Sebbene sia un concetto che implica la “mancanza assoluta”, la tecnologia “Zero Trust” in realtà è ovunque. Le aziende che hanno deciso di intraprendere progetti Zero Trust affrontano sfide spaventose, perdendo di vista i risultati che questo approccio si propone di raggiungere. I progetti “Zero Trust” puntano a sostituire la fiducia implicita con un nuovo concetto di fiducia esplicita, in continuo adattamento e trasversale a utenti, dispositivi, reti, applicazioni e dati, con l’obiettivo di aumentare il livello di confidenza in tutta l’azienda.
Il primo scopo dell’approccio Zero Trust è passare da “fidarsi, ma verificare” a “verificare, poi fidarsi”. Non potendo ritenere implicitamente affidabile un’entità, dobbiamo continuamente valutarne il contesto. Il secondo obiettivo dell’approccio Zero Trust è l’acquisizione della consapevolezza che il nostro ambiente può essere violato in qualsiasi momento: è questo il vero punto di partenza. Questa tecnologia riduce i rischi e migliora l’agilità delle aziende, eliminando la fiducia implicita e valutando continuamente utenti e dispositivi in termini di identità, accesso adattivo e analisi completa.
Il percorso che porta allo Zero Trust non è uguale per tutte le aziende, tuttavia l’adozione di questo approccio può essere generalmente suddivisa in cinque fasi chiave.
Fase 1: Divieto assoluto di accesso anonimizzato
Dopo aver classificato internamente gli utenti e i livelli di accesso, inventariato tutte le applicazioni e identificato tutti gli asset di dati della tua azienda, puoi passare alla gestione delle identità e degli accessi (inclusa la gestione di ruoli e relative appartenenze), alla ricerca di applicazioni private e di tutta la lista di applicazioni SaaS (software-as-a-service) e categorie di siti web approvate. Dovrai quindi ridurre le possibilità di movimenti laterali e fare in modo che le applicazioni non vengano identificate, e fatte oggetto di scansioni alla ricerca di porte esposte o vulnerabilità. Successivamente, richiederai accesso single sign-on (SSO) con autenticazione multifattore (MFA).
I compiti specifici di questa fase includono la definizione delle sorgenti autorevoli per le identità e con quali altre sorgenti esse debbano eventualmente essere federate, come anche stabilire quando è necessaria un’autenticazione forte e controllare quali utenti possono avere accesso ad app e servizi. Questo passaggio prevede anche che le aziende creino e mantengano un database che mappi gli utenti (dipendenti e terze parti) alle applicazioni. Alle aziende viene anche richiesto di razionalizzare gli accessi alle applicazioni, eliminando le vecchie autorizzazioni (sempre di dipendenti e terze parti) che non siano più richieste per via di cambi di ruolo, partenze, conclusioni di contratti, ecc. Inoltre, va eliminata la possibilità di connessione diretta, facendo in modo che tutti gli accessi siano effettuati attraverso un unico punto di applicazione delle policy.
Fase 2: Mantenere il modello di fiducia esplicita
Una volta che avrai approfondito la conoscenza della tua infrastruttura di applicazioni e identità, potrai passare al controllo degli accessi che è adattivo. Valuta i segnali che provengono da applicazioni, utenti e dati, e implementa policy adattive che richiedono procedure di autenticazione di tipo step-up o in grado di generare alert per gli utenti.
I compiti specifici di questa fase prevedono che le aziende determinino in che modo identificare se un dispositivo è gestito internamente, aggiungendo un contesto alle policy di accesso (blocco, sola lettura, o autorizzazione di specifiche attività a seconda delle diverse condizioni). In questa fase, le aziende aumenteranno anche l’utilizzo dell’autenticazione forte quando i rischi sono maggiori (ad es., la cancellazione di contenuti per gli accessi da remoto ad app private) e lo diminuiranno quando i rischi sono minori (accesso ad applicazioni locali in modalità di sola lettura da dispositivi gestiti). Inoltre, valuteranno i rischi collegati agli utenti e li istruiranno a utilizzare specifiche categorie di applicazioni, continuando a modificare le policy, in modo che esse riflettano sempre i requisiti aziendali variabili. Dovranno anche definire un livello di fiducia per le autorizzazioni all’interno delle applicazioni.
Fase 3: Isolare per contenere il grado di compromissione
Tornando al tema dell’eliminazione della fiducia implicita, le aziende dovranno ridurre al minimo anche l’accesso a risorse web rischiose, in particolare quando gli utenti utilizzano, contemporaneamente, applicazioni gestite. L’isolamento on-demand, ovvero una separazione che si attiva automaticamente in condizioni di altissimo rischio, circoscrive l’impatto di utenti compromessi e di siti web pericolosi o rischiosi.
In questa fase, le aziende sono chiamate ad inserire automaticamente la Remote Browser Isolation quando si accede a siti web rischiosi o da dispositivi non gestiti, e a valutare tale tecnologia come alternativa al reverse proxy del CASB per applicazioni SaaS che presentano un comportamento anomalo alla riscrittura delle URL. Inoltre, in questa fase le aziende devono monitorare le minacce in tempo reale e le dashboard degli utenti in termini di tentativi di comando e controllo e rilevamento di anomalie.
Fase 4: Applicare una protezione dati continua
A questo punto, dobbiamo ottenere visibilità su dove si trovano i dati sensibili e dove vengono condivisi. Per farlo, si monitorano e controllano i movimenti dei dati sensibili trasversalmente ad applicazioni e siti web approvati e non.
In tale ambito, le aziende devono definire completamente la differenziazione per l’accesso ai dati da dispositivi gestiti e non, aggiungendo dettagli di policy adattive affinché consentano l’accesso a contenuti in base al contesto (ad es. accesso totale, sensibile, confidenziale). Possono utilizzare CSPM (Cloud Security Posture Management) per valutare continuamente le configurazioni del cloud pubblico, proteggere i dati e soddisfare i regolamenti sulla compliance. Al contempo, va valutato l’utilizzo di regole e policy relative alla protezione contro la perdita di dati (DLP) in linea per tutte le applicazioni, con l’obiettivo di tutelare i dati e soddisfare, anche in questo caso, i regolamenti sulla compliance. Analogamente, le aziende possono definire norme e policy DLP per i dati at-rest, in particolare le autorizzazioni per la condivisione dei dati da salvare su cloud e le integrazioni application-to-application che consentono la condivisione e il trasferimento dei dati. Nel frattempo, non si deve smettere di analizzare continuamente ed eliminare le autorizzazioni in eccesso, oltre ad adottare e applicare ovunque un modello che prevede meno privilegi.
Fase 5: Perfezionamento grazie ad analisi in tempo reale e visibilità
La fase finale dell’approccio Zero Trust punta ad arricchire e perfezionare le policy in tempo reale, nonché a valutare l’efficacia delle policy esistenti in base alle tendenze degli utenti, alle anomalie di accesso, alle alterazioni nelle applicazioni e alle modifiche del livello di sensibilità dei dati.
A questo punto, le aziende dovranno mantenere la visibilità su applicazioni e servizi destinati agli utenti e sui relativi livelli di rischio; inoltre, potranno acquisire una visibilità maggiore, tramite una comprensione profonda del cloud e dell’attività web, in modo da garantire modifiche continue e il monitoraggio delle policy concernenti dati e minacce. Andranno poi identificati gli stakeholder chiave per i programmi di sicurezza e gestione dei rischi (CISO/CIO, ufficio legale, CFO, SecOps, ecc.), applicando visualizzazioni ai dati che siano in grado di comprendere. Verranno quindi create dashboard condivisibili per acquisire maggiore visibilità dei diversi componenti.
Tra il 2020 e il 2021, la trasformazione digitale è stata accelerata dalla pandemia e, di certo, il moderno business digitale non ha tempo per le classiche autorizzazioni dal team IT. Contemporaneamente però, ci si affida sempre più ad applicazioni e dati trasmessi tramite internet: una procedura che, strano ma vero, non è stata affatto progettata pensando alla sicurezza. È dunque ormai chiaro che è necessario un nuovo approccio per consentire un’esperienza utente che sia rapida e semplice, ma che contempli anche una gestione dei rischi efficace.
di Steve Riley, Field CTO presso Netskope
