I cattivi attori stanno rapidamente aumentando campagne di phishing, creando siti Web dannosi e inviando allegati dannosi per sfruttare appieno la pandemia e il bisogno di informazioni degli utenti, le loro paure e altre emozioni. Il più delle volte, l'obiettivo è la compromissione delle credenziali di accesso.
Molte organizzazioni concedono maggiore fiducia agli utenti sulla intranet rispetto agli utenti su Internet. Dipendenti che lavorano da casa, mentre navigano inconsapevolmente su siti Web potenzialmente dannosi e fanno clic su mappe COVID-19 modificate che scaricano malware – utilizzano laptop aziendali e VPN per connettersi alla rete aziendale e da lì viene concesso un grado di libertà molto più ampio in termini di accesso a diverse risorse.
Una volta compromesse le credenziali di un utente, questa fiducia implicita associata alla località di accesso di un utente dall'intranet può essere sfruttata per diffondere il malware lateralmente all'interno dell'organizzazione. È chiaro, quindi, che non è più possibile affrontare la sicurezza con un approccio Internet versus Intranet, in cui le risorse all'interno del perimetro di rete sono considerati sicuri.
Un buon modo per navigare in questo campo minato e proteggere un'organizzazione è presumere che tutto sia sospetto e... adottare un approccio zero trust. Zero trust mira a eliminare la fiducia implicita associata alla località di accesso degli utenti, ad esempio gli utenti su Intranet rispetto a Internet, e sposta l'attenzione della sicurezza su applicazioni, dispositivi e utenti.
Ecco alcuni punti chiave da tenere a mente quando si intraprende un viaggio zero trust:
Zero trust è un viaggio, non un prodotto
Ciò che è veramente importante da capire sullo zero trust è che non è un prodotto o uno strumento. Zero trust è un framework, un approccio alla gestione delle operazioni IT e di rete che aiuta a guidare la protezione e prevenire le violazioni della sicurezza. Zero trust mira ad avere un approccio coerente alla sicurezza, indipendentemente dal fatto che un utente acceda a dati e applicazioni dall'intranet o da Internet.
Perseguendo questo obiettivo, zero trust tenta effettivamente di semplificare la sicurezza eliminando la necessità di framework separati, strumenti separati e politiche separate per la sicurezza basate sulla località di accesso (ad esempio, disporre di un'infrastruttura VPN dedicata per l'accesso remoto).
Garantisce inoltre che gli utenti abbiano un'esperienza coerente indipendentemente dal luogo in cui lavorano. Ponendo l'accento su applicazioni, utenti e dispositivi ed eliminando la fiducia implicita associata alle reti interne, lo zero trust mira essenzialmente a ridurre l'overhead associato alla gestione di diverse infrastrutture di sicurezza associate ai confini esterni e interni. Zero trust mira a raggiungere questo obiettivo richiedendo un framework di policy completo per l'autenticazione e il controllo dell'accesso a tutte le risorse.
La visibilità è la pietra angolare per zero trust
La chiave per implementare la zero trust è creare informazioni dettagliate su tutte le risorse (applicazioni, dispositivi, utenti) e sulle loro interazioni. Ciò è essenziale per definire e implementare una politica completa di autenticazione e controllo degli accessi. Una grande sfida che i team di sicurezza devono affrontare oggi è che le politiche di controllo degli accessi tendono ad essere troppo flessibili o permissive o legate a segmenti di rete piuttosto che ad asset, rendendo così più facile per i malintenzionati muoversi lateralmente all'interno di un'organizzazione.
Ponendo l'accento sulle risorse e costruendo una mappa delle risorse, è possibile semplificare la creazione e l'applicazione delle politiche. E poiché le policy sono legate alle risorse e non ai segmenti di rete, è possibile utilizzare lo stesso set di policy indipendentemente da dove un utente accede ai dati e alle applicazioni.
La scoperta delle risorse può essere ottenuta in molti modi. Un approccio eccellente alla mappatura e alla scoperta delle risorse consiste nell'utilizzare i metadati che possono essere estratti dal traffico di rete. Il traffico di rete consente di scoprire ed enumerare risorse che potrebbero essere perse attraverso altri meccanismi. Applicazioni legacy e applicazioni moderne create utilizzando microservices, i dispositivi connessi e gli utenti, possono essere tutti scoperti attraverso la visibilità del traffico di rete, le loro interazioni mappate, facilitando così la costruzione di una baseline della mappa delle risorse. Avere una tale linea di base è fondamentale per costruire il giusto modello di policy per l'autenticazione e il controllo degli accessi.
Crittografa tutto
Mentre l'autenticazione e il controllo degli accessi sono essenziali nel mondo zero trust, lo è anche la privacy. L'autenticazione assicura che i punti finali di una conversazione sappiano chi c'è dall'altra parte. Il controllo degli accessi garantisce che l'utente possa accedere solo alle risorse consentite. Tuttavia, è ancora possibile per un malintenzionato "curiosare" su comunicazioni valide e attraverso di esse ottenere l'accesso a informazioni sensibili (comprese password e dati riservati).
Un'area di fiducia implicita in molte organizzazioni è che la comunicazione sull'intranet aziendale tende ad essere in chiaro per molte applicazioni. Questo è un errore. Non dobbiamo presumere che le comunicazioni sulla rete interna dell'azienda siano sicure semplicemente perché si trovano sulla rete dell'azienda. Quando eseguiamo qualsiasi transazione su Internet che utilizziamo TLS (“https”), che crittografa i dati.
La comunicazione sulla intranet non dovrebbe essere diversa. Dovremmo lavorare partendo dal presupposto che i malintenzionati abbiano già un'impronta sulla rete della nostra azienda. Di conseguenza, qualsiasi comunicazione tra utenti, dispositivi e applicazioni dovrebbe essere crittografata per garantire la privacy. Questo è un altro passo per garantire che un quadro di sicurezza coerente possa essere utilizzato per gli utenti su Internet e sulla intranet.
Ovviamente, la crittografia di tutto il traffico sulla rete di un'azienda rende più difficile la risoluzione dei problemi delle applicazioni e della rete e rende più difficile per i team di sicurezza identificare minacce o attività dannose. Inoltre, in settori verticali specifici, ciò può rendere la conformità una sfida a causa dell'impossibilità di conservare i registri delle attività di specifiche attività richieste. Per questo motivo, l'utilizzo di una soluzione basata sulla rete per la decrittografia mirata del traffico di rete può essere vantaggioso quando si passa a un modello in cui tutto il traffico sull'intranet è crittografato.
Implementare una strategia di monitoraggio continuo
Le reti aziendali non sono statiche. Sono in continua evoluzione con l'aggiunta di nuovi utenti, dispositivi, applicazioni e la deprecazione di quelli vecchi. In questi tempi in cui la capacità viene scalata in modo dinamico verso l'alto e verso il basso, nuove applicazioni vengono rapidamente introdotte sul mercato e sempre più dispositivi IT e OT stanno arrivando online, la rete non è mai stata così dinamica.
La migrazione al cloud sta cambiando ulteriormente la natura stessa di una rete e la nozione di ciò che è "interno" rispetto a "esterno". Mettere in atto un framework per l'autenticazione, il controllo degli accessi e la crittografia è metà della soluzione. L'altra metà sta mettendo in atto una strategia di monitoraggio continuo per rilevare le modifiche e per garantire che le modifiche siano conformi alla policy o che la policy si evolva per adattarsi alle modifiche. Il monitoraggio del traffico di rete fornisce un approccio non intrusivo ma affidabile per rilevare i cambiamenti e identificare le anomalie.
Il monitoraggio basato sulla rete può essere utilizzato insieme al monitoraggio degli endpoint per ottenere una visione più completa. In molte situazioni il monitoraggio basato sulla rete può essere utilizzato per individuare applicazioni e dispositivi per/su cui il monitoraggio degli endpoint è stato disattivato inavvertitamente o intenzionalmente o dove il monitoraggio degli endpoint non può essere implementato.
Una volta che i malintenzionati ottengono un'impronta su un sistema, in genere tentano di disattivare o aggirare gli agenti di monitoraggio degli endpoint. Il monitoraggio del traffico di rete fornisce un flusso coerente e affidabile di dati di telemetria in molti di questi scenari per il rilevamento delle minacce e la conformità.
Poiché le organizzazioni sono costrette a passare al paradigma del lavoro da casa, la necessità di scalare rapidamente le applicazioni e l'infrastruttura continuerà a mettere sotto stress i diversi team all'interno dell'organizzazione. Pandemia o no, alcuni di questi cambiamenti diventeranno permanenti. In altre parole, in molti casi potrebbe non esserci un “ritorno a come si era prima”. Abbracciare il passaggio a un framework zero trust contribuirà a garantire che mentre le organizzazioni si adattano a una nuova normalità, la sicurezza continui a tenere il passo e funga da ombrello di protezione all'interno del quale prosperano l'agilità e l'innovazione.
Fonte: https://www.helpnetsecurity.com/2020/06/02/zero-trust-journey/
