Come riporta Gartner, la cybersecurity mesh o cybersecurity mesh architecture (CSMA) è un insieme di strumenti e processi volti a mettere in sicurezza un sistema informatico distribuito. Pertanto, la cybersecurity mesh si rifà a un approccio architettonico in cui si utilizzano tecnologie progettate per essere distribuibili su più dispositivi e, al tempo stesso, controllabili da una centrale operativa unificata.
Invece di avere soluzioni di sicurezza isolate, infatti, la CSMA consente una gestione centralizzata e una condivisione delle informazioni più efficace attraverso un’infrastruttura distribuita.
Questo modello, del resto, è quello sul quale il mondo informatico sta puntando da ormai qualche anno. Sia in termini di architetture operative, sia in termini di protezione delle medesime.
In questo contesto un ruolo di prim’ordine viene svolto dalla threat intelligence che, seppur distinto come concetto, ben si integra con la cybersecurity mesh per potenziare la postura di sicurezza aziendale.
Cybersecurity mesh e threat intelligence: la combinazione d’eccellenza
Con la sua struttura modulare e distribuita, la CSMA offre una visibilità granulare sull’intera infrastruttura, mentre la threat intelligence consente di capire come agire recuperando informazioni mirate su minacce, tattiche degli attaccanti e indicatori di compromissione (IoC): difatti la threat intelligence ha la peculiarità di raccogliere parametri da sorgenti distribuite, spesso su scala mondiale, con lo scopo di tratteggiare tendenze e previsioni in materia di cyber attacchi.
Una sinergia potente, dunque, che consente di correlare i dati provenienti da diverse fonti e identificare quei pattern anomali e comportamenti sospetti che possono essere sintomo di un attacco, migliorando significativamente rilevamento e risposta agli incidenti e la corretta prioritizzazione dei rischi.
Ma non solo: l’attività di data enrichment della CSMA, unita agli insight provenienti dalla threat intelligence, è ideale per creare un profilo dettagliato delle minacce di cui l’azienda può essere bersaglio, facilitando anche la predisposizione di regole intelligenti e automatizzate per il loro rilevamento: ad esempio, identificare un IoC noto può innescare una serie di azioni automatiche, come l’isolamento del sistema compromesso, il blocco del traffico dannoso e la notifica dell’incident response team.
L’organizzazione può così focalizzare le risorse di sicurezza sulle vulnerabilità più critiche, ottimizzando anche l’allocazione del budget. Inoltre, l’analisi continua delle informazioni raccolte permette di affinare costantemente i modelli di detection e di adattare le strategie di risposta agli incidenti, garantendo quella cyber resilience oggi necessaria per superare attacchi sempre più complessi.
I quattro pilastri della cybersecurity mesh
Andando più nel dettaglio sul framework sviluppato da Gartner, sono quattro i pilastri della CSMA.
- Il primo è l’analisi e intelligence della sicurezza, che si prende cura di raccogliere ed esaminare i dati provenienti da tecnologie e strumenti afferenti a sistemi SIEM. Si tratta, dunque, della threat intelligence.
- Il secondo è il modello di identificazione uniforme e distribuito in tutta la rete protetta, che consenta di controllare e proteggere gli accessi da un unico centro.
- Il terzo è la gestione di policy e posture consolidate in tutta la rete, di modo che anche strumenti diversi di protezione aderiscano a un unico protocollo e rendano più efficienti le verifiche.
- Il quarto e ultimo è l’utilizzo di una dashboard unificata. Una vera e propria centrale di comando che consenta il controllo di svariate dashboard specifiche per ogni strumento utilizzato.
Dall’analisi dei quattro pilastri della cybersecurity mesh architecture traspare, in modo evidente, l’importanza del consolidamento delle tecnologie, che devono poter dialogare tra loro e uniformarsi a standard comuni.
Il punto centrale della cybersecurity mesh architecture, infatti, sta nel garantire una sicurezza senza blocchi. Una filiera della protezione senza soluzione di continuità, nella quale i dati partono da analisi di threat intelligence per arrivare, nei casi peggiori, a procedure di incident response pronte a mitigare o recuperare dai danni di un cyberattacco. Si tratta, al momento, dell’unica e più efficace strada percorribile quando si parla di proteggere sistemi distribuiti, come il cloud, con un approccio moderno e funzionale.
Come applicare la cybersecurity mesh architecture
Nello sviluppo della CSMA, Gartner ha ideato poi una procedura di implementazione applicabile a diversi contesti. E, soprattutto, che non chiede di stravolgere in toto architetture preesistenti.
Di fatto, la strada che porta all’adozione del modello consta di cinque passaggi.
- Si parte con la creazione di un framework nel quale le soluzioni di sicurezza dialoghino tutte tra loro senza intoppi e nella piena interoperabilità.
- Nel secondo passaggio, si scelgono soluzioni di sicurezza con un framework di policy aperto e ben configurabile, che possano integrarsi con la massima compatibilità con le soluzioni specifiche di ogni singolo dispositivo.
- Il terzo passaggio punta all’implementazione di un modello di accesso al sistema di tipo Zero Trust, soppiantando così le VPN.
- Nel quarto passaggio si passa all’implementazione di processi di audit e controllo degli accessi Zero Trust, per garantire che solo gli utenti autenticati abbiano accesso agli asset digitali.
- Infine, il quinto passo prevede la scelta di fornitori capaci di personalizzare in modo adeguato le proprie soluzioni al fine di rafforzare la protezione in modo tempestivo.
Grazie alla CSMA, le organizzazioni possono eliminare ridondanze e sovrapposizioni nell’utilizzo degli strumenti di sicurezza: l’integrazione consente infatti una fluida comunicazione e condivisione dei dati tra i diversi tool, facilitando una strategia di difesa che sia realmente coordinata e attenta al contesto aziendale.
Senza dimenticare che la cybersecurity mesh architecture non richiede stravolgimenti delle reti. In particolare, buona parte delle aziende che hanno adottato modelli Zero Trust possono passare al modello di Gartner senza troppe difficoltà: tuttavia, anche in questi casi, e tanto più laddove le reti necessitino di interventi più sostanziosi, è essenziale scegliere partner IT qualificati che si prendano l’onere di trasportare le reti aziendali in una nuova dimensione della sicurezza, in modo da sfruttare al meglio le risorse a disposizione, ridurre i costi e limitare le possibilità di successo degli attacchi informatici.
