E' nella mia mente si è materializzato il concetto di NEAR-ZEROTRUST ?
Si ci siamo, stai leggendo ma non vorresti, sai già che sarà l'ennesima elucubrazione mentale di Alessandro che alla fine è tutta filosofia e poca pratica.
Ma se sei qui a leggerla, forse, è perché anche tu rifiuti la visione cruda e asettica della tecnologia come puro aggregato di "zeri ed uni".
Questo articolo nasce nella mia mente diversi anni fa, quando la prima ho volta ho sentito parlare di Zero Trust nel sempre fulgido mondo della sicurezza informatica dove ho la fortuna di guadagnarmi la pagnotta da un po' di tempo.
Ricordo che ero ad una conferenza di una notissima azienda che vende servizi informatici e il relatore sul palco:
Con fare trionfale e la sicurezza di chi sta per dire qualcosa che crede cambierà il mondo proferisce una frase tipo questa:
"The future of security is based on ZeroTrust, to be secure you must start to avoid Trusting Any One and Any Things"
La cosa che mi fece subito sorridere era che però quel fare paternalistico aveva tutta l'apparenza di un sottotitolo che non veniva detto ma c'era.
Non fidatevi di nessuno, è la cosa sbagliata fidarsi, fidatevi di me so di cosa parlo !
Non voglio stare qui a spiegare cosa sia il modello e la relativa architettura "Zero Trust" perché sono sicuro che ognuno di voi ne avrà certamente sentito parlare più che abbastanza.
Vi parlerò invece di un concetto che mi è venuto in mente qualche giorno fa a Roma ascoltando dei colleghi parlare appunto di questo argomento, proprio mentre ero seduto accanto al mio collega ed amico Pietro Giorgio Rocca .
Quei frullati mentali che mi giravano nella testa ormai da quasi un lustro si erano materializzati ed avevano prodotto una frase che istintivamente ho sussurrato all'orecchio di Giorgio:
"A me sto Zero Trust mi sembra non realistico, di qualcosa devi pur sempre fidarti.
Forse avrebbe più senso parlare di Near-Zero Trust o 0,1 Trust"
A quel punto questo articolo è entrato in fase di concepimento raggiungendo maturità e la nascita in questo Sabato mattina di vari affaccendamenti.
Consigliati da LinkedIn
Il viaggio che vorrei faceste con me è verso l'estremizzazione del concetto che ci stanno vendendo come la panacea di tutti i mali della sicurezza informatica (l'ennesima panacea aggiungerei).
Immaginiamo di applicare questo modello in maniera perfetta ma usando cose di questo mondo. Cose reali tangibili e quindi consulenza, processi e tecnologie reali, tangibili.
Ad esempio incrociamo tecnologie che fanno la stessa cosa al fine di controllarsi a vicenda, processi di approvazione che non abbiano punti di collusione o di fallimento unici. E tutto il resto che comunque i consulenti di società separate ci diranno di fare.
Ma in fondo non ci stiamo comunque fidando di tutte queste cose? Se non fidandoci, come faremo a sapere che le tecnologie si stanno controllando a vicenda nel modo corretto? Chi ci assicura che le persone che approvano i processi non si siano parlate per mettersi d'accordo sul fare la cosa non prevista? Chi ci assicura infine che abbracciare lo stesso "#zerotrust model" sia la cosa giusta?
Lo ZERO sembra praticamente non raggiungibile nel mondo reale. Vorrei fare con voi un parallelo con il concetto di Real-Time Monitoring che ci hanno "infilato" in gola per molti anni.
Anche li alla fine si è deciso di parlare di NearReal-Time perchè la #fisica purtroppo aveva dimostrato che il tempo reale non era possibile.
Non so quanto siate avvezzi al principio d'indeterminazione di Heisenberg, siccome io sono scarsissimo in fisica proverò a spiegarvelo come lo spiegherei alla mamma Giovanna del mio amico Giorgio.
E' impossibile che si faccia un monitoraggio in tempo reale di ciò che avviene nel mondo della fisica, perché anche soltanto per osservarlo direttamente con i nostri occhi c'è un tragitto che le immagini devono attraversare ed è lo spazio tra noi e l'evento stesso. E' questo che rende quell'osservazione, per forza di cose, solo molto vicino ad essere in tempo reale ma "in realtà" potrebbe già essere successa una cosa diversa.
Non è forse la stessa situazionein cui ci troviamo applicando il modello #zerotrustsecurity ? Per quanto vicini a quello zero potremo avvicinarci e quindi fidarci di niente e nessuno non ci sarà sempre e comunque una minuscola base di fiducia su uno degli elementi, se non lo stesso concetto del modello con cui applicheremmo una #zerotrustarchitecture ?
E infine se vogliamo parlarne nel mondo reale in cui siamo immersi e che dobbiamo effettivamente mettere più al sicuro possibile tutti i giorni, non ci sono alcuni elementi della catena che in un modo o in un altro dobbiamo tenere sotto una certa base di fiducia o "#trust"? E non vi parlo solo in meri termini tecnici, ma soprattutto in termini umani.
Proviamo a fare quindi un elenco di cinque elementi che nel mondo reale, in fondo, dobbiamo tenere sotto un rapporto di fiducia:
Come sempre se sei arrivato qui in fondo ti ringrazio, commenta pure e ricorda che questo è solo un #PensieroSicuro non ci sono lezioni di vita ma solo riflessioni da fare insieme.
Chief Information Security Officer at Banca Progetto
1 annoRicordo benissimo quel sussurro... nato come una battuta ma poi diventato una seria riflessione. In effetti il concetto di ZEROTRUST, oggi così inflazionato, è di per se una negazione della sua stessa esistenza. Ci troviamo forse di fronte a qualcosa di equiparabile alla teoria del Big Bang, o all'infinità numerica, di certo per applicarlo si deve partire dal dogma che esista. Diciamo che l'applicazione di una ZEROTRUST è invece di fatto il limite di una funzione per ZEROTRUST tendente a 0. La discussione è tutt'altro che banale o scontata, tant'è che poi per ZEROTRUST passano tante applicazioni che non lo sono neppure nativamente. PS... questa cosa del Ciso filosofo sta però sfuggendo di mano.
Country Leader, Chapter Ambassador & President at Cloud Security Alliance (CSA) Italy | MSc | MBA | CCSK | CCZT | CISSP | CSSLP | CISA | CRISC | C|ASE | LA 27001 | LA CSA STAR
1 annoInteressante riflessione Alessandro. La tua proposta di utilizzo della parola “near” mette in evidenza, a mio avviso, la centralità e relativi rischi del “fattore umano” in qualunque architettura e processo di sicurezza. Non a caso quando si introduce il tema Zero Trust si parte in genere dall’accettazione di alcuni principi, non tecnologie, fondamentali su cui costruire le fondamenta di un’architettura di sicurezza, non solo ZT, che protegge i tuoi dati, tra i quali ricordo, per rimanere sul livello non tecnico che hai seguito nella riflessione, il “minor privilegio” da assegnare a utenti e amministratori e porsi la domanda “chi controlla il controllore”.