Zero Trust è diventato rapidamente il termine di sicurezza più discusso negli ultimi tempi, attirando maggiore attenzione dall’ascesa ed esponenziale diffusione del ransomware e dall’”Executive Order on Cybersecurity” emanato dal presidente Joe Biden. La corsa allo Zero Trust ha anche generato confusione sulla sua implementazione. Per aiutare, la Cybersecurity Infrastructure and Security Agency ha pubblicato la bozza del modello di maturità zero-trust e l’Office of Management and Budget ha pubblicato la strategia federale Zero Trust per fornire una guida tecnica alle agenzie. Sebbene questi documenti stabiliscano una solida tabella di marcia, ci sono ancora una serie di errori e malintesi sul Zero Trust che le organizzazioni dovrebbero evitare se vogliono garantire transizioni di successo.
Errore n. 1: Zero Trust è un prodotto di un fornitore che può essere implementato in un singolo progetto.
Zero trust non è un prodotto ma una metodologia, è un viaggio a lungo termine e senza fine. Conosciuto in termini informatici moderni come ciclo di vita, il raggiungimento di un’architettura Zero Trust è un processo a lungo termine implementato attraverso un approccio graduale. La maggior parte dei framework ZTA e dei modelli di maturità si basano sull’orientamento del National Institute of Standards and Technology’s Cybersecurity Framework, ma anche in questo caso molte organizzazioni non sanno da dove cominciare.
Errore n. 2: Zero Trust si concentra principalmente sui privilegi di accesso dell’utente finale.
Sebbene i privilegi di accesso dell’utente finale siano una componente importante di Zero Trust, non è l’unica e altrettanto importanti sono la comprensione e la verifica delle identità di sistemi, servizi e funzioni, comprese applicazioni, carichi di lavoro e dispositivi (come Internet delle cose), che possono accedere ad applicazioni e dati maliziosamente. I sistemi di registrazione delle identità diventano facilmente obsoleti o imprecisi quando gli utenti vengono integrati, lasciano l’organizzazione o cambiano gruppo, ottenendo nel frattempo permessi inappropriati. Le organizzazioni devono avere un modo per scoprire e convalidare le identità in uso nell’ambiente per convalidare il sistema di record di identità e creare politiche di accesso Zero Trust appropriate.
Errore n. 3: la sicurezza Zero Trust può essere definita una volta identificate le risorse.
L’identificazione delle risorse è solo un passaggio nella definizione delle politiche di sicurezza Zero Trust. Le agenzie devono comprendere le dipendenze e le relazioni tra entità e risorse ed essere in grado di mantenere tale visibilità quasi in tempo reale, in modo dinamico. Quando si mantiene ZTA, le policy di accesso diventano ancora più granulari, evolvendo da una tradizionale topologia di rete piatta alla macro-segmentazione delle reti con micro-perimetri attorno alle applicazioni. L’apprendimento automatico, l’analisi dei rischi in tempo reale e la prevenzione delle minacce diventeranno una necessità. Lo stesso vale per l’uso dell’automazione per mappare continuamente le dipendenze e le interconnessioni tra applicazioni e risorse in base al comportamento di interazione di base per applicare le politiche di sicurezza e rilevare anomalie, violazioni e incidenti.
Errore n. 4: gli ambienti applicativi sono omogenei.
Le grandi agenzie federali con funzioni mission-critical spesso utilizzano più generazioni di funzioni software eseguite su mainframe, attraverso computer ad alto IO (input-output) che forniscono operazioni di database a proprietà virtualizzate e definite dal software, nonché infrastrutture, piattaforme, software e funzioni basate su cloud. L’applicazione dei principi di Zero Trust a questa raccolta eterogenea di servizi aumenta ulteriormente la sfida. Per affrontare questa sfida, anche le agenzie dovrebbero prima concentrarsi sugli ambienti cloud, in cui le funzioni del software sono temporanee e dinamiche, o adottare un piano di gestione in grado di rilevare e mappare i flussi attraverso ambienti eterogenei.
Errore n. 5: la fiducia zero è un approccio tutto o niente.
Qualsiasi implementazione Zero Trust che richieda l’ampia migrazione a un nuovo ambiente o l’implementazione universale di un nuovo set di agenti è destinata al fallimento o almeno a un percorso incredibilmente costoso e complesso verso il valore. Invece, un’implementazione di successo richiede un caso d’uso ben definito e controllato all’inizio e quindi un’adozione più ampia tramite un approccio graduale. Iniziare con applicazioni critiche all’interno del perimetro della rete può essere un punto di partenza.
Errore n. 6: le organizzazioni dovrebbero selezionare le soluzioni “migliori” e più consolidate per le esigenze di oggi.
Anticipare le esigenze future è fondamentale nel percorso Zero Trust. In pochi anni, la maggior parte dei carichi di lavoro sarà ospitata in ambienti cloud e le organizzazioni dovranno adattarsi di conseguenza, senza implementare nuovi agenti che possono creare conflitti di policy duali che possono portare rapidamente a guasti. Molte policy di sicurezza e soluzioni di analisi esistenti create per la difesa perimetrale in sede potrebbero non essere così rilevanti in un mondo dinamico nativo del cloud.
Errore n. 7: le distribuzioni Zero Trust dovrebbero essere difficili. Ma almeno è “spara e dimentica”.
Zero Trust è una sfida e dovrebbe essere raggiunta gradualmente. Le organizzazioni dovrebbero adottare un approccio agile che richieda pochi investimenti iniziali e fornisca rapidamente i risultati iniziali, sia che ottenga una migliore visibilità scoprendo identità o risorse sconosciute, sia che segmenta un’applicazione critica. Ciò si ottiene al meglio con una soluzione agentless che sfrutta l’infrastruttura già esistente.
Zero trust è qui per restare e l’implementazione iniziale è solo il primo passo del viaggio. Per molte organizzazioni, sarà una transizione graduale verso un nuovo mondo se vuoi coraggioso e più dinamico, ma controllato. È fondamentale evitare le idee sbagliate ormai comuni su ZTA e avere una solida comprensione del ruolo fondamentale svolto dalla visibilità.
Kommentare