Bisogna chiudere a chiave tutte le porte e richiedere la verifica delle impronte digitali per poter entrare. È così che spiego lo zero trust ai miei nonni ".

Siamo nel secondo anno del "Decennio digitale". Molti settori, funzionalità, prodotti e servizi tradizionali si sono spostati online, sia alla luce dell'evoluzione digitale aziendale, sia per via delle nuove esigenze operative imposte dalla pandemia di COVID negli ultimi dodici mesi. Le aziende di tutti i settori (pubblica amministrazione, settore tessile, delle ceramiche, assicurativo, finanziario e ogni altro comparto) stanno diventano digitali. L'aspetto della sicurezza e della privacy è diventato quindi fondamentale per i dirigenti senior.

Le aspettative di clienti (e utenti finali) sempre più esigenti hanno spinto le aziende a cambiare, per adottare un'esperienza digitale. Anche la sicurezza e la privacy si stanno evolvendo in modo simile, ed è qui che la filosofia, le piattaforme e i servizi di sicurezza zero trust possono agevolare la fornitura dei servizi aziendali e avere un impatto positivo sul modo in cui si progetta il marchio, l'esperienza del cliente, la velocità di attuazione del cambiamento, l'operatività aziendale e persino la reputazione.

Le architetture di rete e sicurezza tradizionali sono state progettate per garantire stabilità, rigidità e controllo, ma non per supportare una rapida evoluzione delle attività. Si basano, per loro natura, sull'inflessibilità. Tuttavia, l'aumento dei dati richiede un aumento della larghezza di banda. Ad esempio, se il traffico aumenta o vi è la necessità di lavorare da casa, si opta sempre per fare delle aggiunte allo stack aziendale (con conseguente backlog della VPN, che ritarderà quindi la consegna). Per le aziende che utilizzano stack duplicati di appliance di sicurezza, gli ideali di precisione operativa, ottimizzazione delle prestazioni e agilità aziendale rimangono dei sogni irrealizzabili.

Il ritardo nell'applicazione di patch espone l'azienda a rischi inutili

Cambiare è difficile. Per i reparti IT, lo stack di hardware in fondo al corridoio offre l'illusione di avere il controllo dell'infrastruttura, che si immagina così a portata di mano. Inoltre, è sempre facile optare per soluzioni che già si conoscono, e le certificazioni di sicurezza esistenti di un'azienda IT possono sicuramente influenzare il processo decisionale e orientarlo verso tecnologie datate e basate su hardware.

Ma questo significa addentrarsi in un percorso complesso, che può essere letale. Apportare modifiche, come applicare patch di sicurezza o adottare flussi di lavoro in linea con nuove normative, in un ambiente con numerosi stack di hardware, richiede un coordinamento globale, o meglio, un coordinamento globale manuale. Questo può causare errori e una maggiore esposizione al rischio.

Ma cosa si intende per zero trust?

L'architettura zero trust (ZTA) è l'evoluzione in cloud del modello di sicurezza di rete legacy. Le aziende più all'avanguardia stanno trasformando digitalmente le operazioni IT per adottare la ZTA. In un'azienda con architettura ZTA, la sicurezza è immediata, fornita inline dall'edge cloud, tra l'utente e Internet (tramite proxy web) o tra l'utente e l'applicazione. Le prestazioni sono ottimizzate perché il percorso dei dati è ridotto al minimo. Le connessioni sono dirette, effimere e sicure, che siano fra applicazioni, sistemi o fra un utente e un'applicazione. Non ci sono confini da violare e, dato che i sistemi non sono visibili alla rete Internet aperta, la superficie attaccabile si riduce. Non esistono neanche metaforici "fossati" o "castelli" (o castelli vicini) da attaccare attraverso il movimento laterale.

Perché un'azienda dovrebbe adottare lo zero trust?

Per rispondere a questa domanda, bastano due parole chiave: agilità e sicurezza. La ZTA consente alle imprese di spostare il focus sugli obiettivi aziendali condivisi. In questo modo, la ZTA può trasformare totalmente l'approccio e il lavoro dei reparti IT, che diventano promotori del cambiamento.

La trasformazione digitale e sicura delle aziende con un'architettura zero trust appare quindi una scelta semplice da fare per un reparto IT: maggiore sicurezza, più resilienza, prestazioni più rapide e costi più contenuti.

Quando si tratta di competizione digitale, la velocità conta, e il cambiamento deve essere rapido. Negli ambienti tradizionali, apportare una qualsiasi modifica all'infrastruttura legacy di tipo DMZ basata su firewall è un processo complesso, la cui programmazione è possibile solo in condizioni di poco traffico e nel fine settimana. Una soluzione ZTA in cloud è dinamica, con una sicurezza basata su policy che può essere adattata all'istante. Non è possibile concedersi il lusso di cambiare una volta al mese, quando i propri competitor digitali in crescita sono in grado di rinnovarsi venti volte al giorno.

Efficienza, risparmio e tempo: l'impatto indiretto di una ZTA

L'architettura ZTA in cloud rappresenta la nuova frontiera della sicurezza aziendale. Ma questo non dovrebbe far passare in secondo piano il suo impatto complessivo sul business: la ZTA è una soluzione per aziende che offre vantaggi alle aziende. Confrontiamo due esempi: National Oilwell Varco e "Azienda A".

Un centinaio di computer portatili. Sono i dispositivi su cui il team IT di Alex Philips, CIO di National Oilwell Varco (NOV) doveva eseguire il re-imaging ogni mese. A volte si trattava di problemi di natura tecnica. Ma, nella maggior parte dei casi, i PC erano stati infettati da malware. Ogni laptop doveva essere spedito alla sede centrale, ripulito e riconfigurato completamente. Ed erano 100 solo in media: in alcuni mesi, tra il 2013 e il 2016, sono stati disinfettati più di 200 dispositivi.

Dal punto di vista aziendale, l'impatto dei malware su NOV era decisamente costoso. Il re-imaging richiede chiaramente un processo manuale, e ogni singolo dispositivo ha delle esigenze specifiche. Tempi di inattività, coordinamento dei prestiti, sostituzione dei dispositivi; ogni fase del processo di disinfezione di un laptop aveva un impatto concreto su NOV: i dati potevano andare persi, la produttività diminuiva, i costi erano ingenti e gli sforzi erano gravosi, il tutto per ripristinare il funzionamento di un laptop e riconsegnarlo nelle mani di un dipendente il più rapidamente possibile. Philips voleva lavorare in modo diverso, e, dopo agosto 2016, le cose sono cambiate.

L'Azienda A si affida a infrastrutture di rete e di sicurezza legacy per proteggere il traffico di dati aziendale. Il reparto IT dell'azienda A impiega una serie di dispositivi hardware legacy nella sua sede centrale, per proteggere il perimetro della rete aziendale. Ogni macchina a funzione singola in questo stack viene replicata in 30 uffici regionali in tutto il mondo.

Ogni singola DMZ dell'Azienda A include 12 diversi prodotti nel suo stack hardware e ogni appliance assolve uno scopo specifico legato alla rete o alla sicurezza (funzioni/appliance esemplificativi includono firewall, filtro URL, antivirus, DLP, ispezione SSL, bilanciamento del carico, protezione DDoS, concentrazione VPN, sandbox e altro ancora). Ciascuna delle 30 DMZ dell'Azienda A necessita di due dipendenti a tempo pieno per la manutenzione e il funzionamento dell'infrastruttura hardware di rete e di sicurezza. Ogni singolo dispositivo, in ogni sede, deve essere sottoposto a manutenzione, con patch di sicurezza che devono essere aggiornate manualmente (e istantaneamente). La fornitura di tali apparecchi richiede valutazioni dei fornitori e dei prodotti, flussi di lavoro per l'approvvigionamento, supporto interdipartimentale, nonché un'intensa pianificazione iniziale.

Il CTO dell'Azienda A gestisce più di 60 dipendenti e supervisiona l'acquisto, la manutenzione e le operazioni di 360 apparecchi hardware di rete e di sicurezza distinti. Il budget annuo delle voci di costo del CTO equivale a decine di milioni di dollari.

In cosa viene investito l'ingente budget del CTO dell'Azienda A? Sicuramente non in una sicurezza informatica migliore. E neanche in maggiore tranquillità. Si tratta invece di investimenti futili, in cui il CTO si trova a dover affrontare minacce, difetti dell'hardware o altre problematiche, il tutto solo per arginare attacchi imminenti (attacchi che, al contrario, sono ben finanziati, a volte sponsorizzati dai governi, e che con il tempo sono diventati sempre più sofisticati e distruttivi negli intenti).

"Quindi... Perché siete nel settore della sicurezza di rete?"

I leader aziendali che si ostinano ad adottare modelli di sicurezza obsoleti, o che lo consentono tacitamente ai reparti IT, lo fanno a rischio e pericolo della loro azienda. Così facendo, limitano l'agilità organizzativa, generano spese inutili, ostacolano la crescita e complicano la gestione operativa.

Preservare sistemi di hardware legacy pone l'IT di un'azienda, di fatto, nel settore della sicurezza di rete, con i CTO che si impegnano a mantenere NOC e infrastrutture che devono contrastare sempre più aggressori.

I leader aziendali che sostengono infrastrutture poco sicure e datate hanno la responsabilità di giustificare pratiche obsolete o modernizzarle: perché l'azienda è nel settore della sicurezza della rete? È in grado di proteggere i dati aziendali, gli utenti, i beni e le risorse in modo migliore rispetto a un provider di servizi in cloud, con migliaia di esperti di sicurezza che lavorano 24 ore su 24, 7 giorni su 7, per bloccare le minacce più recenti? È in grado di anticipare le minacce nella catena di approvvigionamento? È in grado di applicare istantaneamente le patch? (ma davvero istantaneamente)?

ransomware-brown

Figura 1. A marzo del 2016, gli hacker hanno preso di mira un cliente Zscaler con architettura zero trust. Zscaler Cloud Sandbox ha analizzato le minacce e, in pochi secondi, le ha bloccate, per quel cliente e per tutti i milioni di utenti sul cloud Zscaler Zero Trust Exchange nel mondo.

L'architettura zero trust: il nuovo prezzo (ridotto) da pagare per le aziende

Alex Philips, CIO di NOV, conosce l'impatto pratico di un'architettura zero trust. Ha guidato la trasformazione digitale sicura di NOV adottando un modello zero trust nell'agosto del 2016. NOV è passata a un modello di sicurezza fornito con proxy web edge-computing e ha eliminato interamente le sue DMZ. Riducendo la sua dipendenza dalle reti MPLS e dalla sicurezza basata sull'hardware, NOV "ha ridotto il budget [IT] di decine di milioni di dollari". I dipendenti di NOV ora godono di prestazioni di connettività migliori (ovvero più veloci), maggiore sicurezza (con ispezione SSL/TLS completa) e un accesso agevolato ai dispositivi mobili (che si è rivelato particolarmente prezioso quando l'anno scorso l'azienda è passata al lavoro da remoto). Da quando Philips e NOV hanno adottato un'architettura zero trust, il suo team IT ripristina solo uno o due laptop al mese, e il personale può quindi concentrarsi sugli obiettivi strategici e fondamentali per l'azienda.

Lo scorso anno ci ha insegnato che la capacità di adattarsi costituisce un vantaggio competitivo essenziale per un'azienda. L'agilità è, in ogni settore, al centro del rinnovamento. L'architettura zero trust offre agilità, una maggiore sicurezza e prestazioni migliori. Gli stakeholder devono chiedere di più ai leader aziendali: se dovessero progettare l'infrastruttura operativa, i flussi di lavoro e le operazioni da zero, avrebbero l'aspetto che hanno adesso? E se quei leader potessero utilizzare un'architettura zero trust per garantire una migliore sicurezza, maggiore agilità, abbattere i costi e ridurre i rischi, perché non dovrebbero farlo?