Come far convergere sicurezza e produttività
È fin troppo comune ritenere che gli strumenti e le pratiche di sicurezza IT vadano a discapito della produttività. Anche la sicurezza fisica implica questo compromesso. Non ci sarebbe fretta di arrivare in aeroporto con un'ora di anticipo se non fosse per le numerose misure di sicurezza che comporta un volo. Per via di questo compromesso, la nostra preoccupazione spesso non è se possiamo aumentare la sicurezza nelle nostre reti, ma se la maggiore sicurezza vale l'impatto sull'azienda.
Quando si adottano nuove tecnologie che favoriscono il business, è necessario anche considerare il rapporto tra rischi e vantaggi. Dopo aver deciso che una nuova tecnologia è utile per l'azienda, dobbiamo quindi decidere se tale valore supera la superficie di attacco e, a sua volta, il rischio di violazione che ne deriva. Per questo motivo, una tensione costante tra i team addetti alla sicurezza e all'IT è diventata un dato di fatto. Ma ciò non deve avvenire.
Nell'aggiornamento della piattaforma di aprile 2022, analizzeremo i modi con cui Akamai sta costruendo un futuro professionale in cui i suoi clienti possano intraprendere un percorso Zero Trust che riduce al minimo il rischio di violazione accelerando la produttività aziendale. Il raggiungimento di questa convergenza di sicurezza e produttività inizia con l'affrontare le sfide comunemente associate all'implementazione dei principi del modello Zero Trust.
Il lato oscuro del modello Zero Trust
Analisti, fornitori e professionisti della sicurezza hanno offerto svariate prospettive sul significato del modello "Zero Trust" e su come raggiungerlo. L'unico aspetto su cui sembriamo tutti d'accordo è che si tratta di una solida base su cui i team addetti alla sicurezza possono ridurre al minimo il rischio e l'impatto di una violazione. Tuttavia, è facile concordare sullo stato ideale del modello Zero Trust senza approfondire i dettagli su come arrivarci e sul suo potenziale impatto sull'azienda.
Il modello Zero Trust presenta uno stato finale in cui si "azzera" qualsiasi fiducia implicita all'interno dell'ambiente che crea un rischio, ma che non facilita il lavoro. Probabilmente, siamo tutti d'accordo che una cosa del genere sarebbe ottimale: gli autori degli attacchi non avrebbero spazio per abusare delle vulnerabilità presenti nei nostri sistemi o per introdurre nuovi malware.
Il lato oscuro del modello Zero Trust emerge quando consideriamo tutto ciò che deve accadere per arrivare a tale stato finale. Dobbiamo considerare il percorso verso il modello Zero Trust e non solo la destinazione. La mancanza di concentrazione sul percorso stesso costituisce in gran parte il motivo per cui raramente viene messo in pratica. Nel delineare questo percorso, ci sono alcuni punti chiave su cui riflettere.
Rallentamenti della produttività
Il primo è l'impatto sulla produttività dei dipendenti, accidentale o previsto. Un aspetto fondamentale del modello Zero Trust è la limitazione dell'accesso, principalmente tramite elenchi degli elementi non consentiti. Questa pratica consiste nel forzare ciò che può accadere; tutto il resto viene negato per impostazione predefinita. Nel ridurre la capacità di un criminale di portare a termine la propria campagna dannosa, spesso aumentiamo la probabilità di impedire accidentalmente a qualcuno di svolgere il proprio lavoro.
È improbabile che un team addetto alla sicurezza possa prevedere ogni possibile scenario in cui le risorse e le persone devono comunicare tra loro. Inoltre, le aziende e la forza lavoro si evolvono e cambiano in modi imprevedibili. I team addetti alla sicurezza e all'IT devono tenere conto degli scenari in cui la fiducia non viene concessa, ma dovrebbe esserlo.
Un'altra implicazione potenzialmente dannosa dell'attuazione dei principi Zero Trust è rappresentata dai rallentamenti della produttività. L'aggiunta di controlli dell'identità, gli agenti che sovraccaricano i carichi di lavoro e i dispositivi degli utenti finali e gli strumenti a cui gli utenti finali devono accedere sono solo alcuni esempi. Ciascuno di essi potrebbe benissimo rientrare nella nostra tolleranza. Tuttavia, se consideriamo il loro impatto complessivo, questi piccoli ostacoli potrebbero raggiungere un punto in cui non valgono più il valore che forniscono.
La necessità di più punti di contatto
L'ultimo ma non meno importante dei punti deboli del percorso verso il modello Zero Trust di cui parleremo è l'impatto sui team addetti alla sicurezza e sui rispettivi integratori, architetti e analisti. Attualmente, non esiste un singolo prodotto sul mercato che possa facilitare da solo il percorso verso il modello Zero Trust. Di conseguenza, i team addetti alla sicurezza devono mantenere le policy su più console, implementare più agenti e gestire più integrazioni.
Questo è un compito difficile anche per i team addetti alla sicurezza con il personale più efficiente e può comportare costi sostanziali sia in termini economici che in ore di lavoro. Quest'ultimo problema va ad aggiungersi alle prime due questioni aumentando la probabilità di falsi positivi e il numero di agenti e strumenti che iniziano a gravare sugli utenti finali.
Un perseguimento asintotico
Vale anche la pena notare che il perseguimento del vero modello Zero Trust è, in realtà, asintotico; possiamo avvicinarci a questo obiettivo, ma rimuovere ogni briciolo di fiducia implicita è probabilmente impossibile, soprattutto se pensiamo dove esattamente possiamo richiamare i principi Zero Trust.
Ad esempio, consideriamo un attacco alla supply chain in cui un utente affidabile scarica e avvia un'applicazione affidabile da una fonte affidabile. Le attuali definizioni del modello Zero Trust permetterebbero che ciò accada e il payload dannoso è in grado di aggirare tutte le nostre zone di fiducia. In tal caso, potremmo considerare la necessità di applicare il modello Zero Trust all'endpoint, all'interno della memoria, ma parleremo di questo un altro giorno. Il punto è che, anche se conseguire un modello Zero Trust perfetto potrebbe essere impossibile e avvicinarsi ai nostri obiettivi potrebbe comportare diversi punti deboli, è uno sforzo che vale davvero la pena perché offre un futuro lavorativo in cui la riduzione al minimo degli sforzi e la massimizzazione della produttività vanno di pari passo.
Nel post di oggi, discuteremo di come Akamai si impegni nell'intento di aiutare le aziende a trasformare questa visione in realtà. Ad ogni fase del percorso, possiamo ridurre la probabilità di una catastrofica violazione senza interrompere l'attività. Con l'ampia adozione del modello Zero Trust come stato finale desiderato, ora spetta ai fornitori di servizi di sicurezza come Akamai rendere questi passaggi realizzabili da più aziende, rapidamente e senza conseguenze negative come quelle sopra menzionate.
Come colmare il divario tra visione e realtà
Zero Trust significa consentire solo ciò che è necessario per il funzionamento di un'azienda e vietare tutto il resto. Distinguere tra azioni necessarie e non necessarie e poi agire di conseguenza con precisione è alla base del percorso verso il modello Zero Trust. Senza l'adozione degli strumenti giusti, tutto ciò è quasi impossibile. Di conseguenza, le aziende consentono più del necessario e sono esposte a troppi rischi oppure vietano più del dovuto, inibendo la produttività.
Per quanto complesso possa risultare questo compito, esistono modi per rimuovere la fiducia implicita con un tale livello di precisione e granularità che gli utenti finali non se ne accorgeranno nemmeno. Inoltre, se tutto viene eseguito correttamente, si può ridurre al minimo la superficie di attacco al punto tale che l'adozione di nuove tecnologie sia sicura e tutte le azioni che favoriscono il business siano affidabili. Sicurezza e produttività convergeranno in modo tale che il modello Zero Trust riduca al minimo il rischio e l'impatto di una violazione, rendendo, allo stesso tempo, efficiente la forza lavoro. Ma come trasformare in realtà questa prospettiva futura del lavoro?
I tre componenti chiave per arrivare al modello Zero Trust
Sono tre i componenti chiave per arrivare al modello Zero Trust senza dover subire i suoi svantaggi :
Visibilità
Comprensione
Controllo
Abbiamo bisogno di una visibilità cronologica e in tempo reale di tutte le nostre risorse e dei rispettivi flussi. Dobbiamo comprendere cosa sta succedendo e perché. E, infine, dobbiamo agire in base a questa comprensione con un controllo preciso e granulare.
Visibilità significa fornire all'amministratore della sicurezza una visione delle varie risorse, dei flussi, delle applicazioni e degli utenti da cui stiamo cercando di rimuovere la fiducia implicita. Questa visibilità deve essere sufficientemente ampia da includere i vari sistemi operativi, dispositivi e altri aspetti della nostra rete.
Successivamente, dobbiamo comprendere la funzione di ciò di cui ora abbiamo visibilità. Solo con questa comprensione possiamo distinguere accuratamente tra ciò che è necessario e ciò che non lo è. Contesto, guida e visualizzazioni ci consentono di comprendere cosa dovrebbe e cosa non dovrebbe accadere, cosa è necessario per l'azienda e cosa sta creando dei rischi.
Quando abbiamo una visibilità completa e comprendiamo cosa sta accadendo, possiamo iniziare a rimuovere la fiducia implicita. Granularità e precisione sono fondamentali a questo punto. Ad esempio, alcuni processi sono necessari per le normali operazioni, ma includono servizi non richiesti, di cui i criminali potranno abusare. In questo caso, dobbiamo essere in grado di applicare delle policy a livello del servizio. Una policy generale a livello di un computer o addirittura di un'applicazione potrebbe generare falsi positivi.
Gli strumenti del mestiere
Attualmente, nessuno strumento può offrire le funzionalità richieste per porre fine alla fiducia implicita nelle nostre reti come con il modello Zero Trust. Per risolvere questo problema, Akamai sta costruendo la gamma di prodotti Zero Trust più completa con una roadmap che mostra questi strumenti completamente integrati.
Microsegmentazione
Akamai Guardicore Segmentation è la principale soluzione di microsegmentazione al mondo e funge da facilitatore chiave del modello Zero Trust consentendo il controllo dei flussi all'interno della rete. Akamai ha acquisito Guardicore in gran parte perché il prodotto esemplifica i principi fondamentali che Akamai considera essenziali per il modello Zero Trust.
La più ampia copertura dei sistemi operativi supportati con visualizzazioni cronologiche e in tempo reale nella rete offre una visibilità senza precedenti. L'etichettatura flessibile e un'interfaccia utente intuitiva offrono una facile comprensione delle dipendenze anche negli ambienti più complessi. Inoltre, l'applicazione guidata delle policy fino al livello dell'applicazione e, persino, del servizio implica un controllo preciso e granulare.
Nell'aggiornamento della piattaforma di aprile 2022, non introdurremo solo Akamai Guardicore Segmentation nel portfolio in generale, ma anche una serie di miglioramenti al prodotto stesso che aumentano ulteriormente semplicità, sicurezza e copertura. Metteremo in evidenza alcune funzionalità come i modelli di mitigazione del ransomware che consentono il controllo a livello del servizio per interrompere facilmente le tecniche avanzate di ransomware.
Accesso alla rete Zero Trust e autenticazione a più fattori
Akamai Enterprise Application Access: fornisce agli utenti un vero accesso basato sul modello Zero Trust solo alle applicazioni di cui hanno bisogno e riduce significativamente la superficie di attacco eliminando la necessità di consentire l'accesso (e la visibilità) all'intera rete.
Akamai MFA integra le capacità di autenticazione di Enterprise Application Access aggiungendo l'autenticazione a più fattori (MFA) basata su FIDO2 per proteggere l'utente. A differenza di altre soluzioni MFA basate su FIDO2 che richiedono chiavi di sicurezza fisiche, Akamai MFA utilizza un'app per smartphone, che riduce i costi e la complessità.
Consigliamo vivamente di combinare sempre Zero Trust Network Access (ZTNA) con l'autenticazione MFA basata su FIDO2. Non siamo soli: anche il governo degli Stati Uniti si è reso conto che l'implementazione dell'MFA è fondamentale per contribuire a migliorare la resilienza informatica del paese. Nel maggio 2021, il presidente Biden ha emesso un ordine esecutivo che ha imposto l'uso dell'MFA in tutte le agenzie federali e, nel gennaio 2022, l'Ufficio di gestione e bilancio (OMB) degli Stati Uniti indicando che il servizio MFA implementato dovrebbe essere anti-phishing e basato sugli standard FIDO2.
Questo approccio sembra sensato considerando le ben documentate debolezze di sicurezza delle soluzioni MFA che utilizzano il servizio di messaggistica breve (SMS), altri metodi di telefonia o notifiche push standard come secondo fattore per gli utenti, generalmente considerati phishing e molto meno sicuri.
La lotta ai crescenti attacchi informatici
Nell'ultimo anno, abbiamo osservato un altro fattore chiave per l'MFA tra i nostri clienti: con attacchi informatici sempre più numerosi, molte aziende stanno ora investendo nelle cyber-assicurazioni. Sempre più spesso, le compagnie di assicurazioni ora affermano esplicitamente nei termini e nelle condizioni delle polizze che le aziende devono implementare l'MFA per tutti gli accessi locali e remoti al fine di soddisfare le condizioni necessarie per la copertura assicurativa.
Ciò è molto probabilmente una conseguenza diretta del numero di richieste di risarcimento ricevute negli ultimi anni dalle compagnie di assicurazioni, che avrebbero potuto essere evitate se le aziende avessero adottato l'MFA: un'ulteriore prova del fatto che gli accessi dei dipendenti sono presi di mira dai criminali.
Un potente fattore anti-phishing
Quando le aziende iniziano a pensare di passare all'autenticazione senza password, la sostituzione di un fattore di autenticazione debole con un altro fattore debole come gli SMS non risolve il problema. La soluzione Akamai MFA basata su FIDO2 fornisce un potente fattore anti-phishing fondamentale per fornire i vantaggi di sicurezza previsti che l'eliminazione delle password dovrebbe offrire.
Insieme, Enterprise Application Access e Akamai MFA offrono una solida soluzione di accesso Zero Trust per fornire l'accesso alle risorse IT aziendali private.
Nell'aggiornamento della piattaforma di aprile 2022, stiamo introducendo vari miglioramenti alle soluzioni Enterprise Application Access e Akamai MFA per aumentare la flessibilità di implementazione e l'interoperabilità con le tecnologie di protezione dalle minacce vicine. Grazie ai miglioramenti su tutte le piattaforme, Enterprise Application Access ora supporta una serie di miglioramenti chiave per contribuire alla sicurezza Zero Trust su una gamma più ampia di piattaforme, tra cui la possibilità di rilevare Cylance AV e Microsoft Defender su MacOS come parte di una valutazione del comportamento del dispositivo. Inoltre, la nostra integrazione SCIM con Okta e Microsoft Azure AD è ora in fase di certificazione e convalida da parte di tali organizzazioni. Abbiamo anche rilasciato un'anteprima tecnica di un client Enterprise Application Access su Ubuntu che i clienti possono testare e convalidare in previsione di una versione completa del client che verrà rilasciata nel corso del 2022.
Akamai MFA ora supporta le policy di riconoscimento del contesto per fornire l'MFA adattiva in base all'indirizzo IP della rete dell'utente, alla posizione dell'utente (geolocalizzazione) e se l'utente è noto o sconosciuto. Se utilizzata insieme a Enterprise Application Access, questa nuova funzionalità migliora la sicurezza, fornendo l'accesso Zero Trust solo agli utenti desiderati.
Inoltre, Akamai MFA ora supporta l'integrazione del server VPN (Virtual Private Network), che consente l'integrazione di Akamai MFA nei flussi di autenticazione VPN e nel provisioning degli utenti dalle directory AD/LDAP on-premise.
Secure Web Gateway
Akamai Secure Internet Access Enterprise è il nostro sistema SWG (Secure Web Gateway) basato sul cloud che permette ai team addetti alla sicurezza di offrire agli utenti una connessione sicura a Internet ovunque o da qualsiasi dispositivo. Questa soluzione rapida da configurare e facile da implementare non richiede installazione o manutenzione hardware e rappresenta un altro elemento fondamentale in un'architettura basata sul modello Zero Trust.
Secure Internet Access Enterprise utilizza dati di intelligence sulle minacce aggiornati e più motori di analisi del payload per consentire ai dipendenti di accedere solo ai contenuti web legittimi. L'intelligence sulle minacce si basa sull'impareggiabile visibilità sul traffico Internet di Akamai, che include 3,3 trilioni di richieste DNS risolte ogni giorno dall'Akamai Intelligent Edge Platform, i registri relativi al traffico proveniente da altri servizi di sicurezza Akamai, i servizi CDN e centinaia di feed di sicurezza di terze parti.
Presentazione della gestione multi-tenant
Nell'aggiornamento della piattaforma di aprile 2022, presentiamo la gestione multi-tenant che consente a provider di servizi, ISP e MSSP di gestire facilmente le configurazioni dei singoli clienti. Per aiutare a identificare e bloccare le pagine web dannose che utilizzano JavaScript nascosti per eludere il rilevamento, stiamo aggiungendo un motore di rilevamento zero-day dei codici JavaScript dannosi in grado di identificare e bloccare le nuove pagine dannose basate su JavaScript in tempo reale. Per una maggiore flessibilità di implementazione, stiamo aggiungendo nuovi modi per inoltrare il traffico a Secure Internet Access Enterprise, inclusi un HTTP Forwarder gestito e il supporto del tunnel IPSec.
Il conto alla rovescia per il modello Zero (Trust)
La maggior parte delle persone concorderà sul fatto che uno stato Zero Trust in cui tutte le entità sono considerate non attendibili per impostazione predefinita e in cui viene applicato l'accesso basato sul privilegio minimo potrà ridurre al minimo la probabilità e l'impatto delle violazioni. Tuttavia, ancora troppo raramente viene fatta luce sulle implicazioni del lavoro necessario per raggiungere questo stato e sul suo potenziale impatto negativo sulle aziende. Ancora più raramente vengono offerte misure realizzabili per arrivare a questo obiettivo. Ecco perché Akamai si impegna a costruire un futuro del lavoro in cui un maggior numero di aziende siano in grado di raggiungere uno stato Zero Trust con una maggiore efficienza.
Oggi, il penultimo giorno dell'aggiornamento della piattaforma, desideriamo espandere la suite di soluzioni di Akamai in grado di favorire la realizzazione del modello Zero Trust. Per Akamai, ciò implica una visibilità ampia e profonda di tutte le entità, ossia comprendere le loro funzioni tramite una mappatura intuitiva e un contesto completo. Infine, ciò implica un controllo preciso e granulare che, al momento di applicare la policy Zero Trust, consenta di bloccare solo ciò che sta generando rischi per consentire l'adozione sicura di tecnologie che favoriscono il business.
Cosa ci aspetta per il futuro?
In questo futuro del lavoro, il modello Zero Trust è raggiungibile da un maggior numero di aziende più rapidamente, riducendo i rischi e accelerando il business. Nella nostra ultima giornata, Ari Weil condividerà le sue opinioni su cosa implica questo futuro per le aziende.
