Quali sono le migliori pratiche per integrare la crittografia con l’architettura Zero Trust? Perché la crittografia end-to-end, l’autenticazione forte, il monitoraggio continuo e gli audit regolari sono così importanti? SmartBrief si è rivolto a Galaxia Martin, Direttore delle soluzioni di SDI Presence, per rispondere a queste domande e per discutere cosa riserva il futuro per la crittografia e l’architettura Zero Trust.
Come vedi l’evoluzione della crittografia nei complessi ambienti IT di oggi, in particolare con l’aumento del cloud computing e del lavoro remoto?
Martino: Protezione dei dati in ambienti diversi. Vedo molte discussioni sulla governance dei dati su come controllare e gestire i dati in modo più efficace. Sto anche vedendo:
- La crittografia end-to-end è importante per il lavoro remoto.
- Gli audit trail sono un altro aspetto perché è necessario che vi sia un chiaro livello di conformità e responsabilità per le normative.
- L’architettura Zero Trust sta tornando alla ribalta. Rafforza la necessità di una crittografia forte e di una gestione delle chiavi.
- La crittografia resistente ai quanti è l’argomento più importante in questo momento perché le organizzazioni devono trovare una soluzione a prova di futuro per la protezione dei dati.
Che impatto ha l’intelligenza artificiale predittiva sullo Zero Trust? In che modo sta migliorando il rilevamento delle minacce?
Martino: Sì, consentirà un rilevamento proattivo delle minacce più migliorato. Sta già mostrando segnali fruttuosi di abbinamento dell’intelligenza artificiale agli strumenti di sicurezza informatica. Aiuterà anche a migliorare le politiche di sicurezza. Un aspetto di ciò è la possibilità di avere una risposta automatizzata agli incidenti una volta rilevata una minaccia e di dare priorità agli avvisi prevedendo la probabilità che la minaccia si realizzi effettivamente.
Come definisci i principi fondamentali di Zero Trust? Quali sono le sfide più grandi?
Martino: Quindi il concetto è: non fidarsi mai, verificare sempre. Ciò comporta molta due diligence e lavoro. Inizi implementando l’accesso con privilegi minimi e la microsegmentazione. L’obiettivo qui è che, se vieni violato, fino a che punto può veramente spingersi un attore di minacce? Se si isolano accessi e risorse, i percorsi diventano sempre più stretti, lasciando la possibilità di avere un rischio ridotto. Inoltre, la capacità di disporre di meccanismi di autenticazione utente efficaci è fondamentale e di avere la visibilità necessaria per monitorare tutte le attività nell’ambiente. Una cosa a cui spesso si pensa in un secondo momento è la sicurezza dei dati; Molte organizzazioni pensano agli strati esterni di sicurezza di un’infrastruttura ma se ne dimenticanoe dati. È il gioiello principale per un attore di minacce, quindi assicurarsi di disporre di un processo per proteggere i dati è fondamentale sia a riposo che in transito.
Le sfide dell’adozione a volte sono proprio da dove iniziare e quanto difficile può diventare il processo se non si dispone di tutte le giuste risorse qualificate. Anche i budget tendono a essere un problema a volte, perché il processo di pensiero a volte è “non abbiamo ancora superato i limiti, quindi dobbiamo essere a posto”. Inoltre, la complessità delle attività deve essere una road map rivisitata e migliorata in un arco di tempo continuo. Non finisce mai.
Quali sono gli ostacoli più comuni quando si integra la crittografia in un quadro di sicurezza? Come possono essere mitigati?
Martino: Si tratta davvero di chi è il custode delle chiavi. Le sfide legate alla gestione delle chiavi sono così frequenti perché ora disponiamo di vari ambienti dotati di chiavi di crittografia, come cloud, locali e applicazioni. Puoi acquistare le chiavi, portare le tue chiavi o condividerle. È complesso e mi piace paragonarlo all’avere troppe chiavi nel portachiavi della macchina e non hai idea di quali chiavi appartengano a cosa finché non lo organizzi. È simile perché chiunque si occupi della gestione delle chiavi, di solito una squadra, deve essere responsabile della rotazione, della distribuzione, del pensionamento, ecc.
Il modo per risolvere questo problema è implementare un sistema di gestione delle chiavi centralizzato, automatizzare i processi e disporre di politiche e procedure chiare per applicare il processo di gestione. Inoltre, una parte importante dell’avere un processo è che devi verificarlo e ottimizzarlo frequentemente. Non dovresti mai creare un processo e lasciarlo così. Dovrebbe essere sempre adattato e migliorato durante tutto il suo ciclo di vita.
In che modo le organizzazioni possono garantire che la crittografia e l’architettura Zero Trust funzionino perfettamente insieme per proteggere dati e sistemi sensibili?
- Integrare la crittografia nel framework Zero Trust: è facile includere la crittografia nel framework Zero Trust in modo che non rimanga mai isolata da essa
- Garantire autenticazione e controlli forti
- Monitoraggio e miglioramenti continui
- Condurre controlli e valutazioni regolari
- La classificazione dei dati e la valutazione del rischio sono indispensabili
- Sviluppo e applicazione delle politiche
- Pianificazione della risposta agli incidenti
- Sfruttare l’automazione e l’intelligenza artificiale
Considerati i progressi nell’intelligenza artificiale e nell’informatica quantistica, cosa pensi che riservi il futuro agli standard di crittografia?
Martino: Quindi, senza condividere troppo, questo dicembre pubblicherò un libro sull’informatica quantistica e la sicurezza informatica. In qualità di hacker etico certificato e supportato dal Consiglio della CE come mentore per i professionisti della sicurezza informatica, questo argomento è qualcosa che ho ricercato ormai da alcuni anni. Negli anni ’80 era una teoria e negli anni ’90 disponeva dei primi algoritmi pratici per violare la crittografia. Nel 2011 esisteva una ricottura quantistica commerciale. IBM ha reso disponibile il calcolo quantistico su IBM Cloud nel 2016, e ora Google ha iniziato a infrangere le barriere con la sua supremazia quantistica nel 2019 e non rallenta. Parlo del viaggio dell’informatica quantistica nel mio libro e ho deciso di dedicare il mio sonno a scrivere un libro nell’ultimo anno e mezzo perché trovo questo argomento molto affascinante, quasi altrettanto emozionante quando leggo di studi di ricerca biomedica, a cui mi concedo spesso. Penso di aver imparato di più sul vaccino mRNA prima ancora che nascesse il COVID-19 perché ne stavo leggendo molti anni fa per i trattamenti contro il cancro e i progressi che ha fatto. Ad ogni modo, uno degli argomenti principali del mio libro è la crittografia dal punto di vista etico di un hacker. Diciamo solo che è molto allarmante che la nostra crittografia sia in pericolo e che non abbiamo più tempo per trovare un modo migliore.
Come vedi queste strategie di impatto zero-trust?
Martino: È semplice, offre barriere di difesa e non saranno durature. Ecco un esempio: hai una casa circondata da un incendio e gli strumenti sviluppati per aiutarti a salvarla non ti aiutano. Pezzo dopo pezzo la tua casa brucia e tu hai fatto tutto bene per cercare di salvarla. Penso che il Zero Trust sia proprio questo, ora sono gli strumenti giusti per salvare da una violazione, ma non sono gli strumenti giusti quando si tratta di errori di calcolo quantistico e crittografia. Violare le chiavi di crittografia può essere impegnativo, ma a volte è facile vincere quando si intraprende un impegno di hacking etico. Tutto dipende dal tempo a disposizione e dal processo mentale necessario per decifrare la crittografia. Ora, con il calcolo quantistico, direi che se fossi in grado di utilizzare un computer con calcolo quantistico, avrei una probabilità maggiore di violare gran parte della crittografia in pochi secondi rispetto ai mesi. Dicono che entro il 2030 sarà disponibile per il vasto mercato e sarà conveniente, quindi abbiamo meno di cinque anni per trovare una soluzione.
Galaxia Martin è un professionista esperto di IT e sicurezza informatica con una vasta esperienza pratica nell’implementazione di misure di sicurezza avanzate e tecnologie infrastrutturali. COME Presenza SDIDirettore delle soluzioni di, ricopre il ruolo di esperta in materia di progettazione di soluzioni, specializzandosi nello sviluppo di soluzioni tecniche complesse all’interno di un quadro completo di servizi gestiti IT. La sua esperienza garantisce la fornitura di soluzioni IT scalabili, sicure e ad alte prestazioni su misura per le esigenze organizzative.
