Che il mondo del cyber crime stia evolvendo continuamente è sotto gli occhi di tutti. Nuove tecniche di attacco, meccanismi di intrusione, vulnerabilità sconosciute... insomma per stare al passo coi tempi anche le difese devono adattarsi alle novità degli attaccanti. Del principio di sicurezza multilivello abbiamo già parlato qui, non ci dilunghiamo.
E' a questo principio che va affiancato quello che è corretto definire come un nuovo approccio, una nuova metodologia di cyber security: parliamo del modello "zero trust", basato sul principio "non fidarti mai di nessuno", letteralmente.
ZeroTrust: perchè
partiamo dal principio. Le novità che hanno indotto alla necessità di un approccio zero trust sono due, fondamentalmente: il primo è la (ri) scoperta della centralità dell'infrattruttura IT per le aziende, resa evidentente dal ricorso massivo allo smart working e, in generale, alle forme di lavoro remoto conseguenti alla pandemia. Il secondo è invece l'evidente cambiamento nelle metodologie di attacco e, sopratutto, le tecniche di elusione evasione. Gli attaccanti cioè sono sempre più attenti a cercare di evadere o eludere le soluzioni di sicurezza attive nella rete bersaglio, riuscendo anche sempre più spesso ad arrestarle.
Per approfondire > ZeroTrust: per l'agenzia di Sicurezza Nazionale U.S.A e Microsoft questo è l'unico approccio valido alla cybersecurity
Esempi sul tema ve ne sarebbero a migliaia: rimanendo in Italia potremmo parlare di Lockbit, un ransomware che sta colpendo duramente sia enti che aziende italiane e che è stato il primo ad aver automatizzato la criptazione dei domini Windows sfruttando le policy di gruppo. E' una tecnica nuova, mai vista, e che richiede misure di mitigazione specifiche. Non solo: l'evolversi del cyber crime ha anche messo in dubbio la sicurezza di strumenti comunemente utilizzati in ambito di sicurezza informatica. Lo smart working è andato di pari passo con un maggior ricorso alle VPN, soluzioni utilizzate da anni ormai, ma che per molti sono state al contrario il grimaldello tramite il quale le reti sono state violate. E' ormai accertato che il riuscito attacco ransomware contro la sanità della Regione Lazio sia stato conseguenza del furto e utilizzo di credenziali VPN di un dipendente in lavoro remoto. Credenziali, quelle delle VPN, che negli ultimi anni sono diventate molto preziose per gli attaccanti e, non a caso, sono diventate protagoniste di un fiorente mercato nel dark web.
Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate
Zero Trust: come
Il principio dello Zero Trust è piuttosto semplice: meno informazioni, meno privilegi. Non è questione di sfiducia verso i dipendenti o collaboratori aziendali, è una necessità conseguente al dover essere pronti a tutto in caso di attacco. Insomma, non si cerca più di creare una rete affidabile, al contrario si elimina completamente il concetto di fiducia.
Ognugno cioè dovrebbe disporre solo ed esclusivamente delle autorizzazioni e privilegi necessari per accedere, tra tutte, solo alle risorse aziendali che gli sono necessarie per lo svolgimento delle propre mansioni. Tenendo di conto che ormai non v'è più alcuna distinzione tra dentro e fuori l'azienda: il perimetro aziendale da difendere non è più costretto entro le quattro pareti della sede, ma si estende fino a ricomprendere dipendenti, collaboratori e persino fornitori (gli attacchi supply chain sono ormai un concretissimo pericolo) che accedono da remoto alle risorse aziendali.
Il come lo ha spiegato punto per punto il ricercatore John Kindervag, tra i primi a concepire un approccio Zero Trust:
- individuare la superficie da proteggere (dati e applicativi compresi, non soltanto dispositivi);
- mapppare i flussi di scambio dei dati sensibili per tracciare come questi si spostano tra le persone, internamente ed esternamente all'azienda;
- in conseguenza impostare un'architettura zero trust, segmentanto la rete in micro perimetri secondo i flussi di dati;
- impostatare la rete, vanno progettate le policy zero trust relative, policy che non possono che essere granulari, ovvero approntate tenendo di conto delle caratteristiche specifiche di ogni segmentazione della rete;
- automatizzare, monitorare e mantenere le impostazioni, fatto che renderà immediatamente evidente un traffico anomalo di dati. Gli strumenti di monitoraggio della rete potranno capire dove si verifica una attività anomala e monitorare le attività circostanti.
Zero trust: il Privileged Access Management (PAM)
L'approccio Zero Trust vive e si alimenta di una attenta gestione dei privilegi di amministrazione secondo le necessità aziendali. Per account privilegiati si intendono quelle credenziali di autenticazione detenendo le quali si ha accesso a risorse critiche. Il sistema di Privileged Access Management serve a monitorare questa tipologia estremamente delicata di accessi.
La fuga di credenziali con accessi privilegiati è infatti il maggior rischio che possono correre le risorse aziendali, consegnando agli attaccanti l'accesso alle risorse critiche. Il PAM consiste proprio nel prevedere e implementare procedure volte a minimizzare i rischi derivanti dall'uso improprio e non autorizzato di credenziali privilegiate, dal monitoraggio continuo del loro utilizzo all'obbligo di modifica a scadenza regolare delle credenziali stesse ecc..
A titolo esemplificativo sono da considerare come Accessi Privilegiati gli account degli amministratori locali, gli account di emergenza, ma anche tutti gli account che consentono l'accesso ai database o la possibilità di eseguire programmi o ancora la possibilità di accedere ad altre applicazioni.
Zero Trust e forza lavoro remota
Merita una trattazione a parte, pur breve, il rapporto tra Zero Trust e forza lavoro remota. Ormai è assodato che il ricorso massivo allo smart working conseguente alla pandemia ha aumentato la superficie di attacco ed esposto le aziende a nuove tipologie di rischi. Questo ha indotto molte aziende ad adottare un approccio Zero Trust nei fatti, allo scopo di autenticare ogni utente e ogni dispositivo utilizzato per l'accesso, riducendo al contempo i privilegi per ciascun utente secondo quanto gli è effettivamente utile per svolgere le proprie mansioni e non oltre. Un modello, questo, nel quale si considera il dipendente remoto non sicuro fino a prova contraria. Di pari passo è andata l'estensione dell'autenticazione multifattore.
La questione dei dispositivi utilizzati dai dipendenti remoti è un punto chiave: è estremamente importate, entro un approccio zero trust, che la sicurezza sia indipendente dai dispositivi e dalla rete. Nell'evidenza che i lavoratori remoti utilizzano più dispositivi per svolgere le proprie mansioni, la capacità del modello zero trust di abilitare connessioni sicure su dispositivi nuovi e sconosciuti sarà un fattore determinante.
Nessun commento:
Posta un commento