Negli ultimi mesi le tecnologie che supportano l’approccio ZERO TRUST sono in forte aumento in quanto la conoscenza di questo approccio è in grande espansione. Ecco perché gli IT Manager sono sempre più concordi nell’affermare che potrebbe essere il modo migliore per bloccare le violazioni dei dati aziendali.
Il modello ZERO TRUST, ZeroTrust architecture (o ZeroTrust framework), è stato creato nel 2010 da John Kindervag, che all'epoca era il principale analista di Forrester Research Inc. Alcuni anni dopo, CIO, CISO e altri dirigenti aziendali stanno implementando sempre più Zero Trust man mano che i maggiori vendor di cybersecurity stanno sviluppando soluzioni aderenti a questo approccio. Infatti, mentre gli attacchi diventano più sofisticati, la pressione per proteggere i sistemi e i dati aziendali cresce in modo significativo.
Che cos'è Zero Trust?
Zero Trust è un concetto di sicurezza incentrato sulla convinzione che le organizzazioni non debbano automaticamente fidarsi di nulla all'interno o all'esterno dei suoi perimetri e invece devono verificare qualsiasi cosa provi a connettersi ai propri sistemi prima di concedere l'accesso.
Ecco come la spiega il Dott. Rozenek di TEKAPP: "La strategia Zero Trust si riduce a non fidarsi di nessuno. Ovvero tagliamo tutti gli accessi fino a quando la rete non sa chi sei. Non consentire l'accesso a indirizzi IP, macchine, ecc. fino a quando non si sa chi è quell'utente e se è autorizzato.”
La ragione di tanto focus ed investimenti su ZERO TRUST è la connsapevolezza di imprenditori ed IT manager, ma anche delle case produttrici di antivirus, che gli approcci esistenti non sono in grado di contenere gli attacchi evoluti che negli ultimi 2 anni sono stati sviluppati. I leader aziendali stanno cercando qualcosa di meglio e stanno scoprendo che il modello Zero Trust è in grado di fornire i migliori risultati.
Sicurezza informatica per un nuovo mondo
Il modello di sicurezza delle informazioni Zero Trust fondamentalmente rivoluziona completamente la vecchia filosofia castello-e-fossato che aveva le organizzazioni concentrate sulla difesa dei loro perimetri mentre supponeva che tutto ciò che già dentro non rappresentasse una minaccia e quindi fosse autorizzato ad accedere.
I dati provenienti dal Pronto Intervento Cyber (www.prontointervento-cyber.it) parlano chiaro: l'approccio castello-e-fossato non funziona perché quasi la totalità degli attacchi vede un hacker o ransomware che una volta ottenuto l'accesso all'interno dei firewall aziendali, è in grado di spostarsi attraverso i sistemi interni senza molta resistenza. Infatti, con tecniche di “defence evasion”, di “lateral movements” e di “privileges escalation” sono facilmente in grado di rimanere in “modalità invisibile stealth” all’interno della rete aziendale per più di 200 giorni. In tale tempo riescono ad analizzare e prelevare file, informazioni sensibili e strategiche, anche finanziarie e tributarie, con le quali poi ricattano l’azienda minacciando la pubblicazione o la consegna alle autorità tributarie. Ci conferma Daniel Rozenek:
“Uno dei problemi intrinseci che abbiamo nell'IT è che lasciamo correre troppe cose, con troppe connessioni predefinite. Fondamentalmente ci fidiamo troppo ”.
Ma non è solo il cyber-crime a motivare alla transizione verso lo ZERO TRUST. Gli esperti intervistati affermano che i dipartimenti IT di oggi richiedono un nuovo modo di pensare perché, per la maggior parte, il castello ha un perimetro diverso ora. Le aziende, infatti, non dispongono più di data center aziendali centralizzati ma oggi in genere hanno alcune applicazioni locali e alcune nel cloud con gli utenti - dipendenti, partner, clienti - che accedono alle applicazioni da una vasta gamma di dispositivi, da più posizioni e potenzialmente da tutto il mondo.
Quindi la domanda corretta oggi è:
"Come possiamo assicurarci in questo nuovo modello ibrido e distribuito?"
Le tecnologie alla base di Zero Trust
Le aziende sfruttano la micro-segmentazione e l'applicazione granulare del perimetro in base agli utenti, alla loro posizione e ad altri dati per determinare se fidarsi di un utente, di una macchina o di un'applicazione che cercano l'accesso a una particolare parte dell'impresa.
Zero Trust si basa su tecnologie ZTNA (Zero Trust Network Access) come l'israeliana ZERO NETWORKS nominate da GARTNER "Cool Vendor". Ma anche soluzioni come la difesa con la innovativa tecnologia Deceptive di tutti gli end-point può essere considerata ad approccio ZT in quanto considera sospetto ogni tentativo di accesso all'end-point e ricerca pro-attivamente i comportamenti sospetti presenti negli attacchi come le tecniche di Defense Evasion.
Introduzione a Zero Trust Network Access
La trasformazione della sicurezza informatica aziendale in sicurezza ZERO TRUST non deve essere una rivoluzione ma può essere una evoluzione passo-passo dove prima si proteggono le vulnerabilità maggiori e poi si procede con le priorità successive.
ZTNA protegge le tradizionali tecnologie VPN per l'accesso alle applicazioni e rimuove la fiducia "di default" per consentire a dipendenti e partner di connettersi e collaborare. Una maggiore attenzione da parte delle aziende sulle strategie zero trust e il desiderio di fornire una connettività ibrida più sicura e flessibile per la forza lavoro, sta veicolando un crescente interesse per le soluzioni ZTNA. Infatti, le aziende citano la sostituzione della VPN come motivazione principale per introdurre soluzioni ZTNA.
Gartner definisce lo ZTNA come prodotti e servizi che creano un confine logico di accesso basato su identità e contesto, che comprende un utente aziendale e un'applicazione aziendale. Le applicazioni sono nascoste e non individuabili dall'esterno, mentre l'accesso è limitato tramite un broker che deve erogare la fiducia. Il broker verifica l'identità, il contesto e l'aderenza alle politiche degli user specificati prima di consentire l'accesso, quindi riduce al minimo i movimenti laterali in altre parti della rete.
Il mercato ZTNA si è evoluto dall'essere principalmente un sostituto della VPN ad essere un componente chiave di un'architettura standard e sicura per default.
ZTNA fornisce un accesso controllato alle risorse in base all'identità e al contesto, riducendo la superficie per l'attacco. ZTNA inizia con una posizione di "negazione predefinita della fiducia", quindi eventualmente concede l'accesso in base all'identità dell'user e del suo dispositivo, oltre ad altri attributi e contesto, come ora/data, geolocalizzazione, cyber-posture del dispositivo, ecc.
Gartner ha ottenuto un tasso di crescita anno su anno del 60% per le soluzioni ZTNA.
Il consiglio classico che possiamo dare alle organizzazioni che intendono perseguire la sicurezza ad approccio Zero Trust è di implementare soluzioni ZTNA (ad esempio la innovativa soluzione Made in Israel ZERO NETWORKS) la un passo alla volta e scegliendo gli asset e risorse più critiche da proteggere prima. Nel fare ciò e fondamentale il coinvolgimento dell’IT manager (o del CISO o CIO) e degli altri responsabili funzionali in modo che possano stabilire le priorità di ciò che passa al modello ZERO TRUST e quali parti del loro ambiente possono aspettare.
In che modo i venditori travisano lo Zero Trust
La visione Zero Trust che i vendor di sicurezza informatica ed i system integrator stanno proponendo agli end-user, ovvero grandi aziende e PMI, spesso non è la realtà. Lo scollamento, o forse dovremmo dire “la bugia” inizia già nelle prime fasi di vendita in cui gli utilizzatori finali vengono ammaliati con promesse di facilità d'uso, facilità d’integrazione e servizi reattivi. Purtroppo solo a prodotto installato ci si accorge che la realtà è diversa ed essi non funzionano come promesso.
Il Dott. Daniel Rozenek di TEKAPP ci racconta: "Sia vendor che system integrator, vedendo il grande interesse intorno allo ZERO TRUST stanno cominciando a inquadrare tutti i prodotti che vendono da anni come prodotti "zero trust ". L'abbiamo visto più e più volte quando ci sediamo al tavolo con nostri clienti che ci riportano ciò che i commerciali probabilmente superficiali, oppure desiderosi di fare una vendita veloce, oppure poco onesti, dicono riguardo prodotti che di approccio Zero Trust non implementano proprio nulla. In realtà, ci sono poche e preziose tecnologie specifiche per ZT:
accesso alla rete zero-trust (ZTNA)
micro-segmentazione
PAM - gestione dell'accesso privilegiato
tecnologia “deceptive” per difendere gli end-point"
Le priorità zero-trust dei CISO
Per mantenere i finanziamenti in essere e convincere l'alta dirigenza a investire di più in zero trust, ai CISO piace perseguire vittorie rapide e visibili che mostrino valore. Deceptive e PAM sono spesso i primi progetti zero-trust intrapresi.
Inoltre, in cima agli elenchi delle priorità dei CISO c'è l’utilizzo dell’approccio Zero Trust per proteggere le risorse fuori rete.
Gli alti tassi di crescita del mercato sono una calamita di clamore
La fiducia zero è oggi uno dei settori della sicurezza informatica in più rapida crescita e i suoi tassi di crescita a due cifre in aumento e la valutazione di mercato sono una calamita che attrae vendor, system integrator e commerciali ad inquadrare ogni prodotto in tale approccio, anche in modo ingannevole.
Continua il Dott. Rozenek di TEKAPP: “La fiducia implicita è dilagante in tutte le infrastrutture IT delle aziende italiane. Allora, da dove si può iniziare ad applicare i concetti concreti dello Zero Trust? Quello che consiglio sempre è un piano, come azienda, per implementare in step successivi e per priorità sempre più Zero Trust nella infrastruttura IT. Tale piano può essere facilmente spalmato su più anni in modo che anche il budget sia facilmente affrontabile … in particolare ora che con l’industria4.0 questi investimenti di digitalizzazione sono agevolati. Ad esempio, un piano che piace molto ai miei clienti prevede di proteggere prima tutti gli end-point aziendali con la deception innovativa, brevettata e Made-in-Israel di DECEPTIVE BYTES. Il secondo step prevede la segmentazione di rete con il prodotto ZERO NETWORKS, sempre Made-in-Israel. A ciò segue, sulla base delle caratteristiche di business e di rete del cliente, un ulteriore strumento che può essere la PAM.
Le stime di mercato zero-trust mostrano tutte una crescita solida e pluriennale. L'ultima previsione di Gartner prevede che la spesa degli utenti finali per Zero Trust raddoppierà entro il 2026. Le ultime stime di mercato di Gartner prevedono anche che la spesa degli utenti finali per il mercato della sicurezza delle informazioni e della gestione del rischio aumenterà con una crescita costante del 12,2% annuo.
I team IT e di sicurezza aziendali si rendono conto che la fiducia zero si evolverà man mano che la loro infrastruttura IT si adatta ai mutevoli requisiti di rischio. La proliferazione delle macchine, i nuovi endpoint fuori rete e il consolidamento dei sistemi IT rendono le iniziative ZTNA un continuo work in progress. Rimuovere la fiducia implicita, ottenere l'accesso con i privilegi minimi e sostituire le VPN è un processo lento.
Il dott. Rozenek: "Ci si augura che la rappresentazione ingannevole di Zero Trust sia limitata a pochi prodotti, ma purtroppo la pratica è abbastanza onnipresente e sembra che nessun venditore sia immune dalla tentazione di lavare con ZT tutti i prodotti nel proprio catalogo. Per questo Tekapp adotta una politica diversa, seria e di nicchia: prodotti Made-in-Israel e che supportano un aspetto dell’approccio Zero Trust".
Il rapporto di Forrester Wave mostra una recente ricerca comparativa su oltre 30 fornitori in ZTNA e microsegmentazione. Uno dei crismi utilizzati per valutare i prodotti è stato determinare se la tecnologia dipende da una VPN, o consente a un host su una rete di attaccarne un altro. In tal caso non può essere considerata Zero Trust.
5 considerazioni per scegliere una soluzione ZTNA
1 - Adozione dello ZTNA. Le aziende stanno adottando rapidamente Security Service Edge (SSE) per abilitare in modo sicuro i vantaggi di un'architettura SASE. Un pezzo critico di SSE è un accesso alla rete zero trust (ZTNA), soluzione che consente la connettività per gli utenti, ovunque essi siano, ad una specifica dell'applicazione.
Gartner stima che “Entro il 2025, il 70% delle organizzazioni che implementano lo Zero Trust Network Access (ZTNA) basato su agent sceglierà nella metà dei casi una offerta autonoma e per l'altra metà una sicurezza
provider service edge (SSE) per ZTNA.
2 - Abilita il lavoro ibrido ovunque. Per consentire il lavoro ibrido da qualsiasi luogo, è importante selezionare un fornitore ZTNA che possa facilitarti il tuo piano di espansione e l'agilità della tua impresa. La selezione del fornitore dovrebbe considerare sia la sua presenza workdwide ed il suo grado d'innovazione.
3 - Politiche facili da impostare. La presenza di una console unificata e di un singolo agent, la soluzione scelta dovrebbe essere di facile configurazione per identità ed accesso. Il vantaggio può essere di consentire l'accesso al cloud e ad applicazioni in pochissimo tempo. Non rimanere bloccato con un'applicazione VPN e regole firewall complesse mascherate da vero ZTNA.
4 - Proteggi i dati ovunque. La tua soluzione ZTNA dovrebbe rilevare l'utilizzo dei dati, attività e anomalie comportamentali, far rispettare regole e criteri DLP avanzati e applicare politiche di accesso adattive basata sui rischi degli utenti.
ZTNA connette in modo sicuro gli utenti ad applicazioni e risorse. Spesso queste risorse sono il fiore all'occhiello dell'organizzazione, dal codice
ad altre forme di dati proprietari come segreti commerciali. Seleziona una soluzione che fornisca più opzioni per aiutare la tua organizzazione a proteggere le informazioni.
5 - Integrazione efficace di terze parti. Con le giuste integrazioni e scambi in ambienti multivendor, ZTNA può davvero essere un "game changer" nella cybersecurity aziendale.
Le soluzioni ZTNA servono per prendere decisioni migliori e consapevoli sulla fiducia e l'accesso per un determinato utente. La decisione si basa su una serie di fattori, come come ruolo utente e identità, identità del dispositivo, stato di sicurezza (cyber-posture), tipo di app, rischio dell'app, ecc.
