Il proverbio russo "Fidati, ma verifica" (Доверяй, но проверяй), reso popolare dal presidente Ronald Reagan durante le discussioni sul disarmo nucleare con l'Unione Sovietica, è un principio che da allora ha permeato vari ambiti del mondo degli affari e della sicurezza informatica. In sostanza, la frase sottolinea un attento equilibrio tra fiducia e controllo, riconoscendo che, sebbene la fiducia sia necessaria, dovrebbe sempre essere accompagnata dalla verifica.
Nel panorama moderno della sicurezza informatica (infosec), questa filosofia si è evoluta in quella che oggi chiamiamo zero trust (ZTA), che ripensa radicalmente il concetto di fiducia in un mondo interconnesso. Oggi, zero trust diventato un elemento chiave per la sicurezza delle aziende, soprattutto ora che le organizzazioni adottanocloud , lavoro remoto e sistemi interconnessi.
L'approccio "Trust and Verify" Zero Trust
Fondamentalmente, l'approccio "trust and verify " riconosce la necessità di una fiducia iniziale, elemento indispensabile per qualsiasi interazione. Tuttavia, come dimostra la storia, la fiducia cieca è una vulnerabilità. Nella sicurezza informatica, la fiducia non può essere data per scontata in base alla posizione, all'identità o ai privilegi, ma deve essere continuamente verificata.
Un' zero trust riflette questo concetto diffidando di tutte le entità presenti in una rete, sia all'interno che all'esterno del perimetro, fino a quando non vengono autenticate e autorizzate ad accedere a risorse specifiche. In un zero trust , l'accesso alle risorse non è un passaggio unico, ma si basa su una valutazione continua del comportamento, dei privilegi e della posizione di sicurezza di un'entità.
Tuttavia, zero trust tradizionali zero trust , che spesso si basano su controlli statici come l'autenticazione e l'autorizzazione iniziali, potrebbero non essere sufficienti. Gli aggressori possono sfruttare l'accesso privilegiato o rubare le credenziali per aumentare i privilegi all'interno della rete dopo aver ottenuto l'accesso iniziale. In questi casi, la parte "verifica" del principio "fidati ma verifica" può diventare l'anello debole, il che ci porta al passo successivo nell'evoluzione dello zero trust: la valutazione continua e adattiva del rischio e dell'affidabilità.
Oltre la fiducia statica: l'importanza della verifica continua
Nell'attuale panorama delle minacce, le valutazioni statiche dell'affidabilità non sono più sufficienti. Gli autori degli attacchi informatici sfruttano le lacune di un zero trust tradizionale zero trust ricorrendo al furto di credenziali, all'escalation dei privilegi e alla configurazione errata delle policy per muoversi lateralmente all'interno di una rete dopo aver violato il perimetro.
Ciò è stato dimostrato dai recenti attacchi di alto profilo, come l'attacco alla catena di approvvigionamento SolarWinds e l'incidente ransomware Colonial Pipeline, in cui gli aggressori hanno sfruttato l'accesso iniziale per ottenere il controllo diffuso della rete sfruttando le debolezze della sicurezza interna.
Per affrontare queste sfide, il concetto di valutazione continua e adattiva del rischio e dell'affidabilità (CARTA) . Come osserva Gartner, "i responsabili della sicurezza e della gestione dei rischi devono adottare un approccio strategico in cui la sicurezza sia adattiva, ovunque e in ogni momento". Questo approccio richiede una valutazione continua del rischio e dell'affidabilità, non solo al momento dell'accesso, ma durante tutto il ciclo di vita dell'interazione di un'entità con la rete.
Nel contesto della filosofia "fidati ma verifica ", CARTA incarna la componente "verifica" in tempo reale. Rivaluta costantemente la fiducia in base al comportamento delle entità, adattando dinamicamente le risposte di sicurezza se le loro azioni si discostano dai modelli previsti o aumentano il rischio. Con CARTA, anche una volta concesso l'accesso, le interazioni tra utenti, applicazioni e servizi vengono monitorate e l'accesso viene revocato o modificato se vengono superate le soglie di rischio.
Monitoraggio continuo Vectra AIcon analisi degli accessi privilegiati
Vectra AI questa verifica continua un passo avanti con Privileged Access Analytics (PAA). Mentre molte piattaforme di sicurezza si concentrano sul fatto che a un'entità sia concesso un privilegio, PAA Vectra AIpone l'accento su come le entità utilizzano tali privilegi. Questo passaggio dal privilegio concesso al privilegio osservato si allinea perfettamente con la mentalità "fidati ma verifica ", fornendo un monitoraggio in tempo reale e una valutazione continua del rischio.
Utilizzando l'analisi comportamentale basata sull'intelligenza artificiale, la piattaforma Vectra AIidentifica le anomalie nel funzionamento di utenti, host e servizi all'interno della rete. Analizzando il traffico e il comportamento della rete, PAA valuta continuamente se le entità stanno utilizzando i propri privilegi in modo appropriato, evidenziando potenziali abusi o azioni sospette.
Ad esempio:
- Il furto di credenziali può essere rilevato monitorando se un'entità accede improvvisamente a risorse al di fuori del suo ambito abituale.
- Gli attacchi di tipo "privilege escalation" vengono segnalati quando un utente di livello inferiore tenta improvvisamente di accedere ad aree con privilegi elevati.
- Il movimento laterale all'interno della rete viene rilevato quando le entità interagiscono con sistemi o servizi con cui non interagiscono normalmente.
La piattaforma assegna inoltre punteggi di minaccia e priorità di rischio a ciascuna entità, garantendo che i team di sicurezza possano concentrarsi sulle minacce più critiche in tempo reale. Questo monitoraggio continuo va oltre il modello statico zero trust offrire un approccio alla sicurezza dinamico e adattivo.
Vectra AI di Vectra AI : visibilità end-to-end
Oltre a Privileged Access Analytics, la Vectra AI monitora continuamente gli host e i loro comportamenti a livello di rete. Ciò include l'identificazione di attività quali ricognizione interna, movimento laterale ed esfiltrazione dei dati. Combinando PAA con il monitoraggio comportamentale, Vectra AI ai team di sicurezza una visibilità end-to-end su tutto il traffico, dal cloud e attraverso le infrastrutture ibride.
La Vectra AI si integra perfettamente con altri strumenti di sicurezza, consentendo il rilevamento adattivo e in tempo reale delle minacce in ambienti complessi in cui sono implementate zero trust . Questo processo di verifica continua rafforza zero trust garantendo che la fiducia non sia mai data per scontata e che tutte le entità siano monitorate e verificate in tempo reale.
Rafforzare Zero Trust modello Zero Trust Vectra AI
Con la crescente adozione da parte delle aziende di ambienti cloud e ibridi, il zero trust deve evolversi. Concentrandosi sulla valutazione continua e adattiva del rischio e dell'affidabilità, Vectra AI che l'affidabilità non sia mai statica e che la verifica sia un processo continuo. Con la capacità di monitorare il comportamento a tutti i livelli di privilegio e in tutte le aree della rete, Vectra AI le aziende a stare al passo con le minacce in un'era in cui l'affidabilità è sia una necessità che una vulnerabilità.
Se sei pronto a migliorare zero trust tua zero trust con verifiche continue e analisi degli accessi privilegiati, contattaci per programmare una demo della Vectra AI o per parlare con un rappresentante e scoprire come possiamo aiutarti a proteggere la tua rete.