Il modello Zero Trust prende piede con gli esperti di sicurezza

"Non fidarti mai; verifica sempre." Sembra buon senso, vero? Questo è il motto alla base di una strategia chiamata Zero Trust, che sta prendendo piede nel mondo della sicurezza informatica. Coinvolge un dipartimento IT che verifica tutti gli utenti prima di concedere i privilegi di accesso. Gestire in modo efficace l'accesso agli account è più importante che mai con il 58 percento delle piccole e medie imprese (PMI) che denunciano violazioni dei dati nel 2017, secondo il Verizon Data Breach Investigation Report 2018.

Il concetto Zero Trust è stato fondato da John Kindervag, ex analista di Forrester Research e ora Field CTO presso Palo Alto Networks. "Dobbiamo iniziare a elaborare una vera strategia, ed è ciò che consente Zero Trust", ha dichiarato Kindervag al pubblico il 30 ottobre al vertice SecurIT Zero Trust a New York City. Ha aggiunto che l'idea di Zero Trust è nata quando si è seduto e ha davvero considerato il concetto di fiducia, e in che modo gli attori maliziosi traggono vantaggio generalmente dalle aziende che si fidano delle parti che non dovrebbero.

Il Dr. Chase Cunningham è diventato il successore di Kindervag come Analista principale presso Forrester sostenendo un approccio di Zero Trust Access. "Zero Trust è ciò che comporta queste due parole, che significa non fidarsi di nulla, non fidarsi della gestione delle password, non fidarsi delle credenziali, non fidarsi degli utenti e non fidarsi della rete", ha detto Cunningham a PCMag presso lo Zero Trust Vertice.

Kindervag ha usato l'esempio del servizio segreto degli Stati Uniti per illustrare come un'organizzazione dovrebbe tenere traccia di ciò che deve proteggere e di chi ha bisogno dell'accesso. "Monitorano e aggiornano continuamente questi controlli in modo da poter controllare ciò che transita il micro perimetro in qualsiasi momento", ha detto Kindervag. "Questo è un metodo di protezione esecutiva Zero Trust. È il miglior esempio visivo di ciò che stiamo cercando di fare in Zero Trust."

Lezioni di Zero Trust apprese in OPM

Un esempio perfetto di come Zero Trust può lavorare a beneficio delle organizzazioni è quello dell'ex CIO del governo federale degli Stati Uniti. Al Zero Trust Summit, il Dr. Tony Scott, che ha ricoperto la carica di CIO degli Stati Uniti dal 2015 al 2017, ha descritto una grave violazione dei dati verificatasi presso l'US Office of Personnel Management (OPM) nel 2014. La violazione si è verificata a causa di spionaggio straniero in cui sono state rubate informazioni personali e informazioni sul nulla osta di sicurezza per 22, 1 milioni di persone insieme a dati di impronte digitali su 5, 6 milioni di persone. Scott ha descritto come non solo una combinazione di sicurezza digitale e fisica sarebbe stata necessaria per scongiurare questa violazione, ma anche un'applicazione efficace della politica Zero Trust.

Quando le persone avrebbero fatto domanda per un lavoro presso l'OPM, hanno compilato un esaustivo questionario Standard Form (SF) 86, e i dati sarebbero stati custoditi in una grotta da guardie armate e carri armati, ha detto. "Se tu fossi un'entità straniera e volessi rubare queste informazioni, dovresti violare questa grotta in Pennsylvania e superare le guardie armate. Quindi dovresti partire con camion carichi di carta o avere una macchina Xerox molto veloce o qualcosa del genere ", Ha detto Scott.

"Sarebbe stato monumentale tentare di fuggire con 21 milioni di dischi", ha continuato. "Ma lentamente, quando l'automazione è entrata nel processo OPM, abbiamo iniziato a mettere queste cose nei file dei computer su supporti magnetici e così via. Ciò ha reso molto più facile rubare." Scott ha spiegato che l'OPM non è riuscito a trovare l'equivalente tipo di sicurezza effettiva delle guardie armate quando l'agenzia è diventata digitale. A seguito dell'attacco, il Congresso ha pubblicato un rapporto in cui chiedeva una strategia Zero Trust per proteggere questo tipo di violazioni in futuro.

"Per combattere le persistenti minacce avanzate che cercano di compromettere o sfruttare le reti IT del governo federale, le agenzie dovrebbero spostarsi verso un modello" Zero Trust "di sicurezza delle informazioni e architettura IT", afferma il rapporto del Congresso. L'ex rappresentante statunitense Jason Chaffetz (R-Utah), allora presidente del comitato di sorveglianza, all'epoca scrisse anche un post su Zero Trust, originariamente pubblicato da Federal News Radio. "L'Ufficio di gestione e bilancio (OMB) dovrebbe sviluppare linee guida per i dipartimenti esecutivi e i responsabili delle agenzie per implementare efficacemente Zero Trust insieme a misure per visualizzare e registrare tutto il traffico di rete", ha scritto Chaffetz.

Zero fiducia nel mondo reale

In un esempio reale dell'implementazione di Zero Trust, Google ha implementato internamente un'iniziativa chiamata BeyondCorp intesa a spostare i controlli di accesso dal perimetro della rete a singoli dispositivi e utenti. Gli amministratori possono utilizzare BeyondCorp come modo per creare criteri granulari di controllo dell'accesso per Google Cloud Platform e Google G Suite in base all'indirizzo IP, allo stato di sicurezza del dispositivo e all'identità di un utente. Una società chiamata Luminate fornisce sicurezza Zero Trust come servizio basato su BeyondCorp. Luminate Secure Access Cloud autentica gli utenti, convalida i dispositivi e offre un motore che fornisce un punteggio di rischio che autorizza l'accesso all'applicazione.

"Il nostro obiettivo è fornire in modo sicuro l'accesso a qualsiasi utente, da qualsiasi dispositivo, a qualsiasi risorsa aziendale indipendentemente da dove sia ospitato, nel cloud o nei locali senza distribuire agenti nell'endpoint o dispositivi come reti private virtuali (VPN), firewall o proxy sul sito di destinazione ", ha dichiarato PCMag alla conferenza Hybrid Identity Protection (HIP) 2018 (HIP2018) di New York a Michael Dubinsky, responsabile della gestione dei prodotti di Luminate.

Una disciplina IT chiave in cui Zero Trust sta ottenendo una rapida trazione è la gestione delle identità. Ciò è probabilmente dovuto al fatto che l'80 percento delle violazioni è causato da un uso improprio di credenziali privilegiate, secondo il rapporto "Forrester Wave: Privileged Identity Management, Q3 2016". I sistemi che controllano l'accesso autorizzato a un livello più granulare possono aiutare a prevenire questi incidenti.

Lo spazio di gestione delle identità non è nuovo e esiste un lungo elenco di aziende che offrono tali soluzioni, con probabilmente il più pervasivo di essere Microsoft e la sua piattaforma Active Directory (AD), che è integrata nel sistema operativo Windows Server ancora popolare (OS). Tuttavia, ci sono molti nuovi giocatori che possono offrire non solo più funzionalità di AD, ma possono anche semplificare l'implementazione e la gestione dell'identità. Tali società includono giocatori come Centrify, Idaptive, Okta e SailPoint Technologies.

E mentre coloro che hanno già investito in Windows Server potrebbero rifiutare di pagare di più per la tecnologia in cui ritengono di aver già investito, un'architettura di gestione delle identità più profonda e meglio mantenuta può fare grandi dividendi in violazioni contrastate e audit di conformità. Inoltre, il costo non è proibitivo, sebbene possa essere significativo. Ad esempio, Centrify Infrastructure Services parte da $ 22 al mese per sistema.

Come funziona Zero Trust

"Una delle cose che Zero Trust fa è definire la segmentazione della rete", ha affermato Kindervag. La segmentazione è un concetto chiave sia nella gestione della rete che nella sicurezza informatica. Implica la suddivisione di una rete di computer in sottoreti, logicamente o fisicamente, per migliorare le prestazioni e la sicurezza.

Un'architettura Zero Trust va oltre un modello perimetrale, che comprende la posizione fisica di una rete. Implica "spingere il perimetro verso il basso verso l'entità", ha detto Cunningham.

"L'entità potrebbe essere un server, un utente, un dispositivo o un punto di accesso", ha affermato. "Spingi i controlli al minimo livello invece di pensare di aver costruito un muro molto alto e di essere al sicuro." Cunningham descrisse un firewall come parte di un tipico perimetro. "È un problema di approccio, strategia e perimetro", ha osservato. "Le alte mura e l'unica cosa importante: semplicemente non funzionano."

Per ottenere l'accesso a una rete, un vecchio aspetto della sicurezza stava usando i router, secondo Danny Kibel, il nuovo CEO di Idaptive, una società di gestione delle identità che si sta allontanando da Centrify. Prima di Zero Trust, le aziende verificavano e quindi si fidavano. Ma con Zero Trust, "verifica sempre, non fidarti mai", ha spiegato Kibel.

Idaptive offre una piattaforma di accesso di nuova generazione che include Single Sign-On (SSO), autenticazione adattativa a più fattori (MFA) e gestione dei dispositivi mobili (MDM). Servizi come Idaptive forniscono un modo per creare controlli necessariamente granulari sull'accesso. È possibile effettuare il provisioning o il deprovisioning in base a chi deve accedere a varie applicazioni. "Dà a quella capacità ben definita per l'organizzazione di controllare il suo accesso", ha detto Kibel. "E questo è molto importante per le organizzazioni che stiamo vedendo perché c'è un sacco di tentacoli in termini di accesso non autorizzato."

Kibel ha definito l'approccio di Idaptive a Zero Trust in tre passaggi: verificare l'utente, verificare il suo dispositivo e solo successivamente consentire l'accesso ad applicazioni e servizi solo per quell'utente. "Abbiamo più vettori per valutare il comportamento dell'utente: posizione, geo-velocità, ora del giorno, ora della settimana, che tipo di applicazione stai usando e anche in alcuni casi come stai usando quell'applicazione", ha detto Kibel. Idaptive controlla i tentativi di accesso riusciti e non riusciti per vedere quando è necessario riconquistare l'autenticazione o bloccare del tutto un utente.

Il 30 ottobre Centrify ha introdotto un approccio di cybersecurity chiamato Zero Trust Privilege in cui le aziende concedono l'accesso meno privilegiato necessario e verificano chi richiede l'accesso. Le quattro fasi del processo Privilegio Zero Trust includono la verifica dell'utente, l'analisi del contesto della richiesta, la protezione dell'ambiente di amministrazione e la concessione della minima quantità di privilegio necessaria. L'approccio Privilege Zero Trust di Centrify prevede un approccio graduale alla riduzione del rischio. Porta anche una transizione dal Privileged Access Management (PAM) legacy, che è un software che consente alle aziende di limitare l'accesso a nuovi tipi di ambienti come piattaforme di cloud storage, progetti di big data e persino progetti avanzati di sviluppo di applicazioni personalizzate in esecuzione in Web di livello aziendale strutture di hosting.

Un modello Zero Trust presuppone che gli hacker stiano già accedendo a una rete, ha affermato Tim Steinkopf, Presidente di Centrify. Una strategia per combattere questa minaccia sarebbe quella di limitare i movimenti laterali e applicare l'AMF ovunque, secondo Steinkopf. "Ogni volta che qualcuno tenta di accedere a un ambiente privilegiato, è necessario disporre immediatamente delle credenziali giuste e dell'accesso giusto", ha dichiarato Steinkopf a PCMag. "Il modo per imporre questo è quello di consolidare le identità, e quindi è necessario il contesto della richiesta, ovvero chi, cosa, quando, perché e dove." Dopodiché, concedi solo la quantità di accesso necessaria, ha affermato Steinkopf.

"Stai prendendo il contesto dell'utente, nel qual caso potrebbe essere un medico, potrebbe essere un'infermiera o potrebbe essere qualcun altro che sta tentando di accedere ai dati", ha detto Dubinsky. "Prendi il contesto del dispositivo da cui stanno lavorando, prendi il contesto del file a cui stanno tentando di accedere e quindi devi prendere una decisione di accesso basata su quello."

MFA, Zero Trust e Best Practices

Un aspetto chiave di un modello Zero Trust è l'autenticazione forte e consentire molteplici fattori di autenticazione ne fa parte, ha osservato Hed Kovetz, CEO e co-fondatore di Silverfort, che offre soluzioni MFA. Con la mancanza di perimetri nell'era del cloud, è più che mai necessario eseguire l'autenticazione. "La capacità di fare MFA di qualsiasi cosa è quasi un requisito fondamentale di Zero Trust, ed è impossibile farlo oggi perché Zero Trust nasce dall'idea che non ci sono più perimetri", ha detto Kovetz a PCMag su HIP2018. "Quindi qualsiasi cosa si connette a qualsiasi cosa, e in questa realtà non hai un gateway a cui puoi applicare il controllo."

Forrester's Cunningham ha delineato una strategia chiamata Zero Trust eXtended (XTX) per mappare le decisioni di acquisto della tecnologia a una strategia Zero Trust. "Abbiamo esaminato davvero i sette elementi di controllo necessari per gestire un ambiente in modo sicuro", ha affermato Cunningham. I sette pilastri sono automazione e orchestrazione, visibilità e analisi, carichi di lavoro, persone, dati, reti e dispositivi. Per essere una piattaforma ZTX, un sistema o una tecnologia avrebbe tre di questi pilastri insieme alle funzionalità API (Application Programming Interface). Numerosi fornitori che offrono soluzioni di sicurezza si adattano a vari pilastri del framework. Centrify offre prodotti rivolti alla sicurezza di persone e dispositivi, Palo Alto Networks e Cisco offrono soluzioni di rete e le soluzioni IBM Security Guardium si concentrano sulla protezione dei dati, ha osservato Cunningham.

Un modello Zero Trust dovrebbe coinvolgere anche tunnel crittografati, un cloud di traffico e crittografia basata su certificati, ha affermato Steinkopf. Se stai inviando dati da un iPad su Internet, allora vuoi verificare che il destinatario abbia il diritto di accedere, ha spiegato. L'implementazione di tendenze tecnologiche emergenti come container e DevOps può aiutare a combattere gli abusi con credenziali privilegiate, secondo Steinkopf. Ha anche descritto il cloud computing come all'avanguardia di una strategia Zero Trust.

Dubinsky di Luminate è d'accordo. Per le PMI, rivolgersi a una società cloud che fornisce la gestione delle identità o MFA come servizio scarica queste responsabilità di sicurezza per le aziende specializzate in quell'area. "Volete scaricare il più possibile alle aziende e alle persone che sono responsabili del loro lavoro quotidiano", ha affermato Dubinsky.

Il potenziale del Zero Trust Framework

Sebbene gli esperti abbiano riconosciuto che le aziende si stanno rivolgendo a un modello Zero Trust, in particolare nella gestione delle identità, alcuni non vedono la necessità di grandi cambiamenti nell'infrastruttura di sicurezza per adottare Zero Trust. "Non sono sicuro che sia una strategia che vorrei adottare a qualsiasi livello oggi", ha dichiarato Sean Pike, vicepresidente del programma per il gruppo di prodotti di sicurezza IDC. "Non sono sicuro che il calcolo del ROI esista in un lasso di tempo che abbia senso. Ci sono una serie di modifiche architettoniche e problemi del personale che ritengo che il costo sia proibitivo come strategia."

Tuttavia, Pike vede il potenziale per Zero Trust nelle telecomunicazioni e IDM. "Penso che ci siano componenti che possono essere prontamente adottati oggi che non richiedono cambiamenti di architettura all'ingrosso - identità, per esempio", ha detto Pike. "Mentre sono associati, la mia forte sensazione è che l'adozione non è necessariamente una mossa strategica verso Zero Trust ma piuttosto una mossa per affrontare i nuovi modi in cui gli utenti si connettono e la necessità di allontanarsi dai sistemi basati su password e migliorare la gestione degli accessi", Pike ha spiegato.

Sebbene Zero Trust possa essere interpretato come un po 'di un concetto di marketing che ripete alcuni dei principi standard della sicurezza informatica, come non fidarsi dei partecipanti alla propria rete e dover verificare gli utenti, serve agli scopi come un piano di gioco, secondo gli esperti. "Sono un grande sostenitore di Zero Trust, di andare verso quel singolare e strategico tipo di mantra e difenderlo all'interno dell'organizzazione", ha detto Cunningham di Forrester.

Le idee di Zero Trust introdotte da Forrester nel 2010 non sono nuove per il settore della sicurezza informatica, ha osservato John Pescatore, direttore di Emerging Security Trends presso il SANS Institute, un'organizzazione che fornisce formazione e certificazione sulla sicurezza. "Questa è praticamente la definizione standard di sicurezza informatica: cerca di rendere tutto sicuro, segmentare la tua rete e gestire i privilegi degli utenti", ha affermato.

Pescatore ha osservato che intorno al 2004 un'organizzazione di sicurezza ormai defunta, chiamata Jericho Forum, ha introdotto idee simili a Forrester per quanto riguarda la "sicurezza senza perimetro" e ha raccomandato di consentire solo connessioni affidabili. "È un po 'come dire:" Spostati da qualche parte che non ha criminali e condizioni meteorologiche perfette e non hai bisogno di un tetto o di una porta per casa ", ha detto Pescatore. "Zero Trust almeno ha riportato nel senso comune della segmentazione: si segmenta sempre da Internet con un perimetro."

• Oltre il perimetro: come affrontare la sicurezza a più livelli Oltre il perimetro: come affrontare la sicurezza a più livelli
• New York Venture cerca di stimolare posti di lavoro, innovazione nella sicurezza informatica New York Venture cerca di stimolare posti di lavoro, innovazione nella sicurezza informatica
• Come prepararsi alla prossima violazione della sicurezza Come prepararsi alla prossima violazione della sicurezza

In alternativa al modello Zero Trust, Pescatore ha raccomandato di seguire i Critical Security Control del Center for Internet Security. Alla fine, Zero Trust può sicuramente portare benefici nonostante l'hype. Ma, come ha osservato Pescatore, sia che si chiami Zero Trust o qualcos'altro, questo tipo di strategia richiede ancora controlli di base.

"Non cambia il fatto che per proteggere l'azienda, è necessario sviluppare processi e controlli di base sull'igiene della sicurezza e disporre di personale qualificato per farli funzionare in modo efficace ed efficiente", ha affermato Pescatore. Questo è più di un investimento finanziario per la maggior parte delle organizzazioni, ed è una società su cui dovranno concentrarsi per avere successo.