Zero Trust: perché non riguarda sempre (e solo) l’identità!

A cura di Neil Thacker, CISO Emea Netskope

Qual è la relazione tra zero trust e identità dell’utente? Non c’è dubbio che l’identità sia una componente fondamentale di un’efficace strategia zero trust, ma c’è anche il pericolo che le organizzazioni si concentrino eccessivamente su questo elemento dimenticando che ce ne sono anche altri da valutare.

Pensare che un approccio zero trust dipenda esclusivamente dall’identità dell’utente significa non interpretare correttamente il concetto di zero trust. Questo malinteso può portare a potenziali vulnerabilità che, a loro volta, possono provocare importanti incidenti di sicurezza informatica, proprio quel tipo di eventi che l’organizzazione stava tentando di evitare adottando il principio zero trust.

L’identità conta, ma sta diventando sempre più inaffidabile

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’identità è un fattore fondamentale dello zero trust e, da molti anni, le aziende utilizzano l’autenticazione a più fattori (MFA) per garantire la protezione dei propri dati sensibili. Tuttavia, il panorama delle minacce è in evoluzione e alcuni esperti ora stimano che fino al 70% delle opzioni MFA siano facilmente violabili con l’ingegneria sociale e il phishing.

Al di fuori del mondo della sicurezza informatica, non riporremmo la nostra fiducia in qualcuno basandoci solo su un singolo fattore. La fiducia è un processo che deve essere costruito nel tempo. Allo stesso modo, devono esserci molteplici forme di verifica affinché si possa raggiungere lo zero trust. Semplificare eccessivamente la complessità di questo processo rischia di dare una falsa impressione di sicurezza e apre il rischio di una grave violazione informatica.

Molteplici misure di sicurezza, un unico punto di controllo

Un approccio zero trust deve iniziare con il presupposto che il tuo sistema può e sarà compromesso. Più misure verranno messe in atto per proteggerlo, maggiore sarà la fiducia che potremo riporre in esso. Fondamentalmente, è necessario utilizzare un unico Policy Enforcement Point (PEP) per controllare il traffico di informazioni che fluisce da queste diverse misure.

L’autenticazione dell’identità è una delle prime – e più comunemente utilizzate – misure per lo zero trust e dovrebbe essere una parte fondamentale di qualsiasi strategia. Include identità decentralizzata, framework MFA avanzati e metodi biometrici senza l’utilizzo di password. Tuttavia, da sola non è sufficiente.

Ecco altri sette elementi che le aziende dovrebbero integrare nel proprio PEP per garantire un’infrastruttura zero trust sicura e solida:

1. Dispositivo

Non conta solo chi sei, ma quale dispositivo stai utilizzando. Un utente completamente autenticato su un dispositivo compromesso rappresenta ancora un rischio per la sicurezza. Lo zero trust dovrebbe differenziare i dispositivi aziendali da quelli personali, esaminare l’integrità dei dispositivi, i livelli di patch e le configurazioni di sicurezza prima di concedere l’accesso.

2. Posizione

Con l’aumento del lavoro ibrido, le organizzazioni dovrebbero anticipare i tentativi degli utenti di accedere alla documentazione aziendale da luoghi diversi. Pertanto, deve esistere un sistema in grado di segnalare tendenze insolite. Ad esempio, se un utente tenta di accedere un giorno da Londra e poi nell’ora successiva dall’altra parte del mondo, ciò dovrebbe essere segnalato nel sistema e non dovrebbe essere lasciato al caso. Allo stesso modo, il sistema dovrebbe segnalare se qualcuno accede contemporaneamente da due posizioni diverse.

3. Applicazioni

Con l’aumento dei servizi cloud, ci sono molte applicazioni concorrenti che svolgono la stessa funzione. Pertanto, i team di sicurezza dovrebbero esaminare e approvare applicazioni specifiche per uso aziendale e, ove necessario, mettere in atto controlli avanzati e/o restrizioni sulle applicazioni non approvate per mitigare la potenziale perdita di dati.

4. Esempio

All’interno di ciascuna applicazione cloud sono presenti anche diversi tipi di istanze della stessa applicazione. Ad esempio, molte organizzazioni consentono ai dipendenti di utilizzare le proprie applicazioni cloud personali come le istanze personali di Microsoft 365. Ciò tuttavia può causare problemi, soprattutto se i dati aziendali riservati vengono condivisi con un’applicazione personale. Pertanto, è necessario comprendere anche ogni istanza di ciascuna applicazione.

5. Attività

Lo zero trust si estende al modo in cui le applicazioni interagiscono tra loro e al modo in cui accedono ai dati. Anche all’interno della sessione di un singolo utente, le azioni intraprese da un’applicazione per conto di quell’utente sono soggette a controllo.

6. Comportamento

L’identità può garantire agli utenti l’accesso iniziale, ma il comportamento successivo dovrebbe essere costantemente esaminato. Se un dipendente (o un’entità) inizia improvvisamente ad accedere a grandi volumi di dati o scarica file sensibili, dovrebbero attivarsi degli alert, anche se l’utente era inizialmente autenticato.

7. Dati

Al centro del concetto zero trust ci sono i dati: l’importante è garantire l’integrità e la riservatezza dei dati. Ciò significa crittografare i dati inattivi e in transito e monitorare i modelli di accesso ai dati per rilevare eventuali anomalie, indipendentemente dall’identità dell’utente. Ciò includerebbe misure per automatizzare la categorizzazione dei dati e l’implementazione di controlli specifici o rafforzati qualora tale categoria lo richiedesse.

L’identità è innegabilmente una pietra angolare del modello Zero Trust, ma rimane solo una parte di una struttura complessa. Se un’organizzazione si concentra eccessivamente sull’identità, si espone al fallimento e al rischio di quel tipo di violazione informatica che zero trust dovrebbe prevenire.

Il vero zero trust si ottiene solo quando un’organizzazione adotta un approccio integrato e olistico che considera ogni punto di contatto, utente e dispositivo. Incorporando tutti gli otto elementi nell’ approccio Zero Trust (inclusa l’identità), le organizzazioni possono operare con maggiore sicurezza e la sicurezza può diventare un vero abilitatore, rendendo possibile l’innovazione e l’adattamento a qualunque esigenza aziendale, sia che ciò significhi adottare nuove applicazioni, integrare l’intelligenza artificiale, espandersi in nuovi mercati o incoraggiare il lavoro ibrido.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.