Mai fidarsi. Se un esperto di tecnologia dovesse dare un consiglio a un utente o a un’azienda su come approcciarsi alla cybersecurity nel modo più efficace, sarebbe molto probabilmente quello. Mai fidarsi e verificare sempre chi voglia connettersi a una rete e accedere a dei dati, e come questi intenda farlo.
In estrema sintesi, questo approccio è racchiuso nel concetto di Zero Trust, che nel panorama aziendale contemporaneo è il riferimento nella costruzione delle architetture di sicurezza. L’epoca che viviamo ha ormai accantonato il concetto di perimetro aziendale. Smart Working, diffusione della modalità as-a-Service, utilizzo sempre più frequente per lavoro dei propri dispositivi personali (il cosiddetto BYOD, Bring Your Own Device): tutto ciò mette inevitabilmente fuori dal controllo aziendale utenti e dipendenti. Giocoforza, si afferma l’esigenza di non fidarsi di niente e di nessuno; nemmeno di chi lavora per l’azienda stessa.
«Parlare di Zero Trust non significa parlare di una tecnologia specifica ma, appunto, un approccio progettato per affrontare tutte le minacce, interne ed esterne- racconta Davide Telasi, Sales Account manager per HWG -. Sostituisce l’architettura di sicurezza basata sul perimetro aziendale garantendo che le decisioni relative alla security e agli accessi vengano applicate dinamicamente in base a diversi elementi: l’identità di chi accede, i dispositivi che utilizza, il contesto in cui si trova La base del sistema si fonda sulla regola secondo la quale solo gli utenti e i dispositivi che siano autenticati e autorizzati accedano alle app e ai dati, proteggendoli da minacce avanzate che provengano dalla rete».
Il sistema dell’applicazione dinamica
L'applicazione dinamica di accessi e permessi per gli utenti è la chiave dell’approccio Zero Trust, perché consente alle aziende di selezionare solo le applicazioni necessarie all’utente stesso, e non altre. «In questo modo l’azienda capisce l’identità di chi accede e lo limita solo all’area assegnata, senza permettergli ulteriori movimenti - spiega Telasi -. Prima, con l’applicazione statica delle policy, ci si limitava a verificare che l’utente fosse nel perimetro della LAN, lasciandogli la possibilità di fare quello che voleva».
Il dinamismo si concretizza nelle diverse possibilità per l’utente di garantire la propria identità, per esempio ricorrendo alla Multifactor Authentication (MFA), e nell’uso di tecnologie avanzate che permettano all’azienda di monitorare le procedure di autenticazione e di autorizzazione prima di fornire l’accesso, o di proteggersi da minacce quali phishing, malware Zero Day ed esfiltrazione di dati.
Ma Zero Trust è una tecnologia?
Come si è inteso finora, quando si parla di Zero Trust non ci si riferisce a un’unica, specifica tecnologia. «Nessuno dirà mai a un’azienda di prendere questo o quel pacchetto - precisa Telasi -. La questione riguarda l’approccio e le strategie aziendali di protezioni, costruite facendo riferimento a una combinazione di tecnologie».
Il ventaglio è ampio, ma si possono evidenziare quattro pilastri senza i quali l’approccio Zero Trust non sarebbe mai completamente valido. «Autenticazione multifattoriale, la MFA; l’Identity Access Management, cioè l’insieme delle tecnologie che abilitano la gestione delle identità e degli accessi (IAM); Privileged Access Management, ossia la gestione degli accessi privilegiati (PAM); segmentazione della rete in tante sottoreti per ottimizzare le policy di governance e di accesso. Se devo indicare gli elementi imprescindibili per un'efficace strategia Zero Trust, direi questi», afferma Telasi.
Le aziende e Zero Trust: un rapporto in costruzione
L’aumento degli attacchi e dei crimini informatici porta le aziende a considerare sempre di più le soluzioni innovative per la propria protezione. Qual è dunque l’atteggiamento verso l’approccio Zero Trust? «La maggior attenzione è per la MFA, la soluzione più concretamente utilizzata oggi - conclude Telasi -. Il maggiore vettore di attacco per il furto di credenziali è la mail di phishing, e l’MFA è il sistema più facile ed efficiente per la gestione delle policy sulle password. Oltre questo, però, non c’è un’attenzione a 360 gradi sull’intero sistema Zero Trust, perché ciò tocca varie aree che spesso richiedono la revisione di security policy interne sull’identificazione, sui dispositivi da ammettere o meno. Insomma, è una questione più complessa. Ma seppure lenta, la crescita dell’attenzione comunque c’è».