LET’S TALK & CONNECT

“Conoscenza è potere”. Applicando alla cybersecurity questo concetto di natura baconiana, se conosciamo il comportamento atteso di una risorsa potremo limitare gli accessi indesiderati e soprattutto i movimenti laterali. Il principio si sposa perfettamente con la filosofia Zero Trust, che raccomanda un’identificazione costante dell’oggetto/soggetto che richiede l’accesso alla rete. Ne parliamo in questa intervista con Francesco Di Maio, Head Corporate Security Department di ENAV.

Quali sono i motivi che spingono all’adozione di una “filosofia Zero Trust” per la gestione dei rischi cyber?

Il modello Zero Trust facilita le organizzazioni sottoposte al Perimetro di sicurezza cibernetica nazionale, fornendo una strategia basata su principi e codifiche. È da prendere come punto di riferimento, soprattutto ora che il NIST ha codificato le attività da considerare in questa roadmap. Aiuta le aziende ad aderire ai principi fondamentali della sicurezza delle informazioni che vanno oltre il concetto tradizionale di “perimetro da difendere”.

Oggi osserviamo un incremento esponenziale delle minacce cibernetiche, non solo legate al cyber crime: anche aspetti di guerra ibrida, temi legati alla gestione degli insider threat. È indispensabile passare ad un approccio di cybersecurity olistico e integrato, secondo cui ogni componente del sistema è da salvaguardare, con una logica di prioritizzazione valida per tutti gli asset e tutte le informazioni.

Come si colloca il nuovo approccio Zero Trust rispetto ai framework tradizionali?

Per chi ha iniziato a lavorare in logica di framework nazionale di sicurezza cibernetica, il concetto Zero Trust evoca da vicino il livello “Identify” del framework, ossia, avere sottomano l’architettura dei sistemi core e non solo. Oggi – soprattutto in organizzazioni complesse, che vanno verso il lavoro agile e richiedono un coinvolgimento pieno del personale su aspetti di sicurezza, il modello deve permeare l’intera gestione IT. In questo scenario, Zero Trust è una necessità, significa identificare e controllare ogni singola componente del nostro ambiente.

Bisogna abbandonare l’assunto secondo cui se un asset si trova all’interno del sistema è trusted, e identificare il migliore bilanciamento tra necessità e rapidità, e tipologia dati trattati, per un’identificazione costante dell’oggetto/soggetto che richiede l’accesso alla rete. In sostanza, controllare pedissequamente i comportamenti di tutto quanto si muove nel network. In questo modo applichiamo un concetto di natura baconiana, ossia, “Conoscenza è potere”: se conosci il comportamento atteso di una risorsa potrai limitare gli accessi indesiderati e soprattutto i movimenti laterali.

Come impostare un percorso di adozione dei principi Zero Trust? Quale strategia avete delineato per questa transizione?

Con riferimento al mondo IT in ENAV, distinguerei tra l’IT tradizionale (Office Automation, ERP, posta) e gli ambienti core afferenti al settore dell’aviazione civile. Per questi ultimi, oggi in grande trasformazione con la remotizzazione degli strumenti a disposizione del controllore (portati dalle torri di controllo fisiche a un unico remote tower control center), si può dire che il concetto Zero Trust era presente fin dal principio. Per motivi di elevata sicurezza si è sempre avuto per gli ambienti core una segregazione delle reti, controlli quotidiani incisivi e una riduzione spinta della superfice attaccabile.

Per quanto riguarda invece gli ambienti dell’IT tradizionale, siamo per un approccio graduale a Zero Trust: partendo da una preparazione degli elementi, con categorizzazione e selezione, sarà avviata una transizione a Zero Trust con logiche di web application firewall, identificazione del trust nelle attività, microsegmentazione, ampliamento della robustezza della rete per ridurre la superfice di attacco.

È poi molto importante considerare il cambiamento culturale introdotto dal nuovo approccio: serve un controllo end-to-end, tutti gli elementi del network devono essere fortemente presidiati. Bisogna fare fronte a nuovi costi, all’aspetto culturale, a nuovi processi manutentivi per l’infrastruttura. E’ un passaggio importante e complicato. Non esiste poi un unico modello ZT e non si tratta di una tecnologia, ma piuttosto, di un’architettura che si compone anche di ciò che già abbiamo e che deve essere maggiormente valorizzato.

Quanto è importante automatizzare?

L’automazione aiuta a ridurre fortemente i tempi di identificazione dei problemi che si presentano all’interno del perimetro e a rispondere in modo immediato guardando agli aspetti di behaviour.

Con la progressiva digitalizzazione e assorbimento di tecnologie nuove e sempre più performanti, tendiamo a perdere di vista cosa abbiamo all’interno, e viene meno il controllo rigoroso, che ora va recuperato per ogni risorsa nell’organizzazione. Il controllo però richiede un processo di automazione spinto.

Accanto a questo, bisogna adottare misure non solo tecnologiche ma anche procedurali, ad esempio, la drastica riduzione dei poteri degli amministratori di sistema e di dominio, la loro convergenza verso necessità di controllo, l’adesione a sistemi di autenticazione non generalizzati, l’utilizzo di credenziali di amministratore con OTP (one time password). Una svolta culturale che contraddistingue anche la gestione del day-by-day, il change management, il vulnerability management.

In conclusione, cosa considera essenziale nell’implementazione di un’architettura Zero Trust?

Tutto parte dalla necessità di avere una piena ed effettiva conoscenza di cosa ho in casa e di come funziona. Serve quindi un lavoro strutturato per agire con policy e controlli: solo così si garantisce anche ad altri utenti, a chiunque abbia a che fare con la tecnologica, di far parte del nuovo sistema. Zero Trust è un’innovazione che riguarda l’intera organizzazione, tutti devono parteciparvi in modo convinto. Terzo aspetto fondamentale è avere il commitment dell’alta direzione: la security non appartiene solo ai “tecnici” ma è oggi parte integrante del business, processo profondamente integrato nella consapevole catena gestionale del rischio e, per questo, è importante il flusso continuo verso il board e l’alta direzione, in quanto è elemento essenziale di governo dell’organizzazione.