Misurazione, monitoraggio e ottimizzazione del modello Zero Trust
Questo contenuto fa parte di una serie dedicata al modello Zero Trust analizzato dal Dott. Ing. Fabrizio Fioravanti. In questo approfondimento esploriamo l’importanza del monitoraggio continuo nell’implementazione del modello Zero Trust, analizzando le metriche fondamentali per valutare l’efficacia delle misure di sicurezza adottate, dagli indicatori di base agli analytics avanzati, fino all’integrazione con framework come MITRE ATT&CK per una gestione proattiva della sicurezza aziendale.
Monitoraggio efficace nel modello Zero Trust
Una volta implementato il modello Zero Trust a livello organizzativo e tecnologico, è cruciale monitorarne l’efficacia attraverso metriche adeguate e sistematicamente articolate. Questo processo di monitoraggio deve essere continuo e approfondito, al fine di garantire che tutte le dimensioni del modello siano adeguatamente coperte e che eventuali vulnerabilità emergenti vengano prontamente identificate e risolte.
Ciò consente di individuare possibili aree di miglioramento e di identificare eventuali lacune nel modello in uso, permettendo così una gestione proattiva delle risorse di sicurezza e un costante aggiornamento delle difese. Analogamente ai processi di gestione della qualità, il feedback continuo dal contesto operativo è essenziale per instaurare un ciclo virtuoso di miglioramento incrementale, che si traduce in una progressiva maturazione della postura di sicurezza aziendale.
Il monitoraggio del modello Zero Trust richiede l’impiego di metriche strutturate e specifiche, che riflettano in modo accurato lo stato di sicurezza dell’organizzazione. Alcune metriche fondamentali comprendono:
- Il numero di dispositivi gestiti all’interno dell’organizzazione, o la percentuale di dispositivi gestiti rispetto al totale. Questo parametro consente di valutare la capacità dell’organizzazione di mantenere sotto controllo il proprio ambiente tecnologico e di prevenire l’accesso a risorse aziendali da parte di dispositivi non autorizzati.
- Numero o percentuale di dispositivi integrati con un sistema centralizzato di EDR/XDR. Un elevato grado di integrazione con sistemi di rilevamento e risposta agli endpoint (EDR) o estesi (XDR) rappresenta un indicatore chiave della capacità di risposta a potenziali minacce.
- Numero di credenziali compromesse o accessi non autorizzati rilevati durante il periodo di osservazione. Questa metrica è essenziale per comprendere la resilienza delle politiche di autenticazione adottate e per identificare possibili punti deboli nel processo di identificazione e autenticazione degli utenti.
- Numero di incidenti informatici registrati nella rete dell’organizzazione, quali compromissione di workstation, attività illecite verso o da dispositivi dell’organizzazione, identificazione di malware o ransomware, violazioni di licenze, condivisione di contenuti protetti da copyright, ecc. Il monitoraggio costante di questi incidenti fornisce una visione chiara dell’efficacia delle misure di sicurezza implementate e delle aree che necessitano di ulteriore attenzione.
Metriche avanzate per il monitoraggio Zero Trust
Metriche più sofisticate possono riguardare le connessioni al perimetro dell’organizzazione e i sistemi cloud in uso, ad esempio:
- Numero, durata e provenienza delle connessioni VPN per identificare accessi sospetti o anomali. Il monitoraggio delle connessioni VPN può fornire indicazioni critiche sulla presenza di attività sospette, specialmente quando vengono rilevati accessi da località inconsuete o durante orari atipici.
- Numero di documenti condivisi all’esterno dell’organizzazione. Una metrica di questo tipo aiuta a controllare il flusso di informazioni sensibili verso l’esterno, garantendo che la condivisione sia conforme alle politiche di sicurezza e che le informazioni riservate siano adeguatamente protette.
- Numero di vulnerabilità rilevate sui sistemi esposti, sulla base di analisi di vulnerability assessment o penetration testing. Le vulnerabilità presenti rappresentano potenziali punti di ingresso per gli attaccanti, e la loro individuazione tempestiva è fondamentale per ridurre la superficie di attacco dell’organizzazione.
- Percentuale di copertura delle tecniche di attacco identificate da MITRE rispetto ai log raccolti e ai dispositivi di sicurezza adottati. Questa metrica consente di valutare in che misura le difese aziendali siano in grado di affrontare le tecniche di attacco conosciute, fornendo una misura della capacità di resilienza dell’infrastruttura tecnologica.
- Numero di accessi rilevati verso honeypot o sistemi di deception distribuiti all’interno dell’organizzazione. I sistemi di deception rappresentano un efficace strumento per identificare attività malevole all’interno della rete e fornire indicazioni sulle modalità di attacco degli aggressori.
Analytics e framework in un contesto Zero Trust
Il monitoraggio in un contesto Zero Trust richiede un approccio basato su dati e analytics anche più avanzati. Partendo da quanto il NIST suggerisce possono essere definite delle metriche specificatamente pensate per Zero Trust che oltre ad essere misurate possono essere poste come obiettivi da raggiungere, come ad esempio:
- Metriche di Compromissione: Mean Time To Detect (MTTD) e Mean Time To Respond (MTTR) per ogni incidente rilevato o in maniera il Dwell Time (tempo di permanenza) degli attacchi e quindi l’intervallo tra una violazione iniziale e la sua rilevazione e conseguenti azioni di contrasto; spesso la somma di MTTD e MTTR è usata come Dwell Time, così come anche il tasso di falsi positivi/negativi
- Metriche di Conformità: Compliance Score per dispositivo/utente, Policy Enforcement Rate, Configuration Drift Detection ed Asset Inventory Accuracy che può essere misurato anche con il rapporto fra dispositivi censiti e dispositivi identificati in rete
- Metriche di Resilienza: Recovery Time Objective (RTO), Recovery Point Objective (RPO) che spesso sono legate al backup, ma che più in genere si possono applicare e misurare rispetto alle azioni di contrasto
L’ampiezza e la qualità delle metriche raccolte influenzano direttamente l’efficacia del modello di sicurezza adottato e la postura complessiva di sicurezza dell’organizzazione, contribuendo alla riduzione dei rischi e avvicinando progressivamente l’organizzazione al modello ottimale di Zero Trust. È altresì importante considerare che la raccolta e l’analisi delle metriche non sono attività fini a sé stesse, ma costituiscono la base per una governance della sicurezza informatica dinamica e adattiva, che sappia rispondere in modo tempestivo alle minacce emergenti.
Il Framework MITRE ATT&CK
Il MITRE ATT&CK framework viene sempre più utilizzato per valutare la copertura delle difese in atto contro tecniche di attacco specifiche. La correlazione tra le metriche di monitoraggio e il framework ATT&CK permette una valutazione più precisa dell’efficacia delle misure di sicurezza implementate.
In questo approfondimento abbiamo esaminato l’importanza cruciale del monitoraggio nel modello Zero Trust, evidenziando come la raccolta e l’analisi sistematica di metriche specifiche sia fondamentale per garantire l’efficacia delle misure di sicurezza implementate. Dall’analisi dei dispositivi gestiti alla valutazione delle compromissioni, fino all’integrazione con framework come MITRE ATT&CK, un approccio basato sui dati consente di creare un ciclo virtuoso di miglioramento continuo della postura di sicurezza aziendale. Vi invitiamo a seguire il prossimo approfondimento della nostra serie dedicata al modello Zero Trust dove analizzeremo il futuro di tale modello.
Per una visione completa e dettagliata dell’architettura Zero Trust e delle sue applicazioni, vi suggeriamo di scaricare il white paper “Zero Trust – solo un problema tecnologico?” del Dott. Ing. Fioravanti, una risorsa preziosa per comprendere appieno le potenzialità di questo approccio nel panorama della sicurezza informatica moderna.
Fabrizio Fioravanti è attualmente responsabile dell'Unità di Processo Sistemi, tecnologie cloud e di sicurezza informatica presso l'Università degli Studi di Firenze.
Laureato in Ingegneria Elettronica, ha successivamente conseguito il dottorato di ricerca in Ingegneria Informatica e delle Telecomunicazioni e da oltre 25 anni lavora nel settore ICT.
Ha diverse pubblicazioni scientifiche al suo attivo sia su riviste italiane che internazionali, sia che in conferenze, oltre a monografie complete o contributi a monografie.
