Cybersecurity: Nessuna via d’accesso con Zero Trust.

"Trust but verify” (“Fidati, ma controlla”) è stato per anni il motto della sicurezza informatica di molte aziende. Ma la convinzione che la sicurezza possa essere garantita dal controllare non è più valida nel mondo della sicurezza informatica di oggi. L'attuale motto della sicurezza IT è "Zero Trust", fiducia zero. Non si tratta di una tecnologia specifica, ma piuttosto di un vero e proprio concetto. Questo indica che non bisogna fidarsi di utenti, dispositivi e applicazioni solo perché conosciuti. Forrester definisce il concetto di Zero Trust come segue: "Zero Trust è un modello di sicurezza informatica che, di default, nega l'accesso ad applicazioni e dati. La protezione dalle minacce si ottiene autorizzando l'accesso a reti e workload solo se questi rispondono a criteri basati su una scansione continua, contestuale e centrata sui rischi degli utenti e dei dispositivi a cui si connettono."

Zero fiducia per creare fiducia

Naturalmente il concetto di "Zero Trust" è spesso frainteso. Non sorprende, dato che l'obiettivo finale è controllare e valutare tutti i partecipanti e i rischi del sistema informatico di un'azienda, non solo una volta, ma continuamente. Ciò significa che non si considera più l'intera rete aziendale come una zona in cui si dà la fiducia per scontata e che nessuna risorsa o endpoint è considerata affidabile. È grazie a ciò che dipendenti, partner e clienti autenticati sono protetti da Zero Trust tanto quanto dall'infrastruttura informatica dell'azienda. Poiché il mondo digitale diventa sempre più pericoloso, le misure di Zero Trust creano fiducia[i].

La filosofia Zero Trust è apparsa per la prima volta circa dieci anni fa. La pandemia COVID-19 e il passaggio di massa all’home office hanno portato alla luce significative vulnerabilità di sicurezza IT, soprattutto quando si tratta di ambienti decentralizzati, ad esempio l'uso di dispositivi finali in combinazione con l'uso crescente della tecnologia cloud. Le infrastrutture cloud ibride comportano il decentramento delle risorse informatiche, dunque il monitoraggio non è sempre semplice. Di conseguenza la sicurezza periferica tradizionale non è più sufficiente e i modelli Zero Trust stanno prendendo piede. Come mostrano le statistiche di mercato, il mercato globale della sicurezza Zero Trust è stato stimato a circa 20 miliardi di dollari nel 2020. Oggi, due anni dopo, è già di 27,4 miliardi di dollari, e si prevede che entro il 2027 il mercato salirà a 60,7 miliardi di dollari, con un tasso di crescita annuale del 17,3%[ii].

Sicurezza senza confini di rete

La filosofia Zero Trust non prevede confini di rete. Le reti possono essere ovunque, locali o in cloud, o in entrambe le modalità, così come i membri del team possono lavorare con le proprie risorse ovunque. Tuttavia, secondo IBM, più della metà delle aziende non è ancora in grado di proteggere i dati utilizzati in più ambienti cloud e locali, il che può ostacolare in modo significativo la creazione di valore. Inoltre la maggior parte di esse non è in grado di attivare in modo sicuro nuove funzionalità cloud-native e di estenderle a partner interni ed esterni. Dall'altro lato, invece, ci sono quelle aziende che sono più avanti rispetto alla concorrenza quando si tratta di implementare funzionalità Zero Trust. Secondo uno studio di IBM Institute for Enterprise Value in collaborazione con Oxford Economics, quest’ultime spendono per la sicurezza informatica una percentuale di budget e risorse informatiche simile a quella dei loro colleghi, ma ne traggono maggiori benefici. In altre parole, queste aziende hanno ridotto le spese di capitale e operative per la sicurezza con Zero Trust, aumentando al contempo l'efficacia della loro sicurezza informatica.

Dalla filosofia ai principi dell'architettura

Zero Trust fornisce il framework per la sicurezza delle moderne infrastrutture IT. Mostra come proteggere lavoratori da remoto e ambienti cloud ibridi, così come proteggersi da minacce specifiche. Esistono diverse definizioni di Zero Trust (si veda sopra). Tuttavia l'American National Institute of Standards and Technology (NIST) definisce lo standard come segue: “Zero Trust è un insieme di concetti e idee che mirano a ridurre al minimo l'incertezza quando si tratta di prendere decisioni precise con il minimo livello di privilegio per richiesta nei sistemi e nei servizi informativi. L'Architettura Zero Trust (ZTA) è un piano di sicurezza informatica di un’azienda che utilizza concetti di Zero Trust e che comprende relazioni tra componenti, pianificazione del flusso di lavoro e criteri di accesso”.

L'Architettura Zero Trust si basa quindi sulla filosofia Zero Trust. Vengono dunque seguiti i rispettivi principi. Secondo il NIST, questi sono i seguenti[iii]:

• Tutte le fonti di dati e i servizi informatici sono considerati risorse.
• Tutte le comunicazioni sono protette, indipendentemente dalla posizione della rete.
• L'accesso alle singole risorse aziendali viene concesso per sessione.
• L'accesso alle risorse è determinato da criteri dinamici, tra cui lo stato rilevabile dell'identità del cliente, dell'applicazione o del servizio e della risorsa richiedente. Possono inoltre includere altri attributi comportamentali e ambientali.
• L'azienda monitora e valuta l'integrità e la sicurezza di tutti i propri asset e delle relative risorse.
• Tutte le autenticazioni e le autorizzazioni delle risorse sono controlli dinamici, rigorosamente eseguiti prima di consentire l'accesso.
• L'azienda raccoglie il maggior numero possibile di informazioni sullo stato attuale delle proprie risorse, sull'infrastruttura di rete e sulle comunicazioni e le utilizza per migliorare il proprio livello di sicurezza.

Un'infrastruttura Zero Trust si basa su tecnologie all'avanguardia

Nell'implementazione dei principi citati si utilizzano, tra l'altro, applicazioni per la protezione dei workload nel cloud, l'autenticazione a più fattori e la sicurezza degli endpoint. Inoltre è necessario crittografare i dati, mettere in sicurezza le e-mail e verificare i dispositivi prima di inserirsi in una rete Zero Trust. Noi di UMB siamo in grado di fornirvi sia la tecnologia che il know-how necessario per questo, avendo anche i partner necessari. Ad esempio, IBM, per cui Zero Trust è un tema centrale[iv]. UMB è il primo e maggiore Platinum Business Partner IBM in Svizzera. Noi di UMB implementiamo in modo organico il concetto di fiducia zero basandoci su diverse tecnologie e approcci di processo. Riteniamo che la sicurezza informatica sia una disciplina integrante del panorama IT e comprendiamo le sfide di un mondo in rapida evoluzione. In UMB, la sicurezza informatica non è vista in modo isolato, ma è considerata parte dei concetti di IT, ambiente di lavoro e digitalizzazione. Autenticazione a due fattori, autenticazione a più fattori, accesso condizionato e protezione dell'identità: vi supportiamo in queste e in molte altre aree della sicurezza. Offriamo inoltre sicurezza web di livello mondiale grazie alla protezione degli endpoint all'avanguardia, allo storage e alla crittografia di dati e archiviazione.
Volete saperne di più sul concetto di Zero Trust? Contattateci. 

[i]Criminalità informatica 2021: poca luce e molte ombre)

[ii]Zero Trust Security Market worth $60.7 billion by 2027

[iii]Zero Trust Architecture

[iv]IBM Zero Trust Field Guide