Accettare che la rete non può mai essere veramente sicura permette di arrivare a un modello di cybersecurity più efficace rispetto a quelli tradizionali
Autore: Marc Lueck
Internet come la conosciamo e utilizziamo oggi è stata creata negli anni '60 come sistema di comunicazione in grado di sopravvivere a una guerra nucleare. Tuttavia, è stata realizzata anche immaginando che l'informazione dovesse essere libera e che una rete potesse e dovesse essere affidabile. Quaranta anni dopo, Internet è diventata un prodotto popolare indispensabile che le persone possono utilizzare per informarsi e intrattenersi. Ma con questa evoluzione è arrivato anche il pericolo che le persone sfruttino in modo improprio questa tecnologia, e così anche la sicurezza informatica ha iniziato un percorso di evoluzione.
Data la disponibilità limitata di strumenti e capacità, ha iniziato a diffondersi la credenza secondo cui le persone e le aziende possano fidarsi delle proprie reti, ma non dovrebbero fidarsi di altre al di fuori di quelle della propria azienda o di casa. I sistemi di sicurezza si basavano sull'idea che una rete potesse essere protetta, ma in realtà questo non è mai stato vero. L'unico modo per rendere sicura una rete è non utilizzarla mai.
Nonostante questa falsa credenza, all'inizio degli anni Duemila si è iniziato a cercare di capire come progettare una rete sicura, utilizzabile senza timori. I team di sicurezza hanno cercato di semplificare i controlli in modo che chiunque cerchi di accedere alla rete debba superare un ostacolo per farlo. In alternativa, molti team IT hanno deciso che l'approccio migliore fosse la segmentazione, ossia la suddivisione di una grande rete in diverse reti più piccole per aumentare la complessità. Tuttavia, si tratta ancora di idee fondamentalmente sbagliate, poiché si basano sulla falsa convinzione iniziale che una rete può essere protetta.
Prima di discutere la potenziale soluzione a questa lacuna, è opportuno capire come funzioni il modello tradizionale e come possa essere sfruttato dai criminali informatici. Tradizionalmente, il firewall e le sue evoluzioni erano il controllo di base di cui disponevano i consumatori e i team IT per la sicurezza della rete. Il compito principale del firewall era quello di bloccare tutto il traffico predefinito dall'ingresso in rete e autorizzare solo il traffico con gli indirizzi IP e i numeri di porta corretti.
In alcuni casi questa modalità potrebbe essere considerata un controllo molto efficace, in particolare se si dispone di due dispositivi di proprietà che possono essere collegati e si desidera che siano in grado di parlare tra loro. Tuttavia, non appena si permette al firewall di autorizzare l'accesso alle porte Internet, si mette a rischio il sistema. Oltre ai firewall, il compito dei team di sicurezza è quello di analizzare i flussi di traffico all'interno delle reti e cercare di bloccarli, oltre a identificare i dati e le applicazioni sensibili di una rete e proteggerli.
Questo processo è rischioso, perché per quanti controlli e blocchi siano stati posti su una rete, i team di sicurezza non saranno mai in grado di fidarsi completamente di essa e saranno sempre alla ricerca di potenziali punti deboli nella rete che potrebbero aprire le porte attraverso le quali i criminali informatici possono attaccare il firewall.
Cambiando l'architettura e non utilizzando più la rete come parte del modello di sicurezza, i team IT hanno iniziato ad abbandonare la vecchia mentalità legata alla fiducia implicita ed a iniziare a utilizzare un approccio Zero Trust per la cybersecurity. Il modello Zero Trust fornisce una connettività inside-out, ovvero incanala tutto il traffico verso una rete attraverso un broker di fiducia verificato, in grado di prevedere il rischio potenziale di ogni singolo flusso di traffico e di applicare una policy comune basata sul rischio prima di autorizzare qualsiasi connessione alla rete.
Rimuovendo quell’assunzione di privilegio per coloro che sono già sulla rete, i team IT possono stare un passo avanti rispetto ai criminali informatici e smettere di fare il loro gioco. Possono applicare i controlli in modo centralizzato e automatico, senza dover esaminare manualmente ogni singolo flusso di traffico che ha già violato il firewall. I controlli in sé non rappresentano una grande differenza rispetto al passato e non si tratta di rivoluzionare i controlli, ma di cambiare il modo in cui vengono applicati.
Invece di dover individuare dove si trovano tutti i dati e le applicazioni sensibili sulla rete e applicare delle verifiche su queste aree specifiche, il modello Zero Trust capovolge la situazione permettendo ai team di sicurezza di smettere di inseguire i dipendenti, che aggiungono continuamente nuovi dati sensibili alla rete che poi devono essere protetti, e i criminali informatici che cercano continuamente punti deboli da sfruttare.
Naturalmente, il modello Zero Trust non è infallibile. I criminali informatici impareranno modi nuovi e innovativi per cercare di violare la sicurezza. Tuttavia, questo modello consente ai team di sicurezza di essere in prima linea e iniziare a delineare le difese in modo molto più intelligente, dal momento che la rete non è più parte del loro modello di sicurezza.
Marc Lueck è CISO, EMEA, Zscaler