Un modello di sicurezza zero-trust riduce notevolmente il rischio di attacchi informatici legati alle password. Scoprite come la vostra organizzazione può implementarlo.
La zero-trust è un modello di sicurezza "a violazione presunta" creato per gli architetti di soluzioni di cybersecurity, i system integrator e i team DevOps per integrare le funzionalità essenziali di cybersecurity in un ambiente IT pervasivo che consente di pianificare e prendere decisioni in materia di cybersecurity.
La zero-trust non si fida di alcun utente o dispositivo umano, indipendentemente dalla sua ubicazione. In un ambiente zero-trust, tutti gli utenti e i dispositivi devono essere autenticati prima di poter accedere alle risorse dell'organizzazione. Invece di fare affidamento sul luogo in cui si trovano gli utenti, la zero-trust li obbliga a dimostrare la propria identità.
Se implementato correttamente, l'accesso alla rete zero-trust offre agli amministratori IT una visibilità completa su tutti gli utenti, i sistemi e i dispositivi. Le persone, le app e i servizi possono comunicare in modo protetto, anche in ambienti di rete diversi. Non importa se gli utenti si collegano da casa, dall'hotel, dalla caffetteria o dall'aeroporto, e nemmeno se utilizzano i propri dispositivi. Gli amministratori possono vedere esattamente chi si connette alla rete, dove si trova e a cosa accede.
Tre sono i principi guida che costituiscono il nucleo della sicurezza zero-trust.
Qualsiasi persona o dispositivo può essere potenzialmente compromesso, anche se si collega dall'interno dell'ufficio.
Tutti gli esseri umani e le macchine devono dimostrare la propria identità prima di poter accedere alle risorse di rete.
Anche dopo che un utente è stato verificato in modo esplicito, dovrebbe avere solo la quantità minima di accesso alla rete necessaria per svolgere la propria mansione, e nient'altro di più.
Sul mercato esistono molte soluzioni di cybersecurity compatibili con la zero-trust, ma non tutte sono adatte al vostro specifico ambiente dati e alle vostre esigenze aziendali. Nella scelta di una soluzione zero-trust, ponetevi le seguenti domande:
Le soluzioni lato client possono limitare i processi aziendali e ritardare la produttività. Inoltre, creano ulteriori spese generali di amministrazione per il team IT.
Alcune soluzioni presumono che le risorse richieste risiedano nel cloud (il cosiddetto "traffico nord-sud") e non all'interno del perimetro aziendale (traffico est-ovest). In tal modo si crea un problema negli ambienti cloud ibridi, dove le applicazioni line-of-business (LOB) obsolete, che però svolgono funzioni essenziali, potrebbero essere eseguite in sede perché per loro la migrazione al cloud non è fattibile.
Le decisioni sull'accesso zero-trust dipendono in larga misura dalla raccolta e dall'utilizzo dei dati relativi al flusso dei processi, in particolare per gli account con privilegi.
Alcune soluzioni possono supportare un'ampia gamma di protocolli (SSH, web, ecc.) e di trasporti (IPv4 e IPv6), mentre altre possono funzionare solo con il web o la posta elettronica.
Alcune soluzioni potrebbero richiedere ulteriori fasi per l'esecuzione di un certo workflow, che potrebbe richiedere alla vostra organizzazione di apportare modifiche ai workflow esistenti.
Una volta scelta una soluzione zero-trust, è necessario pianificare l'implementazione di questa soluzione attorno ai sei pilastri seguenti, che devono essere tutti valutati e quindi aggiornati o sostituiti di conseguenza.
In un modello zero-trust, ogni utente (sia umano che macchina) deve avere un'identità digitale univoca. Ogni volta che questa identità richiede l'accesso a una risorsa, il sistema deve verificarla con un'autenticazione forte, supportata da un'analisi comportamentale per garantire che la richiesta di accesso non sia anomala per quell'utente. Una volta che l'identità è stata autenticata, l'accesso alla rete dell'utente deve seguire i principi dei privilegi minimi.
È possibile ottenere questo risultato assicurandosi che gli utenti dispongano di password complesse e univoche per ogni account e abilitino l'autenticazione multifattoriale (AMF) ovunque sia supportata. Inoltre, le organizzazioni dovrebbero implementare soluzioni di rilevamento in tempo reale, di rimedio automatico e di connected intelligence per monitorare la compromissione degli account e rispondere ai potenziali problemi.
Negli odierni ambienti basati su cloud, i dati si trovano ovunque e devono essere regolamentati ovunque si trovino. Ciò implica la necessità di applicare controlli severi e limitazioni all'accesso dei dati secondo i principi dei privilegi minimi e la garanzia che i dati siano crittografati sia quando sono a riposo che quando sono in transito.
Segmentate le reti per impedire ai malintenzionati di spostarsi lateralmente e accedere alle risorse sensibili. Utilizzate controlli di sicurezza di rete "in-pipe" per migliorare la visibilità, compresi strumenti per la protezione dalle minacce in tempo reale, crittografia, monitoraggio e analisi end-to-end.
L'accesso e i privilegi delle applicazioni devono essere controllati e limitati con lo stesso rigore dei dati. Bloccate l'accesso alle applicazioni, monitorate l'utilizzo delle applicazioni per individuare comportamenti anomali e utilizzate il controllo degli accessi in base al ruolo (RBAC) affinché le autorizzazioni in-app degli utenti siano adeguate e seguano i principi dei privilegi minimi.
L'accesso ai dati deve essere consentito solo alle app e ai dispositivi conformi e affidabili. Prima di consentire ai dipendenti di accedere alle app aziendali sui dispositivi mobili, richiedete loro di registrare i propri dispositivi nella gestione dei dispositivi mobili (Mobile Device Management, MDM) e di farli convalidare per verificarne l'integrità e la conformità alle regole di sicurezza aziendali. Le soluzioni MDM offrono, inoltre, agli amministratori visibilità sull'integrità e sulla conformità dei dispositivi, nonché la possibilità di applicare regole e controlli di sicurezza, come il blocco del copia/incolla o del download/trasferimento.
La gestione delle autorizzazioni per l'infrastruttura on-premise e per le macchine virtuali (VM), i container e i microservizi basati sul cloud può essere impegnativa. Automatizzate il maggior numero possibile di processi. Utilizzate l'accesso Just-In-Time (JIT) per rafforzare le difese, distribuite le analisi di sicurezza per rilevare anomalie e attacchi informatici e bloccate e segnalate automaticamente i comportamenti a rischio per ulteriori indagini e rimedi.
Una delle sfide maggiori dell'implementazione della zero-trust è sapere da dove cominciare. La zero-trust ha tanti "elementi mobili" e non esistono regole standard universali per la sua implementazione. Ecco alcune delle migliori strategie per stilare una "mappa di viaggio zero-trust" per la vostra organizzazione.
Come la tecnologia, i workflow e l'ambiente delle minacce cambiano e mutano, così succede anche all'architettura zero-trust.
La zero-trust richiede l'applicazione di una mentalità "tutto o niente" e un impegno deciso da parte di tutti i livelli di leadership. Il sostegno dei vertici aziendali è stato un elemento comune tra i "campioni" dello studio di CRA, mentre la mancanza di sostegno è stato il principale ostacolo citato dalle organizzazioni che continuano a lottare per l'adozione della zero-trust.
Per evitare interruzioni dell'attività, iniziate l'implementazione della zero-trust effettuando la migrazione prima delle risorse aziendali a basso rischio, per poi passare alle risorse più critiche dopo che il vostro team avrà acquisito maggiore dimestichezza con il modello zero-trust.
La gestione delle identità e degli accessi (Identity and Access Management, IAM) è il componente più frequentemente implementato della zero-trust: il 95% delle organizzazioni dispone di una soluzione IAM.
La suite di cybersecurity zero-trust e zero-knowledge di Keeper consente alle organizzazioni di adottare un accesso remoto zero-trust per i loro dipendenti in telelavoro, con un'autenticazione forte e una visibilità e un controllo granulari. KeeperPAM™, la soluzione di gestione degli accessi con privilegi di nuova generazione di Keeper, riunisce Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) e Keeper Connection Manager (KCM).
Unificando EPM, KSM e KCM, Keeper fornisce agli amministratori IT un unico pannello pervasivo per tracciare, registrare, monitorare e proteggere ogni utente su ogni dispositivo da ogni luogo, mentre effettua operazioni con tutti i siti, i sistemi e le applicazioni consentite.
Scegli la lingua
