L'approccio tradizionale alla Cyber Security non è più sufficiente, per questo è diventato necessario adottare un nuovo modello nel quale nulla viene dato per scontato e tutto deve essere verificato ed autorizzato.

“Never trust, always verify”

Il principio cardine dello Zero Trust

Cos'è la Zero Trust security

Il modello Zero Trust non è una tecnologia e neanche un prodotto, bensì una strategia di sicurezza che garantisce la protezione dei dati aziendali attraverso la verifica continua dell'identità degli utenti e delle autorizzazioni. Con Zero Trust, non si fa più affidamento sulla posizione geografica o sul ruolo degli utenti all'interno della rete aziendale, ma si verifica sempre che essi siano autorizzati ad accedere ai dati. Ciò garantisce una maggiore sicurezza e protezione contro gli attacchi informatici.

I principi fondamentali del modello Zero Trust

L'approccio tradizionale prevede la realizzazione di una "barriera" di sicurezza tra l'infrastruttura aziendale ed internet. Al giorno d'oggi, è tuttavia diventato obsoleto poiché centralizzare la security in un singolo punto può consentire ad un eventuale attaccante, riuscito a violare lo stesso, di accedere all'intera infrastruttura aziendale.

Per mitigare il problema è necessaria l'implementazione del modello zero trust, che ha come base 3 principi:

• Tutte le entità non sono considerate come attendibili e vanno sempre verificate

• Accessi JIT (Just-In-Time), agli utenti vengono concessi solo i privilegi necessari per lo svolgimento di un compito specifico

• Monitoraggio costante della sicurezza

Migrare allo Zero Trust

La migrazione verso questo nuovo modello è un processo e come tale necessita di una pianificazione sia tecnica che gestionale.

Il piano necessita dell'identificazione di tutte le risorse (come dispositivi, applicazioni, componenti virtuali e cloud, componenti infrastrutturali, etc...) e soggetti aziendali (come utenti finali, utenti guest, utenti macchina, etc...).

Al fine di realizzare una corretta migrazione al paradigma Zero Trust si dovrà:

• Isolare l'infrastruttura di rete dall'Internet pubblico. Le applicazioni interne e l'infrastruttura di accesso a Internet possono diventare vulnerabili a DDoS, SQL injection e altri attacchi a livello di applicazioni. I cyber criminali utilizzano tecniche sempre più sofisticate per analizzare le configurazioni di rete aziendali e individuare vulnerabilità e dati preziosi. Per evitare questi attacchi, le aziende devono isolare l'architettura delle applicazioni e degli accessi dalla rete pubblica, impedendo ai malintenzionati di utilizzare porte in ascolto aperte. Se i cyber criminali non possono trovare o identificare le applicazioni e i servizi in esecuzione sul dispositivo preso di mira, non possono neanche attaccarlo.
  

• Abilitare soluzioni WAF per proteggere le applicazioni aziendali. I moderni attacchi informatici sono mirati. Gli hacker utilizzano tecniche di social engineering (e-mail, social media, messaggistica istantanea, SMS, ecc.) per colpire singoli utenti attraverso modalità altamente pertinenti e personalizzate. Essi cercano utenti specifici con gradi di competenza e livelli di accesso appropriati e lanciano attacchi mirati alle autorizzazioni di tali individui. Se un dispositivo utente viene compromesso, può essere utilizzato come ponte per lanciare attacchi alle applicazioni aziendali considerate protette dal firewall, senza che il proprietario ne sia a conoscenza. Anche se molte organizzazioni utilizzano una soluzione WAF (Web Application Firewall) per proteggere le proprie applicazioni destinate agli utenti esterni, molte non estendono questa protezione alle applicazioni aziendali all'interno della rete. Una soluzione WAF può proteggere le applicazioni interne e i dati sottostanti da attacchi a livello di applicazioni e attacchi di injection come SQL injection, MFE (Malicious File Execution), CSRF (Cross-Site Request Forgery) e Cross-Site Scripting.
  

• Applicare la verifica delle identità, l'autenticazione a più fattori e l'autorizzazione prima di fornire l'accesso. I sistemi digitali non verificano l'identità della persona che inserisce la password corretta, concedendo l'accesso a chiunque. L'utilizzo di credenziali semplici e password ripetute aumentano notevolmente i rischi di sicurezza per l'azienda. Con le crescenti minacce informatiche, l'utilizzo di un solo metodo di autenticazione, come nome utente e password, non è più considerato sufficiente. L'autenticazione multi-fattore (MFA) offre un livello supplementare di sicurezza, garantendo che solo gli utenti autorizzati possano accedere alle applicazioni critiche per l'azienda.
  

• Applicare l'accesso Just-In-Time per assegnare i permessi minimi ad ogni utente. L'accesso JIT (Just-In-Time) consente alle organizzazioni di assegnare i diritti d'accesso in modo tale che gli utenti possano accedere agli account e agli asset privilegiati solo quando necessario, e solo in un intervallo di tempo ristretto. Invece di concedere un diritto di accesso sempre attivo, le organizzazioni possono dunque utilizzare l'accesso JIT per limitare l'accesso a una risorsa specifica entro determinate tempistiche. Questo approccio granulare riduce i rischi di utilizzo improprio degli account privilegiati poiché limita il tempo che un attaccante o un utente malintenzionato interno ha a disposizione per ottenere l'accesso a un account privilegiato e successivamente accedere a dati sensibili non autorizzati.

L'autenticazione MFA e gli accessi JIT sono un requisito imprescindibile quando si parla di ambienti zero trust!

• Monitorare il traffico e le attività legate ad Internet. Il principio del modello Zero Trust prevede di considerare sempre l'ambiente circostante come potenzialmente ostile. Ciò significa che le organizzazioni devono controllare e confermare tutte le attività per prevenire attacchi. Per questo, le aziende hanno bisogno di una visibilità completa sull'attività svolta all'interno della propria rete, con una raccolta efficace del traffico e soluzioni di intelligence per effettuare confronti pertinenti. Per questo, è ad esempio necessario monitorare e verificare tutte le richieste DNS provenienti da dispositivi all'interno e all'esterno della rete (come laptop, telefoni cellulari, computer desktop, tablet, Wi-Fi guest o dispositivi IoT) per garantire che non vengano indirizzate a siti dannosi o inaccettabili. Inoltre, è importante analizzare dettagliatamente il traffico di rete per individuare eventuali segnali di attività sospette, come la comunicazione con un server CnC o l'esfiltrazione dei dati, e avvisare immediatamente il reparto IT in caso di problemi. Una visione globale del traffico e delle tendenze delle minacce aiuta il personale preposto a individuare modelli irregolari o pericolosi.

I vantaggi dello Zero Trust

Una volta avvenuta la migrazione avremo notevoli vantaggi tra cui:

• Controllo dei flussi di rete tra tutte le risorse

• Segmentazione della rete e delle applicazioni

• Visibilità degli ambienti cloud/on-premise e dei dispositivi IoT

• Autenticazione e autorizzazione, inclusa l'autenticazione MFA (Multi-Factor Authentication)

• Policy degli accessi basati su JIT

• Minimizzazione dell'utilizzo di VPN e firewall

• Protezione migliorata contro minacce avanzate

• Funzionalità di automazione e integrazione

Fonti e link di approfondimento:

1. https://www.trendmicro.com/it_it/what-is/what-is-zero-trust/zero-trust-networking.html#:~:text=L'approccio%20essenziale%20Zero%20Trust,finch%C3%A9%20non%20viene%20dimostrata%20affidabile.

2. https://www.cybersecurity360.it/soluzioni-aziendali/zero-trust-security-gli-agent-cosa-sono-e-come-usarli-per-un-controllo-accurato-degli-accessi/