In Europa, oltre il 40% delle aziende ha pianificato l’adozione di architetture Zero Trust come parte della strategia di cybersecurity. Un modello che sposta il focus della protezione dal perimetro di rete alle identità, abilitando un livello di sicurezza più adatto ai nuovi modi di operare di aziende e organizzazioni
Lamberto Giannini, Capo della Polizia di Stato non poteva essere più esplicito. «La diffusione della pandemia ha ampliato le opportunità per i sodalizi criminali di effettuare attacchi, i cui bersagli non sono solo i soggetti del circuito finanziario e del settore dei servizi pubblici essenziali, ma anche le strutture del sistema sanitario». Attacchi in crescita rispetto al 2019 – ha precisato Giannini durante l’audizione resa lo scorso aprile davanti alla commissione Affari Costituzionali della Camera. Passati da 147 a 509 secondo i dati del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC). La marcata recrudescenza dei reati ha di fatto vanificato l’effetto deterrenza rappresentato dagli investimenti in soluzioni e servizi per la difesa digitale, circa 1,37 miliardi di euro, + 4% rispetto all’anno precedente, secondo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano. In questo scenario, l’ascesa del modello Zero Trust ci racconta parecchio delle tensioni che attraversano aziende e organizzazioni.
SCENARIO IN RAPIDA EVOLUZIONE
La trasformazione digitale sta cambiando profondamente il modo in cui le aziende lavorano e fanno innovazione. «Un cambiamento radicale – sottolinea Didier Schreiber, regional marketing director, Southern Europe di Zscaler. «La connettività direct-to-internet per l’accesso alle applicazioni e ai carichi di lavoro cloud ha democratizzato il flusso di informazioni e migliorato l’agilità dell’azienda, ma ha anche eliminato l’architettura di sicurezza perimetrale tradizionale esponendola a nuovi vettori di minacce con conseguenti violazioni della sicurezza su larga scala». Le reti non sono più perimetri ben definiti. Utenti, applicazioni e dati sono ovunque. «Cloud ibridi e IoT – spiega Sandro Visaggio, BU cyber security director di SSG SCAI Solution Group – hanno moltiplicato i punti di accesso e autenticazione sia user-to-device che device-to-device. Ciò è dovuto alle numerose applicazioni, al modello di cloud computing, a tutti i paradigmi di erogazione dei workloads che lavorano tra il cloud e l’on premise, all’IoT e alle dimensioni delle LAN che grazie all’SD-WAN hanno raggiunto significative estensioni». In questo scenario in rapida trasformazione, non muta solo il panorama delle minacce. Cambia anche l’ecosistema criminale che le genera.
«Le aziende non possono e non devono considerarsi sicure e anzi devono espandere le aree di controllo su tutto il perimetro sia tecnologico che umano» – sottolinea Fernando De Vivo, cybersecurity operation technical manager – Centro Sud di Axians Italia. «Gli scenari degli attacchi informatici sono cambiati drasticamente e le aziende criminali sono diventate più strutturate, con budget elevati e uno sviluppo di prodotti con l’unico obiettivo di generare profitto». Una valida postura di sicurezza – constata Visaggio di SSG – ha bisogno di assumere che gli attori “malevoli” siano già all’interno dell’organizzazione. Le aziende devono espandere le aree di controllo su tutto il perimetro, tecnologico e umano. «Il modello Zero Trust è l’obiettivo da raggiungere per difendersi in questo scenario ibrido e mutevole». I movimenti laterali – come spiega Girolamo Marazzi, CEO di BlueIT, realtà di Servizi IT che da luglio ha deciso di integrare nel suo oggetto sociale lo scopo di avere un impatto positivo sulla società – possono compiersi partendo dall’esterno del perimetro classico. «Da qui, il concetto di non fidarsi di nessuno, user o device, e di erogare servizi applicativi solo a device e utenti riconosciuti e autenticati». Tra forza lavoro distribuita e orari di lavoro dilatati, non c’è dubbio che l’ambiente lavorativo ha subito gravi interruzioni negli ultimi mesi, costringendo le aziende a modernizzare le proprie misure di sicurezza.
«L’aumento dello smart working – osserva Gianluca Marianecci, business development manager di Bludis e la tendenza verso un modello di lavoro ibrido, sta cambiando e cambierà sicuramente i parametri della cyber security». A seguito della pandemia, nel corso dell’ultimo anno e mezzo – ci dice Diego Pandolfi, research & consulting manager di IDC Italia – le aziende hanno dovuto necessariamente apportare modifiche alle loro architetture di sicurezza per soddisfare le esigenze del lavoro agile e da remoto. «Alcune si sono limitate a effettuare delle modifiche statiche alle configurazioni VPN e firewall, riducendo in questo modo i livelli di sicurezza. Le aziende che invece sono passate a modelli basati sull’identità Zero Trust hanno raggiunto un maggior grado di flessibilità nel fornire livelli di sicurezza adeguati alle loro architetture estese, garantendo così che la produttività e la continuità del business in un contesto operativo in forte trasformazione non andasse a scapito di un aumento del rischio». Poiché è molto probabile che una fetta consistente di smartworkers continueranno a lavorare da casa anche nel prossimo futuro, l’approccio Zero Trust, più adattabile agli ambienti distribuiti, continuerà probabilmente a diffondersi. Come evidenzia Samuele Zaniboni, presales engineer manager di ESET Italia, in azienda operano attori all’interno e all’esterno del perimetro e pertanto – «l’attenzione deve essere massima, valutando ogni possibile rischio».
I PILASTRI DEL MODELLO
Per combattere gli effetti nefasti causati dalla pandemia, molte aziende hanno dovuto adottare i principi di sicurezza Zero Trust per ragioni di mera sopravvivenza. Il modello sposta il focus di protezione dalla rete aziendale – e da un perimetro delimitato dal data center fisico – all’identità e ai device connessi. Quindi a un perimetro esteso e potenzialmente indefinito – come spiega Pandolfi di IDC Italia. «Questo presuppone un controllo stringente sugli accessi e un’iniziale posizione di “negazione predefinita” dell’accesso, con la sola abilitazione per determinati utenti che soddisfano requisiti rigorosi di autenticazione».
Sono due i principi su cui si regge il modello Zero Trust. Primo: al centro della sicurezza non c’è più il perimetro, liquefattosi, ma l’identità di chi accede alle risorse aziendali e organizzative. Secondo: la regola aurea è che non ci si può fidare di nessuno a priori e dunque prima di concedere qualsiasi autorizzazione occorre dimostrare la propria identità. «Il concetto di conoscere “chi o cosa” si stia collegando all’infrastruttura ICT è fondamentale e imprescindibile in ogni progetto di sicurezza» – osserva Fabio Tolomelli, marketing director di MEAD Informatica.
Per implementare un modello di questo tipo è fondamentale disporre di un’architettura tecnologica dinamica, software-defined e incentrata sull’identità. Capace di ridurre la dipendenza dai dispositivi utilizzati o dalla rete e separare l’accesso alle risorse. «I meccanismi di controllo – rileva Pandolfi di IDC – devono quindi essere orientati all’utente. In questo contesto, assumono un ruolo centrale le soluzioni di identity management (IAM), di autenticazione multifattoriale e di gestione dei privilegi (PAM) che consentono l’accesso degli utenti alle sole risorse per le quali detengono i diritti e solo in seguito alla stringente verifica della loro identità». Chiaramente per strutturare un approccio Zero Trust è importante avere ben chiaro che non è solo una questione di strumenti e tecnologie. Bensì di approccio e di logiche di progettazione. «Naturalmente, poiché il modello è legato ai concetti di privilegio minimo e di “never trust, always verify” – osserva Claudio Telmon, membro del direttivo CLUSIT – servono strumenti che da una parte offrano meccanismi di autenticazione sufficientemente efficaci e flessibili tali da permettere di applicare questi concetti senza un impatto eccessivo sugli utenti, e dall’altra rendano gestibile per l’IT la forte integrazione di autenticazione e controllo accessi». Ossia strumenti IAM in grado di garantire sia una profilazione granulare che un’autenticazione robusta e flessibile; oltre a strumenti di federazione, importanti in particolare in relazione ai servizi esternalizzati e sistemi PAM per tenere sotto controllo gli accessi, per esempio da parte dei fornitori. «Non ha senso – spiega Telmon – adottare logiche Zero Trust con gli utenti e poi avere fiducia incondizionata in un accesso VPN dalla rete di un fornitore alle funzionalità di amministrazione dei sistemi. Allo stesso tempo, anche gli strumenti di Mobile Device Management hanno un ruolo importante. Perché il dispositivo personale e gli strumenti di autenticazione installati diventano spesso il cardine e il tramite di questa sicurezza fortemente incentrata sull’utente. Senza dimenticare che questi concetti si applicano sia agli accessi utente, che alle comunicazioni machine-to-machine».
FATTORE UMANO E COMPETENZE
Il presupposto del modello Zero Trust è che sia applicato un profilo di autorizzazione pervasivo a ogni risorsa di un sistema informativo in base all’identità. In altre parole, non può esistere Zero Trust senza gestione della identità e del loro ciclo di vita e degli accessi privilegiati, ancora più critici. Un compito che la tecnologia da sola non può assolvere. Serve invece un approccio strutturato nella definizione dei ruoli, delle risorse e degli accessi. Nella gestione delle identità, la componente procedurale va gestita; occorre cioè definire chi fa cosa su tutti i sistemi che rientrano nel progetto Zero Trust. Per assolvere a questo compito, è fondamentale una preparazione adeguata. Le configurazioni standard, pur disponibili, devono essere adeguate alle diverse necessità. Non c’è un default che vada bene per tutti. «L’architettura Zero Trust è un traguardo sfidante. Ma anche un compito arduo che incontra resistenze per la necessità di tempo, risorse e preparazione spesso mancanti anche nelle moderne multinazionali» – rileva Visaggio di SCAI Solution Group.
Numerose ricerche condotte da IDC confermano che fattore umano e competenze sono tra i primi fattori di attenzione delle aziende quando si parla di sicurezza. «In Europa – ci dice Pandolfi di IDC Italia – il 40% delle aziende dichiarano che le loro principali priorità nell’area delle security operations saranno sia l’awareness dei dipendenti, favorendo quindi una cultura adeguata sulla tematica, sia il superamento dello skill gap creatosi nel corso degli ultimi anni nell’ambito della sicurezza informatica. A fronte di una domanda in forte crescita di professionisti non soddisfatta dal mercato, questa dinamica contribuisce a rendere il costo di accesso a tali risorse spesso molto elevato e non sostenibile per le realtà medio-piccole. Una delle possibili scelte strategiche – continua Pandolfi – potrebbe essere quella di farsi supportare da partner esterni specializzati per la fornitura di servizi di monitoraggio, gestione o outsourcing delle soluzioni di sicurezza a costi inferiori rispetto alla creazione di un team di esperti interno. Fermo restando che le soluzioni più innovative del mercato forniscono elevati livelli di automazione dei controlli sulle attività e gli accessi degli utenti, consentendo di ridurre l’impiego di personale dedicato che può invece essere allocato su attività più strategiche e che vanno oltre il semplice controllo “di chi fa cosa” sui sistemi aziendali». Secondo alcuni osservatori, la complessità dell’approccio Zero Trust avrebbe un impatto positivo anche sulla manutenzione del sistema di accessi e privilegi, continuamente sotto pressione dalla dinamicità odierna di aziende e organizzazioni.
«Un approccio integralmente Zero Trust è la prima risposta a una gestione sempre più complessa del sistema delle credenziali e delle autorizzazioni» – afferma Giancarlo Vercellino, associate director di IDC Italia. «Nel momento in cui qualunque utente, indipendentemente dal ruolo aziendale, viene gestito con lo stesso massimo rigore, ecco che si riesce ad affrontare la sfida di amministrare la sicurezza IT anche nelle organizzazioni più dinamiche. Non esiste più un perimetro che possa ragionevolmente giustificare qualsiasi sistema di credenziali statiche. E del resto, il sistema delle credenziali dovrebbe essere al servizio dell’organizzazione e non il contrario». La filosofia Zero Trust – rileva Telmon – deve entrare “by design” nella progettazione e nell’acquisizione dei servizi. A partire dai processi di business che devono prevedere una chiara definizione di ruoli e flussi. «Come spesso accade, una decisione corretta in fase di progettazione costa poco o niente, mentre intervenire a posteriori ha un costo e una complessità ingestibili. L’acquisizione e la progettazione di un nuovo servizio devono prevedere come requisito la capacità di supportare le logiche di sicurezza e di integrarsi con gli strumenti aziendali a supporto della gestione dei meccanismi di autenticazione e autorizzazione, almeno attraverso strumenti di federazione, oggi ampiamente disponibili, che l’IT deve trasformare in standard aziendale».
RESISTENZE E CRITICITÀ
L’integrazione fra IT e Business da sempre presta il fianco a resistenze più o meno velate. «I meccanismi di autenticazione forte – afferma Telmon del direttivo CLUSIT – per quanto ormai molto “friendly”, si scontrano con un certo grado di resistenza da parte degli utenti; così come l’adozione di logiche di privilegio minimo per le quali è richiesta un’attenzione nella definizione corretta dei ruoli. Inoltre, rimane il tema della difficoltà di definire vincoli “tecnici” quando l’acquisizione, in particolare di servizi esternalizzati in cloud, è fortemente guidata da requisiti funzionali del Business. Se al Business piace un servizio o un fornitore, è difficile avere leve per richiedere che determinati requisiti di integrazione siano rispettati». Persiste tuttora la difficoltà per l’IT di molte aziende a lavorare in modo costruttivo con il Business. «La gestione di zone sicure, come il data center – continua Telmon – sembra semplificare il lavoro dell’IT rispetto alla necessità di autenticare tutto. Un problema tutto interno all’IT, che oltretutto ha difficoltà a considerare “non trusted” qualcosa che lui stesso gestisce in prima persona». Più in generale, alcune possibili resistenze al modello possono derivare dalla necessità per molte realtà di un ridisegno delle applicazioni interne e delle loro modalità di accesso, nonché di un revamping tecnologico delle tecnologie di rete. Con conseguenti aumenti di costi, investimenti e complessità di gestione. «Molti dei sistemi legacy presenti nelle aziende – concorda Pandolfi di IDC –
potrebbero non essere idonei a supportare un modello di protezione Zero Trust che richiede un’architettura di rete e un controllo degli accessi software-defined per consentire tecniche avanzate, dinamiche e contestuali di autenticazione degli utenti e di gestione delle identità». Altri aspetti che possono rappresentare delle criticità per l’adozione di un modello di questo tipo sono, oltre alla già citata carenza di competenze interne, i tempi di implementazione per le realtà maggiormente caratterizzate da sistemi legacy e infine i cambiamenti necessari a livello culturale, organizzativo e di business che questo modello potrebbe richiedere. «Il modello di sicurezza Zero Trust è di per sé una strategia e lo è pertanto anche la sua implementazione. È impossibile convertire tutta l’infrastruttura di un’azienda nel breve periodo» – spiega Visaggio di SCAI Solution Group. «Il miglior approccio è quello di adottarlo per un gruppo di utenti vulnerabili e proseguire poi per segmenti maggiori, verificando via via la validità del modello stesso. Un approccio sempre consigliabile è quello di muoversi con gradualità, fissando delle priorità. Non è possibile fare uno swap del modello all’interno di un’azienda senza pagare dazio. Il consiglio è di procedere per gradi. Partendo, per esempio, da un risk assessment per fissare delle priorità e poi intervenire su quelle più urgenti».
SUPERARE I VECCHI PARADIGMI
In base alla visione di IDC, il modello Zero Trust potrebbe evolvere verso un sistema completo e integrato di controllo su larga scala in grado di garantire l’affidabilità delle attività di monitoraggio, ampie capacità di gestione delle configurazioni e visibilità end-to-end su rete, sistemi e workload di qualsiasi oggetto, device e infrastruttura connessa. «Il numero di device e oggetti che può essere connesso e gestito attraverso questa architettura – spiega Diego Pandolfi di IDC Italia – è potenzialmente molto ampio e potrà estendersi oltre il monitoraggio esclusivo dei device mobili. Per arrivare alla protezione di sistemi edge e macchinari fisici connessi in rete». Le soluzioni di autenticazione andranno nella direzione di un maggior utilizzo di tecnologie passwordless, biometriche e di behavior analysis, basate su machine learning e artificial intelligence. La maggior parte di queste soluzioni sarà erogata in modalità SaaS come un vero e proprio servizio in outsourcing, consentendo alle aziende di affittare e non acquistare hardware e software, riducendo la complessità di gestione. Inoltre, attraverso soluzioni basate su advanced analytics e artificial intelligence, sarà possibile automatizzare le attività di controllo e monitoraggio e i task maggiormente ripetitivi per allocare i team interni su attività a maggior valore aggiunto. Secondo Fabrizio Zarri, master principal cloud architect, regional security domain, South-EMEA di Oracle, la trasformazione delle strategie di cybersecurity verso modelli Zero Trust – «comporterà, da parte dei CISO, l’adozione di tecnologie e processi più agili e standardizzati, in grado di adattarsi alle mutevoli richieste del business della propria organizzazione».
APPROCCIO IN FORTE ASCESA
Nell’evoluzione del modello Zero Trust, Telmon di CLUSIT sottolinea l’impatto dell’adozione di queste logiche anche nello sviluppo applicativo. «Anche le applicazioni, prendendo componenti e servizi da più parti, non sono più da tempo dei monoliti. E anche qui, la fiducia in taluni componenti solo perché si trovano nello stesso contesto è spesso ampia e ingiustificata. Architetture a microservizi rendono bene l’idea di come si possa ridurre questa fiducia eccessiva, anche autenticando le interazioni e adottando delle logiche di privilegio minimo che possono aiutare a contenere e rilevare incidenti dati dalle vulnerabilità dei componenti. Purtroppo – completa il ragionamento Telmon – «lo sviluppo applicativo è una di quelle aree in cui la cultura della sicurezza è più latitante, limitandosi ad aspetti funzionali come l’autenticazione e la cifratura, entrando poco però nelle architetture e nella scrittura del codice». In base ai dati di IDC, nel 2021 in Europa il 43% delle aziende ha pianificato iniziative Zero Trust come parte integrante della loro strategia di sicurezza. A queste si aggiunge un altro 20% circa che ha già in fase pilota l’adozione di un approccio di questo genere. Se si considerano, inoltre, le aziende che già oggi adottano il modello ZT, circa il 13%, è chiaro come la tematica sia all’attenzione di oltre il 75% delle realtà europee.
«La necessità di aumentare la visibilità di quel che accade nella rete e al tempo stesso quella di gestire in modo sicuro gli accessi – spiega Pandolfi di IDC Italia – spinge le aziende verso l’adozione di questo modello. Soprattutto in uno scenario di business in forte evoluzione, caratterizzato dal lavoro da remoto, processi connessi e device che scambiano continuamente dati e informazioni con le risorse aziendali da luoghi e punti di accesso differenti e esterni alla rete aziendale». La maggior parte delle aziende – concorda Schreiber di Zscaler – considera il modello Zero Trust uno strumento per modernizzare il proprio programma di cybersecurity e parte di un progetto di trasformazione più ampio. «I principi sono particolarmente validi per gli ambienti di lavoro distribuiti e, con l’accelerazione dell’adozione del cloud e del telelavoro, ha senso che le aziende considerino il modello Zero Trust come un modo per ottimizzare la sicurezza e affrontare meglio le nuove dinamiche del mondo del lavoro».
SOLUZIONI NON PIÙ PRATICABILI
Se niente e nessuno dovrebbe essere considerato affidabile per definizione, il paradigma Zero Trust troverà sempre più adozione tenendo in considerazione che i servizi saranno nei prossimi anni erogati sempre più in ambienti eterogenei, cloud e geograficamente distribuiti senza più la definizione del perimetro. «Se quindi da una parte si andrà verso ambienti sempre più complessi, dall’altra si renderà sempre più necessaria un’integrazione delle diverse soluzioni e un unico punto di “visione” per prevenire e contrastare qualsiasi tipo di accesso non autorizzato» – afferma Fernando De Vivo di Axians Italia. L’evoluzione dei sistemi informativi e delle minacce ha reso di fatto impraticabili soluzioni ampiamente adottate, che mostrano tutti i loro limiti. Come ci spiega Telmon di CLUSIT, prendiamo il concetto di Trust Zone opposto a quello di Zero Trust, per esempio nella gestione delle reti. Se è vero che ha senso adottare misure di sicurezza maggiori per sistemi più critici, ipotizzare che i sistemi in una rete “a maggior sicurezza” debbano essere considerati “trusted” nell’interazione con sistemi della stessa sottorete o di reti meno sicure, è un’assunzione – ancorché ampiamente diffusa – non più sostenibile». Lo scarso controllo sul traffico in uscita verso Internet si traduce per molte aziende in malware in grado di esfiltrare grandi quantità di traffico. Allo stesso modo, la compromissione di un sistema interno facilita quella di altri sistemi della stessa rete.
Più di tutto – sottolinea Telmon – l’utilizzo di servizi in cloud richiede un controllo stringente e granulare sugli accessi, dato che un servizio in cloud è per definizione accessibile da tutta Internet. Solo così è possibile limitare gli accessi a quelli consentiti e rilevare eventuali accessi anomali. Zero Trust d’altra parte promette sia di ridurre drasticamente gli accessi sia di contenere gli incidenti. D’altra parte, l’idea di partenza è quella di riuscire a tenere il nemico fuori da un perimetro sempre più indefinito, accettando l’idea che prima o poi un attacco andrà a segno. Ragionare ancora per zone, o con paradigmi simili, espone i sistemi informativi a troppe vulnerabilità». Un approccio Zero Trust avrebbe impedito l’attacco ransomware a Colonial Pipeline o quello letale ai danni di SolarWinds? La risposta è no. Un’architettura orientata allo Zero Trust non rende i sistemi di un’azienda a prova di violazione. E neppure è in grado di prevenire questi attacchi o rendere immune un ambiente IT. Il modello Zero Trust riconosce però l’inevitabilità delle intrusioni e prescrive una serie di misure per rilevarli, limitarne l’impatto e rispondere con un certo grado di automazione.
