La psicologia dell'attendibilità nella sicurezza informatica (parte 2): l'illusione del perimetro attendibile

I modelli di sicurezza tradizionali sono stati concepiti attorno all'idea di un perimetro attendibile: tutto ciò che si trovava al suo interno veniva ritenuto sicuro e l'obiettivo era tenere lontani gli utenti malintenzionati. Ma quel modello non è più applicabile al mondo di oggi.

Ora gli utenti si connettono da qualsiasi luogo, utilizzano un mix di dispositivi aziendali e personali e accedono ai dati da più piattaforme. Il perimetro si è quindi dissolto, e con esso l'illusione della sicurezza interna.

È un aspetto di cui gli architetti di rete stanno diventando sempre più consapevoli, i quali devono assicurarsi che il crescente numero di utenti e dispositivi possa connettersi alla rete. Ciò prevede anche la connessione dei dispositivi IoT non gestiti che, a causa della loro sostanziale invisibilità, rappresentano una vulnerabilità critica, se la rete viene "protetta" da uno strumento obsoleto come una VPN.

Questo tipo di vulnerabilità critica non fa che intensificarsi, questo perché siamo assistendo a dei passi da gigante in ambiti quali veicoli interconnessi, edifici intelligenti e simili. Si prevede infatti che il numero globale di dispositivi IoT crescerà più del doppio², passando dai 19,8 miliardi di quest'anno a oltre 40,6 miliardi nel prossimo decennio.

Quanto più aumenterà la pervasività dell'IoT, tanto maggiori saranno le vulnerabilità delle reti legacy. L'IoT introduce software proprietario che spesso non si integra con gli strumenti di sicurezza e di rete legacy, creando delle vulnerabilità nelle difese. Inoltre, i dispositivi IoT stanno crescendo molto più rapidamente rispetto al numero dei dipendenti, estendendo molto velocemente la superficie di attacco. Con l'IA integrata in questi dispositivi, unita all'emergere dell'IA agentica, l'architettura tradizionale di tipo castle-and-moat risulta ormai del tutto inadeguata.

Queste architetture obsolete non sono in grado di adattare correttamente le autorizzazioni, un difetto molto critico in un panorama in cui il movimento laterale rimane una delle minacce più gravi. Non sono in grado di farlo perché non sono architetture sufficientemente sofisticate e concedono agli utenti e ai dispositivi con credenziali verificate un accesso esteso alla rete. Se tali credenziali vengono compromesse, l'hacker che le utilizzerà riuscirà ad aggirare il "perimetro attendibile" e ad accedere a tutti i dati sensibili ospitati internamente, senza dover subire ulteriori controlli.

In conclusione: è fondamentale seguire il principio del "fidarsi mai, verificare sempre", perché non esiste più alcun confine sicuro attorno alla rete.

L'urgente necessità di una riformulazione psicologica
"Fidarsi mai, verificare sempre" sembra un principio cinico, ma questa filosofia alla base del movimento zero trust non riguarda l'essere paranoici, ma l'essere preparati. Si tratta di riconoscere che la fiducia, pur essendo essenziale nelle relazioni umane, deve essere guadagnata e verificata costantemente nei sistemi digitali.

Una volta compreso questo concetto, possiamo affermare con certezza che lo zero trust non è solo un framework tecnico, è un cambiamento di mentalità. Dobbiamo salvaguardare il nostro ambiente digitale dalla minaccia posta dal nostro bias cognitivo legato alla familiarità; dobbiamo trasformare la decisione di fidarci in un'azione oggettiva, anziché soggettiva, per avere la certezza che le policy di sicurezza vengano applicate in modo coerente. Imponendo un accesso con privilegi minimi ed eseguendo un'autenticazione continua, lo zero trust trasforma la sicurezza da una barriera statica in un sistema dinamico e adattabile.

Questo approccio è in linea con la realtà di oggi, caratterizzata da attacchi informatici che si verificheranno di certo nel prossimo futuro. Riconosce che le violazioni sono inevitabili e che gli attori interni (sia per dolo che per compromissione) possono essere pericolosi tanto quanto quelli esterni.

Naturalmente, il phishing via e-mail non è l'unico modo in cui un attore interno compromesso può esporre i dati. I dipendenti che utilizzano strumenti IA accessibili al pubblico per velocizzare le attività lavorative potrebbero condividere inconsapevolmente dei dati privati. E, considerando il bias cognitivo legato alla familiarità, è anche meno probabile che questi utenti siano in grado di individuare l'ingegneria sociale perfezionata attraverso l'IA. Anche gli hacker si stanno affidando all'IA per automatizzare le proprie operazioni, estendendo la propria portata e accrescendo la complessità, riducendo il tempo e lo sforzo richiesti. Ciò accresce la probabilità che riescano a ingannare una vittima.

È chiaro che l'IA rappresenta una minaccia pervasiva e probabilmente finirà per erodere la fiducia al punto che non ci fideremo più di nulla. Ma questo strumento non va visto solo sotto una cattiva luce. Dobbiamo riformulare il nostro modo di concepire l'IA, che può rivelarsi una potente alleata, utilizzata per applicare le policy di sicurezza in modo oggettivo, così da eliminare l'attendibilità dall'equazione.

Dalla paranoia alla prudenza
Per i responsabili delle decisioni aziendali, la strada da seguire è chiara. Le minacce si evolvono, il perimetro è scomparso e la psicologia attorno al concetto di attendibilità deve evolversi di conseguenza.

La risposta è l'approccio zero trust, che non confuta il concetto di attendibilità, ma lo ridefinisce attraverso un nuovo modello di sicurezza, in cui il controllo avviene attraverso la verifica continua.

Per ulteriori informazioni visita: https://explore.zscaler.com/emea-financial-services/

E PER I SETTORI ALTAMENTE REGOLAMENTATI? Per le organizzazioni che operano in settori
altamente regolamentati, in particolare quelle dei servizi finanziari, è fondamentale adottare tempestivamente il modello zero trust. Se hai appena iniziato il tuo percorso, consulta la checklist delle funzionalità di Zscaler da
prendere in considerazione prima di investire in un'architettura zero trust. Ti offrirà una panoramica di ciò di cui hai bisogno per integrare i controlli e la resilienza necessari per muoverti al meglio nel mondo altamente complesso di oggi. Puoi trovare maggiori informazioni nel nostro eBook sui servizi finanziari

²Statista, Number of Internet of Things (IoT) connections worldwide from 2022 to 2023, with forecasts from 2024 to 2034. Giugno 2025. Disponibile presso: https://www.statista.com/statistics/1183457/iot-connected-devices-worldwide/