Questo mese abbiamo fatto colazione con: Daniele Catteddu, Chief Technology Officer di Cloud Security Alliance
Zero Trust è un approccio strategico moderno alla gestione della cybersecurity, i cui capisaldi sono l’attribuzione di fiducia sulla base delle evidenze, il privilegio minimo, il “need to know”.
Durante il suo intervento, nel corso del Cybersecurity Summit 2024, lo scorso 29 febbraio a Milano, Daniele Catteddu, Chief Technology Officer di Cloud Security Alliance, si è concentrato sugli aspetti fondamentali della filosofia zero trust.
CHI È CLOUD SECURITY ALLIANCE E QUAL È IL SIGNIFICATO DI “ZERO TRUST”?
Cloud Security Alliance (CSA) è una no-profit che fa ricerca e formazione. In Italia siamo conosciuti soprattutto perché l’ACN, l’Agenzia di Cybersicurezza Nazionale, ha selezionato il nostro programma “Star” di certificazione e di governance di sicurezza per Cloud service provider, come sistema di requisiti per il PSN, il Polo Strategico Nazionale.
Parlando dell’approccio Zero Trust (ZT), sappiamo che è oggi un tema scottante. È noto, infatti, un certo scetticismo su questa strategia, anche per l’equivoco su quello che rappresenta: va detto da subito che non si tratta di una tecnologia. Questa ha sì un valore fondamentale, ma non deve essere considerata un punto di partenza. Si tratta infatti di un approccio strategico, una vera e propria filosofia. Il nome stesso paga lo scotto di essere in parte un nome improprio: non si tratta tanto di avere “fiducia zero”, ma piuttosto, di dotarsi di un processo di costruzione della fiducia, ossia capire su quali elementi fondare una fiducia che renda possibile l’accesso alle risorse da parte di chiunque debba farlo.
PUNTO FONDAMENTALE DELL’APPROCCIO ZT È IL CAMBIO DI PARADIGMA
Fino ad ora, anche per una cattiva gestione corrente del rischio, ci si trova a dover fare delle analisi riguardo al livello di “trustworthiness” (affidabilità) sulla base di considerazioni soggettive, poco razionali. Questo non è il presupposto ideale. ZT ci dice che dovremmo invece basarci su un concetto di “evidence-based trust”, ossia su prove e fatti da analizzare in modo da accordare il corretto livello di fiducia.
In termini di definizioni di ZT, ce ne sono diverse. CSA, che ha cominciato a lavorare su ZT nel 2014 (quando il mio team ha creato il software defined perimeter), utilizza come working definition quella del report NSTAC rivolto al Presidente USA. È una definizione che scaturisce da una spinta politica forte, ossia dall’Executive Order di Biden di due anni fa, che ha richiesto a tutta la PA americana di adottare questo approccio. In particolare, il DOD (Department of Defense) USA, analogo del nostro Ministero della Difesa, per primo ha richiesto che entro il 2025 tutto sia adeguato a ZT. Questo ha dato una spinta molto forte al mercato.
ZT È UN VIAGGIO, UN PERCORSO E UN PROCESSO DA COMPLETARE NEL TEMPO
Non è pensabile che un’organizzazione possa implementare ZT dall’oggi al domani. Può farlo Google, che lo ha applicato in 2 anni, nel 2013 e 2014, per tutta la società (con il modello denominato BeyondCorp), ma si è trattato di un caso unico. Non ci sono molte organizzazioni con risorse e competenze per un deploy su tutta la scala.
Quello che serve è dotarsi di un approccio consapevole e seguire vari passaggi, seguendo l’intero ciclo di vita. Oggi abbiamo numerose complessità nella cybersecurity, dovute a tecnologie che vanno convergendo: il cloud che deve parlare con l’Industrial OT, l’arrivo dell’AI. È un contesto complesso e, come sappiamo, la complessità è il principale nemico della sicurezza. Se un problema è complesso, dobbiamo scomporlo e cercare di aggredirlo per ambiti di priorità. Il concetto ZT si sposa bene con l’attuale contesto, infatti, ZT dice di applicare una logica spinta di analisi del rischio: bisogna essere in grado di misurare in modo dinamico, sulla base del contesto, i diversi scenari di rischio e quindi applicarli a policy per avere l’accesso a risorse basato su logiche di privilegio minimo e di segregazione delle responsabilità. Bisogna quindi cambiare logica, partire da modalità “inside out”, dagli asset core da proteggere, e poi ampliare la scala di applicazione, per dare priorità a risorse fondamentali.
I PRESUPPOSTI FONDAMENTALI PER UN PERCORSO DI SUCCESSO
Daniele Catteddu. Chiunque voglia intraprendere un percorso credibile deve aver fatto bene i compiti a casa. Deve avere contezza precisa sulle entità nell’organizzazione, una mappatura chiara e una classificazione delle risorse oltre che dei flussi, quanta informazione va da A a B, quanti sono i loop che attraversa. In mancanza di questa conoscenza di sé stessi, stiamo parlando del nulla. Abbiamo poi due filoni da seguire: uno di tipo strategico e l’altro di tipo tattico. Per quanto riguarda il primo, l’importante è mettersi nell’ordine di idee che si tratta di uno shift di natura filosofica, del passaggio a una logica di Evidence-based trust.
Dimentichiamoci che possiamo fidarci di qualcuno perché viene dal perimetro o dispone di un determinato indirizzo IP. Dal punto di vista tattico, l’importante è sapere che si andrà a percorrere questo viaggio per gradi. Il Maturity model CISA può essere un utile elemento di riferimento. Importante è poi identificare l’ambito che si vuole proteggere. Altro aspetto fondamentale, la parte di logging e monitoring: un monitoraggio continuo richiede risorse e conoscenze. Impossibile farlo su tutta l’infrastruttura, cerchiamo di averlo solo per quello che importa.
Riguarda la registrazione completa di Daniele Catteddu, Chief Technology Officer, Cloud Security Alliance al Cybersecurity Summit 2024.
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!
