Non esistono più isole sicure: la sicurezza informatica perimetrale sta crollando sotto i colpi dell’Internet of Things che ha messo in discussione i concetti di “dentro” e “fuori” il perimetro di sicurezza.
Ecco perché un approccio “zero trust” sta conquistando proseliti.
Sicurezza perimetrale, approccio a rischio
Tutto il quadro normativo relativo agli aspetti della cybersecurity è spesso focalizzato su misure tecnologiche come firewall, SIEM, sistemi di regole e di accessi, perdendo di vista il quadro più ampio in cui i meccanismi di sicurezza devono essere inquadrati.
Il diffondersi della rete ha esposto la maggior parte dei sistemi informatici vista la loro necessità di comunicare per erogare i propri servizi. Un mondo di servizi puramente digitali eseguiti da server contenuti in un perimetro fisico e logico ben definito ha portato allo sviluppo di firewall per analizzare il traffico in ingresso e in uscita dalla propria rete al fine di trovare tentativi di uso improprio dei servizi (vedi figura).
I firewall hanno compensato i limiti dei sistemi nel difendersi da tentativi di intrusione esterna, restringendo i servizi esposti e riducendo quindi la superficie di attacco. Come spesso accade nei sistemi che hanno cicli di retroazione l’introduzione di questi meccanismi di difesa ha innescato nuovi schemi di attacco volti a sfruttarne le vulnerabilità e i flussi di comunicazione autorizzati al passaggio; ciò ha focalizzato l’attenzione sulle misure di sicurezza sul perimetro controllato dal firewall rallentando però lo sviluppo di software intrinsecamente più sicuri.
La sicurezza perimetrale ha cominciato a mostrare i suoi limiti con l’avvento del cosiddetto fenomeno dell’Internet of Things (IoT): la diffusione di sensori e dispositivi di attuazione controllati attraverso i protocolli IP ha messo in discussione i concetti di “dentro” e “fuori” il perimetro di sicurezza. Se consideriamo, ad esempio, un sistema di videosorveglianza cittadino che trasmette i dati su rete IP, i video registrati saranno memorizzati in uno storage presso un’area sicura di un datacenter (poiché si tratta di informazioni sensibili) fornendo una linea diretta tra una locazione esterna ed una interna al perimetro del datacenter. Al diffondersi di dispositivi sul territorio coordinati da software in esecuzione presso datacenter, le soluzioni dedicate per controllare questi potenziali punti di ingresso diventano sempre più inadeguate, inoltre è sempre più complesso determinare la politica di sicurezza implementata dall’organizzazione.
Evoluzione degli attacchi informatici
A questo cambiamento architetturale imposto dalla diffusione e dalla distribuzione di dispositivi nel mondo reale si sono anche affiancate nuove vulnerabilità, come ad esempio i problemi di design dei processori che si sono concretizzati in meltdown e spectre, due attacchi che sfruttano il funzionamento interno dell’esecuzione parallela di codice per accedere a dati potenzialmente sensibili arrivando a rivelare le chiavi crittografiche, elementi fondanti delle comunicazioni sicure e della firma elettronica. Questi sono solo i primi di una nuova serie di attacchi che rientrano nella categoria di attacchi noti come side channel. I vettori che possono portare questi attacchi non si limitano ai tradizionali eseguibili, ma includono anche documenti come PDF e Word, rendendo sempre più difficile la loro individuazione e di conseguenza fermarli.
Guardie e ladri nel mondo digitale
La cybersecurity è divenuta centrale nel dibattito, grazie al progredire del processo noto come transizione digitale, ponendo il problema di tutelare le informazioni che sempre più spesso sono solo in formato digitale e sottendono il funzionamento di sempre più organizzazioni.
Un impulso determinante è stato dato anche dalla rapida evoluzione del quadro normativo che ha imposto una nuova centralità a questi aspetti informatici introducendo profili di responsabilità in caso di compromissioni di dati e sistemi. AgID ha introdotto con la Circolare n. 2/2017 le misure minime di sicurezza, a loro volta basate sull’insieme dei controlli noto come SANS 20 pubblicato dal Center for Internet Security, richiedendo alle pubbliche amministrazioni di adeguarsi a uno di tre livelli di sicurezza previsti; aspetto saliente di queste misure è sicuramente il dettaglio prescrittivo e tecnico su come affrontare vari aspetti nella gestione dei sistemi informatici di un’organizzazione.
Allo stesso tempo il GDPR, il regolamento europeo n. 679/2016 per il trattamento dei dati personali, ha introdotto numerosi elementi riguardanti la sicurezza informatica volti a tutelare i dati personali di persone fisiche. Ad esempio, la premessa 49 di tale regolamento consente esplicitamente il trattamento di log e addirittura l’ispezione del traffico di rete (in misura strettamente necessaria e proporzionata) al fine di garantire la sicurezza dei dati trattati.
Il livello di attenzione sul tema si evidenzia anche da interrogazioni parlamentari come, ad esempio, la recente interrogazione num. 4-02750 del Senato in cui l’On. Pavanelli chiede al Ministro per l’Università e la Ricerca quali saranno gli indirizzi volti ad aumentare il livello di sicurezza informatica delle Università italiane.
La Zero Trust Architecture del NIST
Si presenta la necessità di introdurre un nuovo modello in cui gestire la sicurezza in un sistema concettuale nuovo che vada oltre alla definizione di perimetri sicuri basati su firewall che consentono una gestione della sicurezza più lasca all’interno del perimetro. Tale necessità è testimoniata dal draft 800-207 recentemente pubblicato dal National Institute of Standards and Technology americano (NIST) e intitolato Zero Trust Architecture (ZTA).
Nel rapporto la ZTA è definita come un insieme di concetti, idee, e relazioni tra componenti (architetture) volta ad eliminare l’incertezza nell’applicare in modo accurato decisioni nell’accesso in sistemi informatici e servizi.
L’idea chiave di questo modo di approcciare l’architettura della sicurezza in un sistema informatico è basata sulla distribuzione delle politiche di accesso a un sistema, posizionandosi in sostanziale antitesi con l’architettura precedente basata su un firewall di frontiera responsabile dell’applicazione delle politiche di accesso alle risorse informatiche.
La realizzazione di un’architettura distribuita per rinforzare le politiche di sicurezza in modo da assicurare che solo chi è autorizzato abbia accesso ad una particolare risorsa richiede che la definizione delle politiche e il coordinamento per la loro applicazione sia condivisa tra le varie risorse da proteggere, richiedendo un livello di integrazione software dei sistemi molto più alto rispetto a quello consentito dall’architettura perimetrale, in cui la politica è definita ed attuata centralmente dai firewall sul perimetro.
Per questo motivo la ZTA prevede una separazione tra il control plane, responsabile per la definizione delle politiche e la loro gestione, e il data plane in cui dei nodi responsabili per l’attuazione delle politiche di sicurezza mediano gli accessi da sistemi non fidati a risorse dell’organizzazione. Questo approccio è sintetizzato nella seguente figura.
Le assunzioni alla base della ZTA sono riassunte dai seguenti elementi:
- Dati e servizi di calcolo sono considerate risorse
- Tutte le comunicazioni si considerano sicure a prescindere dalla posizione della rete (i.e. non ci sono luoghi più fidati di altri in rete)
- L’accesso individuale alle risorse è validato e assicurato per ciascuna connessione
- L’accesso alle risorse è determinato dalle politiche, inclusi lo stato osservabile dell’identità dell’utente e del sistema richiedente, e possibilmente anche da altri attributi che ne determinino il comportamento
- L’organizzazione assicura che le risorse gestite siano nello stato più sicuro possibile, anche mediante il monitoraggio continuo del loro stato di sicurezza
- L’autenticazione dell’utente è dinamica e rigorosamente verificata prima di consentire l’accesso alle risorse
È importante sottolineare il punto 2, ovverosia l’assunzione che per definizione la rete, sia anche quella privata dell’organizzazione, non si può considerare fidata. Questo implica che anche i dispositivi dell’organizzazione stessa non si possano considerare fidati, e solo attraverso il monitoraggio continuo si possono individuare dispositivi esterni o interni potenzialmente compromessi.
Per poter realizzare un’architettura di questo tipo è necessario definire le risorse (ovverosia un insieme di uno o più nodi di calcolo interconnessi tra loro) che richiedono un Policy Enforcement Point che ne medi l’accesso per assicurare che le politiche di sicurezza siano applicate in accordo a quanto richiesto dal control plane.
L’architettura “bubble security”
Un’implementazione di questa architettura è in corso di realizzazione presso l’Università di Pisa, denominata bubble security, dove si usano firewall di livello applicativo (sia macchine fisiche che macchine virtuali) per isolare dei micro-segmenti di rete, chiamati bolle, e mediare tutte le connessioni da e verso le bolle.
Ciascuna bolla può essere connessa a una o più bolle e anche contenere bolle di sicurezza, in modo poter definire con la necessaria granularità nell’accesso alle risorse dell’organizzazione. Questa architettura è affine al modello chiamato nel documento ZTA Enclave Gateway Model, che però non prevede esplicitamente la possibilità di annidare gli elementi come in questo caso.
Il modello della bubble security di fatto elegge i firewall a gateway per mediare l’accesso alle risorse del data plane, richiedendo un software capace di orchestrare le politiche dei vari firewall per assolvere la funzione del motore di definizione delle politiche di sicurezza nel control plane.
Lo stato di implementazione del modello è piuttosto avanzato, e ad oggi si può dire che ha consentito di ridurre i sistemi compromessi e offre un monitoraggio sullo stato della rete decisamente più pervasivo grazie alla naturale capacità dei firewall di livello applicativo di analizzare i vari flussi di connessione.
È importante rilevare che l’esistenza di mediatori nell’accesso alle risorse potrebbe avere implicazioni sull’implementazione delle politiche di privacy imposte dal GDPR; tale regolamento prevede nella premessa numero 49 la possibilità di analizzare il traffico di rete con l’unico fine e in misura strettamente proporzionata di garantire la sicurezza dei dati personali custoditi e trattati dall’organizzazione.
“Liquidità” delle risorse e nuovi scenari
I modelli di sicurezza informatica basati su un perimetro da difendere da cui passano tutti gli accessi sono sempre più spesso inattuabili: il perimetro è sempre più fluido fino a scomparire essendo le risorse di un’organizzazione sempre più distribuite sia logicamente che geograficamente. È quindi necessario rivedere l’organizzazione delle proprie reti e sperimentare architetture che non assumano più l’esistenza di isole sicure.
La zero trust architecture del NIST riassume questa posizione e rappresenta sicuramente un interessante punto di partenza che sancisce principi condivisibili che aiutino a valutare lo stato dei propri sistemi e a definire un percorso che tenga conto delle nuove sfide imposte dal grande cambiamento che i sistemi informatici hanno visto negli ultimi 10 anni.