Che cos'è il modello Zero Trust e quali framework e standard possono aiutare a implementare i principi di sicurezza Zero Trust nelle proprie strategie di cybersecurity?
Molti clienti IBM vogliono sapere cos'è esattamente la sicurezza Zero Trust e se è applicabile a loro. Comprendere il concetto di Zero Trust e come si è evoluto aiuterà te e molti dei nostri clienti a capire come implementarlo al meglio per proteggere gli asset più preziosi della tua azienda.
Zero Trust è un framework che presuppone che ogni connessione e endpoint siano minacce, sia esterne che interne all'interno della sicurezza di rete di un'azienda. Consente alle aziende di elaborare una strategia IT completa per soddisfare le esigenze di sicurezza di un ambiente hybrid cloud. Zero Trust implementa una protezione adattiva e continua e offre la possibilità di gestire le minacce in modo proattivo.
In altre parole, questo approccio non si fida mai degli utenti, dei dispositivi o delle connessioni per nessuna transazione e li verificherà tutti per ogni singola transazione. Ciò consente alle aziende di ottenere sicurezza e visibilità in tutta l'azienda e di applicare politiche di sicurezza coerenti, con conseguente rilevamento e risposta più rapidi alle minacce.
Il modello Zero Trust è nato nell'iniziativa "BeyondCorp" sviluppata da Google nel 2010. L'obiettivo dell'iniziativa era quello di garantire l'accesso alle risorse in base all'identità e al contesto, allontanandosi dal tradizionale modello di sicurezza basato sul perimetro. Questa strategia ha permesso a Google di fornire ai dipendenti un accesso sicuro alle applicazioni e ai dati aziendali da qualsiasi luogo, utilizzando qualsiasi dispositivo, senza la necessità di una VPN.
Nel 2014, John Kindervag, analista di Forrester Research, ha coniato il concetto Zero Trust per descrivere questo nuovo paradigma della sicurezza in un report intitolato "The Zero Trust Model of Information Security". Ha proposto un nuovo modello di sicurezza che presuppone che nessuno, all'interno o all'esterno della rete dell'organizzazione, possa essere considerato affidabile senza verifica. Il rapporto ha delineato il modello Zero Trust basato su due principi fondamentali: "Non fidarsi mai, verificare sempre".
Tutti gli utenti, i dispositivi e le applicazioni sono considerati non attendibili e devono essere verificati prima che venga loro concesso l'accesso alle risorse. Il principio del privilegio minimo significa che a ogni utente o dispositivo viene concesso il livello minimo di accesso richiesto per svolgere il proprio lavoro e l'accesso viene concesso solo in base alla necessità di informazioni.
Da allora, il concetto di Zero Trust ha continuato a prendere piede, con molte organizzazioni che ne hanno adottato le architetture per proteggere meglio i propri asset digitali dalle minacce informatiche. Comprende vari principi e tecnologie di sicurezza che vengono implementati per rafforzare la sicurezza e ridurre il rischio di violazioni di sicurezza.
Questi modelli sono progettati per lavorare insieme per creare un'architettura Zero Trust completa che può aiutare le organizzazioni a ridurre la superficie di attacco, migliorare il livello di sicurezza e minimizzare il rischio di violazioni di sicurezza. Tuttavia, è importante notare che i tipi specifici di modelli di sicurezza Zero Trust e la loro implementazione possono variare a seconda delle dimensioni dell'organizzazione, del settore e delle esigenze di sicurezza specifiche.
Il modello Zero Trust è diventato un approccio popolare alla cybersecurity moderna. È stato adottato da molte organizzazioni per affrontare la crescente minaccia di attacchi informatici e violazioni dei dati nel mondo complesso e interconnesso di oggi. Di conseguenza, molti fornitori di tecnologia hanno sviluppato prodotti e servizi specificamente progettati per supportare le architetture Zero Trust.
Esistono anche molti framework e standard che le organizzazioni possono utilizzare per implementare i principi di sicurezza Zero Trust nelle loro strategie di cybersecurity con la guida del National Institute of Standards and Technology (NIST).
Il NIST è un'agenzia governativa non regolamentare del Dipartimento del Commercio degli Stati Uniti, che ha lo scopo di aiutare le aziende a comprendere, gestire e ridurre meglio i rischi di cybersecurity per proteggere reti e dati. Hanno pubblicato un paio di guide complete altamente consigliate sullo Zero Trust:
NIST SP 800-207, Zero Trust Architecture (link esterno a ibm.com) è stata la prima pubblicazione a stabilire le basi per un'architettura Zero Trust. Definisce il modello Zero Trust come un insieme di principi guida (anziché tecnologie e implementazioni specifiche) e include esempi di architetture Zero Trust.
NIST SP 800-207 sottolinea l'importanza di un monitoraggio continuo e di un processo decisionale adattivo e basato sul rischio. Raccomandano di implementare un'architettura Zero Trust con i sette pilastri del modello Zero Trust (tradizionalmente noti come i sette principi del modello Zero Trust)
Nel complesso, NIST SP 800-207 promuove un approccio globale al modello Zero Trust basato sui principi del privilegio minimo, della microsegmentazione e del monitoraggio continuo, incoraggiando le organizzazioni a implementare un approccio di sicurezza a più livelli che incorpori più tecnologie e controlli per proteggersi dalle minacce.
NIST SP 1800-35B, Implementing a Zero Trust Architecture (link esterno a ibm.com) è l'altra pubblicazione altamente consigliata da NIST ed è composta da due argomenti principali:
La pubblicazione mette in relazione le sfide della sicurezza informatica (applicabili ai settori pubblico e privato) ai principi e ai componenti di un'architettura Zero Trust, in modo che le organizzazioni possano prima autodiagnosticare correttamente le proprie esigenze. Possono quindi adottare i principi e i componenti di un'architettura Zero Trust per soddisfare le esigenze della loro organizzazione. Pertanto, NIST SP 1800-35B non identifica tipi specifici di modelli Zero Trust.
Il NIST utilizza lo sviluppo iterativo per le quattro architetture Zero Trust che hanno implementato, consentendo loro con facilità e flessibilità di apportare miglioramenti incrementali e avere continuità con il framework Zero Trust man mano che si evolve nel tempo.
Il NIST ha partnership strategiche con molte organizzazioni tecnologiche (come IBM) che collaborano per stare al passo con questi cambiamenti e le minacce emergenti.
La collaborazione consente a IBM di dare priorità allo sviluppo per garantire che le soluzioni tecnologiche siano in linea con i sette principi del modello Zero Trust, proteggendo i sistemi e i dati dei clienti IBM.
Maggiori informazioni sull'importanza del modello Zero Trust sono disponibili nel Report Cost of a Data Breach 2022 di IBM o connettiti direttamente a uno degli esperti di Zero Trust di IBM.