Minacce cyber, i chief information security officer pronti ad affrontare scenari sempre più complessi. La rapida diffusione del cloud, l’espansione dell’Internet of Things e la crescente convergenza tra IT e OT, insieme all’adozione massiccia del lavoro agile, ridisegnano i confini della cybersecurity
SASE (Secure Access Service Edge) e Zero Trust emergono come paradigmi fondamentali per garantire una protezione coerente e scalabile in ambienti IT sempre più distribuiti, considerando che i CISO devono navigare in un mare di complessità, bilanciando le esigenze di business con la necessità di proteggere i dati aziendali. Per questo motivo, è fondamentale comprendere a fondo i vantaggi, i limiti e i trend in termini di soluzioni SASE e Zero Trust, nonché le best practice per una loro implementazione efficace. Inoltre, è necessario esplorare e capire come queste architetture si integrino con altre tecnologie emergenti, come l’intelligenza artificiale, per creare un framework di sicurezza completo e resiliente. Le esperienze condivise dagli esperti del settore sottolineano altresì l’importanza di una valutazione accurata dei requisiti specifici, di una pianificazione strategica e di un’implementazione graduale in modo tale da convertire SASE e Zero Trust, insieme a tecnologie di ultima generazione, in leve strategiche per proteggere le organizzazioni dalle minacce informatiche in continua evoluzione.
INDENTITÀ E ACCESSO
Zero Trust e SASE sono due moderni framework di sicurezza informatica che affrontano sfide legate a reti distribuite e risorse aziendali non più centralizzate. Zero Trust definisce un approccio di sicurezza che si fonda sul principio “non fidarti mai, verifica sempre”. Non si basa sulla posizione dell’utente, ma richiede l’autenticazione e l’autorizzazione continua di utenti e dispositivi per accedere a risorse aziendali. Ogni accesso viene validato e monitorato costantemente, applicando anche il principio del privilegio minimo (Principle of Least Privilege – PoLP). Di fatto, Zero Trust considera che le minacce possono provenire sia dall’interno che dall’esterno della rete. SASE è un framework più recente, introdotto nel 2019, che unisce sicurezza e networking in un’unica soluzione cloud. Si basa su Zero Trust, ma aggiunge ulteriori funzioni di sicurezza, spostando il controllo all’origine della connessione, invece che all’interno del data center. SASE integra diversi servizi, quali: Software-defined wide area network (SD-WAN), Firewall as a service (FWaaS), Cloud secure web gateways (SWG), Cloud access security brokers (CASB), Zero Trust network access (ZTNA). La differenza principale tra Zero Trust e SASE è l’ambito. In altre parole, Zero Trust si concentra sulla gestione dei controlli di accesso e autorizzazione per gli utenti autenticati, mentre SASE offre un framework più ampio che integra sia servizi di sicurezza sia di rete, includendo anche Zero Trust.
L’altra distinzione sta nella gestione dell’identità e dell’accesso: Zero Trust richiede una verifica continua dell’identità degli utenti. SASE, invece, combina l’identità con fattori contestuali, come l’ora, la posizione e la sensibilità delle applicazioni, per determinare l’accesso. Inoltre, SASE utilizza profili di rischio per utenti, dispositivi e dati, assegnando punteggi di rischio e di sensibilità per gestire in modo dinamico l’accesso alle risorse. Zero Trust e SASE sono separati ma strettamente correlati. Entrambi i framework mirano a proteggere le infrastrutture di rete dalle minacce. Inoltre, SASE incorpora Zero Trust come componente essenziale. In un contesto dove sempre più persone lavorano da remoto e utilizzano dispositivi personali, entrambe le soluzioni aiutano a mitigare i rischi derivanti dall’espansione della superficie di attacco.
È doveroso evidenziare che l’implementazione di SASE non equivale automaticamente a una completa adozione di Zero Trust, dato che – anche se si sovrappongono – per implementare pienamente Zero Trust all’interno di un modello SASE è necessario adottare strategie specifiche. Inoltre, entrambi i framework utilizzano policy dinamiche per determinare l’accesso degli utenti a risorse e a servizi. Tuttavia, mentre Zero Trust basa il controllo dell’accesso su autorizzazioni dinamiche e su un modello “just-in-time”, SASE, invece, combina il monitoraggio continuo dell’identità e del comportamento degli utenti per aggiornare e adattare le policy di accesso in tempo reale.
I CISO ALLA PROVA
Il panorama delle minacce cyber include un’ampia gamma di rischi, che spaziano dagli attacchi ransomware, phishing e social engineering, alle minacce interne, agli attacchi alla supply chain, alle vulnerabilità delle applicazioni cloud e agli attacchi DDoS. Di fronte a queste sfide crescenti, i CISO devono adottare strategie avanzate per proteggere le loro organizzazioni. «Soluzioni come Cisco SASE e Cisco Zero Trust offrono strumenti efficaci per mitigare queste minacce, migliorando al contempo la sicurezza e l’esperienza di accesso a tutte le applicazioni» – spiega Fabio Panada, security architect di Cisco Italia. «Zero Trust riduce l’uso della VPN, fornisce un accesso coerente e sicuro, e riduce i rischi derivanti da dispositivi non aggiornati o non sicuri. Inoltre, consente di lavorare da qualsiasi luogo in modo sicuro e facile, migliorando la resilienza contro gli attacchi informatici. Cisco Secure Access combina secure web gateway, CASB, DLP, firewall-as-a-service, zero trust access e la Threat Intelligence di Cisco TALOS e altro ancora, consentendo agli utenti finali di accedere alle informazioni in modo semplice e senza interruzioni e agli amministratori IT di applicare criteri Zero Trust su un gruppo più ampio di utenti e dispositivi, indipendentemente dalla loro ubicazione.
Inoltre, la diffusione massiva dello smart working implica la necessità di utilizzo di soluzioni in grado di offrire un modello di sicurezza pervasivo e ubiquo che consenta di ispezionare il traffico utente a 360 gradi. Come evidenzia Paolo Passeri, principal sales engineer & cyber intelligence specialist di Netskope, esistono architetture innovative, come quella “Zero Trust” di Netskope, in grado di affrontare queste sfide grazie a un approccio esclusivo basato sull’interpretazione delle API per il traffico web e cloud. Questo sistema applica molteplici livelli di sicurezza, tra cui il controllo di accesso granulare e adattivo, il Data loss prevention (DLP) e la protezione contro i malware. «Tale architettura – spiega Passeri – consente di proteggere gli utenti indipendentemente dal luogo di connessione e dalla tipologia di traffico».
Quando si tratta di gestire le sfide dello smart working, la soluzione SASE di Fortinet rappresenta un approccio trasformativo unificato. «Fortinet consente l’adozione di una tecnologia Zero Trust e offre una piattaforma cloud-native che unifica la sicurezza degli utenti e delle applicazioni» – spiega Antonio Madoglio, director systems engineering per Italia e Malta. Integrando funzionalità di rete e sicurezza, la soluzione permette un livello di protezione end-to-end che risponde alle esigenze di un ambiente lavorativo sempre più distribuito». Le organizzazioni come possono rispondere all’espansione del business legato al ransomware as a Service, alle vulnerabilità della supply chain e agli exploit zero-day? Soluzioni come Secure Service Edge (SSE) e Zero Trust Network Access (ZTNA) di Zscaler sono particolarmente strategiche. Il perché ce lo spiega Marco Catino, sales engineer manager: «SSE è in grado di prevenire la compromissione grazie a una security nel cloud che segue l’utente ovunque, bloccando il software dannoso prima che si infiltri nella rete. Inoltre, SSE – grazie alle avanzate capability di Data loss prevention – previene il furto di dati, limitando ulteriormente il rischio di double e triple extortion. Infine, i controlli di accesso in tempo reale di ZTNA riducono la superficie di attacco, limitando l’accesso alle sole risorse necessarie, e isolando rapidamente gli eventuali dispositivi compromessi, impedendo un’ulteriore diffusione».
COME ADOTTARE SASE E ZERO TRUST
I CISO devono essere consapevoli delle sfide insite nell’adozione di soluzioni SASE e Zero Trust. A tal proposito, Fabio Panada di Cisco Italia spiega che per integrare in modo efficace un modello Zero Trust nelle infrastrutture legacy tipiche degli ambienti industriali è necessaria l’adozione di best practice specifiche. «Servono soluzioni di sicurezza in grado di monitorare e analizzare il traffico di rete in tempo reale, identificando eventuali anomalie o comportamenti sospetti. Per poter fare ciò è essenziale avere una rete segmentata che permetta di isolare i dispositivi e le applicazioni critiche e mantenere così la continuità operativa in caso di attacco». Secondo Paolo Passeri di Netskope, spostare il paradigma di rete e sicurezza da un modello tradizionale on-premise al cloud non richiede solo uno sforzo tecnologico, ma implica anche un vero e proprio salto quantico culturale e un profondo cambiamento di mentalità. «Sebbene le funzioni erogate dalla piattaforma, in termini di rete e sicurezza, siano le medesime di una architettura tradizionale, non è detto che gli stessi processi possano essere portati nei nuovi paradigmi. Inoltre, troppe organizzazioni sono convinte di poter utilizzare le procedure esistenti nella nuova architettura SASE e Zero trust, ignorando che non è affatto scontato che le stesse funzioni siano attuabili nel cloud senza modifiche. La tecnologia c’è, è matura, e consente di costruire un livello di sicurezza adatto alle sfide odierne. Tuttavia – mette in guardia Passeri – quando si avviano progetti di adozione del paradigma SASE con un approccio di tipo Zero Trust, è importante tenere in considerazione la possibile necessità di adattare i processi e le procedure esistenti al nuovo paradigma».
Di fatto, le aziende affrontano sfide sia tecnologiche sia organizzative e devono gestire la coesistenza di sistemi eterogenei e di diversi fornitori. «La mappatura degli accessi ha un impatto significativo sull’architettura delle reti, sull’esperienza degli utenti e, in ultima analisi, sulla produttività complessiva» – spiega Stefano Zai, business development manager della divisione IT Services di Ricoh Italia. Per affrontare le complessità esistenti, la sinergia con il cliente può fare la differenza tra successo e fallimento del progetto. «Collaboriamo con il cliente per definire le caratteristiche WAN per un’adeguata qualità delle comunicazioni, che sono fondamentali. Per il successo del progetto, è poi essenziale la definizione di policy che supportino l’approccio Zero Trust, oltre che la gestione degli accessi e delle autorizzazioni per il personale esterno, limitati ai loro specifici ambiti di competenza e sempre considerando le nuove regolamentazioni in materia di cybersecurity».
VISIBILITÀ E CONTROLLO
L’industria 5.0 è caratterizzata da una maggiore convergenza di sistemi IT e OT. Inoltre, l’installazione di dispositivi IoT – che diventano parte integrante delle infrastrutture critiche – richiede una maggiore visibilità, oltre che un controllo granulare, dato che introduce nuove vulnerabilità che devono essere gestite. «SSE di Zscaler – come sottolinea Marco Catino – offre soluzioni per gestire le sfide dei dispositivi IoT, impedendo che vengano attaccati grazie all’analisi di tutto il loro traffico Internet e alla riduzione della superficie di attacco. ZTNA di Zscaler impone controlli di accesso rigorosi e applica una micro-segmentazione, garantendo che, anche in caso di violazione di un dispositivo, gli aggressori non possano sfruttarlo per accedere a sistemi sensibili, oltre a consentire l’accesso di terze parti per la gestione degli OT in modo sicuro e senza offrire privilegi superiori a quelli strettamente necessari».
Antonio Madoglio di Fortinet mette in evidenza l’importanza di garantire un controllo rigoroso sui dispositivi connessi: «Attraverso l’installazione di un agent Fortinet fornisce un controllo granulare e real-time sui dispositivi, garantendo piena visibilità del loro stato, oltre a definirne la corretta postura di sicurezza attraverso la convalida e la verifica in tempo reale in base al loro comportamento e a quello degli utenti. Di fatto, attraverso i nostri apparati, siamo in grado di identificare e classificare altresì i device OT e IoT presenti in rete, analizzandone eventuali vulnerabilità».
Netskope utilizza una tecnologia esclusiva coperta da brevetto, chiamata DAPI (Deep API Inspection) che consente di decodificare le API per decine di migliaia di applicazioni cloud, identificando le attività effettuate dagli utenti, i dati scambiati, e in generale tutte quelle informazioni che delineano il contesto della connessione utente. «Tale approccio – spiega Paolo Passeri – consente di identificare policy estremamente granulari e accurate, in quanto sono applicate agli elementi della connessione che delineano il contesto utente, identificando – anche con l’ausilio di tecnologie di machine learning e intelligenza artificiale – le minacce nascoste nel traffico utente, anche se diretto verso applicazioni lecite, limitando i falsi positivi. Ciò si traduce in una migliore efficacia delle strutture preposte al monitoraggio della piattaforma, quali SOC e NOC, che possono concentrarsi sui veri allarmi significativi». Uno dei principi chiave dell’approccio Zero Trust di Cisco – come spiega Paolo Panada – è il concetto di Common Policy – «che consente la segmentazione della rete, ma comprende anche la classificazione degli end-point mediante la profilazione basata su AI/ML, l’analisi di postura, il rilevamento delle anomalie, il rilevamento delle minacce e la risposta alle minacce stesse».
MONITORARE E VALUTARE I RISCHI
Le varie soluzioni SASE e Zero trust sono in grado anche di fornire funzioni di reporting. La soluzione FortiSASE include un servizio di digital experience monitoring (DEM) che fornisce agli amministratori – «completa visibilità delle prestazioni end-to-end, attraverso la misurazione dei parametri di SLA, permettendo di monitorare sia eventuali problemi di connettività verso gli applicativi cloud, sia eventuali problemi di rete locale» – spiega Federico Saraò, SASE specialized systems engineer di Fortinet. Per migliorare la detection delle minacce e la risposta agli incidenti, i FortiGuard Labs costituiscono la forza trainante dei FortiGuard AI-powered Security Services. «I nostri esperti sviluppano e utilizzano tecnologie di machine learning all’avanguardia così come intelligenza artificiale per fornire una protezione di altissimo livello e informazioni sulla threat intelligence attuabile tempestive e costanti».
La soluzione SASE di Netskope offre un modulo chiamato Advanced Analytics che supera le capacità delle soluzioni tradizionali di reportistica, posizionandosi come un vero e proprio strumento di business intelligence, consentendo di raccogliere e di correlare tutti i meta dati raccolti dalla piattaforma e di rappresentarli in diversi formati con il livello di dettaglio desiderato, permettendo di creare dashboard differenziate per i diversi interlocutori. «Ne consegue – spiega Paolo Passeri di Netskope – che gli analisti di sicurezza possono individuare rapidamente eventuali fughe di dati, grazie, per esempio, ai diagrammi di tipo “Sunkey”, o eventuali attacchi da malware, intervenendo velocemente e limitando il tempo di esposizione alla minaccia. Allo stesso modo, gli analisti di rete, grazie al modulo di Proactive digital experience management, possono anticipare eventuali problemi di rete prima che questi impattino nell’esperienza utente. Inoltre, una serie di dashboard, create appositamente per i profili CxO, consente di misurare istantaneamente il funzionamento della piattaforma e i servizi erogati».
SASE E ZERO TRUST IN CLOUD
Le organizzazioni stanno migrando sempre più verso ambienti multi-cloud e hybrid-cloud, che richiedono soluzioni di sicurezza avanzate per garantire una protezione adeguata. Come già evidenziato, l’integrazione dell’architettura Zero Trust all’interno del framework SASE è essenziale per affrontare le sfide di sicurezza degli ambienti IT moderni. Di fatto, concentrandosi sulla verifica continua, sull’accesso con privilegi minimi e sulle misure di sicurezza adattive, Zero Trust migliora l’efficacia di SASE nella gestione della sicurezza in ambienti distribuiti, basati su multi-cloud e hybrid-cloud. Ovvero, l’adozione dei principi Zero Trust all’interno della strategia SASE risulta quanto mai fondamentale per mantenere una solida posizione di sicurezza, ridurre al minimo i rischi e garantire un accesso sicuro ed efficiente alle risorse critiche.
Per esempio, Fortinet – come sottolinea Antonio Madoglio – dispone della soluzione FortiOS che esegue l’intero stack SASE, compresi firewall bidirezionale, SD-WAN, gateway web sicuro, crittografia/decrittografia, CASB, DLP e ZTNA. Inoltre, offre la flessibilità di operare sia su appliance in modalità accelerata sia nel cloud FortiSASE, garantendo così una gestione coerente di networking, sicurezza e policy per tutti gli edge. Sempre in termini di sicurezza di ambienti multi-cloud e hybrid cloud, l’approccio di Netskope consente di erogare le stesse funzioni di sicurezza indipendentemente dal tipo di cloud e dal tipo di applicazione ospitata. Inoltre, tramite la stessa piattaforma possono essere protette applicazioni on-premise.
«I nostri clienti – spiega Paolo Passeri di Netskope – scelgono il modello architetturale a loro più adatto e il traffico che vogliono inviare alla piattaforma, sia esso cloud, web, non-web sia diretto ad applicazioni on-premise. Tale approccio è in grado di semplificare l’architettura dato che tutte le funzioni di rete e di sicurezza vengono erogate da un unico punto, oltre a garantire, per lo stesso motivo, visibilità end-to-end indipendentemente dal servizio a cui l’utente ha accesso». In termini di semplicità di architettura, Netskope offre alcune soluzioni uniche nel panorama di mercato, come, per esempio, un agente software che eroga sia le funzioni di rete (SD-WAN) sia di sicurezza (Zero Trust) direttamente sull’endpoint. Questo approccio consente di configurare le stesse policy (anche di rete) ed applicarle ovunque. Secondo Stefano Zai di Ricoh Italia, un’architettura SASE deve focalizzarsi sugli utenti e sulle risorse a cui accedono, rendendo la mappatura degli accessi un elemento fondamentale. «Per questo è essenziale identificare i livelli di sicurezza, le policy da applicare e, di conseguenza, le tecnologie e la connettività necessarie a supportare l’architettura. La complessità del progetto può essere ridotta scegliendo soluzioni integrate che includano firewall, sistemi EDR, PAM, IAM e autenticazione multifattore. Inoltre, per una gestione centralizzata dell’intera architettura è vantaggioso utilizzare un’unica console. Soluzioni come Fortinet Single-Vendor SASE che noi proponiamo rispondono a tutte queste esigenze, offrendo un approccio integrato e una gestione unificata».
AAA COMPETENZE CERCASI
In base ai dati dell’’ultimo report del 2022 di ISC2, mancano all’appello, a livello globale, ben 3,4 milioni di professionisti del settore della cybersecurity. Inoltre, Gartner prevede che entro il 2025 la mancanza di professionisti della cybersecurity sarà responsabile di oltre il 50% degli incidenti di sicurezza. Le organizzazioni, per colmare il divario di competenze in materia di cybersecurity, oltre a investire in programmi di istruzione e di formazione, possono anche contare sul supporto degli operatori di settore per quanto riguarda le implementazioni di architetture SASE e Zero Trust.
Per affrontate la carenza di competenze, secondo Stefano Zai di Ricoh Italia, è fondamentale lavorare a stretto contatto con la funzione IT, adottando un approccio basato sulla condivisione che coinvolge il cliente in tutte le fasi: progettazione, implementazione e gestione. Ricoh Italia offre alle aziende sia la possibilità di delegare completamente la gestione dell’infrastruttura, sia di farlo in autonomia e, in tal caso, vengono offerti corsi di formazione affinché il personale acquisisca le competenze necessarie.
Anche per Paolo Passeri di Netskope è fondamentale garantire le competenze, sottolineando che Netskope e i suoi partner certificati offrono vari servizi di supporto alla messa in esercizio della piattaforma, la gestione della stessa, e la formazione per le organizzazioni centrata sulle specifiche esigenze del cliente. Ma, se la potenza è nulla senza controllo – continua Passeri – all’interno dell’ecosistema Netskope, i customer success manager e technical account manager giocano un ruolo fondamentale. «Si tratta di figure dedicate al cliente che supportano le organizzazioni nell’esercizio della piattaforma, garantendo il pieno utilizzo delle funzioni disponibili acquistate dal cliente».
Innovazione e velocità del cambiamento influenzeranno profondamente le soluzioni SASE e Zero Trust. Secondo i principali analisti, i player di mercato intensificheranno gli investimenti in innovazione, per garantire che le loro piattaforme restino al passo con l’evoluzione sia delle tecnologie che delle minacce emergenti. «Netskope ha investito oltre 150 milioni di dollari solo per costruire la rete NewEdge» – spiega Passeri. «Una architettura di rete resiliente che offre routing elastico e dinamico e si adatta alla crescita fisiologica del traffico Internet. Secondo le previsioni, il mercato della sicurezza 5G è destinato a superare i cinque miliardi di dollari entro il 2026. E già oggi, tutti i SASE Gateway di Netskope offrono connettività 4G/5G integrata e capacità di edge computing per ospitare localmente le applicazioni disponibili. Ignorare e non anticipare le evoluzioni tecnologiche significa perdere opportunità di mercato forse irripetibili».
L’adozione di Zero Trust, SASE può migliorare significativamente il framework di sicurezza di un’organizzazione. Le esperienze condivise dagli esperti e le testimonianze fornite dai principali vendor del del settore evidenziano l’importanza di comprendere i requisiti specifici, accompagnata da una pianificazione accurata e da un’implementazione graduale. Con l’evolversi delle minacce alla sicurezza informatica, l’integrazione di tecnologie avanzate e di framework solidi saranno centrali per salvaguardare dati e sistemi.
Netskope: Il paradigma SASE rivoluziona la protezione dei dati
Ricoh: 2024: cybersecurity in primo piano
Sangfor Technologies: Sangfor Access Secure