Bryan Willet, CISO, Lexmark, analizza e spiega un nuovo approccio alla sicurezza: lo zero trust, ovvero perché non bisogna fidarsi di nessuno.
Ho sentito parlare per la prima volta del concetto di “zero trust” cinque anni orsono, nell’ambito dell’allora nuovo approccio alla sicurezza evidenziato nella ricerca BeyondCorp di Google. L’idea è sintetizzata nel principio secondo il quale le aziende di ogni dimensione non dovrebbero fidarsi automaticamente di nulla, né all’interno né all’esterno del proprio perimetro, verificando in modo capillare tutto ciò che cerca di connettersi ai sistemi prima di autorizzare un eventuale accesso.
Con un panorama delle minacce in continua evoluzione, le raccomandazioni emerse dallo studio di Google avevano perfettamente senso, al punto che nella nostra azienda abbiamo adottato questa strategia in anticipo sui tempi, riconoscendo come il tradizionale approccio perimetrale alla sicurezza fosse ormai datato. Nel giro di un biennio, è stata completamente riconsiderata la modalità di autorizzazione di accesso alla rete, partendo dal presupposto che non ci si può fidare di nessun utente o dispositivo senza un’opportuna verifica.
Per operare in questo modo è necessario che le aziende richiedano che ogni device sia registrato e conforme prima di poter accedere alla rete aziendale. In secondo luogo, attività quali richieste di file, ricerche su database e comandi di stampa devono essere eseguite solo da utenti autenticati. È, infine, fondamentale assicurarsi che ogni utente che richieda l’autenticazione a server e servizi interni non menta sulla propria identità. A tal fine, occorre implementare un’autenticazione multi-fattore per assicurare un ulteriore step di convalida, dato che le sole password non sono sufficienti, in virtù del fatto che sempre più soggetti cadono vittima di minacce quali per esempio gli attacchi di phishing, oggi più sofisticati che mai. Affinché quella “zero trust” risulti una strategia vincente, non devono esistere interpretazioni né eccezioni a nessuna di queste regole.
Non si tratta certamente di un percorso semplice. Occorre stimolare un cambio di mentalità nei dipendenti, rendendoli consci dell’importanza che ogni singolo ruolo riveste all’interno di un’organizzazione. Ciò comporta anche sopportare qualche inconveniente nel breve periodo, in cambio di una rete più resistente, sicura e a misura di utente.
Con la giusta pianificazione e implementazione il concetto “zero trust” può davvero essere la risposta al crescente numero di minacce che si profilano all’orizzonte e per le quali un approccio tradizionale basato sulla mera difesa perimetrale non è più attuale. Come abbiamo visto, la creazione di una policy di sicurezza di questo tipo richiede l’impegno di tutti all’interno di un’azienda, ma è solo operando in modo unito e coordinato che si potranno raccogliere i frutti nel medio e lungo termine.