Un recente articolo di CyberSecurity360 tratta l’importanza del “autorizzare un utente o servizio” all’interno di una rete Zero Trust (trovi l’articolo qui: link). Esso cita: “L’autorizzazione è probabilmente il fattore più importante all’interno di un’architettura di rete Zero Trust Security (ZTS) e, in quanto tale, autorizzare un utente o un servizio non dovrebbe essere fatto con leggerezza (come spesso invece accade nei modelli di sicurezza tradizionali ancora operativi in tante, tantissime aziende, anche italiane). Ogni flusso e/o richiesta richiede una decisione ponderata”. E continua: ”Chi definisce le policy? Le policy di una rete ZTS devono essere granulari, il che significa dover imporre un onere straordinario ai sysadmin per mantenere aggiornate le policy. … la (ri)definizione delle policy comporta alcuni potenziali rischi, come ad esempio utenti in buona fede che creano policy lasche, aumentando così la superficie di attacco del sistema che intendevano limitare.”
Parlando di rischi nella definizione manuale delle policy, inoltre, aggiungiamo i seguenti fattori:
responsabilità personale dell’IT Manager
competenze dell’IT Manager.
Nel primo caso, conoscendo le responsabilità personali a cui va in contro l’IT Manager in caso di un data breach, vi è la reale possibilità che egli definisca policy troppo strette che “ingessano” l’azienda e l’utilizzo dei suoi dati e app, e come dargli torto dato che sa bene che può essere licenziato oppure che l’azienda può rivalersi su di lui in caso di danno dovuto a data breach.
Nel secondo caso, invece, il rischio è opposto con policy troppo lasse che, de-facto, annullano buona parte dei benefici di sicurezza dell’architettura Zero Trust.
Ecco quindi la ragione per cui le soluzioni innovative ad approccio Zero Trust, come l’israeliana ZERO NETWORKS (nominato Cool Vendor da GARTNER) protegge sia i dispositivi IT che OT/IoT con micro-segmentazione SW-defined ed automatizzata dotata di MFA (soluzione unica e brevettata), quindi che non necessita di grande quantità di lavoro umano di analisi e definizione delle policy. Ciò protegge anche i CISO e gli IT-Manager dai rischi di errori o di policy lasse e nell’esecuzione del loro lavoro.
ZERO NETWORKS (installato in Italia da TEKAPP) quando è necessario un accesso legittimo, richiede all’utente l'autenticazione a più fattori (MFA) e, una volta passato MFA, crea una regola di autorizzazione in uscita just in time (JIT) per consentire l'accesso dall'endpoint di origine al singolo dispositivo richiesto. La regola viene quindi rimossa dopo un periodo di tempo basato sulla politica MFA che rimuove l'accesso per impedire accessi non necessari a lungo termine.