Zero Trust (ZT) è un approccio e un obiettivo architetturale per la sicurezza della rete che presuppone che ogni transazione, entità e identità non siano attendibili fino a quando tale attendibilità non viene stabilita e mantenuta nel tempo. Le strategie ZT sono in contrasto con la visione tradizionale secondo cui una rete è sicura a meno che i sistemi di sicurezza non identifichino una violazione.
Negli ultimi dieci anni circa, le aziende sono diventate sempre più digitalizzate. Le aziende ora includono architetture cloud, pratiche di lavoro da remoto e l’utilizzo di soluzioni as-a-service. I team di sicurezza hanno ridimensionato di conseguenza la sicurezza della rete, spesso rafforzando le misure di sicurezza segmentando la rete in zone più piccole.
Questa strategia, purtroppo, ha creato più opportunità per gli aggressori. Quando gli aggressori accedono alle informazioni di accesso di un utente, possono spostarsi lateralmente sulla rete, diffondendo ransomware e acquisendo sempre più privilegi man mano che procedono.
L'autenticazione a più fattori (MFA) ha migliorato la forza delle credenziali, ma ha aggiunto solo un ulteriore livello di autenticazione. Una volta entrati, gli hacker godono ancora di un accesso continuo fino a quando non si disconnettono o vengono disconnessi dal sistema.
Nuove modalità di lavoro, incluso il BYOD (Bring Your Own Device), il lavoro remoto e l'architettura cloud hanno aggiunto una nuova serie di vulnerabilità. Ma anche le nuove e più potenti protezioni di cybersecurity che offrono maggiore visibilità arrivano fino al limite della rete aziendale e sono cieche oltre quel punto.
L'approccio ZT alla cybersecurity capovolge il vecchio paradigma. La cybersecurity non è più definita da segmenti di rete o all'interno di un confine di rete aziendale. La fiducia non viene concessa in base al fatto che una connessione o una risorsa sia di proprietà di un'impresa o di un individuo. Inoltre, non è concessa in base alla posizione fisica o di rete: Internet o rete locale.
Invece, ZT si concentra su risorse, utenti e asset individualmente, indipendentemente da chi li possiede e da dove si trovano. L'autenticazione viene eseguita individualmente su una risorsa aziendale prima che a un utente venga concesso l'accesso.
L'obiettivo finale è raggiungere la Zero Trust di qualsiasi elemento di rete fino a quando non viene verificato.
La risposta breve alle domande su certificazione e standard Zero Trust è che non ce ne sono. Il National Institute of Standards and Technology (NIST), fondato nel 1901 e ora parte del Dipartimento del Commercio degli Stati Uniti, fornisce informazioni su standard tecnologici, di misurazione e informatici per gli Stati Uniti. Il suo obiettivo è aumentare la competitività tecnologica.
Il NIST crea standard per le comunicazioni, la tecnologia e le pratiche di cybersecurity. Il gruppo non ha ancora creato standard o certificazioni per lo Zero Trust, ma ha creato una Special Publication (SP) che illustra gli obiettivi dell'architettura ZT.
L'abstract del documento descrive Zero Trust in questo modo: "Zero trust è un termine che indica un insieme in evoluzione di paradigmi di cybersecurity che spostano le difese da perimetri statici basati sulla rete per concentrarsi su utenti, asset e risorse". Il documento prosegue descrivendo in modo approfondito l'approccio zero-trust.
C'è una certa confusione nel mondo della cybersecurity su cosa sia ZT. Alcuni fornitori stanno approfittando della confusione per vendere prodotti etichettati come prodotti ZT. Per i non informati, questo può portare all'equivoco che ZT sia un concetto basato sul prodotto.
ZT non riguarda prodotti specifici, sebbene prodotti nuovi e legacy possano essere elementi costitutivi per l'architettura ZT. ZT è un approccio rivoluzionario alla cybersecurity. Rimane saldamente legato alla realtà di come le organizzazioni e i lavoratori si connettono e lavorano insieme oggi.
Se un'azienda sta costruendo la propria infrastruttura da zero, è possibile, e forse più semplice, identificare flussi di lavoro e componenti essenziali e costruire un'architettura puramente ZT. Poiché il business e l'infrastruttura cambiano, la crescita può continuare a rispettare i principi ZT a lungo termine.
In pratica, la maggior parte delle implementazioni ZT sarà un processo. Le organizzazioni rimarranno in un certo equilibrio tra ZT e sicurezza perimetrale nel tempo, implementando gradualmente iniziative di modernizzazione.
La realizzazione completa dell'architettura ZT richiederà probabilmente diversi anni e comprenderà una serie di progetti discreti prima di raggiungere l'obiettivo finale della Zero Trust. Tuttavia, non c'è mai un punto di "arrivo" della ZT. Si tratta di continuare a implementare e far rispettare la strategia ZT nel tempo, tenendo conto dei futuri cambiamenti aziendali e infrastrutturali.
Lo sviluppo di un piano prima dell'azione permette di suddividere il processo in parti più piccole e garantire il successo nel tempo. Partendo da un catalogo completo di argomenti, processi aziendali, flussi di traffico e mappe delle dipendenze, ci si prepara ad affrontare i temi, le risorse e i processi aziendali opportuni.
Se un'azienda sta costruendo la propria infrastruttura da zero, è possibile, e forse più semplice, identificare flussi di lavoro e componenti essenziali e costruire un'architettura puramente ZT. Poiché il business e l'infrastruttura cambiano, la crescita può continuare a rispettare i principi ZT a lungo termine.
In pratica, la maggior parte delle implementazioni ZT sarà un processo. Le organizzazioni rimarranno in un certo equilibrio tra ZT e sicurezza perimetrale nel tempo, implementando gradualmente iniziative di modernizzazione.
La realizzazione completa dell'architettura ZT richiederà probabilmente diversi anni e comprenderà una serie di progetti discreti prima di raggiungere l'obiettivo finale della Zero Trust. Tuttavia, non c'è mai un punto di "arrivo" della ZT. Si tratta di continuare a implementare e far rispettare la strategia ZT nel tempo, tenendo conto dei futuri cambiamenti aziendali e infrastrutturali.
Lo sviluppo di un piano prima dell'azione permette di suddividere il processo in parti più piccole e garantire il successo nel tempo. Partendo da un catalogo completo di argomenti, processi aziendali, flussi di traffico e mappe delle dipendenze, ci si prepara ad affrontare i temi, le risorse e i processi aziendali opportuni.
L'architettura ZT è un obiettivo e un approccio che richiede tempo e attenzione per essere implementata. Non è un'installazione una tantum che è possibile implementare per poi passare a quella successiva. È una filosofia della cybersecurity supportata da quattro principi fondamentali. Un particolare principio può fare affidamento su una specifica tecnica di sicurezza come MFA per l'identità ma, nel tempo, la tecnica utilizzata può cambiare.
Ci sono tre funzioni essenziali che stanno alla base dell'approccio ZT.
ZT deve essere implementato progressivamente e applicato continuamente. Non si tratta di una sostituzione completa o un'implementazione una tantum che basta poi mantenere in esecuzione per tutta la vita della rete. È un processo incrementale pluriennale e multi-progetto che coinvolge molteplici aspetti della rete e richiederà una valutazione costante man mano che le abitudini di lavoro, la tecnologia e le minacce cambiano.
Il modo in cui un'organizzazione implementa l'approccio ZT dipende dalla sua operatività. Le risorse di maggior valore sono un buon punto di partenza.
Il percorso ZT include quattro componenti:
Inizia con una solida base di architettura Zero Trust allineata alle best practice del settore.