Smentire i miti ZTDR di Jason Garbis
Sfatare i miti del Zero Trust
Il Zero Trust è un mercato rumoroso e complesso con un alto grado di sovrapposizione delle soluzioni e, purtroppo, un'eccessiva quantità di hype da parte dei fornitori. Questo ha portato all'emergere di miti sul Zero Trust, che tendono ad apparire come funghi indesiderati e velenosi dopo un acquazzone primaverile. Anche se non esploderemo nulla durante il corso di questo post del blog, utilizzeremo il nostro machete metaforico su alcuni miti del Zero Trust. Quindi andiamo in modalità nerd, indossiamo i nostri occhiali di sicurezza e sfatiamo alcuni miti!
Mito #1: Il Zero Trust è difficile
La realtà è che la Sicurezza delle Informazioni stessa è difficile, e il Zero Trust in realtà semplifica le cose. Parte della percezione errata può essere perché il Zero Trust è una filosofia di sicurezza che enfatizza un approccio olistico. E questo a sua volta incoraggia i team di sicurezza, spesso per la prima volta, a considerare le cose da una prospettiva di processo e di business.
Il Zero Trust rende questo più facile perché ti offre un modo per astrarre parte della complessità attraverso un modello di policy unificato. Ad esempio, puoi definire politiche di accesso che si applicano agli utenti, indipendentemente dal fatto che siano in ufficio (on-premises) o lavorino da remoto. Questo è un miglioramento significativo rispetto alle architetture di sicurezza tradizionali, che utilizzano modelli completamente diversi per gli utenti remoti (ad es., VPN) e per gli utenti on-premises (ad es., NAC). Un altro esempio: queste politiche possono utilizzare controlli sulla postura dei dispositivi in un modo che funzioni in modo coerente, indipendentemente dal fatto che l'utente stia eseguendo Windows o sia su un Mac.
Il takeaway: Il Zero Trust può essere facile da iniziare, in particolare per uno dei nostri casi d'uso preferiti, garantire l'accesso al sistema di backup e ripristino dei dati. Questi sono sistemi di alto valore spesso presi di mira dagli attaccanti, e il gruppo di amministratori di sistema dovrebbe essere piccolo e ben conosciuto. Per facilitare questo, proponiamo tre domande per il tuo team di sicurezza:
1. Come stiamo abilitando l'accesso sicuro degli amministratori di sistema al nostro sistema di backup e ripristino dei dati?
2. Come è protetto il sistema di backup e ripristino dei dati dall'accesso non autorizzato alla rete?
3. Cosa significherebbe per te se imponessimo controlli di accesso contestuali e centrati sull'identità? In che modo ciò migliorerebbe la nostra sicurezza, conformità e operazioni?
Speriamo che queste domande stimolino una conversazione sul Zero Trust e su come possa essere rapidamente applicato al tuo ambiente di backup e ripristino dei dati.
Mito #2: Devi essere perfetto per iniziare
Quando parliamo di Zero Trust, spesso enfatizziamo il potere delle politiche di accesso basate su attributi degli utenti come ruoli o appartenenza a gruppi, o su attributi di carico di lavoro. Questo può portare le persone alla conclusione errata che devono aver perfezionato i loro processi di gestione dell'identità e delle appartenenze ai gruppi, così come il loro inventario di carichi di lavoro e i processi di rilascio prima di poter iniziare. Per citare il film cult Repo Man, “nonsense pernicioso!”
Il Zero Trust è un viaggio di apprendimento senza vergogna e molto un “vieni come sei” party. Ho lavorato con aziende con una grande varietà di livelli di maturità nei loro ecosistemi IT e di sicurezza, e ognuna di esse è in grado di iniziare e fare progressi a breve termine nel loro viaggio verso il Zero Trust. Spesso, possono fornire una sicurezza migliore per il loro business semplicemente affinando i loro processi e facendo un uso migliore degli strumenti che hanno a disposizione – senza dover spendere budget aggiuntivi per procurarsi nuovi strumenti.
Il takeaway: Pensa a due aree di relativa forza e due di relativa debolezza nel tuo ambiente di sicurezza. Ad esempio, forse hai uno strumento di gestione dei dispositivi utente solido che applica configurazioni di sicurezza. O forse, come in molte organizzazioni, hai un insieme “disordinato” di gruppi di directory (spesso definito come un “gigante groviglio di capelli”).
Le aree di forza sono buoni candidati per l'inclusione nelle tue politiche iniziali di Zero Trust. Nel nostro esempio, sarebbe semplice e potente utilizzare controlli sulla postura dei dispositivi come parte delle tue politiche di accesso. Le aree di debolezza sono spesso buoni obiettivi per miglioramenti mirati come parte di un progetto di Zero Trust. Affrontare il gigante groviglio di gruppi di directory è un'impresa enorme, ma creare nuovi gruppi per un gruppo ben definito di utenti - come i tuoi amministratori di backup e ripristino dei dati - è del tutto fattibile e ha anche il vantaggio di stabilire processi chiari e puliti per l'appartenenza ai gruppi.
Mito #3: Il Zero Trust riguarda solo la sicurezza
Sebbene il Zero Trust sia assolutamente una strategia di sicurezza, è importante riconoscere due cose al riguardo. Prima di tutto, ricorda gli obiettivi fondamentali della sicurezza delle informazioni - Riservatezza, Integrità e Disponibilità. Raggiungere la disponibilità richiede ai team di sicurezza delle informazioni di applicare il Zero Trust oltre i confini di sicurezza tipici e influenzare l'approccio della loro azienda al backup e ripristino dei dati, e alla continuità operativa / recupero da disastri (BC/DR).
In secondo luogo, i programmi di Zero Trust forniscono assolutamente valore per il business. Consentono all'azienda di adottare nuove tecnologie in modo sicuro, aprire nuovi canali per comunicazioni e collaborazioni sicure con fornitori, partner e clienti, e migliorare la produttività degli utenti. Per non parlare della riduzione del carico di soddisfare e riportare i requisiti di conformità, accelerando attività strategiche come la trasformazione digitale o Fusioni & Acquisizioni, e accelerando i processi aziendali tramite un'esperienza utente migliorata e metodi di accesso.
Alcuni di questi miglioramenti, anche quando focalizzati su attività piccole o quotidiane, possono fornire risultati convincenti. E, i progetti iniziali di Zero Trust più piccoli hanno anche il vantaggio di essere implementati e operativizzati rapidamente.
Il takeaway: Parla con i tuoi proprietari di dati e applicazioni riguardo ai loro processi e frustrazioni con le esperienze di backup e ripristino dei dati. Come possono essere migliorati la categorizzazione, l'onboarding, il testing e la validazione? Quali barriere relative all'accesso può rimuovere un progetto di Zero Trust?
Mito #4: Il Zero Trust è solo un'iniziativa del governo degli Stati Uniti
È vero che il governo federale degli Stati Uniti ha preso una posizione pubblica nel richiedere l'adozione del Zero Trust per i suoi dipartimenti e ha amplificato la sua consapevolezza e adozione. Meritano molto credito per averlo fatto, poiché il Zero Trust racchiude le migliori pratiche e approcci della nostra industria. E le guide e architetture del Zero Trust pubblicate da agenzie statunitensi come il National Institute of Standards and Technology (NIST), la National Security Agency (NSA) e il Department of Defense (DoD) sono solide, preziose e globalmente applicabili sia alle organizzazioni pubbliche che private.
Tuttavia, anche con tutto questo supporto del governo degli Stati Uniti, è importante ricordare che il Zero Trust è nato nel settore privato, ed è stato entusiasticamente abbracciato e supportato da fornitori, società di consulenza e analisi, e aziende in tutto il mondo. Ci sono anche numerosi governi non statunitensi che hanno adottato il Zero Trust, come Singapore, Regno Unito, Canada, Australia e altri.
In effetti, oserei dire che questo approccio altamente decentralizzato al Zero Trust ha contribuito al suo successo, creando un ricco (ma ammettiamolo, rumoroso) mercato di idee, soluzioni e approcci. E questo mercato è importante – anche con la pletora di documenti del governo degli Stati Uniti, ci sono sicuramente aree in cui il settore privato deve migliorare e colmare le lacune. Ad esempio, il documento della NSA "Advancing Zero Trust Maturity Throughout the Data Pillar" non menziona nemmeno il backup e il ripristino dei dati, che è una parte enorme della missione di un team di sicurezza. Per questo, raccomandiamo il nostro contributo all'industria, il concetto di Zero Trust Data Resilience.
Il takeaway: Rivedi il Foglio Informativo sulla Sicurezza dei Dati della NSA, e poi leggi il whitepaper di Object First come pezzo complementare. Dopo aver letto questi, pensa a come la tua organizzazione dovrebbe affrontare la sicurezza dei dati all'interno della tua iniziativa di Zero Trust e come il tuo sistema di backup e ripristino dei dati dovrebbe essere protetto.
Conclusione: Miti…Sfatiati!
OK! Togliamo i nostri occhiali di sicurezza, prendiamo una limonata e sediamoci. Sfatare quei miti è stato un lavoro duro, ma speriamo che, facendo ciò, abbiamo chiarito e reso più facile il tuo viaggio verso il Zero Trust.
La sicurezza delle informazioni è difficile, e non c'è dubbio su questo. Ma è anche una professione divertente, impegnativa e gratificante. Abilitare le nostre aziende a raggiungere la loro missione, mantenere i nostri utenti sicuri e produttivi, e rendere i nostri dati sicuri e resilienti – questi sono obiettivi degni e significativi. Quindi, continuiamo così, distinguiamo i miti dai fatti e lavoriamo per fare progressi nei nostri viaggi verso il Zero Trust.