I numeri e i dati che vengono forniti durante i seminari di cybersecurity sono sempre più preoccupanti. Certo, in molti casi questo risente di un elemento “emotivo”, ma sottolinea una verità inconfutabile: gli attacchi sono sempre più numerosi, sempre più rapidi e sempre più efficaci. Colpiscono, per esempio, i 921 attacchi contro le password citati durante uno degli eventi principali di Microsoft Ignite 2022, e continua a colpire, anche se non è la prima volta che lo sentiamo, il dato relativo al tempo necessario a un attaccante per portare a termine con successo un movimento laterale: un’ora e quarantadue minuti in media. La soluzione o, meglio, il modo più efficiente per mitigare il numero sempre crescente e la raffinatezza sempre maggiore delle minacce è l’approccio Zero Trust, indicato anche da Microsoft come praticamente indispensabile.
La centralità della sicurezza
Alla luce di quanto esposto, non stupisce che uno degli eventi principali di Microsoft Ignite fosse proprio dedicato alla sicurezza, e numerosi seminari all’approccio Zero trust. Per molti versi non stupisce nemmeno che il tema fosse fra quelli più focalizzati su soluzioni e strategie e meno sui prodotti. Come sempre, la ragione è da leggere fra le righe degli interventi.
In apertura, Vasu Jakkal, Corporate Vice President di Microsoft Security, fa un passaggio molto interessante: “In Microsoft, siamo convinti di essere in una posizione unica per responsabilizzare i nostri clienti a proteggersi in modo autonomo e aiutare a costruire una community di difensori che possano lavorare insieme in una partnership per rendere il mondo un posto più sicuro per tutti”. Microsoft, insomma, rivendica di fatto la posizione centrale del sistema operativo anche nelle questioni legate alla sicurezza.
Sulla scorta di questa indicazione, come abbiamo accennato, buona parte delle conferenze tematiche di Ignite si focalizzano più sugli aspetti strategici che non sui prodotti, anche se non mancano novità di primo piano come Defender for DevOps, uno strumento per orchestrare la sicurezza anche in ambienti complessi come quelli multi-cloud e anche durante lo sviluppo di applicazioni, mentre Defender For Cloud viene proposto come una soluzione basata su intelligenza artificiale pensata per ottimizzare gli sforzi nella difesa del perimetro effimero.
La declinazione pratica di Zero Trust
Ma come si concretizza l’approccio Zero Trust secondo Microsoft? Anche in questo caso la risposta si trova all’interno di uno dei seminari, Zero Trust as Business Driver: 3 Discrete Scenarios. Secondo i relatori, la strategia Zero Trust è “Un approccio proattivo e integrato alla sicurezza su tutti i livelli del patrimonio digitale che verifica esplicitamente e continuamente ogni transazione, afferma il minimo dei privilegi e si affida all’intelligence, al rilevamento avanzato e alla risposta in tempo reale per rispondere alle minacce.”
Ma c’è di più: la strategia Zero Trust di Microsoft, infatti, è definita secondo tre principi fondanti. Il primo è Assume Breach, ovvero dare per scontata la violazione. In altre parole, il paradigma della sicurezza si sposta dall’assumere il sistema come sicuro all’essere consapevoli che prima o poi in qualche modo sarà compromesso. Quindi, ogni asset deve essere protetto di conseguenza, e non in funzione di una ipotetica sicurezza intrinseca del perimetro.
Il secondo principio è Verify explicitly, ovvero verifica in modo esplicito: ogni istanza deve essere verificata, in ogni circostanza, senza dare mai per scontato il percorso o la modalità che hanno condotto all’accesso a una risorsa o a un asset. Infine, Use least privileged access, cioè usa l’accesso con i privilegi meno elevati, indica come sia indispensabile ridurre al minimo la capacità di accesso di ogni singola credenziale, in modo da ridurre l’area compromessa in caso di attacco andato a buon fine.
Questi tre principi si possono riassumere in un importantissimo cambiamento nel modo di pensare la sicurezza: la rete, o il perimetro, aziendale non devono più essere considerati sicuri, ma aperti. La protezione, di conseguenza, deve essere intrinseca in ogni risorsa o asset, senza dipendere da quella di altre risorse. Sempre secondo i dati di Microsoft, la strategia Zero Trust da loro suggerita comporta una riduzione del 50% dei rischi di data breach, ma anche dei tempi di gestione e sempre del 50% anche delle richieste di assistenza ai reparti IT.
Un approccio graduale
Per attuare quella che viene definita la Zero Trust Transformation si può seguire una strategia di adozioni successive. Si comincia con il controllo degli accessi e delle identità, e con un approccio moderno alla gestione stessa delle credenziali. In questo giocano un ruolo fondamentale concetti come SASE, in cui la sicurezza diventa orchestrata e trasversale. Da questo punto di partenza ci si sposta poi a livelli di complessità e profondità sempre più elevati, estendendo l’approccio anche, per esempio, all’accesso stesso alla rete aziendale, allo sviluppo delle applicazioni (che seguiranno nativamente la policy aziendale), fino a coprire anche i dispositivi IT e OT. Insomma, la strategia è chiara: si inizia proteggendo le risorse più esposte per arrivare gradualmente a trasformare tutta l’infrastruttura.
I detrattori dell’approccio Zero Trust in genere temono che l’eccessiva rigidità possa rallentare le operazioni, soprattutto in un mondo in cui è sempre più frequente il lavoro ibrido e l’accesso remoto. In realtà, per molti versi è l’esatto contrario. Appoggiandosi a una infrastruttura adeguata alla gestione delle credenziali, anzi, si rende più agile il processo. Spostare il paradigma della sicurezza dalla sorgente di accesso alle credenziali permette, in presenza di un sistema di gestione delle identità centralizzato, l’accesso alle applicazioni aziendali anche da remoto, senza bisogno di soluzioni complesse per l’utente come l’uso di una VPN.
La gestione “Zero trust” dei dati
Un altro tema di fondamentale interesse, anche se non strettamente legato a questa strategia, è la gestione degli asset digitali aziendali. Anche in questo caso, l’approccio suggerito da Microsoft si compone di fasi, che potremmo definire di consapevolezza crescente.
- Conosci i tuoi dati: può sembrare scontato, ma oggi sono molte le aziende che hanno perso visibilità sui propri dati, al punto di non riuscire più ad averne un quadro di insieme.
- Proteggi i tuoi dati: solo avendo coscienza di tutti i dati aziendali è possibile proteggerli da attacchi e intrusioni, minimizzando il rischio di lasciare risorse “fuori dal perimetro”
- Previeni la perdita di dati: in questo caso con riferimento sia agli incidenti strutturali, sia a quelli di sicurezza, attraverso ridondanze, backup, cloud e così via
- Governa i tuoi dati: l’ultimo passaggio riveste un ruolo fondamentale, perché si passa dalla gestione al controllo: il tema non è più prendere atto di quando avviene nell’organizzazione, ma creare policy per la gestione, ma anche per l’utilizzo attivo dei dati come risorsa.
Microsoft, in definitiva, ha scelto con questo Ignite di rivendicare un ruolo centrale anche nella pianificazione e gestione delle strategie di sicurezza, fornendo gli elementi di base, sia dal punto di vista dei prodotti, sia da quello della strategia, per applicare criteri di protezione più moderni ed efficaci.
