La vulnerabilità più debole della vostra organizzazione non è un sistema non patchato, una password facile da indovinare o un team di sicurezza assediato.
La vulnerabilità più importante è invece qualcosa di molto più ampio e difficile da gestire: la fiducia.
Nelle ultime settimane abbiamo assistito a un'ondata di cyberattacchi che hanno utilizzato un mix di exploit e che hanno colpito diversi settori che utilizzano tutti la fiducia per violare la sicurezza delle organizzazioni:
- Il Attacco SolarWinds ha utilizzato un sistema di aggiornamento fidato per installare codice maligno in un massimo di 18.000 organizzazioni, tra cui il Pentagono, il Dipartimento della Sicurezza Nazionale, la National Nuclear Security Administration, ospedali e i principali media.
- La scorsa settimana, una nuova campagna orchestrata dallo stesso gruppo che sta dietro a SolarWinds (Nobelium) ha violato il provider di posta elettronica dell'AID statunitense, Constant Contact, per inviare e-mail contenenti URL malevoli a circa 3.000 conti presso più di 150 gruppi internazionali per lo sviluppo e i diritti umani.
- Gli hacker stanno sfruttando cambiando COVID-19 restrizioni per inviare false e-mail "da" Chief Information Officer per rubare le credenziali dei dipendenti.
(Non sappiamo con certezza se il gruppo che ha obbligato JBS Foods chiude le attività negli Stati Uniti e in Australia si è affidato a tattiche simili, ma continueremo a monitorare la vicenda per capire se la fiducia ha giocato un ruolo importante).

In tutti questi exploit, i malintenzionati inviano link o installazioni da un sito presumibilmente fonte attendibile. Adattarsi a questa situazione può essere impegnativo: in una società complessa, remota, che lavora da qualsiasi luogo, dobbiamo fidarci dei nostri colleghi, fornitori e sistemi per svolgere il nostro lavoro, fare ordini, effettuare e ricevere pagamenti.
Gli utenti hanno bisogno di fiducia. Ma le organizzazioni non possono permettersela. Online, la fiducia può essere una grande responsabilità.
Abbiamo discusso Fiducia zero prima: non si tratta di un numero di parte o di un prodotto. Non esiste una SKU o un modulo d'ordine rapido per acquistarlo.
Il Zero Trust è invece un principio: è un mentalità che i team di sicurezza dovrebbero iniziare a sviluppare. In linea di massima, il modello Zero Trust è la classica filosofia del ‘privilegio minimo’, semplicemente estesa su scala più ampia. È un modo per trovare il giusto equilibrio tra costi e benefici, al fine di proteggere ciò che conta di più senza rallentare gli utenti né compromettere l’attività aziendale.
Uno dei modi più efficaci per avvicinarsi alla Il modello Zero Trust consiste nel dare priorità all'identità e ricordate che la gestione degli accessi alle identità (IAM) e l'amministrazione della governance delle identità (IGA) hanno una portata più ampia. Si applicano a utenti, risorse, applicazioni e i vostri fornitori: per applicare il modello ‘non fidarti mai, verifica sempre’ del Zero Trust, è necessario innanzitutto definire politiche di governance che garantiscano l’accesso corretto agli utenti giusti e mantenere aggiornato l’elenco dei loro ruoli e privilegi. Le aziende hanno bisogno di metodi migliori, più rapidi e più intelligenti per monitorare e controllare tali informazioni.
Anche in questo caso, IAM e IGA sono estesi: i recenti hackeraggi di Nobelium sottolineano la necessità di inventariare tutti i dati relativi a sistemi e accessi e fornire un'autenticazione forte. I sistemi aziendali basati sul cloud, come Office 365, Salesforce, Slack e Constant Contact, devono essere più solidi, autenticazione basata sul rischio per garantire sicurezza del cloud e proteggere sia le identità personali che il materiale sensibile dell'organizzazione. Inoltre, gli hack dimostrano anche la necessità per le aziende di eliminare la nostra vulnerabilità alle password e alle credenziali di accesso rubate (e di recuperare risparmi significativi) andando a senza password.

Identificando, gestendo e riducendo il livello di fiducia che riponiamo negli utenti e nelle risorse, possiamo trarre vantaggio dalle nostre connessioni e limitare i danni che queste possono causare a noi, ai nostri colleghi e alle nostre aziende. In definitiva, lo Zero Trust non è una meta: è un percorso che intraprendiamo, nel quale impariamo e reimpariamo costantemente i compromessi che dobbiamo accettare in un mondo online. È un percorso che vale sempre più la pena di intraprendere.