Come ridurre i costi degli incidenti di sicurezza e far dialogare tecnologie diverse in un insieme coeso? Zero Trust e architettura Mesh per distribuire, gestire, orchestrare servizi di sicurezza, rispondendo alle nuove esigenze di protezione del business connesso e digitale

Di massa, semplificato e insicuro. Così è cambiato lo smart working. Prima poco più di un’opzione, oggi una necessità. Sono circa quattro milioni i lavoratori in Italia per i quali questa è la modalità di lavoro principale. Persone che utilizzano mezzi propri o aziendali: postazioni, reti e dispositivi con un livello di protezione non solo da verificare ma da innalzare in proporzione alla crescita degli incidenti. «In tutti i settori, le aziende sono ampiamente consapevoli dei rischi che corrono nel nuovo scenario di business, caratterizzato da dipendenti che lavorano da remoto, processi che si avvalgono di tecnologie connesse, applicazioni cloud pervasive in ogni area funzionale, prodotti e servizi veicolati su piattaforme digitali e clienti che devono essere gestiti con una logica omnicanale» – spiega a Data Manager Diego Pandolfi, research and consulting manager di IDC Italia. Trasformazione digitale, incarnata in massima parte dalla migrazione al cloud e sempre di più dal ricorso al multicloud. Un vero e proprio boom, alimentato dalle inarrestabili sollecitazioni dettate dall’esigenza di garantire continuità operativa che hanno indotto aziende e organizzazioni ad affidarsi a più di un cloud provider nella spasmodica ricerca di maggiore efficienza, flessibilità e competitività. In questo contesto, la cybersecurity è diventata se possibile una faccenda ancora più complicata. «L’approccio tradizionale alla sicurezza, basato sulla protezione del perimetro “fisico” delimitato dal data center locale o dalla rete aziendale – continua Pandolfi – appare inadeguato a rispondere alle nuove esigenze di protezione di un business connesso e digitale». In realtà, la dissoluzione del perimetro tradizionale inizia ben prima della crisi pandemica. Un confine che certamente oggi si è dilatato e ricomprende dispositivi e tecnologie posizionati ovunque ma solo in parte all’interno del perimetro aziendale.

«La logica del fortino non esiste più» – afferma Giorgio Sbaraglia, membro del comitato scientifico di CLUSIT. «Si tratta di un modello superato e si parla infatti di “deperimetralizzazione”. La sicurezza di rete basata sul perimetro ha dimostrato tutti i suoi limiti, poiché una volta violato, il movimento laterale degli aggressori all’interno delle reti non viene più ostacolato». Le stesse tecniche di protezione non sono più efficaci per contrastare le minacce che arrivano dalla rete. «I sistemi di protezione perimetrale, ancorché sempre più sofisticati ed efficienti, sono comunque esposti all’aggiramento da parte di avversari sufficientemente evoluti, finanziati e determinati». Tutto questo detta una nuova domanda di sicurezza e un cambio radicale del modello di difesa. «Reso ancor più necessario – continua Sbaraglia – dall’everywhere workplace che ha letteralmente distrutto gli statici e chiusi perimetri di difesa all’interno delle mura aziendali, con i dipendenti che possono accedere ad applicazioni e dati aziendali utilizzando diversi dispositivi, ovunque si trovino. Un contesto reso ancora più complesso dall’impiego sempre più diffuso di risorse in cloud e in data center remoti».

BENEFICI E APPLICAZIONI

Di fronte all’ondata di attacchi che ha funestato aziende e organizzazioni nei mesi scorsi, la prospettiva di ridurre del 90% il costo degli incidenti di sicurezza nei prossimi due anni attribuita da Gartner al modello Cybersecurity Mesh Architecture (CSMA) suona molto allettante. Un approccio che secondo gli analisti potrebbe migliorare significativamente nei prossimi anni la sicurezza aziendale, impattata dalla crescente sofisticatezza degli attacchi informatici, dalla migrazione delle risorse al multicloud e dall’esplosione di modelli di lavoro ibrido che hanno costretto le organizzazioni a supportare un’ampia varietà di strumenti di sicurezza scarsamente integrati in ambienti eterogenei. Come si legge nell’analisi dei Top strategic tech trends for 2022 di Gartner, il modello CSMA è un framework per collegare tecnologie disparate in un insieme coeso, dove le informazioni sulla sicurezza e gli avvisi sono condivisi e correlati senza soluzione di continuità tra i prodotti per consentire un rilevamento e una risposta più rapidi.

«Per contrastare efficacemente vettori di attacco sempre più evoluti ed articolati è indispensabile sfruttare in modo integrato tutti gli strumenti di difesa a disposizione» – spiega Dario Sergi, services manager di Westcon. «Aggregando tutte le informazioni raccolte dai sistemi in campo, si ha una maggiore possibilità di identificare attacchi in corso o situazioni pericolose». Il modello – per tornare all’analisi di Gartner – consiste nell’implementazione dei controlli dove sono più necessari. La novità è che invece di avere tutti gli strumenti di sicurezza in esecuzione in un silos, e dunque separati, consente di interoperare, fornendo servizi di sicurezza fondamentali, gestione e orchestrazione centralizzata delle policy. In questo modo, si favorisce la possibilità per aziende e organizzazioni di estendere in modo più efficace i controlli di sicurezza alle risorse distribuite al di fuori del tradizionale perimetro aziendale. «Punto di forza del concetto è una visione organica e connessa della sicurezza» – afferma Fabrizio Leoni, head of innovation portfolio di InfoCert Tinexta Group. «Adottare una strategia CSMA significa approcciare in modo sistematico l’identificazione e l’autenticazione di elementi umani e dispositivi tecnologici nell’ecosistema sempre più distribuito dell’azienda allargata. Dalla prospettiva di un trust service provider quale è InfoCert, il punto imprescindibile di una tale strategia è senza dubbio il disegno consistente del layer di “identity fabric”, nonché la sua capacità di dialogare con gli altri elementi dell’architettura».

Giampiero Petrosi, SE manager Southern Europe di Rubrik sottolinea invece come uno degli atout del modello sia l’eliminazione dei perimetri e dei confini di un’organizzazione quali punti di riferimento per la sicurezza. «In un contesto dove il data center aziendale non ha più un perimetro definito – ma diventa fluido e spazia tra on-premise, cloud, le case e le postazioni remote dei dipendenti – l’attenzione della sicurezza dal perimetro aziendale si sposta sulla protezione del singolo oggetto che compone la rete e l’infrastruttura aziendale. La sicurezza di ogni singolo oggetto rende l’insieme degli oggetti che compongono l’infrastruttura aziendale a sua volta sicura, cosa non altrettanto vera, in caso di approccio inverso». Un approccio che si configura dunque come qualcosa di più di una semplice alternativa al superato “castello e fossato”. «Un concetto architetturale legato alla sommatoria di tecnologie come il software-defined networking, Zero Trust ed elementi più recenti come Zero Trust Network Access (ZTNA)» – spiega Salvatore Marcis, technical director di Trend Micro Italia. «Questo significa che le attività degli utenti verso gli applicativi vengono messe in sicurezza non sulla base della loro posizione o di quella di altri elementi con cui interagiscono, ma viene fornita in modo indipendente e altamente disponibile, come per esempio, nel caso dei software as a Service».

Leggi anche:  In vigore la Circolare attuativa dell’art. 29 comma 3 del Dlgs. 21/2022: il commento di Tinexta Cyber

Se l’adozione accelerata di ambienti remoti e ibridi in risposta all’emergenza pandemica ha reso obsoleti i vecchi modelli di sicurezza – basati sul blocco di tutto al perimetro e sulla fiducia dei controlli di sicurezza sulle reti interne – la Cybersecurity Mesh Architecture aiuta le organizzazioni ad accelerare questo processo di ripensamento» – osserva Sbaraglia di CLUSIT. Mobilità e modelli di lavoro ibrido d’altra parte sono ormai una necessità per un’ampia percentuale della popolazione connessa e necessitano quindi di una protezione adeguata. «La pandemia ha solo accelerato la tendenza verso l’adozione di un’architettura Mesh» – afferma Antonio Madoglio, senior director systems engineering Italia & Malta di Fortinet. «Molte organizzazioni erano già dirette in quella direzione, concentrandosi su piattaforme e integrazione. Per esempio, la protezione dell’ambiente OT richiede visibilità, monitoraggio e azione su una scala più ampia rispetto al tipico inventario IT». Uno dei pilastri del concetto di Cybersecurity Mesh risiede nella sua capacità di adattarsi bene al passaggio verso contesti ibridi e multicloud. «Ambienti in cui le organizzazioni potrebbero aver bisogno di implementare una sicurezza coerente e coordinata in ambienti IT eterogenei, in evoluzione e in espansione» – riprende Sbaraglia di CLUSIT. «Definendo un quadro in cui le soluzioni di sicurezza discrete possono lavorare insieme verso obiettivi comuni. Il modello CSMA in definitiva consente un approccio più collaborativo, flessibile e scalabile per soddisfare le esigenze di sicurezza in evoluzione. Ottimizzando le risorse e riducendo i costi d’investimento in cybersecurity».

GEMELLI DIVERSI?

Il modello Zero Trust è un disegno architetturale che ha l’obiettivo di far fronte alle nuove esigenze del business distribuito. Come rileva Pandolfi di IDC Italia, la sicurezza Zero Trust si basa su differenti tecnologie in grado di aumentare la sicurezza degli accessi, attraverso strumenti di autenticazione multifattoriale, di gestione dei privilegi e delle identità, ma anche attraverso tecnologie di segmentazione di rete, Network Access Control, architetture software-defined, controlli adattivi e tecnologie di analytics e intelligence per analisi comportamentali e di contesto.

Leggi anche:  Blockchain, sicurezza a più livelli

I punti di forza di questa architettura si riferiscono alla possibilità di aumentare notevolmente la protezione dei sistemi IT, dei dati e delle applicazioni anche in contesti di business distribuiti e caratterizzati da ambienti cloud, multicloud, applicazioni diversificate e architetture basate su microservizi. Sbaraglia di CLUSIT sottolinea come l’approccio CSMA possa essere d’aiuto nell’applicare in modo coordinato più progetti, rendendo più efficace l’implementazione di una Zero Trust Architecture, proprio attraverso una maggiore flessibilità e interoperabilità tra i diversi sistemi di identità e sicurezza. «Come architettura – perché di questo si tratta – l’approccio CSMA può semplificare le architetture di sicurezza del multicloud, del cloud ibrido e della containerizzazione. Oltre ad aiutare le organizzazioni a riconoscere quanto siano complesse le interrelazioni del cloud moderno e a collegare meglio ambienti come il cloud privato e ibrido».

Per Petrosi di Rubrik il modello ha l’obiettivo di rimuovere il focus dal perimetro e di spostarlo su ogni oggetto, dispositivo e punto di accesso. L’applicazione del principio primario di un’architettura Zero Trust è in altre parole – “never trust, always verify”. Lo Zero Trust applica questo fondamentale per ogni componente di una soluzione o di un’infrastruttura aziendale. «I due concetti – continua Petrosi – sono strettamente legati tanto che dal mio punto di vista la CSM è la moderna interpretazione del modello Zero Trust in un concetto fluido, modulare, scalabile e resiliente».

Anche Marcis di Trend Micro Italia concorda sul fatto che la CSMA abbraccia molti dei principi Zero Trust. «ZTNA/Secure Access è un esempio in cui l’accesso ai servizi viene fornito indipendentemente dalla posizione dell’endpoint e dalle risorse a cui si connette ed è sufficientemente flessibile da essere altamente definito dal software». Come SaaS, l’architettura Cybersecurity Mesh può sfruttare il cloud e il cloud networking. E inoltre dovrebbe incorporare la resilienza, in modo che ci sia sempre uno strato di sicurezza attivo anche in uno scenario di attacco o di errore. «Mentre la microsegmentazione si basa sul creare piccole zone di rete – continua Marcis – la Cybersecurity Mesh riguarda l’approccio in cui è lo strato di sicurezza che ci connette alla risorsa o servizio e si assicura che sia sempre presente e non distorto, in base a qualsiasi appartenenza di gruppo o posizione».

Tuttavia come nel caso in cui Cybersecurity Mesh si sovrappone a Zero Trust, Cybersecurity Mesh si sovrappone anche all’orchestrazione e all’automazione. «L’automazione e l’orchestrazione da sole non sono né Zero Trust né Cybersecurity Mesh» – afferma Marcis. Entrambi i modelli spostano la difesa dal perimetro ai dispositivi e agli utenti che si connettono. “Dentro” e “fuori” non hanno più valore in termini di sicurezza perché non importa più da quale rete ci si connette. «Conta invece – afferma Sbaraglia di CLUSIT – chi si connette e quanto è affidabile». La scelta del modello Zero Trust è importante anche perché oggi è importante essere consapevoli che il pericolo può arrivare anche dall’interno. Tuttavia, mentre l’architettura Zero Trust presuppone che ogni dispositivo nell’ecosistema sia già compromesso e potenzialmente ostile, l’architettura Cybersecurity Mesh vede gli ambienti come logicamente separati ed eterogenei. «Un approccio che può essere altresì d’aiuto nell’applicare in modo coordinato più progetti, migliorando l’efficacia dell’implementazione di una Zero Trust Architecture, proprio attraverso la maggiore flessibilità e interoperabilità tra i diversi sistemi di identità e sicurezza».

Cybersecurity Mesh e Zero Trust sono modelli che combinati insieme possono generare sinergie interessanti. Ancora una volta, il tema centrale è l’identità digitale. «Se alla visione di una CSMA – spiega Leoni di InfoCert – uniamo il tema dello Zero Trust, ossia lo spostamento del confine della protezione della sicurezza, risulta infatti chiaro che un approccio di questo tipo deve partire dalla sistematizzazione dei concetti di Identity e di Trust sia all’interno dell’azienda sia nel rapporto tra l’azienda e il mondo esterno. Spingendoci oltre, un approccio promettente all’interoperabilità – indispensabile per l’approccio mesh, sottolinea Leoni – e alla distribuzione in periferia dell’autenticazione/autorizzazione è quello delle nuove tecnologie di identità digitale distribuita, o SSI». Un portafoglio aziendale di identità basato su questi paradigmi – secondo InfoCert – è la scelta più allineata per avviare l’impianto di una architettura di cybersecurity resistente al futuro.

INTEGRITÀ DIGITALE

Inquadrato in una prospettiva di medio periodo, il modello di architettura Cybersecurity Mesh potrebbe riservare sviluppi interessanti. La capacità di approcciare con un punto di vista nuovo alcune delle tematiche più ricorrenti nel campo della cybersecurity contribuisce a far progredire le conoscenze, implementando nuove soluzioni. L’architettura Zero Trust risale alla metà degli anni 90, tuttavia – osserva Sbaraglia di CLUSIT – ha guadagnato popolarità solo dopo la decisione di adottarne i principi da parte di Google nel 2009 e di Forrester Research l’anno successivo, con effetti sulla domanda che solo più di recente i vendor hanno iniziato a intercettare.

Leggi anche:  Check Point Software presenta in Italia la prima edizione della Check Point SecureAcademy

Il modello Zero Trust ha certamente favorito la nascita di nuovi fornitori di tecnologia e ha cambiato i vendor che provano a guidare l’innovazione integrando nuove funzionalità all’interno del proprio portfolio di prodotti e servizi. Dinamiche simili potrebbero svilupparsi anche con il modello CSMA che – secondo Sbaraglia – rappresenta un’evoluzione in continuità dello Zero Trust, in quanto incarna un approccio architetturale che permette un controllo della sicurezza IT scalabile, flessibile e affidabile. Come il modello Zero Trust, la CSMA si concentra sulla definizione di un perimetro di sicurezza intorno all’identità di una persona o di una cosa, in contrasto con l’approccio “città murata o fortino” del passato. E inoltre è progettata per rendere la sicurezza più composita e scalabile, permettendo alle funzioni di sicurezza di interoperare in modo più coeso e collaborativo».

Se la maggiore accettazione dello Zero Trust come modello architetturale ha cambiato la prospettiva dell’IT per esempio nei confronti delle architetture cloud, allo stesso modo l’accettazione di CSMA come strategia potrebbe portare all’evoluzione delle architetture di sicurezza multicloud e ibride nei processi di orchestrazione e containerizzazione. «La strategia Zero Trust oggi diffusa è fondamentale per la CSMA perché consente di implementare una infrastruttura di sicurezza in grado di tracciare tutto ciò che avviene all’interno di una infrastruttura IT» – spiega Sergi di Westcon. «Si tratta di una estensione del classico SIEM, che però si scontra con la crescita esponenziale della complessità della piattaforma al crescere del volume di informazioni da trattare. Ciò che dovrebbe consentire di superare questo limite è l’impiego esteso dell’intelligenza artificiale e del machine learning per processare automaticamente le enormi quantità di dati generati dalle infrastrutture Zero Trust. La CSMA necessità di piattaforme SOAR per automatizzare la gestione degli incidenti generati». Un passaggio sul quale molti esperti di sicurezza concordano nel ritenere che perché il modello CSMA funzioni, tutti gli strumenti e i controlli di sicurezza oltre a produrre o acquisire feed di intelligence sulla sicurezza devono poter comunicare tra loro all’interno di un ambiente aziendale comune. Il modello però non deve fermarsi a questo. La chiave per abilitare un business moderno e affidabile – come spiega Pandolfi di IDC Italia – è sviluppare una strategia di integrità digitale distribuita che sposti l’approccio alla sicurezza e alla conformità verso la misurazione continua e il controllo granulare degli accessi con un’architettura che supporti il ​​processo decisionale in tempo reale e funzionalità di automazione basate su una serie di tecnologie integrate (MFA, PAM, segmentazione di rete, NAC, e così via).

L’approccio alla sicurezza da parte delle aziende deve dunque continuare a evolvere. Secondo IDC, in futuro assisteremo all’affermazione di un modello unificato di “integrità digitale” che avrà come obiettivo primario la protezione di utenti, applicazioni e dati a prescindere dal sistema o dal luogo nel quale si trovano. Per raggiungere un modello di questo tipo sarà fondamentale aumentare le capacità di controlli granulari degli accessi, di autenticazione multifattoriale e di crittografia, insieme all’adozione di tecnologie di segmentazione di rete e software-defined, che sono alla base del modello Zero Trust. Ma allo stesso tempo, anche di policy centralizzate e analisi di contesto in grado di rilevare automaticamente se sono in corso attività anomale sulla rete o comportamenti non idonei da parte dei dipendenti. Un approccio di questo tipo deve essere in grado di integrare una serie di tecnologie e di servizi distribuiti con l’obiettivo di creare un ecosistema “cooperativo” in grado di ridurre l’impatto di eventuali incidenti di sicurezza sui sistemi aziendali.