HomeRisorseArticoliCybersecurityPerché un sistema di sicurezza Zero-Trust è da preferire rispetto agli altri
Cybersecurity

Perché un sistema di sicurezza Zero-Trust è da preferire rispetto agli altri

27 Agosto 2020

Oggigiorno l’aumento dei servizi basati su cloud è realtà consolidata e, sempre di più, organizzazioni di ogni tipo sembrano preferire questo tipo di soluzione rispetto ad altre.

Contestualmente alla diffusione di questo fenomeno, cresce anche l’esigenza di affidarsi al modello di sicurezza Zero-Trust.

Di cosa si tratta?

“Non fidarsi mai, verificare sempre” è un po’ il concetto che sta alla base, ma vediamo nello specifico di cosa sto parlando.

Il modello Zero-Trust

In generale le reti IT sono costruite secondo zone di “fiducia” (Trust, per l’appunto) e distinguono ciò che è attendibile e sicuro da ciò che non lo è in base al fatto che si trovi “dentro” (la tua rete) o “fuori” (nelle reti esterne come internet).

Nel momento in cui posizioni un firewall tra le due aree e controlli gli accessi in entrambe le direzioni, si considera sicuro tutto ciò che sta dentro e, al contrario, potenzialmente dannoso tutto ciò che sta all’esterno.

Questo non significa che non è consentito l’accesso a ciò che si trova all’”esterno”,  ma semplicemente che questo è controllato attraverso un meccanismo di autenticazione e autorizzazione che determina esattamente a quali risorse è possibile accedere e costringe a dimostrare chi sei.

Cosa cambia con il modello zero-trust?

Che nulla è considerato attendibile automaticamente e che il sistema di controllo viene applicato a tutto, anche a ciò che si trova all’interno del perimetro controllato da un firewall.

Perché dovresti usare il modello Zero-Trust?

Se le crescenti minacce informatiche di questo periodo ci hanno insegnato qualcosa è che non ci si può fidare ciecamente di nessun sistema.

Se diamo per scontato che tutto quello che si trova nella rete sia “buono”, per compromettere un’intera infrastruttura IT basta solo che un malintenzionato trovi riesca a trovare una breccia.

Sono molte le vulnerabilità che potrebbe prendere in considerazione se il sistema IT interno viene definito attendibile a priori. Basti pensare a stampanti, fotocamere, smart TV o qualsiasi altro dispositivo legacy di vario tipo, nessuno applica mai patch a questi sistemi e quindi di conseguenza sono facilmente attaccabili.

E allora che si fa?

L’idea è quella di isolare tutto in modo che se un dispositivo venisse compromesso ci sarebbe ben poco da fare per danneggiare l’intero sistema IT di un’organizzazione.

Prendiamo l’esempio della stampante. Se questa venisse collegata a una rete diversa e isolata da un firewall (ad eccezione di funzioni specificamente autorizzate) allora non ci sarebbe quasi nulla di potenzialmente pericoloso che un malintenzionato potrebbe fare attraverso questa stampante.

Rendere più sicuro il sistema IT dei tuoi clienti

In teoria il modello di sicurezza Zero-Trust potrebbe essere applicato in qualsiasi ambito ma gli usi più comuni coinvolgo applicazioni come posta elettronica, archiviazione di file e applicazioni core del business.

Tuttavia il grande cambiamento che ha avuto come protagonista la trasformazione di (praticamente) tutti i servizi in cloud ha già fatto parte del lavoro per te.

Se i tuoi clienti usano la posta elettronica o uno storage in cloud, allora hanno già una forma di sicurezza zero-trust per questi servizi.

Ogni software SaaS si trova su server isolati rispetto alle reti o alle macchine degli utenti, richiede credenziali di accesso univoche e utilizza protocolli sicuri come l’HTTPS per le comunicazioni via browser.

La domanda ora è solo “cosa posso fare per aumentare ulteriormente la loro sicurezza”?

Proprio qui entra in gioco il fattore “autenticazione”, in particolare quella a due fattori.

Questa best practice richiede l’utilizzo di una seconda “prova” che dimostri la propria identità al di là di un semplice username e password perché queste, generalmente, sono facili da rubare.

Sono molti i sistemi di autenticazione a due fattori da poter utilizzare, dai token fisici alle app per smartphone, in quest’ultimo caso la cosa importate da tenere in considerazione è il metodo di comunicazione usato che dev’essere estremamente sicuro. Gli SMS, ad esempio, non sono un metodo di comunicazione particolarmente sicuro.

O ancora, alcuni modelli di MFA basati su app inviano avvisi che chiedono all’utente di confermare un determinato accesso. Qui è fondamentale controllare quale dispositivo ha richiesto il permesso e da dove per evitare di confermare l’accesso a un utente che ha magari rubato le credenziali.

Il modello Zero-Trust non risolve tutto

Il concetto espresso fino ad ora del “Non fidarsi mai, verificare sempre” è cosa buona e giusta ma ovviamente non basta a risolvere ogni problema potenzialmente legato alla sicurezza.

Un esempio di minaccia molto pericolosa e difficile da neutralizzare è sicuramente il ransomware che rappresenta l’incubo per eccellenza per chi, come te, fornisce servizi IT gestiti.

Quando questo malware sfonda le barriere di protezione di un sistema IT non c’è modo di riconoscere se è proprio il virus ad eseguire azioni attraverso l’account dell’utente o se è davvero l’utente ad accedere ai file e modificarli, ad esempio. Imporre un modello di autenticazione più elaborato al fine di autorizzare ogni singola azione da parte dell’utente è impensabile! E in ogni caso anche questi sistemi possono essere in qualche modo aggirati dai malware.

Dunque il modello Zero-Trust, oggigiorno, è sicuramente da preferire ma è comunque utile che venga affiancato da un ottimo sistema di backup che sia in grado di ripristinare eventuali file crittografati oltre che soluzioni dedicate al rilevamento di malware e di controllo del traffico all’interno della rete IT dei tuoi clienti.

Tratto dal blog di Auvik

Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.

Tag

Achab, informationtechnology, malware, ransomware, sicurezza it, zero-trust

Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative

Copyright © Achab S.p.A. unipersonale Società soggetta a direzione e coordinamento da parte di Vortex Beteiligungs GmbH
Viale Monte Nero 4, 20135 Milano - Tel. +39 02 54108204
P.IVA e C.F. 11270660159 - Cap. Soc. € 60.000,00 - Registro Imprese Milano - REA 1453036 - PEC: achab@legalmail.it