Il mondo della sicurezza è in continua evoluzione e con esso, il linguaggio impiegato da tecnici e industria della sicurezza e delle nuove tecnologie.
Uno dei termini sempre più presente nell'ultimo anno è "Zero Trust". Ma siamo sicuri di sapere di che si tratta?
Come faccio sempre in questi casi è opportuno procedere dall'inizio, ovvero dalla definizione.
Per capire cosa significa Zero Trust è utile trovare una pubblicazione di riferimento e in questo caso si tratta della NIST 800-207. Come già detto tante volte il NIST (National Institute of Standards and Technologies del Dipartimento del Commercio degli Stati Uniti d'America) è una fonte inesauribile di informazioni.
La pubblicazione 800-207 in particolare si occupa del framework Zero Trust.
Al momento si tratta dello standard di riferimento sia per le organizzazioni governative americane (dal maggio 2021 obbligatorio a seguito di un ordine esecutivo del presidente Biden) che per tutti coloro che in qualche modo hanno a che fare con il modello di lavoro distribuito e in cloud. Secondo Gartner entro il 2025 almeno il 60% delle organizzazioni (pubbliche e private) impiegheranno il framework Zero Trust.
I principi chiave del framework 800-207 sono essenzialmente tre:
- verifica continua. Ovvero mai fidarsi di niente e nessuno;
- limitazione del raggio di interesse in caso di incidente. Mettere in atto una serie di procedure e accorgimenti tecnici che consentano di limitare i danni di un eventuale incidente;
- raccolta automatica e continua di dati di contesto e comportamentali per garantire una risposta accurata.
Il modello Zero Trust si basa sull'assunto che la verifica una tantum dell'utente, dei suoi privilegi e dei dispositivi e servizi utilizzati non è sufficiente a garantire la sicurezza di un sistema in continua evoluzione in cui le tecnologie e i rischi sono anch'essi in continua evoluzione.
Il termine "Zero Trust" è stato introdotto da John Kindervag (Forrester Research Analyst) con il significato di non fidarsi mai e verificare sempre!
Naturalmente ciò significa raccogliere molti dati e informazioni, che elaborati, consentono di avere una idea precisa della situazione degli utenti (privilegi, orari, luoghi di probabile connessione ecc.), dispositivi servizi e rischi cui la nostra organizzazione è soggetta.
Come si può intuire, non si tratta di un lavoro semplice, ma dato l'attuale livello di rischio, probabilmente necessario.
Il passaggio verso una organizzazione "Zero Trust" non è semplice in quanto impatta il modo di lavorare delle persone e quindi può provocare la naturale resistenza al cambiamento, ecco perché il compito di un CISO diviene ancora più complesso almeno nelle fasi di definizione del progetto e più in generale nelle prime fasi applicative.
In alcuni mercati ciò potrebbe significare nell'immediato la necessità per le aziende di prevedere un aumento delle spese di consulenza.
A ben guardare sarebbe necessario applicare il principio Zero Trust anche a livello di sviluppo software e di interazione tra i diversi componenti di una infrastruttura. Molti attacchi si basano infatti sull'assenza o debolezza di strumenti di autenticazione e verifica continua dell'integrità tra i diversi moduli. Il modello Zero Trust trova applicabilità sia a livello micro (hardware, Sistema Operativo, componenti software...) sia a livello macro (interazione tra sistemi, organizzazione aziendale...).
In generale, per la buona riuscita di un programma simile, è di estrema importanza la comunicazione interna e la capacità di supportare le esigenze dell'utente ma soprattutto la formazione interna del personale, sia per far crescere il livello di consapevolezza verso i rischi cyber, sia per minimizzare la resistenza al cambiamento.
Il NIST 800-207 è il framework di riferimento, come abbiamo detto, ma naturalmente le principali firme della sicurezza hanno la loro propria declinazione del concetto "Zero Trust", che spesso fa riferimento ai propri prodotti.
Ciò significa, come sempre, rischi di vendor lock-in, che devono essere attentamente valutati prima di mettere in atto qualunque programma, ma questo vale sempre e comunque.
Alessandro Rugolo, Maurizio D'Amato, Giorgio Giacinto
Per approfondire:
- What is Zero Trust Security? Principles of the Zero Trust Model (crowdstrike.com)
- Modello Zero Trust - Architettura di sicurezza moderna | Microsoft Security
- Executive Order on Improving the Nation's Cybersecurity - The White House
- Universal ZTNA is Fundamental to Your Zero Trust Strategy | SecurityWeek.Com