Un’architettura di rete zero trust (ZTNA, zero trust network architecture) è un importante primo passo per migliorare la sicurezza aziendale.
Ma creare una strategia zero-trust completa richiede qualche passo in più.
L’esempio vincente è quello della casa: la sicurezza di un’abitazione migliora sensibilmente quando si installa un sistema di allarme e di video sorveglianza che tenga traccia di chiunque bussi alla porta, entri o si muova attorno alla casa. Questo, però, non basterà a impedire ai criminali di rompere una finestra e arraffare tutto ciò che possono, cercando di disattivare il sistema di allarme da remoto, oppure controllando chi vi abita per raccogliere informazioni sensibili.
Come spiega Aldo Amati, Manager, Sales Engineering Italy di Citrix, un’artciutettura zero trust impedisce infatti gli attacchi a livello di network che potrebbero mettere in pericolo i processi di business e mette al sicuro l’accesso alle risorse aziendali più importanti – sia on-premise che nel cloud – grazie all’autenticazione multi fattore, ad analisi basate sull’apprendimento automatico e al monitoraggio continuo.
In molte aziende, tuttavia, la rete non è l’anello più debole: la grande maggioranza delle vulnerabilità riportate riguarda infatti le applicazioni e non il network. Alcune di queste sono ben note e esistono da anni, altre sono il risultato dei nuovi modi di lavorare e della “consumerizzazione”.
Per questo, le aziende devono andare oltre la ZTNA e prendere in considerazione anche la sicurezza delle applicazioni.
Un buon inizio per Amati può essere quello di porre rimedio alle falle più conosciute. In un mondo che si sta gradualmente spostando da un contesto di applicazioni monolitiche verso architetture di micro-servizi basati su cloud, ha senso non solo prestare attenzione alle applicazioni in-house ma anche ai microservizi su cloud pubblico o ibrido.
Nel mettere in sicurezza app e micro servizi, l’intelligenza artificiale e l’apprendimento automatico sono strumenti potenti per identificare attacchi sofisticati come gli zero-day molto più velocemente di quanto il solo intervento umano potrebbe fare.
Un altro mattone importantissimo per la sicurezza applicativa è un Web Application Firewall (WAF). Nell’era del cloud ibrido, il WAF dovrebbe essere reso operativo in modo facile sia on-premise che nel cloud e dovrebbe offrire bassi tempi di latenza, insieme a prestazioni elevate, garantendo al tempo stesso un’esperienza utente senza attriti, nonostante il monitoraggio continuo del livello di sicurezza svolto in background.
Attenzione particolare alle API
E per Amati un altro elemento di attenzione relativo alla superficie di attacco è rappresentato dalle Application Programming Interface (API), universalmente usate per permettere alle applicazioni di comunicare l’una con l’altra e automatizzare i workflow tra le applicazioni stesse. In questo modo, le API permettono di accedere al patrimonio di informazioni aziendale; se questi elementi risultano privi di protezione o non sufficientemente protetti, ciò porta a mettere i dati sensibili – e l’intera azienda in ultima analisi – a rischio.
Oltre a questo, in assenza di costante monitoraggio delle API, una eventuale fuoriuscita di dati può passare inosservata. Infine, esiste anche il rischio dell’abuso di API: un overload di API può finire per bloccare il business di una parte o dell’intera organizzazione.
Per un elevato livello di sicurezza delle API il primo passo è un monitoraggio che porti a scoprire API sconosciute (o shadow API) e un controllo sull’accesso in tutta l’azienda, utilizzando meccanismi di autenticazione standardizzati. In un passo successivo, le API possono essere protette da eventuali abusi impostando limiti di chiamata.
Inoltre, il monitoraggio costante raccoglie informazioni importanti sul loro utilizzo: performance, errori, autenticazioni fallite ecc. In questo caso anche l’apprendimento automatico rappresenta un potente meccanismo per ottenere informazioni e proteggere meglio gli “asset”.
In questo modo, per esempio, si possono definire regole per rifiutare qualsiasi richiesta che provenga da altri Paesi, riducendo la possibilità di abusi. Le aziende e i service provider di tutti i settori possono così impedire che le loro applicazioni vengano rallentate – o anche bloccate – da un eccessivo traffico relativo alle API.
Dopo aver messo in sicurezza le applicazioni e le API, un’altra misura fondamentale è quella di eliminare i bot maligni. Non tutti i bot lo sono: molte aziende, per esempio, utilizzano i chat bot e i voice bot per gestire le chiamate e i messaggi in entrata dei clienti.
Ma anche i cyber criminali utilizzano i bot: non appena va online, un nuovo sito aziendale può essere scansionato da bot maligni capaci di evidenziarne i punti di debolezza e le informazioni che possono essere carpite. Secondo i ricercatori che si occupano di sicurezza, i bot rappresentano il 38% del traffico internet, evidenziando che per più di un terzo del tempo le app di business non lavorano per dare servizio ai clienti.
Per evitare che ciò accada, il primo passo è distinguere tra bot maligni e bot non offensivi. Ciò si può fare filtrando i bot in base al punteggio di reputazione, alla geo-localizzazione o alla cosiddetta impronta digitale dei bot, utilizzando parametri utili per distinguerli dalle persone e controllare eventuali anomalie nel loro comportamento.
Le tecnologie moderne di Application Delivery Management (ADM) aiutano a fare questo, essendo in grado di distinguere anche bot sofisticati. Quindi, la tecnologia di “Bot Mitigation” è una componente importante nella strategia di sicurezza perché, per esempio, permette ai gestori di e-commerce di ricevere una notifica quando i competitor cercano di acquisire automaticamente informazioni sui prezzi dai loro siti web mentre migliora l’esperienza dei clienti e taglia i costi minimizzando il traffico di bot indesiderati.
L’approccio zero trust è oggi l’avanguardia della sicurezza informatica. Un ambiente zero trust non viene però realizzato limitandosi a installare un’architettura di rete zero trust: mentre infatti questa fortifica la porta di ingresso alla rete aziendale, la sicurezza delle app, delle API e la mitigazione dei bot aiuteranno a chiudere le finestre di opportunità che possono essere ancora aperte agli attacchi.
Il livello di sicurezza non è altro che quello rappresentato dall’anello più debole; ciascuna organizzazione, quindi, deve attuare una strategia zero trust completa per ridurre rischi nel modo più efficace. Come a casa, la cosa migliore è essere proattivi e non aspettare di correre ai ripari quando è già troppo tardi.
