venerdì 19 agosto 2022

Zero trust: cosa significa?

Il mondo della sicurezza è in continua evoluzione e con esso, il linguaggio impiegato da tecnici e industria della sicurezza e delle nuove tecnologie.

Uno dei termini sempre più presente nell'ultimo anno è "Zero Trust". Ma siamo sicuri di sapere di che si tratta?

Come faccio sempre in questi casi è opportuno procedere dall'inizio, ovvero dalla definizione.

Per capire cosa significa Zero Trust è utile trovare una pubblicazione di riferimento e in questo caso si tratta della NIST 800-207. Come già detto tante volte il NIST (National Institute of Standards and Technologies del Dipartimento del Commercio degli Stati Uniti d'America) è una fonte inesauribile di informazioni.

La pubblicazione 800-207 in particolare si occupa del framework Zero Trust. 

Al momento si tratta dello standard di riferimento sia per le organizzazioni governative americane (dal maggio 2021 obbligatorio a seguito di un ordine esecutivo del presidente Biden) che per tutti coloro che in qualche modo hanno a che fare con il modello di lavoro distribuito e in cloud. Secondo Gartner entro il 2025 almeno il 60% delle organizzazioni (pubbliche e private) impiegheranno il framework Zero Trust. 

 

I principi chiave del framework 800-207 sono essenzialmente tre:

- verifica continua. Ovvero mai fidarsi di niente e nessuno;

- limitazione del raggio di interesse in caso di incidente. Mettere in atto una serie di procedure e accorgimenti tecnici che consentano di limitare i danni di un eventuale incidente;

- raccolta automatica e continua di dati di contesto e comportamentali per garantire una risposta accurata.

Il modello Zero Trust si basa sull'assunto che la verifica una tantum dell'utente, dei suoi privilegi e dei dispositivi e servizi utilizzati non è sufficiente a garantire la sicurezza di un sistema in continua evoluzione in cui le tecnologie e i rischi sono anch'essi in continua evoluzione.

Il termine "Zero Trust" è stato introdotto da John Kindervag (Forrester Research Analyst) con il significato di non fidarsi mai e verificare sempre!

Naturalmente ciò significa raccogliere molti dati e informazioni, che elaborati, consentono di avere una idea precisa della situazione degli utenti (privilegi, orari, luoghi di probabile connessione ecc.), dispositivi servizi e rischi cui la nostra organizzazione è soggetta.

Come si può intuire, non si tratta di un lavoro semplice, ma dato l'attuale livello di rischio, probabilmente necessario. 

Il passaggio verso una organizzazione "Zero Trust" non è semplice in quanto impatta il modo di lavorare delle persone e quindi può provocare la naturale resistenza al cambiamento, ecco perché il compito di un CISO diviene ancora più complesso almeno nelle fasi di definizione del progetto e più in generale nelle prime fasi applicative.

In alcuni mercati ciò potrebbe significare nell'immediato la necessità per le aziende di prevedere un aumento delle spese di consulenza.

A ben guardare sarebbe necessario applicare i principio Zero Trust anche a livello di sviluppo software e di interazione tra i diversi componenti di una infrastruttura. Molti attacchi si basano infatti sull'assenza o debolezza di strumenti di autenticazione e verifica continua dell'integrità tra i diversi moduli. Il modello Zero Trust trova applicabilità sia a livello micro (hardware, Sistema Operativo, componenti software...) sia a livello macro (interazione tra sistemi, organizzazione aziendale...).

In generale, per la buona riuscita di un programma simile, è di estrema importanza la comunicazione interna e la capacità di supportare le esigenze dell'utente ma soprattutto la formazione interna del personale, sia per far crescere il livello di consapevolezza verso i rischi cyber, sia per minimizzare la resistenza al cambiamento. 

Il NIST 800-207 è il framework di riferimento, come abbiamo detto, ma naturalmente le principali firme della sicurezza hanno la loro propria declinazione del concetto "Zero Trust", che spesso fa riferimento ai propri prodotti. 

Ciò significa, come sempre, rischi di vendor lock-in, che devono essere attentamente valutati prima di mettere in atto qualunque programma, ma questo vale sempre e comunque.  

Alessandro Rugolo, Maurizio D'Amato, Giorgio Giacinto

Per approfondire:

What is Zero Trust Security? Principles of the Zero Trust Model (crowdstrike.com)

What is Zero Trust? | IBM

Modello Zero Trust - Architettura di sicurezza moderna | Microsoft Security

Defining Zero Trust in the Wake of the Biden Administration’s Cybersecurity Executive Order | Forcepoint

Executive Order on Improving the Nation's Cybersecurity - The White House

Universal ZTNA is Fundamental to Your Zero Trust Strategy | SecurityWeek.Com

Immagine: Resources - Imageware

lunedì 1 agosto 2022

Intelligence e sicurezza del Cyberspazio

di Calogero VINCIGUERRA


Edito dall’autore
pagg.188


Il mondo evolve sempre più velocemente, grazie alle immense possibilità offerte dalle nuove tecnologie, in particolare quelle digitali.

L’introduzione del cyberspace come quinto dominio é una conseguenza della sempre maggiore importanza del cyberspace per le operazioni militari.

Allo stesso modo é interessante notare che anche il mondo dell’intelligence cambia nel tempo, anche in funzione dei mezzi e strumenti disponibili per la raccolta e analisi dei dati e informazioni e per la produzione di intelligence. Calogero Vinciguerra, con il suo libro, ci illustra in modo chiaro i cambiamenti occorsi al mondo dell’Intelligence grazie allo sviluppo delle tecnologie dell’Informazione.

Il libro si articola in quattro capitoli principali che trattano altrettanti aspetti del mondo dell’Intelligence :

- evoluzione dell’intelligence ;

- esigenze informative e la sicurezza aziendale ;

- geografia e geopolitica del cyberspazio ;

- sicurezza del cyberspazio.

Nel primo capitolo l’autore getta le basi per una proficua lettura anche da parte di chi non é addentro alla materia, partendo dalle origini, ovvero dal significato del termine « intelligence » per poi passare all’illustrazione del ciclo intelligence. La descrizione del sistema di informazione per la sicurezza della Repubblica e elementi di intelligence economica chiudono il capitolo, accompagnando il lettore per mano verso la seconda parte.

Parlare di esigenze informative e di sicurezza aziendale non é semplice, ma l’autore riesce a farlo mettendo in evidenza l’importanza della figura dei professionisti della security, ritenuti, a ragione, ruoli fondamentali, tra questi anche il CISO (Chief Information Security Officer) e il DPO (Data Protection Officer). Sono bene illustrate le relazioni tra sicurezza nazionale e sicurezza aziendale, anche attraverso l’evidenziazione delle principali criticità esistenti, come per esempio la mancanza di un quadro legislativo in materia di security privata all’estero. L’illustrazione del concetto di « sicurezza partecipata » intesa come : « insieme degli strumenti e delle persone che interagiscono per concorrere a comuni obiettivi legati agli indicatori tipici della sicurezza » chiude il capitolo.

E’ con il terzo capitolo che si entra nel cuore dell'argomento del libro: cyberspace. A partire dalla spiegazione dei principali termini del settore fino alla discussione sulla cartografia del cyberspace e ai problemi della dimensione giuridica legata al territorio e al possesso dei dati, l'autore ci spiega i concetti principali. La mappatura digitale del crimine, spiegata anche con alcuni esempi reali relativi agli strumenti utilizzati, conduce alle nuove esigenze di importanti figure professionali come il Data Scientist e il Criminal Intelligence Analyst, divenuti ormai indispensabili. La geopolitica del cyberspace chiude il capitolo, con l'illustrazione del potere politico-strategico e di influenza negli equilibri mondiali del cyberspace.

Nel quarto ed ultimo capitolo Vinciguerra affronta con chiarezza la sicurezza del cyberspace. Partendo dalla definizione di hacker e di cracker, l'autore prosegue ad illustrare i principali tipi di minaccia (phishing, defacing, spoofing, DoS e DDoS) per poi descrivere le APT (Advanced and Persistent Threat) secondo la definizione del NIST e i principali crimini informatici. Nello stesso capitolo si dedica un po di spazio ai concetti di cybersecurity, cyber kill chain per concludere con lla struttura di cybersicurezza nazionale.

In conclusione il libro " Intelligence e sicurezza del Cyberspazio" è un libro interessante, molto ben strutturato e facile da leggere anche per chi si avvicina alla materia per la prima volta per cui ve lo consiglio!

Alessandro Rugolo