Senza categoria

Perché un sistema di sicurezza Zero-Trust è da preferire rispetto agli altri

27 Agosto 2020

Oggigiorno l’aumento dei servizi basati su cloud è realtà consolidata e, sempre di più, organizzazioni di ogni tipo sembrano preferire questo tipo di soluzione rispetto ad altre.

Contestualmente alla diffusione di questo fenomeno, cresce anche l’esigenza di affidarsi al modello di sicurezza Zero-Trust.

Di cosa si tratta?

“Non fidarsi mai, verificare sempre” è un po’ il concetto che sta alla base, ma vediamo nello specifico di cosa sto parlando.

Il modello Zero-Trust

In generale le reti IT sono costruite secondo zone di “fiducia” (Trust, per l’appunto) e distinguono ciò che è attendibile e sicuro da ciò che non lo è in base al fatto che si trovi “dentro” (la tua rete) o “fuori” (nelle reti esterne come internet).

Nel momento in cui posizioni un firewall tra le due aree e controlli gli accessi in entrambe le direzioni, si considera sicuro tutto ciò che sta dentro e, al contrario, potenzialmente dannoso tutto ciò che sta all’esterno.

Questo non significa che non è consentito l’accesso a ciò che si trova all’”esterno”,  ma semplicemente che questo è controllato attraverso un meccanismo di autenticazione e autorizzazione che determina esattamente a quali risorse è possibile accedere e costringe a dimostrare chi sei.

Cosa cambia con il modello zero-trust?

Che nulla è considerato attendibile automaticamente e che il sistema di controllo viene applicato a tutto, anche a ciò che si trova all’interno del perimetro controllato da un firewall.

Perché dovresti usare il modello Zero-Trust?

Se le crescenti minacce informatiche di questo periodo ci hanno insegnato qualcosa è che non ci si può fidare ciecamente di nessun sistema.

Se diamo per scontato che tutto quello che si trova nella rete sia “buono”, per compromettere un’intera infrastruttura IT basta solo che un malintenzionato trovi riesca a trovare una breccia.

Sono molte le vulnerabilità che potrebbe prendere in considerazione se il sistema IT interno viene definito attendibile a priori. Basti pensare a stampanti, fotocamere, smart TV o qualsiasi altro dispositivo legacy di vario tipo, nessuno applica mai patch a questi sistemi e quindi di conseguenza sono facilmente attaccabili.

E allora che si fa?

L’idea è quella di isolare tutto in modo che se un dispositivo venisse compromesso ci sarebbe ben poco da fare per danneggiare l’intero sistema IT di un’organizzazione.

Prendiamo l’esempio della stampante. Se questa venisse collegata a una rete diversa e isolata da un firewall (ad eccezione di funzioni specificamente autorizzate) allora non ci sarebbe quasi nulla di potenzialmente pericoloso che un malintenzionato potrebbe fare attraverso questa stampante.

Rendere più sicuro il sistema IT dei tuoi clienti

In teoria il modello di sicurezza Zero-Trust potrebbe essere applicato in qualsiasi ambito ma gli usi più comuni coinvolgo applicazioni come posta elettronica, archiviazione di file e applicazioni core del business.

Tuttavia il grande cambiamento che ha avuto come protagonista la trasformazione di (praticamente) tutti i servizi in cloud ha già fatto parte del lavoro per te.

Se i tuoi clienti usano la posta elettronica o uno storage in cloud, allora hanno già una forma di sicurezza zero-trust per questi servizi.

Ogni software SaaS si trova su server isolati rispetto alle reti o alle macchine degli utenti, richiede credenziali di accesso univoche e utilizza protocolli sicuri come l’HTTPS per le comunicazioni via browser.

La domanda ora è solo “cosa posso fare per aumentare ulteriormente la loro sicurezza”?

Proprio qui entra in gioco il fattore “autenticazione”, in particolare quella a due fattori.

Questa best practice richiede l’utilizzo di una seconda “prova” che dimostri la propria identità al di là di un semplice username e password perché queste, generalmente, sono facili da rubare.

Sono molti i sistemi di autenticazione a due fattori da poter utilizzare, dai token fisici alle app per smartphone, in quest’ultimo caso la cosa importate da tenere in considerazione è il metodo di comunicazione usato che dev’essere estremamente sicuro. Gli SMS, ad esempio, non sono un metodo di comunicazione particolarmente sicuro.

O ancora, alcuni modelli di MFA basati su app inviano avvisi che chiedono all’utente di confermare un determinato accesso. Qui è fondamentale controllare quale dispositivo ha richiesto il permesso e da dove per evitare di confermare l’accesso a un utente che ha magari rubato le credenziali.

Il modello Zero-Trust non risolve tutto

Il concetto espresso fino ad ora del “Non fidarsi mai, verificare sempre” è cosa buona e giusta ma ovviamente non basta a risolvere ogni problema potenzialmente legato alla sicurezza.

Un esempio di minaccia molto pericolosa e difficile da neutralizzare è sicuramente il ransomware che rappresenta l’incubo per eccellenza per chi, come te, fornisce servizi IT gestiti.

Quando questo malware sfonda le barriere di protezione di un sistema IT non c’è modo di riconoscere se è proprio il virus ad eseguire azioni attraverso l’account dell’utente o se è davvero l’utente ad accedere ai file e modificarli, ad esempio. Imporre un modello di autenticazione più elaborato al fine di autorizzare ogni singola azione da parte dell’utente è impensabile! E in ogni caso anche questi sistemi possono essere in qualche modo aggirati dai malware.

Dunque il modello Zero-Trust, oggigiorno, è sicuramente da preferire ma è comunque utile che venga affiancato da un ottimo sistema di backup che sia in grado di ripristinare eventuali file crittografati oltre che soluzioni dedicate al rilevamento di malware e di controllo del traffico all’interno della rete IT dei tuoi clienti.

Tratto dal blog di Auvik

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per ricevere gli aggiornamenti di Achab