Il proverbio russo "Fidati, ma verifica" (Доверяй, но проверяй), reso popolare dal Presidente Ronald Reagan durante le discussioni sul disarmo nucleare con l'Unione Sovietica, è un principio che da allora ha permeato diverse sfere dell'economia e della sicurezza informatica. In sostanza, la frase enfatizza un attento equilibrio tra fiducia e supervisione, riconoscendo che la fiducia è necessaria, ma deve sempre essere accompagnata da una verifica.
Nel panorama moderno della sicurezza informatica (infosec), questa filosofia si è evoluta in quella che oggi chiamiamo architetturazero trust ), che ripensa fondamentalmente la fiducia in un mondo in rete. Oggi la zero trust è diventata un elemento chiave per la sicurezza delle aziende, soprattutto quando le organizzazioni adottano ambienti cloud , lavoro remoto e sistemi interconnessi.
L'approccio Trust and Verify nell'architettura Zero Trust
L'approccio trust and verify riconosce la necessità di una fiducia iniziale,elemento necessario per qualsiasi interazione. Ma come la storia ha dimostrato, la fiducia cieca è una vulnerabilità. Nella cybersecurity, la fiducia non può essere assunta in base alla posizione, all'identità o ai privilegi; deve essere continuamente verificata.
A architetturazero trust riflette questo concetto, non fidandosi di tutte le entità in una rete, sia all'interno che all'esterno del perimetro, fino a quando non possono essere autenticate e autorizzate ad accedere a risorse specifiche. In un modello zero trust , l'accesso alle risorse non è un passaggio unico, ma si basa su una valutazione continua del comportamento, dei privilegi e della posizione di sicurezza di un'entità.
Tuttavia, i tradizionali approcci zero trust , che spesso si basano su controlli statici come l'autenticazione e l'autorizzazione iniziali, possono risultare inadeguati. Gli aggressori possono sfruttare l'accesso privilegiato o rubare le credenziali per aumentare i privilegi all'interno della rete dopo aver ottenuto l'accesso iniziale. In questi casi, la parte "verifica" di trust but verify può diventare l'anello debole, il che ci porta al prossimo passo nell'evoluzione di zero trust: la valutazione continua e adattiva del rischio e della fiducia.
Andare oltre la fiducia statica: Il caso della verifica continua
Nell'attuale panorama delle minacce, le valutazioni statiche della fiducia non sono più sufficienti. I cyberattaccanti sfruttano le lacune di un modello tradizionale di zero trust facendo leva sul furto di credenziali, sull'escalation dei privilegi e sull'errata configurazione dei criteri per muoversi lateralmente all'interno di una rete dopo aver violato il perimetro.
Ciò è stato dimostrato da recenti attacchi di alto profilo, come l'attacco alla catena di approvvigionamento di SolarWinds e l'incidente del ransomware di Colonial Pipeline, in cui gli aggressori hanno sfruttato l'accesso iniziale per ottenere un controllo diffuso della rete sfruttando le debolezze della sicurezza interna.
Per affrontare queste sfide, il concetto di valutazione adattiva continua del rischio e della fiducia (CARTA) è emerso. Come osserva Gartner, "i leader della sicurezza e della gestione del rischio devono adottare un approccio strategico in cui la sicurezza sia adattiva, ovunque e in ogni momento". Questo approccio richiede una valutazione continua del rischio e della fiducia, non solo al momento dell'ingresso, ma durante tutto il ciclo di vita dell'interazione di un'entità con la rete.
Nel contesto della filosofia trust but verify, CARTA incarna la componente "verify" in tempo reale. Rivaluta costantemente la fiducia in base al comportamento delle entità, adattando dinamicamente le risposte di sicurezza se le loro azioni si discostano dai modelli previsti o aumentano il rischio. Con CARTA, anche una volta concesso l'accesso, le interazioni tra utenti, applicazioni e servizi vengono monitorate e l'accesso viene revocato o modificato se vengono superate le soglie di rischio.
Monitoraggio continuo con analisi degli accessi privilegiati di Vectra AI
Vectra AI fa un ulteriore passo avanti in questa verifica continua con Analisi degli accessi privilegiati (PAA). Mentre molte piattaforme di sicurezza si concentrano sulla concessione di privilegi a un'entità, la PAA di Vectra AIsottolinea il modo in cui le entità utilizzano tali privilegi. Questo passaggio da privilegi concessi a privilegi osservati si allinea perfettamente con la mentalità "trust but verify", offrendo un monitoraggio in tempo reale e una valutazione continua del rischio.
Grazie all'analisi comportamentale guidata dall'intelligenza artificiale, la piattaforma di Vectra AIidentifica le anomalie nel modo in cui utenti, host e servizi operano all'interno della rete. Analizzando il traffico e il comportamento della rete, PAA valuta costantemente se le entità utilizzano i loro privilegi in modo appropriato, evidenziando potenziali abusi o azioni sospette.
Ad esempio:
- Il furto di credenziali può essere rilevato monitorando se un'entità accede improvvisamente a risorse che esulano dal suo ambito abituale.
- I tentativi di escalation dei privilegi vengono segnalati quando un utente di livello inferiore cerca improvvisamente di accedere ad aree altamente privilegiate.
- Il movimento laterale all'interno della rete viene rilevato quando le entità interagiscono con sistemi o servizi con cui non sono solite interagire.
La piattaforma assegna anche punteggi di minaccia e priorità di rischio a ogni entità, assicurando che i team di sicurezza possano concentrarsi sulle minacce più critiche in tempo reale. Questo monitoraggio continuo va oltre lo zero trust statico per offrire una postura di sicurezza dinamica e adattiva.
Il vantaggio di Vectra AI : Visibilità end-to-end
Oltre all'analisi degli accessi privilegiati, la piattaforma Vectra AI Platform monitora continuamente gli host e i loro comportamenti a livello di rete. Questo include l'identificazione di attività come la ricognizione interna, il movimento laterale e l'esfiltrazione dei dati. Combinando la PAA con il monitoraggio comportamentale, Vectra AI offre ai team di sicurezza una visibilità end-to-end su tutto il traffico, dal cloud all'azienda e in tutte le infrastrutture ibride.
La Vectra AI Platform si integra perfettamente con altri strumenti di sicurezza, consentendo il rilevamento adattivo e in tempo reale delle minacce in ambienti complessi in cui vengono implementate politiche di zero trust . Questo processo di verifica continua rafforza le architetturezero trust , garantendo che la fiducia non venga mai data per scontata e che tutte le entità siano monitorate e verificate in tempo reale.
Rafforzare la Zero Trust con Vectra AI
Con l'adozione sempre più frequente da parte delle aziende di ambienti cloud e ibridi, lo zero trust deve evolversi. Concentrandosi sulla valutazione continua e adattiva del rischio e della fiducia, Vectra AI garantisce che la fiducia non sia mai statica e che la verifica sia un processo continuo. Grazie alla capacità di monitorare il comportamento a tutti i livelli di privilegio e in tutte le aree della rete, Vectra AI aiuta le aziende a essere all'avanguardia in un'epoca in cui la fiducia è sia una necessità che una vulnerabilità.
Se siete pronti a migliorare la vostra strategia zero trust con la verifica continua e l'analisi degli accessi privilegiati, contattateci per programmare una demo della piattaforma Vectra AI o parlare con un rappresentante per saperne di più su come possiamo aiutarvi a proteggere la vostra rete.