativamente tutti gli eventi di sicurezza, tra cui le violazioni dei dati, derivino dallo sfruttamento di questo modello di fiducia. G
li attaccanti esterni sanno che se riescono a penetrare i confini, otterranno privilegi, ossia la fiducia, e quindi pieno accesso alle risorse. Inoltre, le minacce provenienti da personale interno pericoloso sono davvero un problema, ma i professionisti di sicurezza sono condizionati a pensare che la rete interna sia sicura, mentre internet sia il “male”.
Chi utilizza le risorse di rete interne viene definito utente “fidato”. Tuttavia, alcuni dei recenti incidenti di sicurezza, tra cui le violazioni di Chelsea Manning e di Edward Snowden, sono avvenute tramite utenti su una rete interna considerata affidabile.
Zero trust, i concetti base
Il modello zero trust è basato sul principio che la sicurezza debba essere presente in tutta l’infrastruttura. Il modello è progettato per raggiungere i livelli più alti di ogni azienda, ed essere implementabile in modo tattico dai professionisti utilizzando tecnologia standard.
I concetti alla base di Zero Trust sono semplici:
• L’accesso a tutte le risorse avviene in modo sicuro, indipendentemente dal luogo.
• Il controllo accessi è basato sulla “necessità di sapere” e viene applicato in modo rigoroso.
• Tutto il traffico viene ispezionato e registrato.
• La rete è progettata dall’interno.
• La rete è progettata per verificare qualsiasi elemento e non avere fiducia in nulla.
Lo zero trust è pensato per fermare le violazioni dei dati, azione che può rappresentare l’obiettivo strategico della cybersecurity, in quanto un data breach è l’unico evento IT che può causare il licenziamento del CEO o del presidente dell’azienda. Di conseguenza, lo zero trust è l’unica strategia di sicurezza, il resto è tattica.
Tre vantaggi di un nuovo modello di sicurezza
Ridefinire la sicurezza dall’interno comporta che il modello zero trust sostituisca la protezione perimetrale tradizionale, con una sicurezza onnipresente in tutta l’azienda.
In fase di riprogettazione della rete, le aziende scelgono il framework Zero Trust per tre motivi.
La sicurezza ha la necessità di allinearsi alle funzioni di business. L’ambiente operativo ha bisogno della sicurezza per allinearsi alle funzioni aziendali. Molte società sono divise in dipartimenti e non tutti i team necessitano dello stesso numero di privilegi. Applicare un accesso rigido con privilegi in modo efficace dove necessario è una priorità per chi adotta zero trust.
Le aziende richiedono elasticità e capacità di progettare per accogliere i cambiamenti. SLA, amministratori, requisiti da rispettare, normative e certificazioni differenti necessitano flessibilità e trasparenza per auditor e management. I team responsabili di infrastruttura e sicurezza hanno bisogno di un’architettura che consenta modifiche veloci e ottimizzazioni, senza ostacoli causati da controlli e complessità.
Un’altra caratteristica importante di Zero Trust è che non si tratta di un approccio unico, identico. Non è un formato rigoroso e ripetibile, e può essere progettato nel dettaglio per dati, applicazioni, asset o servizi che un’azienda deve proteggere.
Driver di business
Oggi le aziende desiderano fare leva sulla tecnologia per posizionarne l’amministrazione interna per ottenere maggiore sicurezza e gestibilità. Molte organizzazioni stanno rivedendo la sicurezza al di fuori dei parametri tradizionali e ridefinendo le pratiche di sicurezza per rispondere alle minacce attuali e alle dinamiche di business in continuo cambiamento. Per realizzare questo passaggio, le aziende devono ripensare la sicurezza delle reti legacy per renderla più semplice ed efficiente.
Le iniziative zero trust aiutano su vari fronti.
Gestione dei costi: I team di sicurezza spesso affrontano limitazioni legate a disponibilità di budget e risorse aziendali. Le iniziative Zero Trust aiutano a massimizzare le risorse. Molte aziende adottano un modello da startup quando avviano il processo Zero Trust, ma gestiscono il budget in modo molto attento, assicurandosi di effettuare spese allineate alle competenze del team in termini di amministrazione, manutenzione e scalabilità.
Risorse del personale: I team operativi sono già snelli. Le aziende si trovano con staff sottodimensionati, già stressati dalle esigenze operative quotidiane. I team Zero Trust devono essere inizialmente ridotti e sfruttare l’architettura e la tecnologia esistenti per offrire un modo nuovo di rispondere alle necessità.
Architetture legacy: L’IT tradizionale non è efficiente. Molte reti esistenti sono cresciute in modo organico e non sono progettate per essere abbastanza agili e performanti da rispondere alle esigenze di business. Le innovazioni, come il cloud computing e la mobilità, non consentono alle aziende di operare con le capacità limitate dell’IT obsoleto. Zero Trust utilizza tecnologie e architetture a proprio vantaggio, per rendere l’IT un abilitatore di business e non un suo inibitore.
Abilitazione del cloud: La virtualizzazione del server e i servizi cloud cambiano le regole del gioco. Molte aziende desiderano comprimere l’infrastruttura di rete per ridurre il numero di server, beneficiando della virtualizzazione e dell’ambiente cloud pubblico. La sicurezza in questi cambiamenti tecnologici resta una sfida. L’architettura di rete zero trust è virtualizzata per vivere nel cloud.