Tradizionalmente, la sicurezza informatica è stata un settore dominato da barriere. Migliore era la tecnologia per separare il buono dal cattivo e costruire tutti i tipi di porte, fossati e muri, meglio era. Le aziende hanno speso più di 120 miliardi di euro nel 2018 per prevenire gli attacchi, ma le violazioni sono persistite: si stima che 765 milioni di persone siano state colpite da attacchi informatici solo ad aprile, maggio e giugno dello scorso anno.
Le aziende stanno iniziando a rendersi conto che la tecnologia da sola non elimina i rischi né garantisce la sicurezza delle informazioni. Stanno iniziando a vedere il modello tradizionale di valutazione esaustiva di dozzine di fornitori nel corso di mesi diventare un'attività di Sisyphus senza prima implementare la giusta strategia e le migliori pratiche. Per molti, questo significa Zero Trust.
Zero Trust è diventata una parola d'ordine ringiovanita negli ultimi due anni in quanto è diventata più popolare tra le organizzazioni della società civile e i fornitori di tecnologia. La filosofia di base di Zero Trust è "mai fidarsi, verificare sempre" e opera in base al principio che non è possibile separare il "buono" dal "cattivo". Gli approcci tradizionali incentrati sulla creazione di un forte perimetro per tenere fuori i cattivi non funzionano più. Le risorse (dati, applicazioni, infrastrutture, dispositivi) sono sempre più ibride o completamente al di fuori di questo perimetro. Con Zero Trust, la fiducia viene rimossa dall'equazione e l'attenzione si concentra sulla verifica continua.
Ha tre inquilini principali:
- Verifica ogni utente, ogni volta
- Convalida ogni dispositivo
- Limita l'accesso in modo intelligente
È un approccio olistico e strategico alla sicurezza che garantisce che ogni persona e ogni dispositivo autorizzato ad accedere a una rete, applicazione o servizio sia chi e cosa dice di essere.
Cloud ha fatto saltare il perimetro
Zero Trust è diventato saldamente radicato nell'etica della sicurezza così rapidamente, in parte perché la promessa di una barriera tecnologica come soluzione definitiva per fermare le minacce e mitigare il rischio è diventata impossibile nell'era del cloud. Man mano che le aziende spostano sempre più infrastrutture e servizi nel cloud, adottano sempre più dispositivi mobili e supportano tutti i tipi di lavoratori remoti, stanno effettivamente creando buchi (o almeno potenziali buchi) all'interno dei propri firewall.
Ho parlato allo Zero Trust Summit lo scorso anno e ho visto l'analista di Forrester Dr. Chase Cunningham dire ripetutamente al pubblico che nell'era della trasformazione digitale i perimetri non esistono più. I vecchi approcci alla sicurezza non sono compatibili con la sofisticatezza delle minacce odierne.
“La gente dirà: 'Facciamo cose. Ci stiamo lavorando”, ha affermato il dottor Cunningham. «Be', indovina qual era la strategia di Target prima della breccia? Proteggere, individuare, scoraggiare, reagire. Indovina quale era la strategia di OMB prima della breccia? Proteggere, individuare, scoraggiare, reagire. Non è una strategia.
“Se ti alzi e dici: 'La nostra strategia di sicurezza consiste nel lavorare verso un'infrastruttura Zero Trust.' questo è tutto", ha proseguito. "Una frase. Chiunque può esserci dietro.
È tutta una questione di contesto
In assenza di perimetri efficaci, la più grande arma che le aziende hanno contro gli attori malintenzionati sono le informazioni. Fondamentalmente, Zero Trust riguarda le informazioni: avere un contesto sufficiente su utenti, dispositivi e comportamenti per determinare definitivamente che qualcuno è chi dice di essere.
Come ha detto Cunningham, questo è essenziale nell'era del cloud e dei telefoni cellulari. Dieci anni fa, le strategie di sicurezza si basavano su un unico segnale: la richiesta proveniva dall'interno o dall'esterno del firewall? E ha funzionato! La maggior parte degli utenti si è connessa a reti, app e servizi dal proprio desktop al lavoro o forse da un laptop a casa tramite una VPN.
Questo non è il caso. Le persone hanno bisogno di accedere dalle loro scrivanie, mentre aspettano in fila per il caffè o da 30 piedi nel cielo su un aereo. Si connettono da computer desktop, laptop, telefoni e tablet. Invece di un singolo segnale, ce ne vogliono centinaia per decidere finalmente se concedere o meno l'accesso a qualcuno. Zero Trust garantisce che il contesto venga fornito ogni volta, con ogni utente.
Qualcuno ha le credenziali corrette, ma sono su un dispositivo attendibile? Hanno le credenziali e si trovano su un dispositivo attendibile, ma si trovano in una posizione insolita o accedono a un orario insolito? Questi segnali sono preziosi pezzi di contesto che aiutano a proteggere le informazioni nell'ambiente odierno. Un approccio Zero Trust, abbinato alla giusta tecnologia, garantisce alle aziende la capacità di rispondere a queste domande.
Secondo il Data Breach Report 2018 di Verizon, oltre l'81% delle violazioni è dovuto a password deboli o rubate. Con queste informazioni, è irresponsabile che le aziende si considerino protette solo da username e password. Man mano che l'identità online diventa sempre più complessa e sempre più importante per aziende e consumatori, l'approccio Zero Trust diventerà saldamente radicato nel vocabolario di tutte le organizzazioni della società civile.
Sì, è una parola d'ordine oggi, ma è anche una strategia di sicurezza informatica fondamentale per l'era del cloud.
Corey Williams, vicepresidente della strategia presso Idaptive(Si apre in una nuova scheda)