E se lo zero trust non avesse nulla a che fare con il diffidare delle persone, ma piuttosto con l’affrontare il rischio a testa alta e pensare come un hacker? Nell’intervista, Chase Cunningham (alias Dr. Zero Trust) sostiene che il punto è quello di ridurre al minimo il rischio e adottare una mentalità offensiva per raggiungere gli obiettivi di cybersicurezza.
Chase Cunningham, molte persone sembrano fraintendere lo zero trust. Cosa sbagliano di solito?
La maggior parte delle persone, davanti al concetto di zero trust, commette l’errore di pensare che significhi non fidarsi dei singoli individui. Ma non è affatto così. Ciò che intendiamo è che non possiamo avere la certezza che qualcuno o qualcosa all’interno dell’organizzazione non introduca rischi. Il nostro obiettivo è mitigare quel rischio. Come professionista di cybersicurezza, trovo sconcertante che, nonostante decenni di prove dimostrino che non dovremmo riporre una fiducia cieca nei sistemi e nelle persone, siamo ancora qui a discuterne. Le violazioni sono causate sia dagli esseri umani che dalle macchine, e il movimento laterale può essere devastante. Dovremmo andare oltre questo modo di pensare ormai obsoleto.
Viaggi in aereo?
Sì, di tanto in tanto.
Quando sali su un aereo, ti trovi in un ambiente zero trust per l’intera durata del volo, anche se la maggior parte delle persone non se ne rende conto. In aeroporto, la tua identità viene verificata varie volte. Passi attraverso i controlli di sicurezza, dove tutto quello che è in tuo possesso viene ispezionato. Quando ti imbarchi, il tuo biglietto garantisce che tu sia un passeggero, e non il pilota, e ti siedi al posto che ti è stato assegnato. Una volta terminato il volo, sbarchi e finisce lì. L’intero processo è un’operazione zero trust. Non è un’esperienza così spiacevole da indurre le persone a evitare di volare; esiste semplicemente perché quella transazione comporta rischi e valori eccezionali, per cui adottiamo misure idonee a mitigare tali rischi. Mi diverte il fatto che le persone continuino ancora a opporre resistenza a questo approccio.
Tu affermi che lo zero trust è una strategia, non qualcosa che si può acquistare come prodotto. I manager e i leader spesso si concentrano sugli strumenti, ma per lo zero trust devono cambiare mentalità. Come funziona?
L’aspetto interessante dello zero trust è che non si tratta di una questione tecnologica. La tecnologia necessaria per lo zero trust esiste già; va solo utilizzata nel modo corretto. L’errore che commette la maggior parte delle persone è quello di approcciarsi alle cose con una mentalità difensiva, inefficace in ambito cybersicurezza. Bisogna ragionare in un’ottica offensiva: su quale terreno si possono affrontare gli avversari e superarli in astuzia? L’obiettivo è diventare un bersaglio troppo complesso, spingendo gli hacker a cercare altrove. E tutto questo richiede un cambiamento di mentalità.
Per decenni, abbiamo creduto che innalzare muri più alti e acquisire più tecnologia avrebbe finito per impedire qualsiasi violazione. Ma questo approccio non funziona. Qualsiasi cosa progettata può essere sottoposta a reverse engineering, e le intrusioni continueranno sempre a verificarsi. Il vero obiettivo dovrebbe essere quello di riconoscere l’inevitabilità delle violazioni, stanziando risorse e strumenti per contrastare l’avversario con le forze a disposizione. Il fine ultimo è rendere l’attacco al proprio ambiente economicamente svantaggioso: dopotutto, anche gli hacker operano secondo un modello di business.
«L’errore che commette la maggior parte delle persone è quello di approcciarsi alle cose con una mentalità difensiva.»
Chase Cunningham
In molte organizzazioni, la cybersicurezza è vista come un fattore di costo o una forma di assicurazione; da qui nasce una certa riluttanza a investire adeguatamente in questo ambito cruciale. In che modo i professionisti del settore possono ottenere supporto gestionale per le loro proposte o i loro piani?
Per anni, ai dipartimenti di sicurezza è stato staccato un assegno in bianco. Quei giorni sono finiti: oggi infatti la direzione si aspetta un ritorno sull’investimento. Ed è proprio questo a rendere così preziosa una strategia zero trust. Le organizzazioni che adottano un approccio zero trust spesso riescono a liberare fondi eliminando asset che non generano valore e che non contribuiscono a contrastare gli aggressori.
Gli strateghi esaminano il problema e determinano il minimo indispensabile per eliminare o ridurre la minaccia. È questo l’approccio corretto. Dobbiamo andare oltre la mentalità del «dammi di più e prima o poi avrò abbastanza risorse per fermare l’aggressore».
Un altro calcolo che il management deve prendere in esame è il rapporto tra il costo della sicurezza e quello di una violazione. Occorre valutare per quanto tempo l’attività rimarrebbe bloccata e quanto denaro andrebbe perduto durante il periodo di inattività. È questo il calcolo che andrebbe fatto.
Quindi si tratta essenzialmente di gestione del rischio?
Sì, riguarda la gestione del rischio e la produttività. Questo è l’obiettivo che tutti ci siamo prefissi.
E per quanto riguarda il cambiamento culturale nelle organizzazioni quando si introduce lo zero trust?
Una strategia zero trust può cambiare il modo in cui le persone pensano o lavorano. Richiede un certo livello di consapevolezza in materia di sicurezza per comprendere cosa sta accadendo e perché è necessario, ad esempio perché è opportuno etichettare i propri documenti. A nessuno piace farlo, me compreso.
Esistono diverse scuole di pensiero al riguardo. La mia opinione, basata sull’esperienza, è che si ponga spesso troppa enfasi sulla consapevolezza in materia di sicurezza, considerandola un vero e proprio strumento di controllo. Se svolgiamo corsi di formazione sul phishing e programmi di sensibilizzazione alla sicurezza, le persone saranno più istruite e in grado di evitare le trappole. Questo non è necessariamente sbagliato, ma non rappresenta una misura di controllo. Le persone continuano a cadere vittime degli attacchi di phishing. La password più diffusa nel 2025 è ancora «1234567&». Non stiamo facendo molti progressi dal punto di vista umano.
La mia prospettiva differisce da quella di molti altri: non voglio che le persone siano esperte in materia di sicurezza; voglio che lavorino in sicurezza. Questo è ciò che stiamo cercando di ottenere con la giusta tecnologia allineata alla strategia. Le persone dovrebbero poter svolgere il proprio lavoro, mentre la sicurezza dovrebbe agire in modo fluido e invisibile in background.
Passiamo ora alle medie imprese. Spesso esse non dispongono di propri dipartimenti informatici o di sicurezza e si affidano a partner IT esterni. Come può una PMI introdurre lo zero trust se non dispone dei fondi o delle competenze necessari?
Esistono sono due modi per affrontare questo problema. In primo luogo, se non è possibile dedicare le risorse e il tempo necessari, conviene cercare supporto esterno rivolgendosi a un fornitore di Managed Security Services. Questo permette di risparmiare denaro e, nel caso in cui qualcosa vada storto, garantisce la presenza di una figura esperta che aiuti nel ripristino. Otto volte su dieci, consiglio alle organizzazioni del settore di trovare un partner che assista nel percorso verso lo zero trust.
In alternativa, se si desidera procedere in autonomia, è disponibile una vasta gamma di materiali di ricerca per orientarsi. Il mio suggerimento è di passare a soluzioni cloud e di concentrarsi sugli aspetti fondamentali. Uno dei maggiori rischi di ransomware nelle PMI è costituito da PowerShell sulle macchine Windows. Se si desidera ridurre la minaccia, è sufficiente disattivare PowerShell su quelle macchine. Questa singola azione può fare una differenza notevole. Molte attività che sembrano difficili in realtà non lo sono, ma è a proprio a questo proposito che la mentalità deve cambiare: cosa fa l’hacker, e quali semplici misure si possono adottare affinché tragga minor vantaggio dall’attacco? Non si potranno mai eliminare del tutto le violazioni o i rischi, ma è possibile comunque ridurli al minimo.
Quindi si tratta spesso di una questione di mancanza delle basi di sicurezza?
È quello che definiamo «i fondamentali del gioco». Se si eccelle in queste pratiche basilari, si è probabilmente già più avanti di molti altri. Consideriamo la faccenda dal punto di vista dell’aggressore: sono un ladro e sto percorrendo una strada, a un certo punto vedo due case, una con tre Dobermann, telecamere di sicurezza ovunque e un’alta recinzione, e un’altra senza nessun elemento di dissuasione. Quale sceglierei come bersaglio? La risposta è ovvia.
Nel mondo dello zero trust, i concetti di resilienza e deterrenza sono sempre più riconosciuti. Voglio riprendermi rapidamente e continuare a lavorare, e posso accettare qualche compromesso perché è previsto. Voglio scoraggiare gli avversari, mettendo in chiaro che attaccarmi non sarà piacevole.
Ciò significa che il fine ultimo è quello di fermare l’aggressore e riprendersi da un incidente nel modo più rapido possibile?
Esattamente. Nell’ambito della strategia zero trust sta prendendo piede anche un concetto preso in prestito dal linguaggio militare, quello di «spazio conteso». Esistono sistemi che non si riuscirà mai a rendere totalmente sicuri o a controllare appieno. In questi casi, la strategia consiste nell’isolarli, segmentarli e mantenere il maggior livello di comando e controllo possibile, senza però investire su di essi risorse inutili.
Quindi si tratta di accettare il rischio se necessario?
Proprio così. Lo facciamo tutti. A un certo punto, si deve accettare un certo livello di rischio. Se riesco a isolare il rischio reale all’interno di quello spazio conteso e a mantenere la fiducia in ciò che posso controllare, allora sto agendo nel modo giusto. C’è un famoso detto che recita: «Se tutto è una priorità, niente lo è». È necessario stabilire le priorità e calcolare il rischio di conseguenza. Da anni si discute di «gioielli della corona» in relazione allo zero trust. Comprendo il concetto, ma come stratega preferisco l’espressione «centro di gravità». Si potrebbe non sapere con esattezza quali siano i propri gioielli della corona, ma quasi tutti sanno dove risiede il centro di gravità dei loro affari. Se chiedessi a Swisscom qual è la sua proprietà intellettuale più preziosa, la risposta potrebbe essere incerta. Ma se spostassi la domanda sul centro di gravità – il gruppo, l’infrastruttura o il bene più importante – probabilmente mi saprebbe rispondere.
Zero trust con Swisscom
Portate la protezione della vostra azienda a un nuovo livello con un approccio zero trust. Swisscom offre una gamma completa di servizi e consulenza per PMI e grandi aziende per aiutarvi a implementare la vostra strategia zero trust.
Per grandi aziende:
∙ Proteggete la vostra rete e gli ambienti cloud
∙ Proteggete le applicazioni web e il DNS dagli attacchi DDoS
∙ Intraprendete il zero trust journey insieme ai nostri esperti di consulenza
Per le PMI:
Proteggete tutti i vostri dispositivi e le vostre reti con beem e accedete in modo sicuro agli ambienti cloud. Approfittate di una rete aziendale sicura per la vostra PMI con beemNet.
A volte mi chiedo: se tutti sono così esperti in materia di sicurezza, perché continuano a verificarsi attacchi?
Perché le priorità sono sbagliate, ed è per questo che il pensiero difensivo è problematico. Dovremmo pensare in modo offensivo e accettare la realtà. Questo, per le persone, è il concetto più difficile da afferrare.
Parliamo dell’aspetto offensivo. Mi piace la tua idea che gli aggressori vedano le organizzazioni come grafi. Se ho capito bene, dall’esterno vedono le connessioni di rete tra dispositivi e cercano i punti deboli da sfruttare attraverso il movimento laterale. Ma non hanno una visione completa dell’infrastruttura. Tu suggerisci che le aziende dovrebbero conoscere la propria mappa. Cosa dovrebbe esserci su questa mappa, e come si inizia a costruirla?
Se intraprendi un viaggio, hai bisogno di una mappa che ti indichi la strada. La maggior parte delle organizzazioni non dispone di un inventario completo degli asset e non conosce i collegamenti esistenti all’interno delle proprie infrastrutture. Con l’aggiunta di Slack, AI, GPT e servizi cloud, tutto diventa un mix confuso. Per difendersi in modo efficace, è necessario conoscere il terreno. La tua mappa non deve essere perfetta, ma dovrebbe essere migliore di quella dell’aggressore. I grafi di sicurezza, come descritto nel mio libro «Think Like an Attacker» (Pensa da hacker), sono inestimabili. La teoria dei grafi è esattamente quella che è stata usata in Iraq e Afghanistan per rintracciare gli avversari.
Non sono sicuro di aver compreso l’espressione «dumpster chicken» tratta dal tuo libro «How NOT to Lead» (Manuale di cattiva leadership). Qual è l’impatto sulla cybersicurezza quando i leader non riescono a prendere decisioni chiare?
Il risultato è un lento declino. Se ci si sente rispondere costantemente «no», «non possiamo» o «questo non funzionerà», alla fine ci si rassegna e si lascia che le cose accadano. Questo non è l’approccio giusto, soprattutto in un settore così critico come quello della sicurezza informatica. Nel mio libro, cito l’espressione «dumpster chicken», ovvero la patata bollente scaricata ad altri, come una lezione appresa da un leader: se presenti un problema, devi anche proporre una soluzione prima di congedarti. Può non essere una soluzione perfetta, ma deve offrire una via d’uscita. Molti di noi che lavorano nella tecnologia sono pensatori binari – sì o no – ma dobbiamo imparare ad accettare le sfumature e trovare il modo di superare gli ostacoli. I leader dovrebbero essere disposti a farlo.
«Da anni si discute di ‹gioielli della corona› in relazione allo zero trust. Comprendo il concetto, ma come stratega preferisco l’espressione ‹centro di gravità›».
Chase Cunningham
I manager spesso ragionano in termini di costi: quanto costa intervenire e quanto costerebbe invece non agire? Quando parlo con i professionisti della cybersicurezza di Swisscom, spesso mi dicono che la sfida consiste nel tradurre il gergo tecnico in un linguaggio comprensibile per il management.
È una sfida che coinvolge tutti. Molti di noi che lavorano nella tecnologia non sono abili nel parlare di «business». Ho dovuto imparare a comunicare in termini aziendali, e non ho ancora smesso di farlo. Dal nostro punto di vista, dovremmo concentrarci sull’imparare a parlare il linguaggio del business.
Hai mai sentito parlare della «kill chain» di Lockheed Martin? Nei workshop, mostro alle persone la kill chain – un concetto cyber estremamente tecnico – e poi presento un modello di vendita della Harvard Business School. Mappo il modello di vendita sulla kill chain e scopro che non sono poi così diversi. Si tratta di un processo, di una metodologia, di un risultato. Di solito, gli uomini d’affari presenti in sala improvvisamente capiscono il concetto perché l’abbiamo tradotto nella loro lingua.
Chi è Chase Cunningham, alias Dr. Zero Trust
Chase Cunningham è ampiamente noto come «Dr. Zero Trust,» ex veterano della NSA e della Marina, autore di bestseller, podcaster e una delle voci più influenti nel campo della moderna cybersicurezza. È tra gli ideatori dell’approccio zero trust, e tra i suoi numerosi traguardi si annovera lo sviluppo dello Zero Trust Extended (ZTX) Framework presso Forrester Research.