Come proteggere le aziende dall’interno e dall’esterno attraverso il framework Zero Trust per rafforzare il profilo di sicurezza, semplificare l’accesso alle applicazioni e garantire un’esperienza digitale ottimizzata per la forza lavoro ibrida

Entrare nel mondo Zero Trust non è certo quel passaggio indolore descritto da troppi presunti esperti negli ultimi tempi. Eppure, avvicinarsi a questo approccio rappresenta un momento entusiasmante e rivoluzionario per qualsiasi azienda, come rivela, in confidenza, il CISO di un’importante azienda italiana del settore delle utility. Tutt’altro che incline ai facili entusiasmi, il CISO in questione, di cui non riveliamo né il nome né l’azienda, non cela la sorpresa di vedere come sia possibile proteggere i dati e le informazioni sensibili in modo così completo e avanzato. E ammette che la mentalità “fidarsi ma verificare”, archiviata sulla carta da un pezzo, in realtà, per ragioni pratiche, rimane ancora molto diffusa. E anche per questo, la prospettiva di verificare ogni attività potrebbe sembrare troppo impegnativa, ma poi si comprendono i vantaggi per la sicurezza dell’azienda.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Molte cose sono cambiate nell’IT da quando nel 2010, John Kindervag, analista di punta di Forrester Research ed ex CISO, in un documento intitolato “No More Chewy Centers: Introducing the Zero Trust Model of Information Security” teorizzava un nuovo modello di sicurezza informatica basato sulla verifica continua di ogni identità e accesso alle risorse organizzative, a prescindere dalla rete di provenienza, e la messa al bando di qualsiasi forma di fiducia implicita all’interno dell’ambiente IT dell’azienda.

Kindervag scrive: “Sulla base dell’idea che tutto all’interno di una rete è attendibile mentre tutto al di fuori di essa non lo è, questi perimetri stanno diventando sempre più porosi man mano che le aziende utilizzano applicazioni e servizi basati sul Web. Nell’odierno scenario di minacce avanzate, semplicemente non si può fare affidamento sui perimetri di rete per proteggere l’azienda. Di conseguenza, è necessario un nuovo modello per la sicurezza delle informazioni che si concentri sulla protezione dei dati sensibili, indipendentemente da dove risiedono”.

Cinque parole condensano la filosofia Zero Trust: non fidarsi di nessuno, mai. E sorretta da una manciata di principi fondanti: limitazione dei privilegi, microsegmentazione della rete, necessità di raggiungere una visibilità completa e continuativa sull’intero ambiente IT dell’azienda e un quadro sintetico di riferimento per l’implementazione dell’approccio che include le definizioni di confini, applicazioni e utenti. Da allora sulle promesse del framework – riduzione del rischio di violazioni dei dati, protezione delle risorse aziendali più critiche, mitigazione più efficace dei rischi e capacità di adattarsi a un ambiente informatico in continua evoluzione – la sua popolarità è costantemente cresciuta, catalizzando un ampio dibattito internazionale.

TUTTI I VANTAGGI

Naturalmente, anche prima che la logica Zero Trust irrompesse sulla scena la consapevolezza di dover affrontare le minacce informatiche in modo più sofisticato e strategico era in forte crescita. Tuttavia, negli anni successivi, la gestione più attenta della sicurezza informatica, sollecitata da un aumento qualitativo e quantitativo delle minacce, ha contribuito ad accrescere l’interesse verso i principi dello Zero Trust. A partire dall’idea, comprensibile a tutti, che ogni attività connessa alla sicurezza debba essere sottoposta a rigorose verifiche, senza dare per sicuro alcun punto di accesso o utente. Al tempo stesso, la dinamicità e la rigidità del modello da subito hanno rafforzato la convinzione che Zero Trust, più di altri approcci ,potesse adattarsi alla variabilità degli scenari, tutt’ora in forte evoluzione. «Con l’affermarsi di un business sempre più digitale, agile, scalabile e rispondente a requisiti di velocità e resilienza, la rete aziendale e i data center stanno rapidamente evolvendo con l’obiettivo di abbracciare paradigmi cloud e distribuiti» – spiega Diego Pandolfi, consulting manager di IDC Italia. «Per non rischiare di rappresentare un collo di bottiglia per le nuove esigenze del business, le funzionalità di sicurezza della rete devono espandersi di pari passo». Centrali in questa prospettiva il mantenimento della visibilità di tutti gli asset aziendali e di rigide politiche di accesso. «Una sfida – osserva Fabio Sammartino, head of presales di Kaspersky Italia – che le aziende stanno cercando di vincere indirizzandosi verso il framework Zero Trust, basato sulla visualizzazione dei diversi componenti che costituiscono l’infrastruttura dell’organizzazione e sulla gestione dei relativi rischi collegati».

L’implementazione di modelli di business sempre più integrati in ecosistemi allargati e la crescente offerta di prodotti e servizi digitali connessi determinano la necessità di adottare nuovi paradigmi di sicurezza che assicurino la massima protezione di identità, accessi e dati, garantendo al tempo stesso la flessibilità necessaria a operare con le nuove logiche di business. «Le strategie di sicurezza e, nello specifico, l’area della network security nel suo complesso – continua Pandolfi di IDC Italia – non possono essere considerati come elementi a sé stanti rispetto all’evoluzione del business e alla trasformazione delle architetture di rete». Con l’applicazione del framework, non esiste nessun livello di “fiducia” a priori garantito a device e utenti. Al contrario, credenziali e privilegi devono essere costantemente verificati e analizzati. «Zero Trust si focalizza sulla protezione delle risorse, come asset, servizi, workflow, account, e non sulle porzioni di rete – spiega Pandolfi – poiché la rete dalla quale avvengono gli accessi, anche se si tratta di quella aziendale, non è più considerata la componente primaria in grado di garantire la massima sicurezza».

Secondo i sostenitori del modello, Zero Trust offre un livello di sicurezza più elevato rispetto ai modelli tradizionali, per la rigorosa applicazione delle politiche di sicurezza ai processi di identificazione, autenticazione e autorizzazione relativi a ogni richiesta di accesso. La verifica costante dell’identità e delle autorizzazioni impedisce l’accesso alla rete aziendale da parte di utenti non autorizzati. Inoltre, la capacità di monitorare costantemente la rete aumenta le possibilità di individuare e risolvere tempestivamente eventuali problemi di sicurezza. «Tra i punti di forza del modello – evidenzia Pandolfi – spicca la capacità di far evolvere le tecniche di difesa da paradigmi statici e basati sul perimetro di rete verso un modello basato invece su utenti, asset e risorse, in grado di rispondere quindi alle nuove esigenze del business digitale e di modernizzazione tecnologica delle aziende».

Leggi anche:  L’area EMEA è la più colpita a livello globale dagli attacchi alle API che prendono di mira il settore del commercio

OSTACOLI ALL’ADOZIONE

Negli ultimi due o tre anni, la diffusione della conoscenza dei principi fondamentali su cui si basa il modello è stata oggetto di approfondimenti e critiche. Secondo le più recenti rilevazioni di IDC, oltre il 40% delle aziende italiane considera Zero Trust una delle priorità per far evolvere l’approccio alla sicurezza di rete, implementare controlli efficaci agli accessi e processi più agili per il lavoro ibrido e assicurare un’esperienza ottimale ai dipendenti. Tuttavia, tali considerazioni sono ancora lontane dall’essere tradotte in un’adozione di massa del modello. «Le aziende che hanno adottato integralmente il modello sono ancora poche» – conferma Pandolfi di IDC Italia. «La maggior parte si trova in una fase di valutazione, assessment o di progetti pilota, con l’obiettivo di aumentare la conoscenza del modello e di valutarne gli impatti sul business, in termini di benefici e costi». Sul tappeto, come è normale che sia, rimangono numerosi punti di discussione aperti: costi d’implementazione, difficoltà di gestione ed effettive capacità del modello di adattarsi alle esigenze specifiche di ogni azienda, i più dibattuti.

ZERO TRUST E SISTEMI LEGACY

Il modello Zero Trust include una serie di tecnologie che devono operare tra loro in modo armonico. Tra queste spiccano quelle di gestione degli accessi privilegiati (PAM), l’autenticazione multi-fattoriale (MFA), strumenti di segmentazione di rete e network access control, architetture SDSA (Software-defined secure access), tecnologie di behavioural monitoring, di analisi del contesto e di automazione. La loro integrazione rappresenta, senza dubbio, una sfida per tutte quelle organizzazioni che al proprio interno utilizzano ancora tecnologie legacy, non più supportate, spesso difficili da integrare con le più recenti soluzioni di sicurezza, ma che rappresentano una parte significativa del patrimonio tecnologico dell’organizzazione. La salvaguardia degli investimenti effettuati negli anni perciò è una preoccupazione comune per chi è impegnato a valutare tempi e modi per integrare al proprio interno Zero Trust.

«Le aziende che raggiungono una buona adozione del modello Zero Trust possono in alcuni casi avere esperienze mediocri, date dal fatto che numerose tecnologie di vendor diversi non vengono interconnesse o non garantiscono miglioramenti se integrate ad altre soluzioni» – mette in guardia Alex Galimi, sales engineer di Trend Micro Italia. Inutile dire che il tema va affrontato con un approccio graduale e una pianificazione attenta. In primo luogo, si tratta di valutare se le tecnologie legacy esistenti possono essere sostituite con soluzioni più recenti o se, al contrario, devono essere mantenute e in qualche modo integrate con quelle da introdurre.

Una strategia utile è quella di prioritizzare gli aggiornamenti tecnologici in base alla loro importanza per la sicurezza complessiva dell’organizzazione e classificare i sistemi più obsoleti in relazione alla loro vulnerabilità alle minacce. Non sempre i sistemi legacy sono incompatibili con tecnologie di sicurezza più moderne. In alcuni casi, queste ultime permettono di implementare controlli di sicurezza adeguati anche su sistemi non proprio di ultima generazione. «Il team Zscaler, impegnato in progetti di trasformazione digitale insieme ai clienti, ha sviluppato diversi strumenti per pianificare al meglio queste evoluzioni» – ci racconta Marco Catino, principal sales engineer di Zscaler. «Per esempio, mediante workshop architetturali finalizzati a coinvolgere tutti i soggetti interessati nell’organizzazione del cliente al fine di comprendere con precisione lo stato attuale, le criticità e gli obiettivi. In base a questi incontri definiamo una roadmap di trasformazione che include i passi di migrazione dalle soluzioni “legacy” a quelle più avanzate».

VIRTUAL PATCHING

Quando proprio le tecnologie più vetuste non possono essere sostituite, una opzione disponibile è quella di ricorrere al virtual patching. «Dalla scoperta di una vulnerabilità al rilascio della patch da parte del produttore possono passare fino a 90 giorni, durante i quali i sistemi rimangono scoperti e facilmente attaccabili» – spiega Galimi di Trend Micro Italia. «Grazie al Virtual Patching la vulnerabilità può essere risolta prima del rilascio della patch ufficiale, bloccando gli attacchi. Trend Micro ha sviluppato una tecnologia efficace e affidabile, anche in situazioni di asset obsoleti, che permette di agire rapidamente e mettere così al sicuro le organizzazioni». In altri casi ancora, le tecnologie legacy possono essere limitate nella loro accessibilità e utilizzo, per esempio restringendo l’accesso solo a determinati utenti o applicazioni autorizzate, riducendo i rischi di compromissione.

L’esperienza ci insegna che non ci sono situazioni non gestibili – come afferma Renato Zanchi, business develop leader di Westcon. «In certi casi, abbiamo associato dispositivi ad hoc a sistemi critici legacy su cui non era possibile operare. Le proposte di Westcon variano da soluzioni di rete a soluzioni di security. Questo ci permette di individuare le esigenze dell’utente senza forzarle in visioni preconcette». Al riguardo Alberto Filisetti, country manager di Netskope, mette in guardia dagli effetti della persistenza di una mentalità legacy, che rappresenta un ostacolo per il business odierno. «L’attuale ecosistema tecnologico legacy si sta dissolvendo e l’apertura mentale diventa vitale. La trasformazione digitale non può avvenire da un giorno all’altro. Perciò è necessario ripensare come fornire un accesso sicuro alle informazioni. Zero Trust, se correttamente applicato, può fornire esattamente questo».

COSTI O OPPORTUNITÀ?

La creazione di una architettura di sicurezza Zero Trust presuppone certamente un impegno significativo da parte delle aziende, in termini di investimenti in tecnologia, risorse e formazione. L’implementazione del modello richiede una riprogettazione completa della rete e dei processi di sicurezza informatica dell’organizzazione. Ciò significa che tutte le risorse IT e di sicurezza devono essere riviste e riassegnate in modo tale da garantire che ogni utente, dispositivo o applicazione sia identificato, autenticato e autorizzato in modo appropriato per accedere alle risorse di rete e alle applicazioni. Infine, i controlli devono essere integrati in ogni fase del ciclo di vita delle applicazioni e della rete, configurati per garantire la massima protezione possibile contro le minacce interne ed esterne. Questo richiede un significativo impegno nella pianificazione, analisi, progettazione, valutazione e selezione delle tecnologie e dei fornitori necessari. Questi sforzi – spiega Eugenia Bolgiani, sales director di Net Studio (parte del Gruppo Indra) – «sono ampiamente ripagati nel medio-lungo termine, in quanto permettono di prevenire le costose conseguenze di una violazione dei dati o di un attacco informatico», con il corollario quasi sempre inevitabile di perdite finanziarie, deterioramento dell’immagine dell’azienda e, in alcuni casi, sanzioni da parte delle autorità di regolamentazione.

Tuttavia, l’applicazione del framework su larga scala a livello infrastrutturale e applicativo può essere realmente oneroso. E questo può spingere le aziende a «comprare soluzioni nativamente Zero Trust invece che costruirle in casa» – mette in evidenza Alessio Stellati, regional director Italy di Rubrik. Per questo Rubrik ha concepito la propria soluzione di Data Security sui requisisti fondanti di Zero Trust: autenticazione dei processi, Multi factor autentication, RBAC, Encryption end-to-end, AirGap e non modificabilità dei dati. Tutte funzionalità che sono intrinsecamente presenti nel codice della piattaforma Rubrik.

Leggi anche:  Il caso VMware (Broadcom), una nuvola troppo rigida?

ZERO TRUST E PMI

Sebbene gli investimenti in tecnologia, personale e formazione siano gravosi per tutte le aziende, per quelle meno strutturate potrebbero rappresentare un ostacolo insormontabile, riducendo notevolmente le possibilità di adottare l’approccio Zero Trust. Non la pensa così Zanchi di Westcon, secondo cui per le strutture più semplici delle PMI, l’approccio Zero Trust può essere garantito attraverso processi adatti a un costo ridotto. «L’importante è scegliere strumenti che permettano di indirizzare tutte le problematiche essenziali in modo omogeneo attraverso un approccio graduale, in base a esigenze e risorse disponibili».

Anche per Massimo Littardi, technical account manager di NovaNext, saper scegliere la soluzione giusta tra le molteplici disponibili è un passo fondamentale. «Soprattutto per le aziende che riservano alla security un budget limitato per finanziare solo i principali progetti». Il suggerimento è di effettuare un assessment per stabilire lo stato iniziale e, in relazione ai risultati, definire i successivi step. «Per esempio, con l’incremento dei furti di credenziali e con la facilità di acquisto di banche dati contenenti user name e password, l’implementazione di una soluzione di autenticazione a più fattori per gli accessi da remoto dovrebbe essere una priorità». Da tempo, inoltre, le principali soluzioni che supportano Zero Trust, come i firewall di nuova generazione, le soluzioni IAM/PAM basate su cloud e gli strumenti di monitoraggio della rete, sono disponibili anche come servizi offerti da fornitori esterni. Ciò riduce la necessità di investire in tecnologie costose e specializzate. Inoltre, questi fornitori possono assistere nell’implementazione dell’approccio Zero Trust, garantendo una transizione graduale e senza interruzioni.

INTEGRARE I FORNITORI ESTERNI

Con l’aumento del numero di aziende che si affidano a fornitori di servizi esterni, prima o poi diventerà necessario estendere le politiche di sicurezza anche a questi soggetti, considerando l’adozione del modello Zero Trust. Tuttavia, questo compito non sarà privo di sfide in termini di gestione. «In linea di principio, un’azienda che pensa di adottare al proprio interno un framework di Zero Trust dovrebbe affidarsi a fornitori in grado di garantire almeno lo stesso livello di gestione della propria sicurezza interna» – spiega Claudio Telmon, membro del Comitato direttivo di CLUSIT. «Effettuata questa verifica, da un punto di vista tecnico l’integrazione non dovrebbe risultare poi troppo complessa». Naturalmente, ciò implica la necessità per l’azienda di controllare il rispetto degli standard di sicurezza stabiliti e l’adozione di tutte le misure necessarie per proteggere i dati dell’azienda.

Leggi anche:  World Password Day, Clusit: password non significa più sicurezza

«All’interno di un processo che si avvale dei principi Zero Trust, bisognerebbe sempre includere tutte le possibili casistiche relative ad accessi terzi e utilizzi straordinari della propria infrastruttura» – rileva Galimi, di Trend Micro Italia. «Le nostre soluzioni di Zero Trust Network Access (Zero Trust NA) permettono in alcuni casi di gestire gli accessi provenienti da dispositivi non gestiti, come quelli di fornitori o partner. Ciò garantisce che le stesse procedure valide internamente possano essere applicate anche nei confronti di chi interagisce con l’azienda». L’azienda in quest’ottica può stipulare accordi di servizio specifici con i fornitori di servizi, nei quali si definiscono le politiche di sicurezza per la protezione degli asset dell’azienda. Allo stesso tempo, può provvedere al monitoraggio delle attività dei fornitori, isolando preventivamente le risorse accessibili solo da essi. In questo modo, si limita il rischio di compromissione dei dati.

Nella visione di Zscaler, il modello Security Service Edge (SSE) rappresenta la soluzione ideale per implementare in maniera pervasiva e scalabile sistemi di sicurezza Zero Trust. «Operare questi servizi di sicurezza attraverso un’infrastruttura cloud – spiega Marco Catino – permette di interagire più facilmente con le terze parti, per esempio integrando i sistemi di autenticazione esistenti, e di diminuire la complessità dell’implementazione in quanto le policy, definite centralmente, seguono l’utente adattandosi dinamicamente al contesto in cui si trova».

COMPLESSITÀ E CAMBIAMENTO

La pianificazione, l’implementazione e la gestione continua sono centrali nel framework Zero Trust, e definiscono la complessità dell’approccio affinché tutto funzioni correttamente. Secondo Telmon di CLUSIT le aziende e le organizzazioni più ricettive rispetto alle promesse dello Zero Trust sono quelle che hanno raggiunto un certo livello di maturità nella gestione della sicurezza. «Zero Trust significa maggiore granularità dei controlli e maggiore integrazione fra i diversi meccanismi e strumenti. Il concetto di security zone nasce per semplificare la gestione dei tanti sistemi e dispositivi. Eliminarlo significherebbe perdere la capacità di gestire questi elementi in modo semplificato». Detto questo, si tende a sottovalutare alcune difficoltà relative all’effettiva implementazione del framework. «Rinunciando ad alcune semplificazioni come le trusted zone, è necessario operare in modo più completo e capillare. Anche se le soluzioni tecnologiche sono disponibili, c’è un tema di costo e soprattutto organizzativo da affrontare – riconosce Telmon.

L’adozione del modello Zero Trust richiede un cambiamento culturale all’interno dell’organizzazione, che può rappresentare un ostacolo significativo. Coinvolgere i dipendenti fin dalle fasi iniziali del progetto è fondamentale per motivare il personale ad aderire alle nuove politiche di sicurezza e aumentare la comprensione dei motivi alla base del cambiamento. La collaborazione e la formazione sono essenziali per rendere la transizione più fluida, mentre una comunicazione interna efficace può aiutare a diffondere i messaggi chiave. La velocità di adozione del modello è direttamente proporzionale alla riduzione del rischio.

«Il concetto alla base dello Zero Trust è fondamentale che sia condiviso dai dipendenti per evitare che cerchino modalità per aggirarlo, mettendo così a rischio i propri dati e l’integrità di quelli aziendali» – spiega Stellati di Rubrik. «D’altro canto, la velocità di adozione del modello è fondamentale nel ridurre il rischio da attacchi cyber. Rubrik supporta questo cambio di passo, semplificando la vita a chi fruisce delle sue soluzioni, integrando nel proprio codice e rendendo “trasparenti” la massima parte delle funzionalità fondamentali dell’architettura Zero Trust».


Zscaler: La formula Zscaler per accelerare su Zero Trust