La sicurezza informatica è, da sempre, un settore basato sulle barriere. Più una tecnologia riesce a distinguere i cattivi dai buoni, tramite la creazione di qualsiasi tipo di barriere, muri e simili, meglio è. A livello mondiale, nel 2018, le imprese hanno speso più di 107 miliardi di euro per prevenire attacchi informatici, ma le violazioni si sono comunque verificate e circa 765 milioni di persone sono state vittima di attacchi informatici nei soli mesi di aprile, maggio e giugno del 2018.
Le imprese stanno iniziando a capire che la tecnologia da sola non elimina i rischi e non garantisce che le informazioni siano al sicuro. Iniziano a rendersi conto che il modello tradizionale, secondo cui bisogna valutare decine e decine di fornitori per mesi, rischia di diventare una vera e propria fatica di Sisifo, se prima non si applicano la giusta strategia e le prassi corrette. Per molti, questo significa adottare la filosofia "fiducia zero" (Zero Trust).
Zero Trust è un'espressione che ha riguadagnato popolarità negli ultimi due anni, perché è stata riscoperta dai Chief Security Officer e dai fornitori di prodotti tecnologici. L'idea dietro a questo modello a "fiducia zero" è "non fidarsi mai, controllare sempre" e si basa sull'assunto secondo il quale non è possibile distinguere i "buoni" dai "cattivi". Gli approcci più tradizionali, che si fondavano sull'idea di creare dei perimetri ben definiti per tenere lontano i soggetti malintenzionati, non funzionano più. Le risorse (dati, applicazioni, infrastrutture, dispositivi) sono sempre più ibride o completamente al di fuori di questi perimetri. Con il modello Zero Trust, l'elemento della fiducia viene completamente escluso e si pone l'accento su controlli continui.
- Ecco perché la fiducia è il fattore vincente per le aziende di sicurezza informatica
- Superare il "blocco digitale": avere dati di cui possiamo fidarci è fondamentale per una trasformazione digitale di successo
- Con l'arrivo delle prime multe, bisogna riscrivere il concetto di fiducia, nella nuova era della privacy dei dati basata sul GDPR
Si basa su tre aspetti principali:
- Verificare ogni utente, a ogni accesso
- Convalidare ogni dispositivo
- Limitare l'accesso in maniera intelligente
Si tratta di un approccio olistico e strategico alla sicurezza che garantisce che l'identità di ogni utente e di ogni dispositivo a cui viene dato l'accesso a una rete venga verificata.
Il Cloud ha spazzato via l'idea del perimetro
Zero Trust si è affermata rapidamente tra gli addetti ai lavori in parte perché la promessa di una barriera tecnologica come strumento per fermare qualsiasi minaccia e ridurre i rischi si è rivelata inattuabile, nell'epoca del cloud. Le imprese, affidandosi sempre più al cloud per la propria infrastruttura e i propri servizi, utilizzando sempre più dispositivi mobili e adottando in misura sempre maggiore politiche di lavoro a distanza, non fanno altro che creare falle e buchi (quantomeno potenziali) all'interno dei propri firewall.
Lo scorso anno, ho tenuto un discorso allo Zero Trust Summit e ho sentito il Dott. Chase Cuggingham, analista presso Forrester, dire più volte che, in un'epoca di trasformazione digitale, i perimetri non esistono più. I vecchi approcci alla sicurezza non reggono il confronto di fronte alla complessità delle minacce odierne.
Ecco alcune sue dichiarazioni: “Vi diranno 'ci stiamo lavorando, stiamo cercando una soluzione'. Beh indovinate un po' qual era la strategia di Target prima della violazione? Proteggere, individuare, dissuadere e rispondere. Indovinate qual era invece la strategia di OMB prima dell'attacco? Proteggere, individuare, dissuadere e rispondere. Non è una strategia, questa.
Se invece venite qui ed esordite dicendo 'la nostra strategia per la sicurezza è far sì che si vada verso un'infrastruttura a fiducia zero' Ecco, questa sì che è una strategia. Una frase semplice che capiscono tutti".
È tutta una questione di informazioni
In assenza di un perimetro efficace, l'arma migliore che hanno le imprese per contrastare i malintenzionati sono le informazioni. Nella sua essenza, il modello a fiducia zero si fonda sulle informazioni. Infatti, si tratta di avere informazioni a suffficienza riguardo a utenti, dispositivi e comportamento per capire se questi utenti e dispositivi sono chi dicono di essere.
Come suggerito da Cunningham, questo aspetto diventa fondamentale nell'era del cloud e degli smartphone. Dieci anni fa le strategie di sicurezza si basavano su un singolo elemento: capire se la richiesta provenisse da dentro o fuori il firewall. E si trattava di un metodo efficace. La maggior parte degli utenti effettuava l'accesso dal proprio PC desktop mentre era al lavoro o magari da un portatile a casa tramite una VPN.
Non è più così, però. Ormai abbiamo la necessità di poter accedere dall'ufficio, quando siamo al bar o quando siamo su un aereo a nove chilometri d'altezza. Effettuiamo l'accesso da PC desktop, portatili, smartphone e tablet. Quindi, per capire con certezza se dare o meno l'accesso a un utente, un solo segnale non è più sufficiente. Il modello zero trust garantisce che le giuste informazioni di contesto vengano sempre fornite per ciascun utente.
Magari un utente possiede le giuste credenziali, ma siamo sicuri che stia usando un dispositivo di cui ci si può fidare? E se è così, può essere, però, che cerchi di accedere da una località insolita oppure ad un orario non comune. Queste domande rappresentano importanti informazioni di contesto che ci consentono di garantire la sicurezza nel mondo di oggi. Un approccio di tipo fiducia zero, se unito alla giusta tecnologia, permette alle imprese di avere le risposte giuste a questi quesiti.
Secondo la relazione sulle violazioni di dati del 2018 redatta da Verizon (Verizon 2018 Data Breach Investigations Report), più dell'81% delle violazioni è avvenuto a causa di password deboli o rubate. Considerato questo punto, sarebbe da irresponsabili, per le imprese, ritenersi al sicuro solo perché ci si affida a un sistema che prevede nome utente e password. Nel tempo, l'identità online diverrà sempre più complessa e sempre più importante per le imprese e per i consumatori, e vedrete che l'approccio a fiducia zero diventerà un concetto comune per ogni Chief Security Officer.
Per il momento, quando sentiamo parlare di "zero trust" o "fiducia zero", pensiamo di trovarci davanti a un termine tecnico misterioso, ma in realtà si tratta di una strategia fondamentale per la sicurezza informatica nell'epoca del cloud.
Corey Williams, Vice President of Strategy presso Idaptive
