La Cybersecurity non basta più. Un assunto di cui si sente sempre più spesso fra gli esperti di sicurezza e che, ai minimi termini, trova fondamento nelle logiche con cui ci si prepara a qualsiasi altra emergenza: introdurre tutte le possibili contromisure preventive non dà automaticamente la garanzia di evitare gli incidenti.
Si pensi, per esempio, alle norme antincendio o alle pratiche contro i furti. La Cyber Resilience, dal canto suo, permette di andare oltre, indicando la capacità di riprendersi da un evento avverso nel modo più rapido ed efficace possibile. Uno dei suoi fondamenti, come vedremo, è Assume Breach, ovvero dare per assunto che un evento avverso prima o poi accadrà.
La relazione fra Cybersecurity e Cyber Resilience
Per raccontare la relazione fra la sicurezza e la resilienza informatica, e soprattutto come mettere in pratica la seconda a partire dall’approccio, abbiamo sentito Marco Pacchiardo, Security Architect EMEA di Zscaler, azienda specializzata nella sicurezza cloud-based e creatrice della piattaforma Zero Trust Exchange. Al quale abbiamo chiesto prima di tutto di spiegare la correlazione fra Cybersecurity e Cyber Resilience.
“La Cyber Resilience è un ambito interessante per due motivi: il primo è che, naturalmente, prevede fondamenta importanti di cybersecurity. Se la prima mi dice come posso continuare a fare business in caso di condizioni avverse, dà comunque come dato di fatto che esista un substrato di Cybersecurity, sul quale è possibile costruire un framework di CR. In secondo luogo, al momento esiste un solo framework scritto a 4 mani da NIST e MITRE. Il fatto che sia scritto anche Mitre che si occupa di categorizzare attacchi e minacce è sintomatico ed interessante di quale sia l’approccio. In cui la fase di prevenzione svolge un ruolo primario”.
Assume Breach. Un concetto vitale
I numeri che leggiamo ogni giorno sulla cybersecurity raccontano uno scenario in cui gli attacchi sono in crescita, da cui l’idea che dare per scontato che prima o poi accadrà è il modo migliore per essere preparati. È spontaneo chiedersi se non sia in dubbio l’efficacia della cybersecurity in generale o se, semplicemente, sia impossibile azzerare il rischio, come accade praticamente in qualsiasi altro contesto.
“Come si usa dire spesso, non si tratta di ‘Se’ ma di ‘Quando’: ecco perché uno degli assunti principali è Assume Breach” ricorda Pacchiardo. “Ragioniamo partendo dall’idea che qualcosa sia già capitato, perché non c’è modo di azzerare il livello di rischio. L’approccio Zero trust ha fatto evoluzioni importanti da questo punto di vista per ridurre la percentuale di breach, ma azzerarla è impossibile”.
La cybersecurity è di fatto una competizione fra attaccanti e difensori: c’è chi si affretta a sfruttare le nuove vulnerabilità e chi si dà da fare per risolverle. In questo scenario l’uso di politiche Zero Trust riduce l’incidenza degli eventi zero day e dei fenomeni patient zero. L’evoluzione continua, insomma, ha creato una pratica mediamente efficace.
Tuttavia, non bisogna abbassare la guardia: anche se l’approccio Zero Trust è mediamente efficace, non significa che lo sia in assoluto, né che lo sia per un tempo indefinito. Per questo, dare per scontato che prima o poi accadrà un evento avverso, permette di preparare nel modo giusto le fasi successive a un eventuale falla.
Preparare le difese, con ogni mezzo
Uno degli aspetti interessanti della Cyber Resilience è che, partendo da questo presupposto, prevede fra i propri fondamenti anche la resistenza agli attacchi in corso. “Nella parte di resistenza a un eventuale attacco si fa esplicito riferimento a tecniche di deception.” segnala Pacchiardo. Un aspetto interessante, perché introduce un concetto relativamente alternativo, ovvero quello di difesa attiva. L’attaccante può essere dirottato verso finti percorsi, honeypot o comunque verso dati finti appositamente monitorati, in modo da poter indagare l’attacco e avere il tempo di attivare contromisure più solide.
Un modo per mettere in pratica questa tecnica è pilotare le policy in modo dinamico: le tecniche di protezione si adeguano a quello che succede all’interno del contesto. “Per esempio, possiamo isolare un utente sospetto in una rete a parte, per evitare il movimento laterale ed eventualmente continuare con le indagini. In alternativa, lo si può inibire anche parzialmente, sempre per impedire il proseguire dell’attacco.”
Durante l’intervista, emerge un interessante parallelo con l’architettura medievale di alcuni paesi: “Uno dei temi più importanti è evitare che ci siano percorsi diretti verso le risorse da proteggere”. Un concetto che durante le conferenze Pacchiardo spiega mostrando una fotografia della palazzata di Porto Venere. “In questo tipo di architettura, non ci sono strade dirette per raggiungere la Rocca, ovvero il castello. Chi lo volesse raggiungere, deve percorrere una strada parallela alla fila di case: scomoda e soprattutto sorvegliata”. Di fatto, ci fa notare Pacchiardo con un sorriso, Porto Venere e gli altri paesi simili padroneggiavano il concetto di Security by Design meglio di come si faccia oggi. Insomma, rendere difficili le strade per gli attaccanti, anche grazie a policy dinamiche, risponde almeno ai primi due livelli della Cyber Resilience
Anticipate, Withstand, Recover, Adapt
Abbiamo accennato come l’approccio Zero Trust sia un buon punto di partenza per la fase di prevenzione delle minacce: tuttavia non è un sistema esente da limiti. Per renderlo ancora più efficace, Zscaler ha creato la piattaforma Zero Trust Exchange, che include alcuni principi interessanti, nati dall’osservazione di circa 300.000 miliardi di eventi quotidiani su 26 milioni di endpoint gestiti per conto di circa 6000 clienti.
Uno dei principali è la condivisione delle policy: non appena i sistemi di threat intelligence identificano un’anomalia, la policy di protezione viene estesa all’intera piattaforma. In questo modo è possibile ridurre agilmente le superfici di attacco.
Un altro concetto fondamentale è l’estensione del concetto Zero Trust anche al contesto. A partire dalla base: non assumere che esistano utenti automaticamente autenticati nemmeno all’interno del perimetro tradizionalmente inteso. “Ogni sessione deve essere autenticata” sottolinea Pacchiardo “sulla base di due semplici principi: chi sei e cosa stai richiedendo”. Attraverso queste due apparente semplici domande viene rilasciata la politica adatta a quel contesto. In altre parole, non solo non assegno automaticamente trust all’utente, ma nemmeno alla singola operazione.
“Le policy erogate non sono uniformi nel tempo e non sono uniformi nello spazio. Per esempio, nel caso di una risorsa core come un database finance, l’accesso potrebbe essere permesso solo dall’interno dell’azienda o da un laptop aziendale, anche per un utente normalmente abilitato. Insomma, decido la politica che più si adatti.”
Un caso di specie è quello dei cosiddetti viaggi impossibili: l’analisi fatta per gestire la politica di sicurezza corretta prevede anche la geolocalizzazione, per cui un utente che risulti collegato da due posizioni distanti centinaia di chilometri a pochi minuti di distanza fa sicuramente scattare un warning.
“Un altro elemento fondamentale da considerare nella creazione dinamica delle policy è cosa sta succedendo all’interno della transazione. In Zscaler abbiamo dimensionato l’infrastruttura per poter fare questo tipo di controlli sia a livello di applicazioni e di singole richieste dagli utenti, ma anche su interi workload: macchina / macchina, IoT/IoT, Business/Business, in modo trasparente dal punto di vista operativo”. Insomma, questa estensione del principio Zero Trust è applicata all’intera catena di sicurezza.