A cura di Walter van Uytven, SVP of Technology, Alludo

Con i progressi tecnologici anche il cyber crime si sta evolvendo e gli hacker mettono costantemente a punto nuove strategie per lanciare i loro attacchi. Fortunatamente, anche il settore della sicurezza informatica non si è fermato e continua a sviluppare nuovi metodi e soluzioni per prevenire questo tipo di crimini. Una delle strategie più utilizzate dalle aziende per rafforzare la propria sicurezza informatica è lo Zero Trust. Si tratta di un approccio apprezzato da molti analisti, tanto che l’anno scorso, il presidente degli Stati Uniti, Joe Biden, ha firmato un ordine esecutivo per migliorare la sicurezza informatica nel Paese, incentrato proprio sulla strategia di sicurezza Zero Trust.

Questo modello si basa sul principio del non fidarsi mai e verificare sempre, in quanto ogni richiesta di collegamento viene trattata come potenzialmente dannosa e quindi viene valutata interamente prima di essere approvata; è un modo efficace e flessibile per controllare l'accesso a tutti i dati all'interno e intorno al sistema informatico, di rete e di sicurezza di un'azienda.

alludo

Le VPN non funzionano più

Con l’aumento del lavoro ibrido l’approccio Zero Trust è diventato molto popolare. In precedenza, le organizzazioni investivano in reti private virtuali (VPN) per proteggere i dati aziendali. Una VPN costruisce un collegamento sicuro tra due punti, attraverso il quale il traffico Internet viene instradato in modo che terzi non possano accedervi, permettendo di proteggere i dati personali attraverso server sicuri. Sebbene questa possa sembrare una soluzione pratica, oggi non è più adeguata perché non è stata progettata per il cloud. Una VPN è una soluzione "all or nothing" e non ha la flessibilità necessaria per controllare cosa fanno gli utenti e a quali app possono accedere. Una volta ottenuto l'accesso, l'utente può usufruire di tutto ciò che trova sulla rete. Ciò determina un aumento dei problemi relativi alla sicurezza e all’applicazione delle policy aziendali.

Inoltre, gli endpoint di coloro che lavorano in modalità ibrida non sono sempre connessi tramite una VPN e alla rete aziendale, ciò rende più probabile che qualcuno faccia clic su un'e-mail di phishing o venga colpito da un malware in altro modo. Quando un endpoint infetto si connette al server aziendale tramite una VPN, il malware può danneggiare il resto della rete. Inoltre, una VPN potrebbe non essere di facile utilizzo, in quanto i dipendenti devono spesso attivarla da soli e ciò può rivelarsi complesso per gli utenti meno esperti di tecnologia.

Un'alternativa a tutto questo può essere l'implementazione di una soluzione Zero Trust Network Access (ZTNA), che permette di controllare in modo facile e sicuro sia i dispositivi dei dipendenti che operano da remoto, sia quelli di quelli che lavorano in sede. Inoltre, a differenza delle VPN, le architetture Zero Trust presuppongono che l'accesso ai dati non sia uniforme. Ciò consente a estremamente regolamentati, come quello sanitario o finanziario, di implementare questo genere di soluzioni senza rendere disponibili i dati sensibili per tutti i membri dell'organizzazione. Zero Trust consente di lavorare "sempre e ovunque" in modo sicuro attraverso un'autenticazione continua e rigorosa, grazie a un accesso privilegiato e non aperto a tutti.

Come intraprendere una strategia Zero Trust

Il primo elemento da considerare quando si inizia un percorso di implementazione di un’architettura Zero Trust è la creazione di un team altamente motivato. Ciò è importante perché cambiare il modo in cui l'organizzazione si approccia alla sicurezza è comunque un processo lungo e complesso. Un team dedicato avrebbe la funzione di educare e far appassionare tutti gli stakeholder aziendali a questa transizione, smontando tutti i preconcetti e le idee sbagliate intorno a questo approccio. Un altro aspetto fondamentale è quello relativo ai fornitori, che devono definire e implementare in modo puntuale una vero Zero Trust Architecture.

Inoltre è importante che le organizzazioni che intraprendono il percorso verso questo approccio stilino a priori un documento di valutazione per aiutare i CIO, i CISO e i dipartimenti IT a gestire e monitorare l’intero processo.

Negli ultimi anni sono arrivate sul mercato moltissime soluzioni che non sono realmente basate su un’architettura Zero Trust, in quanto non rispettano il principio di cui abbiamo parlato. Ad esempio, una soluzione ZTNA dovrebbe essere in grado di consentire agli utenti di accedere solo ad alcune specifiche risorse di rete attraverso un’autenticazione a più fattori (MFA), molto più sicura in quanto richiede agli user di compiere azioni aggiuntive. Inoltre se una soluzione è dotata di autenticazione a più fattori, deve poter garantire agli amministratori una certa flessibilità, permettendo loro di utilizzare più provider MFA, senza doverli distribuire in ambienti diversi. Questo semplifica la gestione del processo per gli amministratori IT, permettendo loro di ridurre tempi, sforzi e costi.

Altro punto importante è che la soluzione scelta consenta di impostare identità, ruoli e permessi predeterminati. Inoltre, è necessario verificare che il prodotto soddisfi costantemente la conformità con i criteri di sicurezza predefiniti (quale utente è autorizzato a fare cosa) e, secondo il principio del "default deny", blocchi tutte le azioni non consentite. Oltre all'identità, prima di autorizzare l’accesso, le soluzioni ZTNA considerano anche criteri basati sul contesto, come la data, l'ora, la posizione geografica, la connessione di rete e lo stato del dispositivo. Ad esempio, un comportamento atipico e non autorizzato dell'utente, come il tentativo di accedere a un'applicazione di notte o da un altro Paese, può comportare un rifiuto.

Non esiste un’unica roadmap

Sebbene questi suggerimenti possano aiutare le organizzazioni a muovere i primi passi, non è possibile identificare un approccio fisso e valido per tutte le aziende. Tuttavia esistono degli elementi comuni e fondamentali, primo fra tutti il principio del non fidarsi mai e verificare sempre.