La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato la versione 2 del suo Zero Trust Maturity Model (ZTMM), con lo scopo di guidare le agenzie attraverso un processo metodico e una transizione verso una maggiore maturità dell’architettura zero trust. Sebbene sia applicabile alle agenzie federali civili, tutte le organizzazioni (anche quelle italiane) troveranno questo modello utile per implementare la propria architettura “a fiducia zero”.

La CISA ha pubblicato la prima versione del modello ZTMM nel settembre 2021, come previsto dall’ordine esecutivo sulla cybersicurezza (EO) del Presidente Biden emesso nel maggio 2021. L’ordine esecutivo ha definito una serie di iniziative e obiettivi in materia di cybersicurezza, tra cui quello di spronare le agenzie governative federali ad avvicinarsi ad architetture zero trust. Nel gennaio 2022, l’OMB (Office of Management and Budget) ha pubblicato una strategia federale per l’architettura zero trust (ZTA) ai sensi dell’EO, che richiede alle agenzie di soddisfare specifici standard e obiettivi di cybersecurity entro la fine dell’anno fiscale 2024.

Che cos’è lo zero trust?

Zero trust è un’espressione molto diffusa nell’ambito della gestione del rischio di cybersecurity e include molti concetti che spesso sono difficili da comprendere e ancor più da attuare. Il CISA definisce zero trust come “un approccio in cui l’accesso ai dati, alle reti e alle infrastrutture è limitato a ciò che è minimamente necessario e la legittimità di tale accesso deve essere continuamente verificata”. Secondo il National Institute of Standards and Technology (NIST), un’architettura zero trust (ZTA) è “un piano di cybersicurezza aziendale che utilizza i concetti di zero trust e comprende le relazioni tra i componenti, la pianificazione del flusso di lavoro e le politiche di accesso”.

Theresa Payton, CEO di Fortalice, sottolinea che il termine “zero trust” è un problema critico di branding che rende difficile per le organizzazioni adottare approcci che raggiungano gli obiettivi delle strategie e dei modelli zero trust. “Anche solo la terminologia ‘architettura zero trust’ fa pensare a prodotti come un set Lego che si può acquistare e per il quale basta seguire le indicazioni, collegare tutto e alla fine si è pronti a partire. La sfida più grande che vedo è la mancanza di comprensione del fatto che non si tratta di un vero e proprio viaggio. Sento le persone descriverlo come tale, ma in realtà si tratta di una scelta di vita”.

L’inclusione di una fase iniziale a fiducia zero è il cambiamento più significativo

Lo ZTMM della CISA comprende cinque pilastri (Identità, Dispositivi, Reti, Applicazioni e Carichi di lavoro e Dati) e tre funzionalità trasversali denominate Visibilità e Analisi, Automazione e Orchestrazione e Governance. Secondo il modello aggiornato, esistono quattro stadi di maturità: Tradizionale, Iniziale, Avanzato e Ottimale. “Le tre fasi del percorso ZTMM che passano dal punto di partenza tradizionale a quello iniziale, avanzato e ottimale faciliteranno l’implementazione di una ZTA. Ogni fase successiva richiede livelli di protezione, dettaglio e complessità maggiori per essere adottata”, ha dichiarato la CISA.

spesa per la sicurezza

L’aggiunta della fase iniziale è il cambiamento più significativo tra il modello ZTMM originale e la versione aggiornata. Questa fase si concentra sulle organizzazioni che stanno iniziando “l’automazione dell’assegnazione degli attributi e la configurazione dei cicli di vita, le decisioni e l’applicazione delle policy e le prime soluzioni trasversali con l’integrazione di sistemi esterni”. Payton applaude la CISA per aver aggiunto la fase iniziale al modello di maturità zero-trust. In questo modo, infatti, ora si dà un punto di partenza a chi non è sicuro di come iniziare. Il nuovo modello fornisce infatti “alcuni elementi di base che potete implementare e che vi aiuteranno nel tentativo di raggiungere i principi dell’architettura zero trust”.

“Quello che ha fatto la CISA è stato prendere in considerazione gli oltre 300 commenti sul modello precedente ricevuti da agenzie, consulenti, fornitori e dalla comunità” spiega Eric Noonan, CEO di CyberSheath. “Ha poi creato un prodotto che incorporava i commenti aggiungendo la fase iniziale perché si è resa conto che passare dalla prima fase, quella tradizionale, alla fase successiva, quella avanzata, era un salto troppo grande”.

L’aggiunta della fase iniziale evidenzia che il passaggio a un’architettura zero trust non è un percorso semplice, afferma sempre Noonan. “Non è assolutamente un processo lineare. La fase iniziale riconosce questo aspetto e offre alle organizzazioni che vogliono adottare questo modello un modo più pratico e realizzabile per farlo in modo più misurabile piuttosto che passare da zero a cento”.

Il ritmo del cambiamento tecnologico è una sfida

La CISA ha impiegato 20 mesi per aggiornare il suo ZTMM iniziale che, secondo Payton, è un tempo troppo lungo visto il ritmo del cambiamento tecnologico, in particolare i rapidi progressi della tecnologia artificiale. L’esperta fa riferimento a un caso recente in cui alcuni dipendenti di Samsung avrebbero fatto trapelare informazioni aziendali sensibili e riservate alla piattaforma ChatGPT di Open AI. “Sono rimasta un po’ sorpresa dal fatto che nel nuovo ZTMM non sia stato affrontato il tema dell’IA, ma questo dimostra quanto possa essere impegnativo stare al passo con l’innovazione e la trasformazione tecnologica. Lo ZTMM non tratta l’intelligenza artificiale, il machine learning o l’IA generativa“.

Payton vorrebbe che la CISA avesse l’autorità di aggiornare più rapidamente il suo modello in futuro. “Vorrei che la CISA avesse l’autorità e le linee guida per muoversi più rapidamente. Vengono introdotte continuamente nuove tecnologie e bisogna permettere di aggiornare i modelli, le linee guida, i quadri e le politiche per adeguarsi alla stessa velocità del mercato”. Noonan, tuttavia, offre una visione alternativa sulla tempistica dell’aggiornamento. “Penso che abbiano fatto enormi progressi”, afferma. “La seconda iterazione del modello in soli due anni dimostra l’attenzione che il governo federale sta dedicando a questo tema e l’importanza e i progressi che sta compiendo con l’architettura zero trust”.