Sicurezza informatica: Zero Trust o Zero Surface?

Lo abbiamo letto e sentito non so più quante volte: “la pandemia di COVID19 ha rivelato e amplificato le debolezze delle politiche di sicurezza informatica in aziende, istituzioni e fornitori di servizi IT“. La buona notizia è che il lavorio che ne sta seguendo è una grande opportunità di rivedere finalmente le logiche che governano le scelte di protezione di cui ci siamo dotati sino a oggi. Nel vivace panorama che si è delineato sembra riscuotere grande attenzione e molti sostenitori l’approccio Zero Trust.

Zero Trust non è una tecnologia ma un concept, una configurazione ideale, una (ri)strutturazione organica di diversi layer connessi tra loro, una composizione dinamica di strumenti, tecniche e progettazione. Molti grandi player hanno sposato il disegno, o dichiarano di volerlo fare: Cisco, Check Point, Akamai, Google, Symantec, Unisys, Illumio e altri ancora, ciascuno con una particolare attenzione o predilezione per certi aspetti invece che per altri, preferenze in parte guidate dalle particolari competenze, strategie e vocazioni.

Quel che è certo è che su alcuni principi sembrano convenire un po’ tutti come, per es., l’eliminazione delle VPN (noi lo diciamo da tempo), l’integrazione delle funzionalità di SIEM (Security Information and Event Management), la gestione degli accessi in MFA (Multifactor Authentication) e in SSO (Single Sign-On), l’abilitazione delle soluzioni WFA (Web Application Firewall) e altro ancora.

Facendo un passo indietro però non è difficile comprendere (come per altro dichiarato da tutti gli attori coinvolti, e ci mancherebbe) che questo rinnovato fermento si è innescato a causa dell’esponenziale aumento delle superfici esposte dei sistemi, condizione che, con piena evidenza, è da sempre alla base del vero grande nodo della sicurezza informatica: se non ci fossero superfici esposte esisterebbero molti meno problemi ma d’altro canto non esisterebbe la rete così come la conosciamo, perlomeno questo è quanto abbiamo sempre creduto. Sotto questo profilo, perciò, niente di nuovo sotto il cielo dello Zero Trust.

CURARE IL SINTOMO O LA CAUSA?

L’esposizione delle superfici è ormai considerato un prezzo da pagare così inevitabile da averlo fatto passare in secondo piano, non più degno di approfondimento o ricerca, una faccenda chiusa: la protezione perimetrale sembra essere argomento sorpassato, ineluttabilmente irrisolvibile, privo di quella “pseudo-modernità di pensiero” che, spesso in maniera autoreferenziale, pare dover caratterizzare le soluzioni più sofisticate affinché queste assumano la necessaria aura di credibilità, efficacia e validità. E gli investimenti faraonici in questa direzione la dicono lunga.

Parliamoci chiaro; c’è un grandissimo merito e valore nelle soluzioni che via via la ricerca tecnologica ci consegna, ma dico che aver archiviato così frettolosamente la questione “superfici esposte” è, in realtà, una dichiarazione di resa, un’ammissione di impotenza quando invece, se fosse risolta, cambierebbe lo scenario in maniera drastica, ridisegnandolo completamente.

Se a questo aggiungiamo che le superfici esposte non sono solo quelle all’esterno di una rete ma anche quelle al suo interno (questione di architettura!) liquidare così l’argomento rischia di farci perdere un’occasione importante di eliminare parecchi problemi alla radice. D’altro canto, come detto, è questo problema irrisolto che giustifica buona parte della ricerca del settore e muove il mercato dell’offerta che ne deriva.

Per quanto blinderai una porta ci sarà sempre un ariete in grado di abbatterla, per quanto innalzerai muri ci sarà sempre un modo per scalarli. Ma se nulla è visibile…

Mi piace lo Zero Trust, soprattutto nel suo approccio organico e “multidisciplinare”, ma mi convince meno proprio l’innalzamento di quella bandiera bianca: fintanto che non sarà risolto “il” problema, infatti, mi sento di dire che la locuzione Zero Trust peccherà di incoerenza dovendosi nel frattempo riformulare, a mio giudizio, in un più aderente Less Trust Possible.

Trovo anche un po’ risibile l’obiezione secondo cui una difesa concentrata sui perimetri comporta un’eccessiva gestione di appliance, aggiornamenti continui dei software che aumentano la complessità totale e quindi la comparsa di comportamenti emergenti (a proposito dei comportamenti emergenti consiglio https://bit.ly/2ZGCTAL), aumento del carico di lavoro per i team IT ecc.; ma le altre soluzioni, di diverso orientamento, non comportano forse il medesimo onere? Davvero possiamo far finta che “il” problema non esista solo perché finora non abbiamo saputo come affrontarlo? E se, invece, esistesse un modo per evitare tutto quel carico di costi strumentali e di lavoro?

E soprattutto, che senso avrebbe ignorare il problema proprio                    adesso che è stato risolto? Sì, hai letto bene: risolto.                            Se Zero Trust è una dichiarazione di intenti, 

Zero Surface oggi è una realtà concreta.

Se Zero Trust è un concept, Zero Surface – azzeramento delle superfici esposte – è una tecnologia. Se Zero Trust è un percorso destinato a una laboriosa implementazione di medio periodo, una condizione di Zero Surface si può attivare in pochissimo tempo (da poche ore a qualche settimana nei casi più complessi). Se Zero Trust è rincorsa continua, aggiornamenti, affinamenti e controlli quotidiani, stratificazione di tecnologie, strumenti e dispositivi, Zero Surface è efficienza e semplicità sistemiche.

Zero Trust è il tentativo, molto interessante, di prendere quel che c’è di meglio al momento nel grande contenitore delle proposte di sicurezza informatica, eliminare ciò che è ormai inadeguato e creare una piattaforma concettuale composita, popolata da molteplici soluzioni e operatori, insomma una meritevole opera di progresso tecnologico. Ed è qui che entra in gioco lo Zero Surface.

Zero Surface è iceGate di LATERALCODE, è evoluzione e non solo progresso, e questo perché iceGate non rientra in nessuna “famiglia” già esistente: iceGate non è un firewall, non è una VPN, non è SIEM, non è un WFA, non è un Identity Provider né altro, iceGate è la comparsa di una nuova specie, una soluzione di sicurezza informatica asincrona, asimmetrica, multifattore e… Zero Surface, appunto.

QUINDI ZERO TRUST O ZERO SURFACE?

Lo confesso, la domanda del titolo è provocatoria poiché Zero Trust e Zero Surface non sono mutualmente esclusivi, possono anzi essere ottimi componenti della stessa squadra.

Tuttavia, in conclusione, permettimi una domanda: se da un lato lo Zero Surface può esistere senza lo Zero Trust e mantenere la promessa racchiusa nel proprio nome, il contrario è forse possibile?