Skip to main content

Uno studio del MIT Lincoln Laboratory esplora un nuovo approccio alla protezione dei sistemi informatici per definire le contromisure alle crescenti minacce alla sicurezza nazionale

MIT Technology Review Italia

Finora chiunque è in possesso delle credenziali corrette può accedere ai sistemi e ai dati di una rete senza dover richiedere una nuova autorizzazione. Il problema è che oggi le organizzazioni archiviano sempre più dati nel cloud e consentono ai dipendenti di connettersi alla rete da remoto, lasciando in tal modo un varco aperto alle vulnerabilità. 

Il MIT Lincoln Laboratory, sulla scia di un ordine esecutivo del presidente Biden del 2021, ha condotto uno studio sulle architetture zero-trust, un modo per sviluppare una serie di raccomandazioni per un sistema  in cui i dati sensibili vengono protetti tramite controlli di accesso a privilegi minimi, parcellizzazione e autenticazione a più fattori (MFA), che non attribuiscono un’attendibilità implicita a utenti o dispositivi.

L’approccio si basa su una gestione più rigorosa degli accessi, riducendo significativamente il rischio che un’azienda subisca una violazione dei dati. Il primo passo del team è stato sgombrare l’espressione zero trust dalle interpretazioni errate che circondano il concetto, in particolare dall’idea che questo tipo di architettura richieda apparecchiature completamente nuove o che renda i sistemi così “bloccati” da non essere utilizzabili. 

In effetti, si tratta di un cambio di paradigma nel modo di pensare alla sicurezza”, afferma uno degli autori dello studio, Jeffrey Gottschalk, vicedirettore del Division Cyber Security and Information Sciences del Lincoln Laboratory, “che mette insieme cose che già sappiamo fare, come l’autenticazione a più fattori, la crittografia e il networking definito dal software, combinandole diversamente”.

Il team di studio ha esaminato una serie di incidenti di sicurezza informatica recenti e di grande impatto, come quelli che hanno coinvolto la National Security Agency, l’Ufficio per la gestione del personale degli Stati Uniti, Colonial Pipeline, SolarWinds e Sony Pictures, per identificare quali falle nella sicurezza fossero maggiormente responsabili della portata e dell’impatto dell’attacco. 

Il team ha notato che mentre un certo numero di questi attacchi sfruttava vulnerabilità di implementazione precedentemente sconosciute, la stragrande maggioranza era in realtà dovuta al meccanismo di acquisizione delle credenziali delle persone e al movimento all’interno di una rete ben collegata che consente agli utenti di raccogliere le informazioni.

In altre parole, l’attore malintenzionato era diventato un insider. I principi di sicurezza zero-trust potrebbero proteggere da questo tipo di minaccia interna trattando ogni componente, servizio e utente di un sistema come continuamente esposto e potenzialmente compromesso da un attore malintenzionato. L’identità di un utente viene verificata ogni volta che richiede di accedere a una nuova risorsa e ogni accesso viene mediato, registrato e analizzato

In pratica, un approccio zero-trust consente agli utenti di accedere una sola volta a diverse applicazioni, con un’identità basata su un’identità cloud nota e verificata. “Oggi molte organizzazioni hanno modi diversi con cui le persone si autenticano e accedono ai sistemi, e molti di questi sono stati aggregati per convenienza solo per rendere più facile per le persone accedere ai propri sistemi.

Durante lo studio, il team ha parlato con numerose aziende e organizzazioni governative che hanno adottato implementazioni zero-trust, tramite servizi cloud, gestione interna o una combinazione di entrambi e ha verificato che l’approccio ibrido è un buon modello da adottare per le organizzazioni governative, con tempi di attuazione che variano dai tre ai cinque anni. 

Ma rimane comunque vero che non esiste un approccio valido per tutti alla zero trust. Il Lincoln Laboratory presenterà ulteriori risultati dello studio alla sua prossima conferenza sulla Cyber Technology for National Security, in cui verrà offerto anche un breve corso ai partecipanti per saperne di più sui vantaggi e le implementazioni delle architetture zero-trust. 

Immagine: Pixabay, AbsolutVision

(rp)