Le aziende moderne hanno bisogno di soluzioni di cybersecurity in linea con l’attuale panorama informatico, costellato da minacce sempre più evolute che riescono a oltrepassare sistemi di sicurezza che, fino ad ora, erano invalicabili. Con l’evoluzione tecnologica, devono evolvere anche i modelli di cybersecurity adottati dalle aziende. Quello che ieri era risolvibile con una classica VPN, oggi non lo è più; è il modello ZTNA la risposta alle esigenze odierne. Scopriamo perchè.
Il modello Zero Trust Network Access (ZTNA) rafforza la sicurezza dei sistemi cyber-fisici
L’accesso remoto è fondamentale nella gestione delle infrastrutture critiche, in quanto consente alle aziende di ottimizzare e scalare le operazioni e mantenere l’efficienza. Tuttavia, introduce anche molte lacune di sicurezza, che crescono con l’aumentare del numero di dispositivi connessi.
Entro il 2025, ci saranno più di 41 miliardi di dispositivi IoT in ambienti enterprise e consumer, pertanto garantire un accesso remoto sicuro è diventata una priorità assoluta per le organizzazioni di infrastrutture critiche che desiderano proteggere i propri dispositivi IoT.
Questo processo, tuttavia, non è così semplice da attuare. Questo perché molte aziende utilizzano ancora soluzioni di accesso tradizionali, come VPN e Jump Box, che non sono adatte a proteggere gli ambienti Extended Internet of Things (XIoT). Le aziende dovrebbero, infatti, affidarsi, a soluzioni che integrano principi di sicurezza come Identity Governance and Administration (IGA), Privileged Access Management (PAM) e Zero Trust Network Access (ZTNA).
Che cos’è Zero Trust Network Access?
Il modello di sicurezza Zero Trust Network Access (ZTNA) fornisce un accesso remoto sicuro ad applicazioni, dati e servizi, indipendentemente dalla posizione dell’utente. ZTNA opera secondo il principio “NEVER TRUST, ALWAYS VERIFY”, garantendo l’accesso solo ai servizi che sono stati esplicitamente concessi all’utente.
L’architettura Zero Trust si è pian piano affermata come alternativa ai modelli di sicurezza basati sul perimetro, che presuppongono che ci si possa fidare solo di utenti e dispositivi già all’interno della rete. Questo approccio è, però, diventato obsoleto con l’avvento della trasformazione digitale e con la diffusione, in tutti i settori, dell’accesso remoto alla rete.
L’adozione di un modello ZTNA richiede un cambiamento di mentalità per le organizzazioni di infrastrutture critiche, che attualmente implementano ancora soluzioni di sicurezza tradizionali. Oggi, infatti, molti rischi e lacune legate alla sicurezza derivano proprio dall’integrazione dell’accesso remoto nelle infrastrutture critiche, come l’intersezione di rete o l’aumento dei rischi per la supply chain.
Vantaggi del modello ZTNA rispetto alle VPN
Con l’aumento della connettività all’interno degli ambienti CPS, le aziende si sono affidate a soluzioni di accesso tradizionali come VPN e jump-server. Tuttavia, secondo Gartner, questi approcci si sono “dimostrati poco sicuri e sempre più complessi da gestire. Spesso mancano anche di un’adeguata granularità per concedere l’accesso a un singolo dispositivo, fornendo invece l’accesso all’intera rete“. Ciò è dovuto al fatto che queste soluzioni non sono state sviluppate per soddisfare i vincoli operativi, la sicurezza o le esigenze uniche del personale degli ambienti CPS.
Rispetto a soluzioni che implementano principi di sicurezza fondamentali come ZTNA, le VPN presentano, infatti, delle carenze nelle seguenti aree:
- Controllo degli accessi – L’accesso alla rete Zero Trust consente l’implementazione di controlli di accesso granulari basati su identità, postura del dispositivo e altri fattori. Le VPN, invece, una volta che l’utente si è autenticato, consento un accesso più ampio alla rete e non danno la possibilità di implementare metodi Zero Trust, creando così delle potenziali lacune di accesso.
- Modelli Trust – ZTNA presuppone zero trust, ovvero l’accesso non viene mai considerato attendibile solo sulla base di fattori come la posizione della rete o l’identità dell’utente. Le VPN, invece, poggiano le proprie fondamenta su un modello basato sul perimetro, concedendo fiducia in base alla posizione all’interno della rete o all’autenticazione riuscita. Una volta all’interno, gli utenti godono di ampi privilegi di accesso, il che può rappresentare una minaccia per la sicurezza.
- Architettura di rete – ZTNA disaccoppia il controllo degli accessi dalla topologia di rete, fornendo in modo sicuro l’accesso alle risorse indipendentemente dalla posizione o dalla rete. Le VPN o altri approcci incentrati sulla rete possono essere limitati da vincoli di rete e possono essere complessi da gestire.
- Postura – L’accesso alla rete Zero Trust riduce al minimo la superficie di attacco e fornisce una postura di sicurezza più solida, verificando costantemente l’affidabilità dell’utente e del dispositivo durante la sessione. Le VPN possono introdurre rischi per la sicurezza, tra cui vulnerabilità del controllo VPN, debolezza della crittografia o controlli di accesso statici.
- User Experience – ZTNA fornisce un accesso fluido alle risorse in base al contesto dell’utente. Questi controlli di accesso vengono applicati in modo trasparente, riducendo al minimo eventuali interruzioni di servizio. Al contrario, le VPN possono introdurre attriti se gli utenti riscontrano problemi di connettività, difficoltà di autenticazione o colli di bottiglia delle prestazioni durante l’accesso remoto alle risorse.
Quale approccio è più adatto a seconda dell’azienda?
Sebbene le VPN siano state efficaci nel fornire connettività remota in passato, non affrontano completamente le sfide e i requisiti di sicurezza informatica degli ambienti di lavoro moderni. Secondo una recente ricerca del Team82 di Claroty, le imprese devono lottare con la proliferazione di strumenti di accesso remoto: il 55% di esse infatti, attualmente presenta quattro o più strumenti di accesso remoto all’interno della propria rete industriale. Ancora più allarmante, però, è che il 79% utilizza soluzioni prive di controlli di sicurezza critici per gli ambienti OT.
Questi strumenti non dispongono di funzionalità di base per la gestione degli accessi privilegiati, come la registrazione delle sessioni, l’audit, i controlli di accesso basati sui ruoli e persino le funzionalità di sicurezza di base, come l’autenticazione a più fattori (MFA). La conseguenza dell’utilizzo di questi tipi di strumenti è un aumento delle esposizioni ad alto rischio e costi operativi aggiuntivi derivanti dalla gestione di una moltitudine di soluzioni.
Per questo motivo, le aziende stanno valutando soluzioni alternative, come quelle che integrano i principi ZTNA, IGA e la gestione degli accessi privilegiati remoti (RPAM), per migliorare la sicurezza e adattarsi in modo efficace al panorama delle minacce in continua evoluzione.
La proposta di Claroty
Claroty, comprendendo le sfide dettate dalle soluzioni di accesso remoto tradizionali, la necessità di misure di sicurezza efficaci e di un’architettura Zero Trust, ha sviluppato una soluzione di accesso remoto appositamente creata per soddisfare le esigenze specifiche del dominio OT.
xDome Secure Access sfrutta i principi IGA, RPAM e ZTNA personalizzati per gli ambienti CPS, consentendo operazioni scalabili e gestite centralmente tramite un servizio basato su cloud. Bilancia l’accesso e il controllo sicuro sulle interazioni di terze parti con i sistemi cyber-fisici, migliorando la produttività, riducendo i rischi e le complessità amministrative e garantendo la conformità in architetture complesse e uniche in una varietà di ambienti CPS.