Sebbene l’approccio Zero Trust sia in circolazione da molti anni, il passaggio alla digital transformation, la connettività onnipresente, il passaggio al cloud e il lavoro a distanza ne hanno notevolmente aumentato l'importanza.
Questi driver, così come i nuovi modelli di delivery e consumo, contribuiscono a un perimetro in evoluzione e a una superficie di attacco ampliata, offrendo maggiori opportunità per l'insorgere di minacce.
Palo Alto Networks è il leader mondiale della sicurezza informatica. Come i propri clienti, anche Palo Alto Networks è soggetto agli stessi fattori di business menzionati sopra.
La combinazione di questi fattori e di un perimetro eroso significa che avevano bisogno di un approccio deliberato, standardizzato e, soprattutto, automatizzato alla sicurezza informatica. Zero Trust è stata la risposta. Ecco cosa ha imparato Palo Alto Networks nel proprio percorso.
Definizione Zero Trust
Come la maggior parte delle aziende, Palo Alto Networks ha dovuto eliminare il “rumore” attorno a Zero Trust e determinare cosa significasse effettivamente il termine. Palo Alto ha definito Zero Trust come un approccio strategico alla sicurezza informatica che protegge un'organizzazione eliminando la fiducia implicita e convalidando continuamente ogni fase di un'interazione digitale.
Oggi, gli utenti hanno bisogno di accedere da qualsiasi luogo con lo stesso livello di sicurezza, ovunque. Ora, piuttosto seguire il perimetro o l'edificio fisico, la sicurezza deve seguire l'utente e i dati, ovunque si trovino.
L'attendibilità legacy è il modello in base al quale un utente viene autenticato tramite il proprio nome utente e credenziali e viene considerato attendibile per un lungo periodo di tempo, ad esempio da ore a mesi.
Se le password di un utente sono compromesse, il criminale informatico autenticato potrebbe avere la libertà di spostarsi lateralmente nelle reti interne per mesi.
Zero Trust invece si basa sul modello in cui un utente viene interrogato ad ogni punto di accesso. In Palo Alto Networks, gli utenti sono continuamente convalidati ovunque vadano, dalle reti alle e-mail, alle applicazioni SaaS e agli ambienti cloud. Queste due situazioni hanno aiutato Palo Alto a sintetizzare la definizione di Zero Trust.
Applicare l’Approccio Zero Trust – Identificare gli Step Chiave
Palo Alto Networks ha adottato un approccio olistico alla strategia Zero Trust: Zero Trust Enterprise. Con un set completo di funzionalità di sicurezza, Zero Trust Enterprise introduce controlli Zero Trust coerenti, eliminando la fiducia implicita in tutta l'organizzazione.
Durante il percorso verso Zero Trust, sono stati identificati quattro passaggi importanti che possono aiutare qualsiasi organizzazione con l’adozione di un approccio Zero Trust:
1. Identificare i Dati Sensibili - Questi sono i dati critici per mantenere la continuità operativa, la disponibilità e la qualità del servizio. Palo Alto ha individuato come dati più sensibili quelli relativi alla proprietà intellettuale, al codice sorgente e alle informazioni sulla supply chain.
Naturalmente, ogni settore avrà i propri dati sensibili. Ad esempio, nel settore pubblico, è probabile che si tratti di government intelligence. Per il settore finanziario, di solito si tratta di dati e pagamenti dei clienti. Per i prodotti farmaceutici, è probabile che sia la composizione del farmaco e la supply chain. Per il settore della vendita al dettaglio, probabilmente si tratta di beni di consumo confezionati e gestione dell'inventario.
2. Localizzare i Dati Sensibili - Successivamente, è stato determinato dove risiedevano quei dati con la massima priorità, perché non è possibile proteggere ciò che non vediamo. In quali applicazioni si trovano? Su quale infrastruttura risiedono le applicazioni? Sono interni, SaaS o fanno parte della supply chain? Inoltre, come è stato effettuato l'accesso ai dati e da chi? Una volta che tutte queste domande hanno avuto risposta, possiamo quindi mappare ogni elemento su una strategia Zero Trust.
3. Applicare l’Approccio Zero Trust dove Necessario – Come menzionato poco sopra, l’approccio Zero Trust consiste nell’eliminare la fiducia implicita nell’organizzazione. Il passo successivo è stato quello di eliminare la fiducia implicita relativa ad utenti, applicazioni e infrastruttura.
Utenti: l'applicazione di Zero Trust agli utenti inizia con controlli dell'identità che devono essere continuamente convalidati per ogni attività, utilizzando le best practice, come l'autenticazione a più fattori, l'autenticazione adattiva e l'accesso just-in-time. Senza una forte gestione delle identità, le policy e i controlli Zero Trust sono molto meno efficaci.
Applicazioni: l’adozione di Zero Trust alle applicazioni rimuove la fiducia implicita con vari componenti delle applicazioni quando parlano tra loro. Un concetto fondamentale di tale approccio è che le applicazioni non possono essere attendibili ed è necessario un monitoraggio continuo in fase di esecuzione per convalidarne il comportamento.
Infrastruttura: le organizzazioni hanno spesso risposto a ogni minaccia emergente con un nuovo strumento o tecnologia. Questo ambiente eterogeneo significa che i team IT sono spesso sopraffatti e hanno scarsa visibilità e controllo sulle risorse non gestite, come i dispositivi IoT e l'infrastruttura della supply chain.
In effetti, entrambi sono stati i fattori principali nelle recenti violazioni della sicurezza di alta gravità. Ciò significa che per tutto ciò che riguarda l'infrastruttura (inclusi router, switch, cloud e soprattutto IoT e risorse della supply chain) l'eliminazione della fiducia implicita è ancora più critica e deve essere affrontata con un approccio Zero Trust.
Un esempio di ciò è se un utente malintenzionato compromette un sistema HVAC (infrastruttura) e non può spostarsi lateralmente e attaccare un'applicazione finanziaria o un account di un utente finale.
4. Gestire Zero Trust Attraverso l’Automazione - Sebbene molte organizzazioni abbiano a che fare con un modello di sicurezza caotico che coinvolge dozzine di prodotti specifici che generano un volume enorme di alert che si connettono a diversi stack tecnologici, Palo Alto Networks ha utilizzato Zero Trust come un'opportunità per consolidare gli strumenti e automatizzare la sicurezza.
Ora tutto è sottoposto al modello Zero Trust, dall'autenticazione all'accesso con privilegi minimi, alla sicurezza dei dispositivi, alla scansione dei contenuti. Questo è estremamente potente. Il consolidamento consente l'automazione completa, quindi tutto viene analizzato e solo gli elementi importanti vengono trasferiti al team del centro operativo di sicurezza (SOC).
Sfruttare l'Automazione come Acceleratore Zero Trust
Questa piattaforma e questo approccio di automazione hanno consentito a Palo Alto Networks di fornire un tempo di risposta di un minuto. La stragrande maggioranza delle aziende lotta con giorni, settimane, mesi o addirittura anni per rilevare e rispondere a un evento critico.
Ogni giorno, il SOC di Palo Alto Networks elabora quasi 17 miliardi di eventi di sicurezza. Cortex XDR di Palo Alto Networks riduce questi eventi a una media di 467 alert. Da questi 467 alert, la piattaforma automatizzata Cortex XSOAR di Palo Alto Networks li riduce a soli 67 incidenti che necessitano di analisi. 58 di questi vengono automaticamente corretti da XSOAR.
I restanti 9 sono arricchiti con dati aggiuntivi e vengono quindi inoltrati a un analista SOC per il triage, a causa della loro criticità. Da 17 miliardi a nove, il SOC può ora trovare “l'ago nel pagliaio” in un minuto e sono liberi di concentrarsi su eventi di alto valore, come la ricerca proattiva delle minacce, piuttosto che essere sopraffatti dall’alert.
Questo tempo di risposta di un minuto ha consentito a Palo Alto Networks di essere la prima azienda a rilevare, prevenire e rispondere all'attacco SolarWinds nel 2020. Stavano implementando Zero Trust quando si è verificato l'attacco.
Utilizzando Cortex XDR, hanno rilevato l'attacco in 10 secondi. In un minuto, XSOAR ha indirizzato l'alert al SOC e un esperto ha effettuato l'accesso per convalidare il problema e portare offline il sistema. Il rilevamento e la notifica a SolarWinds sono arrivati due mesi prima che qualsiasi altro fornitore di sicurezza fosse in grado di farlo.
I Benefici di un Approccio Zero Trust
Zero Trust Enterprise offre sicurezza semplificata perché esiste un solo caso d'uso: la convalida continua tra utenti, applicazioni e infrastruttura. Indipendentemente da dove si trovano i nostri utenti, cosa cercano di fare, dove vanno, dove si trova l'applicazione, ecc., il livello di sicurezza è lo stesso. La stessa cosa vale per la protezione delle applicazioni.
In definitiva, Zero Trust non è uno sforzo “flip-the-switch” per migliorare la sicurezza informatica. Ci vuole tempo e, in verità, è un percorso continuo. Adottando un approccio così ampio e metodico, Palo Alto Networks ha semplificato le operazioni di sicurezza e ridotto significativamente i rischi e la complessità, guidando al contempo una maggiore efficienza operativa attraverso minori spese generali e automazione.
Se vuoi scoprire di più sulle soluzioni Zero Trust di Palo Alto Networks, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. In alternativa, puoi compilare il form sottostante con la tua domanda.