Il 26 gennaio 2022, il direttore ad interim dell’Office of Management and Budget dell’amministrazione Biden ha emesso un memorandum indirizzato ai capi dipartimento e alle agenzie esecutive e relativo all’adozione da parte del governo degli Stati Uniti dei principi di sicurezza informatica Zero Trust. Il memorandum ha stabilito i requisiti per una Zero Trust Architecture (ZTA) Federale, come security framework di prossima generazione per rafforzare le difese informatiche degli Stati Uniti contro minacce sempre più sofisticate e persistenti.
Questa iniziativa è solo un’ulteriore conferma del fatto che la ZTA debba essere considerata una componente importante di qualsiasi strategia di sicurezza informatica e di rete, e richiederà alle organizzazioni che gestiscono infrastrutture critiche di riconsiderare porzioni chiave della loro infrastruttura IT e dei processi di sicurezza in ottica futura. In effetti, il memo dell’OMB del 26 gennaio segue le indicazioni della National Security Agency (NSA) che, nel febbraio 2021, in un documento chiamato “Embracing Zero Trust Security Model“, ha delineato in modo simile l’adozione di una mentalità Zero Trust e l’attuazione di una ZTA all’interno delle reti governative.
Se la ZTA è ampiamente considerata come un significativo progresso della sicurezza rispetto agli approcci e alle architetture di protezione tradizionali, sono numerose le questioni che restano da affrontare, ad esempio definizioni e requisiti differenti per la ZTA a seconda dei diversi mercati e vendor. Oggi, questo approccio è ancora visto come una mentalità o un approccio e non un insieme esplicito di funzionalità o capacità di sicurezza.
Cosa considerare in fase di implementazione di una ZTA
Zero Trust rappresenta un cambiamento significativo alle architetture di rete e di sicurezza per la definizione e implementazione di policy precise in tutta l’organizzazione. In generale, un approccio di questo genere presuppone che ogni dispositivo e utente nella rete sia potenzialmente compromesso o rappresenti una minaccia. Per questo, solo utenti, dispositivi, comunicazioni e traffico esplicitamente consentiti dovrebbero essere permessi. Se questo serve sicuramente a rallentare o bloccare la propagazione del malware e l’accesso non autorizzato e un’ampia varietà di minacce informatiche, l’implementazione di un’architettura del genere richiede modifiche fondamentali all’infrastruttura e alle policy che potrebbero rivelarsi costose e molto probabilmente dirompenti per le operazioni e le applicazioni esistenti.
E mentre Zero Trust si sta facendo strada nelle organizzazioni IT per un’ampia varietà di casi d’uso e ambienti di sicurezza specifici, i requisiti unici di OT e IoT, combinati con processi industriali e infrastrutture critiche, possono ostacolare le implementazioni ZTA che si basano su soluzioni Zero Trust generiche. Molti dispositivi OT e IoT non sono facilmente collocabili all’interno di una ZTA con micro-segmentazione (un obiettivo comune di Zero Trust). Quando Zero Trust è adottato nelle attuali reti OT, viene spesso limitato a scenari di accesso remoto sicuri, dove sostituisce soluzioni di accesso VPN meno affidabili, ma non nella rete interna completa e tra tutti i dispositivi.
In generale, le organizzazioni devono partire dalla considerazione che Zero Trust non è una soluzione chiavi in mano. Con ogni probabilità, la sua adozione richiederà aggiornamenti significativi o cambiamenti alle policy e applicazioni nell’intera infrastruttura. Le molte definizioni e gli scenari dei casi d’uso dovrebbero indurre le organizzazioni a dare priorità a comprendere i motivi perché una ZTA dovrebbe essere messa in opera, sulla base dell’accesso attuale e dei requisiti delle applicazioni, e non semplicemente rispondere a una guida o mandato specifico, come il memorandum di cui sopra dal governo degli Stati Uniti. Quel memo richiede l’implementazione della crittografia per il traffico HTTP e DNS entro il 2024, ma non altri servizi come la posta elettronica. Questi dettagli specifici possono essere completamente irrilevanti per altre industrie e organizzazioni con altre esigenze di sicurezza delle applicazioni.
L’approccio Zero Trust di Nozomi Networks
Non esiste un approccio universale allo Zero Trust ma, considerando la probabilità che diventi un elemento fondamentale degli obiettivi di sicurezza per molte organizzazioni nei prossimi anni, si tratta certo di un aspetto che le organizzazioni dovrebbero iniziare a considerare. La criticità dei processi in ambito OT/IoT fa sì che questi non possano essere bloccati a ogni sospetto di traffico illegittimo. Ma il confronto tra il comportamento rivelato e le policy consentite può far scattare una segnalazione, su cui eventualmente prendere decisioni quali un monitoraggio più attento o l’integrazione con partner tecnologici che possono mettere in quarantena o bloccare endpoint e utenti sospetti, a seconda della necessità. Andando a confrontare i modelli di traffico con le politiche dichiarate, il monitoraggio Zero Trust sarà un passo iniziale fondamentale per la maggior parte delle implementazioni ZTA per identificare tutti i flussi di rete e il traffico applicativo richiesti in modo che quando vengono applicate policy Zero Trust, i servizi critici non vengano interrotti.
In questo senso, Zero Trust è un percorso e non una destinazione predefinita. Non esiste una soluzione in grado di trasformare ogni ambiente in Zero Trust nel giro di una notte. In ogni organizzazione, l’approccio Zero Trust può essere molto diverso rispetto a qualsiasi linea guida del mercato o soluzione fornita da un vendor. La necessità è quella di disporre di una piattaforma in grado di fornire i servizi fondamentali per una mentalità Zero Trust e che possa adattarsi per definire e implementare le policy necessarie in futuro.
