Il modello Zero Trust è complesso ma ne vale davvero la pena
di Tom Nolle, Network World
Alla fine dell’anno scorso ho ricevuto notizie da un contatto aziendale di lunga data che aveva un grave problema di sicurezza. La sua azienda aveva approntato tre livelli di sicurezza e aveva appena completato un audit, ma nonostante ciò ha dovuto affrontare cinque incidenti di sicurezza e tutti avevano avuto origine all’interno del loro perimetro di sicurezza, aggirando la maggior parte della loro protezione appena messa in atto.
Ciò che questa azienda ha vissuto è tutt’altro che raro e, purtroppo, la fonte di questi problemi e i modi per correggerli sono tutt’altro che facili. Tendiamo a pensare alla sicurezza come a un obiettivo che possiamo raggiungere con un semplice toolkit. Non è così. La sicurezza è lo stato che si raggiunge affrontando tutte le probabili minacce e ogni minaccia deve essere affrontata in un modo unico. I problemi possono derivare da hacker che ottengono l’accesso a un’applicazione o a un database dall’esterno, sfruttando pratiche come il furto di credenziali o lo sfruttamento di un’autenticazione debole.
Possono anche provenire da exploit, in cui gli errori in un programma (applicazione, middleware o sistema operativo) possono essere utilizzati per attivare comportamenti dannosi. Infine, i problemi di sicurezza possono provenire da malware introdotto in qualche modo. Le combinazioni di queste tre modalità tre sono sempre più comuni. Le aziende tendono a concentrarsi, come faceva il mio contatto, sulla sicurezza perimetrale come difesa contro il primo di questi problemi di sicurezza. Hanno quindi trascurato, o forse dovrei dire sottovalutato, gli ultimi due scenari.
Risolvere questi altri due problemi non significa abbandonare la sicurezza perimetrale, ma affrontare tutte le possibili fonti di problemi e quelli segnalati dal mio contatto offrono alcuni spunti importanti sulle regole per affinare l’attenzione alla sicurezza.
La prima regola è che costruire un muro è inutile se si tiene il cancello aperto. La maggior parte delle aziende è troppo debole nel proteggere i dispositivi dei dipendenti e nella maggior parte degli incidenti di sicurezza del mio contatto il problema è stato creato da un laptop infetto. In casi come questi lavorare da casa significa estendere l’accesso VPN aziendale a dispositivi che non solo non sono protetti, ma nemmeno controllati. Ove possibile, i dispositivi di lavoro non dovrebbero essere utilizzati per scopi privati e viceversa.
La seconda regola è che spesso il monitoraggio, la gestione e persino gli strumenti di sicurezza hanno un accesso privilegiato a risorse e applicazioni e, negli ultimi sei mesi, abbiamo riscontrato due problemi di sicurezza principali associati alla contaminazione di uno di questi strumenti: la violazione di SolarWinds e Log4j. Questi problemi dimostrano che ciò di cui abbiamo bisogno per far funzionare le nostre reti, applicazioni e data center può anche farci male; dobbiamo quindi prestare particolare attenzione a queste minacce, tenerci aggiornati e optare per comportamenti anticonformisti.
Mantenere aggiornato il software è fondamentale per applicare entrambe queste regole e, sfortunatamente, questo è spesso un problema per le aziende. Il software desktop, in particolare con il lavoro da remoto, non è per nulla semplice da aggiornare, ma una combinazione tra una gestione centralizzata del software e una revisione programmata delle versioni del software sui sistemi domestici può aiutare. Per quanto riguarda gli strumenti operativi, non siate tentati di saltare gli aggiornamenti negli strumenti open source solo perché sono molto frequenti. Includere una revisione della versione del software per operazioni critiche come parte del programma generale di gestione del software e dare un’occhiata da vicino alle nuove versioni almeno ogni sei mesi è cosa buona e giusta.
Nonostante tutto ciò, non è realistico presumere che un’azienda possa anticipare tutte le possibili minacce poste da tutti i possibili cybercriminalio. Prevenire la malattia è la cosa migliore, ma anche trattarla una volta che si manifestano i sintomi è essenziale. Il principio di sicurezza più sottoutilizzato è che prevenire i comportamenti scorretti significa comprendere i comportamenti corretti. Qualunque sia l’origine di un problema di sicurezza, significa quasi sempre che qualcosa sta facendo qualcosa che non dovrebbe essere fatto. Come possiamo saperlo? Osservando diversi modelli di comportamento. Questo è ciò che dovrebbe essere Zero Trust, un altro termine di sicurezza ampiamente utilizzato in modo improprio.
Cosa significa veramente Zero Trust
Non c’è niente di più facile che apporre un’etichetta su un prodotto o servizio. Se guardate esattamente cos’è una soluzione Zero Trust, vedrete che non abbiamo nemmeno un consenso univoco sul significato del concept. Come potete fidarvi di un termine senza significato o con più significati? Quello che vogliamo da Zero Trust è il monitoraggio e il controllo del comportamento.
Ho chiesto al mio contatto a quante applicazioni potesse accedere un dipendente medio e l’azienda non è stata in grado di rispondere. Come poteva, quindi, l’azienda sapere se un dipendente, o qualcuno che lavorava con il laptop di quel dipendente, stesse rubando dati o contaminando le operazioni? Non sapevano cosa fosse permesso, quindi non potevano bloccare chi o cosa non fosse autorizzato a certi accessi: è qui che entra in gioco Zero Trust.
Il modello Zero Trust dovrebbe presumere che non vi sia alcun diritto implicito di connessione a qualsiasi cosa. I diritti di connessione sono espliciti, non permissivi, e questa è la proprietà sia fondamentale per la sicurezza Zero Trust sia critica per il monitoraggio e il controllo del comportamento.
Nessuno mette in discussione la sfida associata alla definizione della connettività consentita per ciascun lavoratore e dei requisiti di connessione per il software gestionale e operativo, il middleware e altro ancora. Queste difficoltà sono il motivo per cui le aziende spesso non riescono ad accettare la vera sicurezza Zero Trust e perché i fornitori possono vantarsi di offrirlo senza però farlo davvero. Zero Trust è sicuramente una faticaccia da implementare in azienda, ma non potete evitarlo se volete essere veramente sicuri.
Anche affrontare con successo la sfida nel definire la connettività consentita da solo non basta. Un sistema Zero Trust deve riconoscere e registrare i tentativi di connessioni non autorizzate, caratteristica che lo rende un modello di sicurezza così importante. Quasi tutti gli attacchi all’interno del perimetro prendono di mira la connettività e le risorse alla ricerca di qualcosa di interessante; in un valido sistema Zero Trust queste “esplorazioni” vengono rilevate e registrate e ciò mette in allarme l’azienda e fa capire che c’è qualcosa che non va. Un’azione tempestiva può rivelarsi determinante.
Il modo migliore per convalidare un sistema Zero Trust proposto da alcuni fornitori è esaminare il modo in cui applicarlo. Torna utile, ad esempio, supportare un quadro gerarchico per l’assegnazione dei diritti di connessione, perché è probabile che tutti i dipendenti della contabilità, ad esempio, e tutti i software di contabilità dispongano di autorizzazioni di connessione comuni.
Conviene anche fare in modo che le eccezioni registrate vengano archiviate in modo tale che l’analisi tradizionale e persino gli strumenti di intelligenza artificiale possano esaminarle e cercare modelli. Infine, è normale che tutto ciò vi sembri una sfida tutt’altro che semplice da affrontare, perché è probabile che i prodotti che non richiedono particolari sforzi per essere applicati offrano poco in cambio. La creazione di autorizzazioni di connessione e di elenchi delle relative eccezioni è insomma essenziale per la sicurezza, quindi non compromettete queste funzionalità solo perché volete evitare un po’ di fatica e lavoro in più. La sicurezza è certamente difficile da ottenere, ma risollevarsi dai problemi causati da essa è ancora più difficile.