Il modello Zero Trust (si apre in una nuova scheda) si basa su un concetto semplice, “non fidarti di niente e di nessuno”. Forrester osserva che Zero Trust "è incentrato sulla convinzione che la fiducia sia una vulnerabilità e che la sicurezza dovrebbe essere progettata con la strategia 'mai fidarsi, verificare sempre'".
Nello specifico, le organizzazioni che adottano il modello Zero Trust implementano policy per verificare tutto e tutti, interni o esterni che siano.
Sebbene l'approccio Zero Trust esista da più di un decennio, coniato per la prima volta nel 2009 dall'analista di Forrester John Kindervag, non è stato ampiamente adottato fino a tempi molto recenti.
Zero Trust (si apre in una nuova scheda) è cresciuto e ha modernizzato molti aspetti della sicurezza IT (si apre in una nuova scheda). Ad esempio, mentre le VPN tradizionali (si apre in una nuova scheda) forniscono ancora protezioni essenziali quando ci si connette in remoto da casa a una rete aziendale, le reti Zero Trust hanno portato la sicurezza dei telelavoratori a un livello superiore affrontando ambienti specificamente moderni e in espansione, come il cloud . infrastrutture, dispositivi mobili e Internet of Things (IoT).
Inoltre, il concetto Zero Trust ha trasformato la sicurezza della posta elettronica. Le soluzioni di sicurezza e-mail legacy prendono di mira solo i tipi di attacchi tradizionali, come lo spam o il contenuto sospetto nel corpo di un messaggio, un approccio che non regge più agli odierni attori delle minacce avanzate. Un approccio Zero Trust alla sicurezza della posta elettronica, invece, offre alle organizzazioni il livello aggiuntivo di protezione necessario per difendersi anche dalle più complesse minacce trasmesse tramite posta elettronica, come phishing, social engineering e attacchi di compromissione della posta elettronica aziendale (BEC).
Con la posta elettronica che continua a essere il vettore di attacco numero uno e le minacce basate sulla posta elettronica che diventano sempre più diversificate, veloci e sofisticate, è essenziale che le organizzazioni applichino il modello Zero Trust alla loro strategia di sicurezza della posta elettronica.
Metti l'autenticazione al centro della sicurezza della posta elettronica
Le minacce basate su e-mail si sono evolute da semplici messaggi di spam ad attacchi di phishing altamente sofisticati, inclusi domini simili, spoofing di nomi visualizzati, proprietà di domini non autorizzati e ingegneria sociale.
Questi attacchi utilizzano tecniche di spoofing per indurre l'utente finale a credere che il mittente e il messaggio siano legittimi, in genere fingendosi un altro dipendente, partner commerciale o marchio che conoscono e di cui si fidano. L'obiettivo è indurre i dipendenti a trasferire denaro, scaricare malware o divulgare informazioni sensibili.
L'adozione di un approccio Zero Trust alla posta elettronica può aiutare le organizzazioni a difendersi dagli attacchi di phishing enfatizzando l'autenticazione, garantendo che la posta elettronica che entra nell'azienda o raggiunga le caselle di posta degli utenti finali provenga da persone, marchi e domini legittimi.
Il modo più efficace per farlo è implementare politiche di sicurezza che garantiscano che nessuna email sia attendibile e consegnata a meno che non superi più protocolli di autenticazione, tra cui:
SPF: i record SPF (Sender Policy Framework) consentono al proprietario di un dominio di specificare quali nomi host e/o indirizzi IP sono autorizzati a inviare e-mail per conto del dominio.
DKIM: DomainKeys Identified Mail (DKIM) consente ai proprietari di domini (si apre in una nuova scheda) di applicare una firma digitale sicura alle e-mail.
DMARC: i criteri di autenticazione, segnalazione e applicazione dei messaggi basati su dominio (DMARC (si apre in una nuova scheda)) possono impedire a chiunque, tranne che a mittenti specificamente autorizzati, di inviare messaggi utilizzando il dominio di un'organizzazione. Impedisci agli attori malintenzionati di inviare e-mail di phishing e tentativi di spoofing del dominio che sembrano provenire da marchi affidabili. Aggiungendo DMARC alle informazioni del proprio dominio Internet, un'azienda può scoprire chi sta impersonando il proprio marchio nelle e-mail, impedendo a tali messaggi di raggiungere gli utenti.
Per utilizzare DMARC, le organizzazioni devono disporre anche dei protocolli SPF e DKIM. DMARC consente alle aziende di impostare criteri basati su SPF e DKIM per dire ai server dei destinatari di posta elettronica cosa fare quando ricevono messaggi di posta fasulli che falsificano un dominio. Queste opzioni consentono di segnalare le e-mail ma non fare nulla, spostarle in una cartella spam (quarantena) o rifiutarle del tutto. Infine, per le organizzazioni che desiderano implementare DMARC, sono disponibili molte risorse per aiutarle a iniziare.
Oltre ad autenticare i mittenti di posta elettronica, è anche importante applicare i principi Zero Trust agli utenti di posta elettronica. Anche loro devono autenticarsi e l'autenticazione a più fattori (MFA) è uno dei modi più comuni ed efficaci per farlo.
Zero Trust non ha alcuna possibilità senza il coinvolgimento dei dipendenti
Sebbene l'adozione di un approccio Zero Trust alla sicurezza della posta elettronica possa ridurre significativamente il rischio di un'organizzazione di cadere vittima di minacce via posta elettronica, il modello da solo non è efficace al 100%. Anche i dipendenti devono fare la loro parte.
In definitiva, il tempo, l'impegno e il budget investiti nel modello Zero Trust saranno sottovalutati se i dipendenti non adotteranno anche una mentalità Zero Trust per tutto ciò che fanno in ufficio ea casa (come spesso accade di questi tempi). ). Ecco perché la formazione continua sulla consapevolezza della sicurezza informatica è essenziale per difendersi dalle minacce avanzate di oggi.
Ad esempio, una recente ricerca di Mimecast ha rilevato che i "cattivi clic" sono triplicati tra i lavoratori remoti all'inizio della pandemia di COVID-19, quando il lavoro a distanza (e la scarsa igiene informatica) è diventato lo standard. Tuttavia, la stessa ricerca ha rilevato che solo un'organizzazione su cinque fornisce agli utenti finali una formazione continua sulla consapevolezza della sicurezza informatica.
Le organizzazioni dovrebbero dedicare del tempo per garantire che i propri dipendenti siano formati su come individuare e segnalare e-mail sospette. Informali dei segni rivelatori di attacchi di phishing via e-mail, come URL e allegati sospetti, errori di ortografia e toni di emergenza fuori luogo. E assicurati che se mettono in dubbio la legittimità di un'e-mail, abbiano un modo semplice e diretto per segnalarlo.
Il concetto Zero Trust può essere semplice, ma implementarlo può essere molto più difficile. Con un'attenzione particolare all'autenticazione e alla formazione sulla consapevolezza della sicurezza informatica dei dipendenti, sarai sulla buona strada per difenderti anche dagli attacchi di phishing più sofisticati e rafforzare la sicurezza complessiva della tua organizzazione.
