Le aziende devono essere pronte a proteggere i dati e le proprie risorse dato che devono far fronte continuamente a minacce alla sicurezza e ad attacchi malware. L’incremento e la sofisticazione degli attacchi informatici spingono a ripensare i modelli di sicurezza per bloccare i cyber attacchi.
Un modello di sicurezza di rete sempre più usato da diverse aziende è lo “Zero Trust” (o anche “zero trust architecture”, termini coniati dall’analista John Kindervag nel 2010; in italiano “Senza Perimetri”) basato sul principio che sia all’interno che all’esterno del perimetro di rete di un’organizzazione, nulla è automaticamente affidabile. Quindi a nessuna persona o dispositivo è concesso l’accesso ai servizi se non è autenticato e verificato. L’architettura “Zero Trust” prevede che i criteri di sicurezza vengono applicati in base all’identità dei carichi di lavoro, così che la sicurezza venga mantenuta il più vicino possibile alle risorse da proteggere, senza essere influenzata da costrutti di rete come indirizzi IP, porte e protocolli.
Di fatto, l’ubicazione di una risorsa all’interno di una rete aziendale protetta non è un fattore che ne garantisce la sicurezza. Il modello ZT presume l’individuazione di una nuova superficie protetta attraverso cui si implementano dei controlli per creare un micro-perimetro, in genere utilizzando un firewall di nuova generazione (NGFW), chiamato “gateway di segmentazione”, che consente solo il traffico proveniente da utenti e applicazioni autorizzati. Inoltre, è necessario anche monitorare e verificare i metodi di autenticazione multifattoriale (MFA), come la biometria o i codici monouso, gestire identità e accessi (IAM), gestire accessi privilegiati (PAM) e segmentare la rete. In questo modo si ha una visibilità e un controllo completo sugli utenti e sul traffico (incluso quello crittografato) che fanno parte del micro-perimetro.
Sebbene nessuna strategia sia pienamente efficace, la “Zero Trust” consente di mitigare l’impatto dei cyber attacchi e di diminuire i tempi e i costi di risposta. La possibilità di non fidarsi di alcuna connessione senza una verifica preliminare è importante di fronte alla quantità di cloud, endpoint e dati che circolano nei moderni ambienti IT. Infatti, dal punto di vista aziendale e del settore privato, questo modello è una valida soluzione per garantire la sicurezza dei propri sistemi IT, soprattutto nei processi di passaggio al cloud. Inoltre, la strategia di microsegmentazione consente di creare perimetri intorno a determinati tipi di dati sensibili. Durante le verifiche o in caso di attacco, questa modalità offre una visibilità e un controllo superiori rispetto all’accesso privilegiato di molte architetture di rete “piatte”.
Dunque, i principi cardine del sistema “Zero Trust” sono:
- Interrompere ogni connessione nel caso in cui venga rilevato un attacco da parte di un file dannoso;
- Proteggere i dati attraverso i criteri di verifica delle richieste di accesso in base al contesto e analizzare l’identità dell’utente o del dispositivo, la posizione, il tipo di contenuto;
- Ridurre la superficie d’attacco, infatti lo “ZT” permette di connettere gli utenti direttamente alle applicazioni e alle risorse di cui hanno bisogno, ma non alle reti. In questo modo i dispositivi compromessi non possono infettare altre risorse, gli utenti e le app non risultano tracciabili. Inoltre, il monitoraggio continuo di questo “percorso privilegiato” blocca i malintenzionati interni e gli aggressori esterni. È molto importante che ci siano rigidi controlli da parte delle organizzazioni.
Al momento, le aziende stesse che operano nel settore della cyber security si stanno occupando della progettazione e dello sviluppo di modelli costruiti sulla base di questo principio di “Zero Trust”, applicabili ai propri sistemi e fruibili anche da terzi. Tra queste emergono: Okta, società americana specializzata in sistemi di verifica dell’identità umana “zero trust”; Zscaler, impresa californiana di sicurezza cloud che si occupa di sistemi di verifica per l’accesso a software e dispositivi; Palo Alto Networks, multinazionale americana di sicurezza informatica impiegata nella costruzione di reti “zero trust”; Cisco, azienda leader nella fornitura di apparati di networking,che ha creato un proprio sistema di sicurezza “zero trust” per garantire una protezione completa degli accessi alle applicazioni da qualsiasi utente, dispositivo e posizione con il fine di rafforzare gli accessi attraverso verifiche continue e gestione della comunicazione tra le applicazioni.
