Zero trust è un framework di sicurezza incentrato sull'idea che a nessuna entità dovrebbe essere concesso automaticamente l'accesso a una rete; invece, ciascuno deve essere verificato per i privilegi. Nato dalla consapevolezza che sia l'esterno che l'interno di una rete possono creare minacce alla sicurezza informatica, sostituisce i tradizionali metodi di autenticazione e aiuta a proteggere reti sempre più frammentate e diversificate.
Informazioni sull'autore Rich Orange, vicepresidente del Regno Unito e dell'Illinois, Forescout. Quando implementano il modello Zero Trust, è essenziale che le organizzazioni comprendano ogni utente connesso, i suoi dispositivi e i dati a cui stanno tentando di accedere. Questo dovrebbe già essere il fondamento di qualsiasi framework di sicurezza – dopo tutto, la visibilità è la spina dorsale della sicurezza – ma è estremamente importante quando si cerca di creare policy e controlli di conformità adeguati come parte di una “strategia zero trust”. In definitiva, le aziende devono sapere chi e cosa sta tentando di accedere a cosa prima di poter creare i parametri e i controlli corretti.
Quindi un dispositivo è un utente?
L'idea di un "utente" analizzato quando si applica Zero Trust. Questa definizione è diventata ancora più complessa con il massiccio aumento dei dispositivi connessi alla rete, inclusi i dispositivi Internet of Things (IoT) e Operational Technology (OT). Con tutte queste nuove tecnologie connesse alla rete, la potenziale superficie di attacco si espande notevolmente. Ciò richiede alle aziende di determinare un’identità per tutto ciò che entra in contatto con la rete: utenti, dispositivi, infrastruttura virtuale e risorse di cloud computing. Un modo efficace per valutare le connessioni consiste nel segmentare i dispositivi in categorie di dispositivi. Con i dispositivi IoT non è necessaria alcuna assistenza umana per raccogliere, accedere e condividere informazioni o per automatizzare le funzioni e migliorare l’efficienza. Questa tecnologia è la categoria di dispositivi in più rapida crescita. L'IoT industriale è una connessione comune negli ambienti industriali e manifatturieri attraverso la comunicazione machine-to-machine (M2M). Questo è stato adottato anche da applicazioni sanitarie, aziendali e assicurative. OT è raggruppato in reti ma richiede lo stesso livello di sicurezza. Secondo Gartner, entro il 2021, il 70% della sicurezza EO sarà gestita direttamente dal CIO o dal CISO, rispetto al 35% attuale. I dispositivi intelligenti possono essere estremamente problematici quando si tratta di decisioni sulla sicurezza. Ad esempio, nel caso di attacchi DDoS diffusi, botnet come Mirai possono assumere il controllo di dispositivi IoT non gestiti con credenziali deboli, portando potenzialmente milioni di essi a interrompere servizi critici. .
I dispositivi sono sempre unici.
Per comprendere appieno un dispositivo e quindi determinare a quale accesso deve essere autorizzato sulla rete, non è sufficiente guardare il suo indirizzo IP. È necessario verificare molto di più: dettagli granulari e una completa consapevolezza della situazione sono essenziali per mantenere qualsiasi rete completamente sicura. Queste informazioni possono includere l'ultima gestione delle patch ricevuta dal dispositivo, nonché il contesto aziendale. Un buon esempio sono le telecamere con connessione IP. Lo stesso tipo di telecamera può essere utilizzata per diverse funzioni in azienda, dalla videoconferenza alla videosorveglianza. Nel settore finanziario, ad esempio, il video viene utilizzato per monitorare i clienti ed è integrato negli sportelli bancomat per analizzare i depositi di assegni; Tuttavia, questo stesso modello di fotocamera potrebbe essere utilizzato su una piattaforma petrolifera, dove viene utilizzato per scopi di salute e sicurezza. Ciò significa che la fotocamera deve essere in grado di condividere percorsi di comunicazione con più applicazioni di data center e servizi cloud e questi percorsi saranno unici per l'azienda che li utilizza e per la funzione desiderata. Ecco perché le fondamenta del modello Zero Trust devono basarsi sull’identità e sul contesto del dispositivo.
I dispositivi IoT e OT richiedono misure speciali
Un altro principio fondamentale da tenere a mente quando si crea un ecosistema Zero Trust è che dovrebbe andare oltre gli utenti e includere i dispositivi dei non utenti. Gli utenti ai quali, in un ambiente tradizionale, sarebbe garantito l'accesso automatico perché separati dalla rete, non beneficeranno più di questo privilegio, nel senso che chiunque o chiunque tenti di accedere potrà essere trattato come se non fosse un utente. Poiché si tratta di un processo efficiente, è importante utilizzare la visibilità dei dispositivi senza agente e una soluzione di monitoraggio della rete per i dispositivi IoT e OT, poiché i prodotti di sicurezza basati su agenti spesso non supportano questo tipo di tecnologie. Ciò, combinato con una comprensione dettagliata di ciascun dispositivo su o tentare di accedere alla rete, al flusso di traffico e alle dipendenze delle risorse, aiuterà a costruire un’architettura zero trust estremamente solida. Infine, la segmentazione della rete dovrebbe essere utilizzata per mantenere il controllo completo di tutti i sistemi aziendali. La segmentazione può aiutare a soddisfare i principi fondamentali di zero trust e gestione del rischio monitorando continuamente la rete per l'accesso ai dispositivi degli utenti per proteggere le applicazioni aziendali critiche. Può anche essere utilizzato per limitare l'effetto che una violazione potrebbe avere sui sistemi bloccando i dispositivi IoT e OT se agiscono in modo sospetto, impedendo movimenti laterali nella rete. La segmentazione può fornire controlli e precauzioni aggiuntivi per i dispositivi a cui non è possibile applicare patch o aggiornamenti mantenendoli in aree separate, riducendo la superficie di attacco. Il livello zero trust può essere difficile da raggiungere nella sua interezza, ma implementando le misure giuste, come un attento esame di ciascun dispositivo e un’efficace segmentazione della rete, i team di sicurezza possono essere sicuri della probabilità di violazione. completo al minimo indispensabile.