“Zero trust”: due parole che, per gli esperti di sicurezza, significano molto. Negli ultimi anni, questo concetto non è più solo un’idea teorica, un orizzonte a cui guardare con fiducia. È diventato un vero e proprio imperativo strategico.
Oggi, i team di sicurezza sono alle prese con gli effetti della trasformazione digitale. Ciò significa che l’adozione del cloud, la modernizzazione delle applicazioni e i nuovi modelli di lavoro hanno messo a dura prova le architetture di sicurezza tradizionali. Allo stesso tempo, anche il panorama delle minacce continua a evolversi. Gli aggressori utilizzano l’automazione per scalare i loro attacchi e ne sviluppano continuamente i nuovi, sempre più in grado di eludere i rilevamenti. Diventano ogni giorno più abili nello sfruttare le lacune di sicurezza createsi durante la digital transformation, se implementata dando poca importanza alla cybersecurity.
Il concetto di “zero trust” si basa sulla rimozione della “fiducia by design”, sull’applicazione del principio del privilegio minimo (PoLP) e sul monitoraggio continuo. Grazie a questi pillar, le organizzazioni possono passare a una postura di sicurezza più dinamica, limitando la propria vulnerabilità e riducendo i danni che inevitabilmente si verificano durante un cyber attacco.
Dal punto di vista dei benefici, si può dire che ce ne sono parecchi. Lo testimonia anche TechTarget. In una recente ricerca effettuata dal suo Enterprise Strategy Group (ESG) è emerso che il 77% delle organizzazioni che hanno avviato un’iniziativa zero-trust ha riportato almeno un vantaggio in termini di sicurezza e di business. Nel primo caso, si va dalla riduzione del numero di incidenti, al miglioramento dell’efficienza dei SOC, fino alla semplificazione della compliance e alla riduzione dei data breach. Dal punto di vista del business, invece, i vantaggi includono l’aumento dell’agilità, della produttività dei dipendenti e della soddisfazione degli utenti, oltre a una significativa riduzione dei costi.
I dubbi attorno allo zero trust restano
Nonostante vantaggi concreti e su più fronti, l’adozione di un approccio zero trust solleva alcuni importanti interrogativi.
- Poiché il paradigma è molto ampio, non sempre risulta chiaro quali siano esattamente le best practice che le organizzazioni stanno implementando? Ad esempio, la ricerca di ESG ha rilevato che solo il 44% delle realtà intervistate controlla la salute e la postura di un dispositivo, prima di connetterlo alla rete. Allo stesso modo, solo il 45% ha implementato il PoLP e solo il 39% ha acconsentito all’uso della microsegmentazione nel proprio data center on-premise. Nonostante questi siano pilastri fondamentali dello zero trust, non sono stati implementati in modo pervasivo.
- Come fanno i team di sicurezza a collegare le pratiche di zero trust che implementano, ai vantaggi che poi dichiarano? Sono in grado di valutare accuratamente il nesso di causalità tra le azioni di zero trust e i benefici, oppure ci si affida alla correlazione?
- Sebbene qualsiasi miglioramento sia ben accetto, quanto si sta spostando esattamente l’ago della bilancia? Gli incidenti sono diminuiti del 3% o del 30%? L’organizzazione ha risparmiato 1.000 o 1 milione di dollari? Visti gli investimenti in tempo e risorse necessari per implementare con successo questo modello, è essenziale poterne valutare il successo.
Questa mancanza di chiarezza rende difficile giudicare l’impatto di pratiche specifiche zero trust, valutare ciò che ha più senso e identificare ciò che creerebbe il maggior valore nel minor tempo possibile. Anche se ogni organizzazione è diversa dalle altre, imparare dai colleghi potrebbe essere utile, per un processo di pianificazione più oggettivo ed efficace.
Come verificare gli zero trust provider
Questo paradigma rappresenta una strategia, composta da un insieme di principi, su cui basare un programma di cybersecurity. La tecnologia, però, entra in gioco solo all’ultimo. Nel valutare i provider di questo modello, è importante dare priorità a quelli che possono offrire metriche qualitative e quantitative per misurare i benefici riscontrati dopo l’implementazione dei loro strumenti. Un aiuto arriva dagli studi che identificano chiaramente i vantaggi quantitativi direttamente legati alle pratiche di zero-trust. Supportano i responsabili della sicurezza nel collegare le loro priorità con le azioni che hanno maggiori probabilità di produrre risultati rapidi ed efficaci. I case study e le esperienze di altri clienti possono poi fornire le specifiche necessarie per convalidare questi successi.
I team di sicurezza hanno bisogno di provider che intraprendano il percorso zero trust con un piglio consulenziale. Ciò può significare molte cose, ma come minimo dovrebbe includere la fornitura di dati significativi, su cui i responsabili della sicurezza possano basare le proprie decisioni.
Il percorso verso lo zero trust può richiedere tempo. Tuttavia, la riduzione del time to value attraverso una pianificazione efficace e la selezione delle best practices, possono dare quello slancio necessario per raggiungere un successo a lungo termine.
