Cos’è Zero Trust? Dipende da cosa vuoi sentire

La confusione sul vero significato e lo scopo di zero trust rende più difficile per le persone implementare le idee nella pratica. I sostenitori sono ampiamente d’accordo sugli obiettivi generali e sullo scopo dietro la frase, ma dirigenti o amministratori IT impegnati con altre cose di cui preoccuparsi possono facilmente essere fuorviati e finire per implementare protezioni di sicurezza che semplicemente rafforzano i vecchi approcci piuttosto che inaugurare qualcosa di nuovo.

“Ciò che l’industria della sicurezza ha fatto negli ultimi 20 anni è solo aggiungere altri campanelli e fischietti, come l’intelligenza artificiale e l’apprendimento automatico, alla stessa metodologia”, afferma Paul Walsh, fondatore e CEO della società anti-phishing basata sullo zero. MetaCert. “Se non è zero trust, è solo sicurezza tradizionale, indipendentemente da ciò che aggiungi.”

I fornitori di cloud in particolare, tuttavia, sono in grado di inserire concetti di zero trust nelle loro piattaforme, aiutando i clienti ad adottarli nelle proprie organizzazioni. Ma Phil Venables, responsabile della sicurezza delle informazioni di Google Cloud, nota che lui e il suo team passano molto del loro tempo a parlare con i clienti di cosa sia realmente lo zero trust e di come possono applicare i principi nel proprio utilizzo di Google Cloud e oltre.

“C’è molta confusione là fuori.” dice. “I clienti dicono: ‘Pensavo di sapere cosa fosse la fiducia zero e ora che tutti descrivono tutto come fiducia zero lo capisco meno.'”

Oltre a concordare sul significato della frase, il più grande ostacolo alla proliferazione di zero trust è che la maggior parte delle infrastrutture attualmente in uso è stata progettata secondo il vecchio modello di rete fossato e castello. Non esiste un modo semplice per adattare questi tipi di sistemi a zero trust poiché i due approcci sono così fondamentalmente diversi. Di conseguenza, l’implementazione delle idee alla base dello zero trust ovunque in un’organizzazione comporta potenzialmente investimenti significativi e disagi per riprogettare i sistemi legacy. E questi sono proprio i tipi di progetti che rischiano di non essere mai realizzati.

Ciò rende l’implementazione della fiducia zero nel governo federale, che utilizza un miscuglio di fornitori e sistemi legacy che richiederanno massicci investimenti di tempo e denaro per la revisione, particolarmente scoraggiante, nonostante i piani dell’amministrazione Biden. Jeanette Manfra, ex vicedirettore per la sicurezza informatica presso CISA che è entrata a far parte di Google alla fine del 2019, ha visto in prima persona la differenza passando dall’IT governativo all’infrastruttura interna incentrata sulla fiducia zero del gigante della tecnologia.

“Venivo da un ambiente in cui stavamo investendo un’enorme quantità di dollari dei contribuenti per proteggere dati personali molto sensibili, dati di missione e vedere l’attrito che hai sperimentato come utente, specialmente nelle agenzie più orientate alla sicurezza”, afferma. “Che potresti avere più sicurezza e un’esperienza migliore come utente è stata semplicemente strabiliante per me.”

Il che non vuol dire che la fiducia zero sia una panacea per la sicurezza. I professionisti della sicurezza che vengono pagati per hackerare le organizzazioni e scoprire le loro debolezze digitali, note come “team rosse”, hanno iniziato a studiare cosa serve per entrare nelle reti zero trust. E per la maggior parte, è ancora abbastanza facile mirare semplicemente alle parti della rete di una vittima che non sono ancora state aggiornate con concetti di zero trust in mente.

“Un’azienda che sposta la propria infrastruttura fuori sede e la inserisce nel cloud con un fornitore zero trust chiuderebbe alcuni percorsi di attacco tradizionali”, afferma Cedric Owens, collaboratore di lunga data del team rosso. “Ma in tutta onestà non ho mai lavorato o messo in squadra un ambiente completamente zero trust.” Owens sottolinea inoltre che, sebbene i concetti di zero trust possano essere utilizzati per rafforzare materialmente le difese di un’organizzazione, non sono a prova di proiettile. Indica le configurazioni errate del cloud come solo un esempio dei punti deboli che le aziende possono introdurre involontariamente quando passano a un approccio zero trust.

Manfra afferma che ci vorrà del tempo prima che molte organizzazioni comprendano appieno i vantaggi dell’approccio zero trust rispetto a ciò su cui hanno fatto affidamento per decenni. Aggiunge, tuttavia, che la natura astratta della fiducia zero ha i suoi vantaggi. Progettare da concetti e principi piuttosto che da prodotti particolari conferisce una flessibilità, e potenzialmente una longevità, che strumenti software specifici non offrono.

“Fisoficamente mi sembra durevole”, dice. “Voler sapere cosa e chi sta toccando cosa e chi nel tuo sistema sono sempre cose che saranno utili per la comprensione e la difesa.”


Altre grandi storie WIRED

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *