5 errori da evitare quando si implementa il modello zero-trust
L’interesse per la sicurezza zero-trust è aumentato significativamente negli ultimi due anni tra le organizzazioni alla ricerca di modi migliori per controllare l’accesso ai dati aziendali in ambienti cloud e on-premise per lavoratori remoti, appaltatori e terze parti. Diversi fattori stanno guidando questa tendenza, tra cui minacce sempre più sofisticate, adozione accelerata del cloud e un ampio e rapido passaggio ad ambienti di lavoro remoti e ibridi a causa della pandemia. Molte organizzazioni hanno scoperto che i modelli di sicurezza tradizionali in cui tutto all’interno del perimetro è implicitamente attendibile non funzionano in ambienti in cui i perimetri non esistono e i dati aziendali e le persone che vi accedono sono sempre più distribuiti e decentralizzati.
Un ordine esecutivo dell’amministrazione Biden nel maggio 2021 che richiedeva alle agenzie federali di implementare la sicurezza zero-trust ha aumentato ulteriormente l’interesse verso questo modello di sicurezza. In un sondaggio condotto l’anno scorso su 362 leader della sicurezza da Forrester Research per conto di Illumio, due terzi degli intervistati hanno dichiarato che le loro organizzazioni hanno pianificato di aumentare i budget zero-trust nel 2022. Più della metà (52%) si aspettava che il proprio programma zero-trust avrebbe offerto vantaggi significativi a livello di organizzazione e il 50% ha affermato che avrebbe consentito migrazioni cloud più sicure.
I fornitori di sicurezza informatica, intuendo una grande opportunità, si sono affrettati a commercializzare una serie di prodotti etichettati come tecnologie zero-trust. Un sondaggio informale condotto dalla società di analisi IT-Harvest su siti Web appartenenti a circa 2.800 fornitori ha mostrato che 238 di essi presentavano in modo prominente il modello zero-trust. “Dopo che la Casa Bianca e la CISA hanno pubblicato una guida per passare a un approccio zero-trust, tutti vogliono allinearsi” afferma Richard Stiennon, capo analista di ricerca di IT-Harvest.
L’hype intorno a queste tecnologie ha però causato una notevole confusione, spingendo Forrester Research, la società di analisi che per prima ha introdotto il concetto, a chiarire la sua definizione di zero-trust moderno all’inizio di quest’anno. “Le fake news propagate dai fornitori di sicurezza sul modello zero-trust hanno causato confusione tra i professionisti della sicurezza”, ha scritto Forrester. “Zero-trust è un modello di sicurezza delle informazioni che nega l’accesso ad applicazioni e dati per impostazione predefinita. La prevenzione delle minacce si ottiene concedendo l’accesso solo alle reti e ai carichi di lavoro che utilizzano policy informate da una verifica continua, contestuale e basata sul rischio tra gli utenti e i dispositivi associati”.
Ecco cinque errori che le organizzazioni devono evitare quando implementano una strategia di sicurezza zero-trust:
Supporre che zero-trust abbia a che fare con ZTNA
L’implementazione dell’accesso alla rete zero-trust (zero-trust network access – ZTNA) è fondamentale per ottenere lo zero-trust. Ma ZTNA da solo non è zero-trust. ZTNA è un approccio per garantire che dipendenti remoti, appaltatori, partner commerciali e altri abbiano un accesso sicuro e adattivo basato su policy alle applicazioni e ai dati aziendali. Con ZTNA, agli utenti viene concesso l’accesso in base alla loro identità, ruolo e informazioni in tempo reale sullo stato di sicurezza del dispositivo, sulla posizione e su una varietà di altri fattori di rischio.
Ogni richiesta di accesso a un’applicazione, a un dato o a un servizio aziendale viene controllata in base a questi criteri di rischio e l’accesso viene concesso solo alla risorsa specifica richiesta e non alla rete sottostante. Negli ultimi due anni, molte organizzazioni hanno implementato o iniziato a implementare ZTNA come sostituto dell’accesso remoto per le VPN. L’improvviso passaggio a un ambiente di lavoro più distribuito a causa della pandemia ha travolto le infrastrutture VPN di molte organizzazioni e le ha costrette a cercare alternative più scalabili.
“Un importante caso d’uso che guida ZTNA è la sostituzione della VPN, a sua volta guidata da una dimensione del lavoro remoto mai vista prima” afferma Daniel Kennedy, analista di 451 Research. “ZTNA fornisce l’accesso a un livello più granulare rispetto a una VPN e riconvalida tale accesso invece di fornire solo un gate di autenticazione all’inizio dell’accesso.” Ma ZTNA è solo una parte del modello zero-trust. “Un’organizzazione non può dire in modo credibile di aver implementato lo zero-trust senza aver implementato la gestione delle identità privilegiate e la microsegmentazione”, afferma David Holmes, analista di Forrester Research.
Forrester definisce la microsegmentazione come un approccio per ridurre l’impatto di una violazione dei dati isolando dati e sistemi sensibili, inserendoli in segmenti di rete protetti e quindi limitando l’accesso degli utenti a tali segmenti protetti con una forte gestione e governance delle identità. L’obiettivo è ridurre al minimo la superficie di attacco e limitare le ricadute conseguenti a una violazione. La chiave per lo zero-trust è garantire che gli utenti, compresi quelli con accesso privilegiato alle funzioni di amministrazione, non ottengano accesso alle app e ai dati più di quanto non abbiano bisogno.
Confondere lo zero-trust con un prodotto
Esistono molti strumenti e prodotti che possono aiutare le organizzazioni a implementare una strategia zero-trust. Ma non confondeteli con la strategia stessa. “Una filosofia zero-trust fondamentalmente non estende più la fiducia implicita ad applicazioni, dispositivi o utenti in base alla loro fonte”, afferma Kennedy. Invece, si tratta di implementare un approccio predefinito di negazione/privilegio minimo per l’accesso con una valutazione continua del rischio che può cambiare in base a fattori come il comportamento dell’utente o dell’entità.
Quando si considerano le tecnologie per l’implementazione della strategia, cercate prima di tutto prodotti con funzionalità che si ricollegano ai principi fondamentali dello zero-trust come originariamente definiti come la microsegmentazione, il perimetro definito dal software e l’integrità del dispositivo. “La più grande disconnessione che sta causando aspettative non soddisfatte è confondere una strategia o una filosofia zero-trust con una specifica implementazione del prodotto”, afferma Kennedy.
Zero-trust senza una sicurezza di base
L’implementazione degli strumenti giusti da sola non è sufficiente se non si presta attenzione ai fondamentali, afferma John Pescatore, direttore delle tendenze di sicurezza emergenti presso il SANS Institute. “Dal punto di vista operativo, il grande errore è pensare di poter raggiungere lo zero-trust senza prima ottenere una sicurezza di base. Se non potete fidarvi delle identità perché sono in uso password riutilizzabili e se non potete fidarvi del software perché non è stato testato, allora ottenere vantaggi da un’architettura zero-trust è impossibile”, continua Pescatore.
Gli strumenti possono aiutare con l’aspetto tecnologico della sicurezza zero-trust. Ma anche in questo caso c’è un sacco di lavoro “mentale” che non può essere evitato, dice Holmes di Forrester. “Ad esempio, un’organizzazione ha ancora bisogno di un approccio convincente alla classificazione dei dati e qualcuno deve controllare i privilegi dei dipendenti e delle terze parti. Entrambi sono compiti non banali e di solito manuali.”
Stiennon di IT-Harvest afferma che un buon approccio per le organizzazioni è quello di identificare e rivedere prima le aree all’interno dell’infrastruttura IT in cui la protezione si basa su una qualche forma di fiducia. “Una volta identificate queste lacune, iniziate a colmarle con controlli tecnici. Potreste ad esempio monitorare i dipendenti per vedere se sono conformi alle policy e dovreste anche crittografare i vostri dati nel cloud in modo da non dover dipendere dal buon comportamento di un provider”, afferma Stiennon.
Avere criteri di accesso utente mal definiti
Un approccio zero-trust può aiutare le organizzazioni ad applicare un controllo degli accessi adattivo e basato su policy alle risorse aziendali che considera una varietà di fattori di rischio in tempo reale, come la sicurezza dei dispositivi, la posizione e il tipo di risorsa richiesta. Se implementato correttamente, tale approccio garantisce che gli utenti abbiano accesso solo alla risorsa specifica richiesta e con privilegi minimi.
Per farlo in modo efficace, gli amministratori della sicurezza e dell’IT devono avere una chiara comprensione di chi ha bisogno di accedere a cosa, afferma Patrick Tiquet, vicepresidente della sicurezza di Keeper Security. Ciò significa enumerare tutti i possibili ruoli utente e quindi assegnarli in base ai requisiti e ai ruoli del processo. “Zero-trust è in realtà un concetto semplice: agli utenti viene concesso l’accesso alle risorse necessarie per svolgere la loro funzione lavorativa e non viene concesso l’accesso a risorse che non sono necessarie”, afferma Tiquet.
Come esempio, Tiquet indica un’unità di rete condivisa a cui tutti in un’azienda con 10 dipendenti potrebbero avere accesso. L’unità contiene informazioni su vendite, risorse umane, contabilità e clienti a cui tutti in azienda possono accedere indipendentemente dal ruolo. “Così facendo, c’è un alto rischio di accesso non autorizzato, perdita di dati, furto di dati e divulgazione non autorizzata. Applicare correttamente lo zero-trust in questa situazione limiterebbe l’accesso, ma non avrebbe un impatto sulla produttività e ridurrebbe drasticamente il rischio per l’azienda”. Tiquet afferma anche che sarebbe meglio attenersi inizialmente a ruoli di accesso ben definiti e quindi assegnare o annullare l’assegnazione di nuovi ruoli di accesso ai singoli utenti in base alle esigenze.
Trascurare l’esperienza dell’utente
I modelli zero-trust hanno un grande impatto sugli utenti finali, quindi non trascurate l’esperienza utente. Quando le iniziative zero-trust vengono fatte di fretta senza preparare adeguatamente gli utenti al cambiamento, la produttività dei dipendenti può esserne influenzata. Un’iniziativa pasticciata o che ha un impatto negativo sugli utenti può anche avere un impatto sulla credibilità dell’intero sforzo di implementazione. “Stabilite uno stato finale desiderato per la vostra strategia zero-trust e implementate metodicamente i diversi pezzi dell’architettura con i vostri fornitori. Quindi, pianificate, gestite e testate attentamente il tutto per garantire che eventuali passaggi aggiuntivi consentano vantaggi di sicurezza commisurati”, conclude Kennedy.