Alla luce dell’evoluzione delle minacce negli ultimi anni, ma anche dei cambiamenti nelle modalità operative aziendali, gli esperti di sicurezza concordano nel sostenere come oggi non sia più possibile basare la strategie di protezione di asset e risorse aziendali difendendo un perimetro aziendale di rete che, di fatto, non è più definibile e che spesso semplicemente “confonde” le persone all’interno come “autorizzate”, da quelle all’esterno, quando oramai è riconosciuto che i rischi maggiori sono proprio da collegare alla capacità del cybercrime di penetrare nelle reti violando gli accessi per poi agire, di fatto, indisturbati, anche per diversi mesi.

Negli ultimi mesi l’utilizzo massiccio dello smart working ma, già prima dell’emergenza, l’utilizzo delle soluzioni SaaS anche attraverso i dispositivi personali e la migrazione dei carichi di lavoro in cloud, hanno contribuito a rendere ancora più evidente il bisogno di cambiare il modello di difesa. Si pensa, per esempio, che sia sufficiente l’utilizzo in questi casi di una VPN, ma una VPN tradizionale, di fatto una soluzione complessa e costosa da gestire, fornisce un accesso alla rete aziendale aprendo una “falla” nel firewall e questo innalza il rischio cui abbiamo appena fatto riferimento della possibilità per un attaccante di muoversi in azienda, del tutto non riconosciuto. Anche l’idea di segmentare la rete, virtuosa di suo, non risolve però del tutto il problema, consentendo comunque agli attaccanti buoni margini di “movimento laterale”.   

E’ invece possibile approcciare il problema sulla base di un modello più efficiente. Non significa affatto un ulteriore innalzamento di complessità, ma al contrario l’approdo ad una soluzione più efficace e più semplice, con meno carichi di lavoro per il team IT, una copertura più estesa ed efficace anche se indubbiamente l’architettura di rete nel tempo è diventata più complicata.

Zero Trust, il framework  

Akamai a questo proposito propone il modello Zero Trust. Invece di un’architettura di sicurezza “incentrata sul perimetro”, si garantisce che le decisioni relative alla sicurezza agli accessi vengono applicate in modo dinamico in base alle identità, ai dispositivi e al contesto dell’utente. Un sistema di questo tipo quindi consentirà solo agli utenti e i ai dispositivi autenticati e autorizzati di accedere a determinate applicazioni e dati. Si risolve in questo modo anche la possibilità di attacchi laterali, la rete è meno esposta, gli utenti beneficeranno della riduzione delle complessità tipiche nell’utilizzo delle VPN. Complessivamente i responsabili IT beneficiano di una piena visibilità su accessi, applicazioni utilizzate e traffico dei dati migliorando la governance complessiva.

Volendo provare a definire Zero Trust per riuscire a mettere a terra poi il nuovo modello, concretamente, in azienda, possiamo descrivere Zero Trust come un framework, una metodologia per trasformare la propria infrastruttura IT, le policy di sicurezza e i processi aziendali. Si basa sull’idea che non esiste più una rete interna in cui chi vi opera per il semplice fatto di esserci è affidabile. I componenti principali del framework Zero Trust quindi includono: accesso esclusivamente sicuro alle risorse, indipendentemente dalla posizione o dal modello di hosting, applicazione di una strategia di controllo dell’accesso rigorosa e basata sul privilegio minimo, e ispezione e registrazione di tutto il traffico per attività sospette. Su questi pilastri l’Intelligent Edge Platform di Akamai offre un’ampia gamma di servizi di accesso sicuro, protezione dalle minacce e sicurezza delle applicazioni per aiutare i clienti nel loro viaggio verso Zero Trust.  

Akamai Zero Trust - Architettura di riferimento
Akamai Zero Trust – Architettura di riferimento

Si tratta di temi chiave e non è un caso che anche Forrester, nel suo studio The Eight Business And Security Benefits Of Zero Trust, insista da un lato nell’evidenziare i rischi di un modello di difesa inadeguato e dall’altro i benefici principali di quello Zero Trust. Le aziende spesso pensano di poter dormire sonni tranquilli semplicemente perché non si accorgono di quanto accade al di qua del perimetro; proprio questa ricerca invece evidenzia le vulnerabilità che hanno afflitto aziende importanti come T-Mobile, British Airways, Facebook, Google, Marriott, Quora, Capital One – e solo negli ultimi due anni – anche con episodi di esfiltrazione dei dati o l’esposizione di informazioni sensibili.  

Zero Trust, i punti di forza

La ricerca sottolinea puntualmente otto punti di forza indiscussi del modello Zero Trust che mitiga le possibilità per gli aggressori di penetrare nella rete e, a differenza delle infrastrutture di rete tradizionali, permette al business di supportare anche nuove tipologie di utenti (per esempio dipendenti, partner, clienti e pazienti in ambito healthcare), abilitando la possibilità di attivare nuovi servizi di coinvolgimento dei clienti.
In rapida successione ripercorriamo i punti.

Zero Trust migliora la visibilità della rete, il rilevamento delle violazioni e la gestione delle vulnerabilità (1). Viene ispezionato tutto il traffico della rete alla ricerca delle attività malevole. L’incremento della visibilità permette di ridurre il rischio di data breach. E si rivela funzionale però anche nel mitigare la fatica nella gestione delle vulnerabilità.

Con l’approccio Zero Trust è possibile fermare la diffusione del malware (2) non solo attraverso i sistemi critici, ma anche tra gli utenti e i sistemi aziendali. L’azienda beneficia della riduzione delle spese in conto capitale e di quelle operative per la sicurezza (3); per esempio, perché riesce a consolidare i sistemi di sicurezza che negli scenari aziendali complessi, con il proliferare delle appliance, diventano difficili da gestire. Per quanto riguarda le problematiche di compliance, l’approccio Zero Trust permette di ridurre l’ambito esposto sensibile e questo facilita assolvere i diversi adempimenti (4).

Dal punto di vista architetturale, invece, nelle aziende più articolate – in cui spesso operano team IT che sfruttano risorse di archiviazione, elaborazione, applicative e hanno esigenze diverse – l’approccio Zero Trust è propedeutico e favorisce l’abbattimento dei silos e la collaborazione sulla base di evidenze e dati comuni (5). E soprattutto, così come la rete in un modello Zero Trust diventa più trasparente per quanto riguarda la visibilità sulle minacce, lo è anche nell’offrire informazioni utili sul traffico e su come si muovono i dati, a supporto di una migliore protezione della privacy, per esempio grazie alla possibilità di classificare meglio le informazioni (6).

Arriviamo ad un punto critico, Zero Trust permette di bloccare l’esfiltrazione di dati, ben più grave di una pur grave intrusione, perché mette a rischio non solo la privacy dei dati dei clienti – che comunque impatta sulla percezione del valore del brand e sulla sua affidabilità – ma anche la proprietà intellettuale aziendale che rappresenta un patrimonio importante (7). In ultimo, l’approccio Zero Trust è il più funzionale ad assecondare e agevolare i processi di digital transformation in atto, per la sua flessibilità nel consentire di indirizzare gli scenari di implementazione delle tecnologie IoT, per esempio (8).

Il percorso (semplice) verso un approccio Zero Trust

Se è vero che è necessario tempo per implementare pienamente gli importanti cambiamenti relativi alla rete e alla sicurezza del modello Zero Trust nella sua completezza (ma meno di quanto si pensi), è vero anche che in pochi semplici passaggi è possibile prepararsi subito per beneficiare poi dei vantaggi. Akamai consiglia di condurre un controllo puntuale sulle effettive minacce presenti nella rete, per rendersi conto se e come la rete è compromessa o lo è stata in passato.

A questo proposito offre la possibilità di ricevere un rapporto personalizzato e suggerimenti specifici per un’eventuale immediata “remediation”, ma suggerisce ovviamente anche la chiusura degli accessi “indiscriminati” all’intera rete agli utenti, limitandolo solo alle applicazioni realmente utilizzate e quindi valutare l’architettura Zero Trust per sviluppare un piano di migrazione completo verso un sistema di sicurezza di questo tipo. Significa quindi smettere di fidarsi implicitamente degli endpoint e lavorare alle revoche degli accessi esistenti, inclusi i segmenti VPN e Wi-Fi/Ethernet aziendali privilegiati, favorendo però un più semplice e sicuro accesso in base ai principi del modello di sicurezza Zero Trust, a partire dai gruppi di utenti più a rischio.

Primi passi nel percorso Akamai Zero Trust
Primi passi nel percorso Akamai Zero Trust

Per scendere ancora più nel concreto e avanzare nel percorso verso l’adozione del modello Zero Trust. Akamai consiglia, dopo aver fornito l’accesso solo alle applicazioni necessarie e richieste (per tutti i motivi che abbiamo descritto nel corso del contributo), di isolare l’infrastruttura di rete da Internet – per evitare che venga presa di mira da malintenzionati che utilizzano porte in ascolto aperte – abilitare la soluzione WAF (Web Application Firewall) compresa nel portfolio Akamai, ma non solo a protezione delle applicazioni esposte all’esterno piuttosto anche a quelle aziendali all’interno della rete. Serve poi applicare le necessarie verifiche di identità ai sistemi di accesso per essere autenticati e venire autorizzati – nei casi di applicazioni mission critical e dove lo si ritiene opportuno anche sfruttando dai sistemi di autenticazione multifattoriale (MFA).

Può sembrare un passaggio fastidioso in termini di usability ma non lo è affatto perché, opportunamente protetto, l’accesso tramite Single-Sign-On a tutte le applicazioni stabilite incrementa la produttività e offre ai dipendenti maggiore agilità. Resta fondamentale poi utilizzare un sistema di protezione avanzata dalle minacce per difendersi da attacchi di phishing, malware zero-day ed esfiltrazione dei dati basata su DNS. Spieghiamo meglio il passaggio: l’aggiunta di un livello di sicurezza in grado di sfruttare il protocollo DNS è un fondamentale punto perché permetterà di rilevare e fermare in anticipo gli attacchi informatici in modo proattivo.

Infine, per implementare rapidamente le applicazioni in blocco e, allo stesso tempo, impostare i controlli relativi alle policy per gli accessi, è richiesta una configurazione tramite le API, allo stesso tempo l’adozione delle API è in continua crescita, negli scenari DevSecOps. Resta mandatorio monitorare il traffico e le attività legate a Internet e supportare l’integrazione di questi sistemi di protezione con le funzionalità SIEM e l’orchestrazione mediante le API Restful. 

Non perdere tutti gli approfondimenti della Room Akamai Protect Your Business 

© RIPRODUZIONE RISERVATA