Sebbene sia i concetti di zero trust che di zero knowledge siano componenti fondamentali delle odierne tendenze della sicurezza informatica, non sono la stessa cosa.
Sembrano in qualche modo simili e condividono uno scopo, ma la conoscenza zero fa un passo avanti rispetto alla fiducia zero nella creazione di un sistema di sicurezza in grado di contrastare le minacce informatiche in continua evoluzione.
In effetti, la prova zero-knowledge può essere utilizzata per trasformare in realtà le idee del modello di sicurezza zero-trust. Tuttavia, prima di continuare, chiariamo quali sono questi due concetti.
Che cos’è la fiducia zero?
In breve, l’idea centrale alla base del concetto di zero trust è “non fidarti di nessuno, controlla tutti”. Quindi, in un framework zero-trust, non c’è fiducia tra una rete ei suoi utenti, una rete ei suoi componenti hardware e software, o tra un’organizzazione ei suoi utenti.
Partendo dal presupposto che tutti e tutto sono una minaccia fino a prova contraria, la sicurezza zero trust richiede sempre una sorta di autenticazione prima di consentire l’accesso alle applicazioni e ai dati dietro di esse. Tutti gli utenti all’interno del framework zero trust devono essere autenticati, autorizzati e sottoposti prima a una valutazione dello stato di sicurezza.
Inoltre, Zero Trust consente agli amministratori IT di garantire una visibilità completa su tutti gli utenti, i dispositivi e i sistemi. Ciò non solo garantisce la conformità alle normative, ma aiuta anche a evitare attacchi informatici causati da credenziali utente compromesse e mitiga le violazioni dei dati. Quindi, ci sono più di alcune ragioni per adottare un modello di sicurezza zero-trust.
Cos’è la conoscenza zero?
Un concetto di conoscenza zero cerca di capire come qualcuno possa dimostrare di avere qualcosa di riservato, come un’informazione sensibile, senza rivelarne nulla. Nel contesto della crittografia a conoscenza zero, la sicurezza a conoscenza zero garantisce che i dati dell’utente vengano crittografati prima che l’utente comunichi con il fornitore di servizi. Inoltre, i dati possono essere decrittografati con una chiave univoca, sconosciuta al provider: solo l’utente ha quella chiave.
Quindi, con la crittografia a conoscenza zero, nessuno tranne l’utente può accedere ai propri dati nella sua forma non crittografata. Idealmente, nessuno oltre all’utente dovrebbe essere in grado di accedere ai dati anche in forma crittografata, ma i paesi all’interno delle alleanze Five Eyes, Nine Eyes e 14 Eyes direbbero diversamente.
Nella sicurezza informatica, la conoscenza zero può essere vista come una componente del modello zero trust in quanto consente di eseguire azioni come l’autenticazione senza rivelare alcuna informazione sensibile sugli utenti.
Zero Trust vs. Zero-Knowledge: somiglianze e differenze
Se lo slogan del concetto di zero trust è “non fidarti di nessuno”, allora lo slogan di zero knowledge è “non sappiamo nulla”. Sebbene questi due concetti condividano uno scopo, ovvero rafforzare la sicurezza dei dati e la sicurezza informatica in generale, non funzionano allo stesso modo.
Nella sicurezza informatica, la conoscenza zero può essere vista come una componente del modello zero trust in quanto consente di eseguire azioni come l’autenticazione senza rivelare alcuna informazione sensibile sugli utenti.
Il modello a conoscenza zero può essere utilizzato per proteggere la privacy dei dati in quanto il fornitore di servizi ha una “conoscenza zero” al riguardo. Nella maggior parte dei casi, questi dati sono costituiti da password, credenziali di accesso e altre informazioni sensibili. Molti tipi di autenticazione a due fattori (2FA) e autenticazione a più fattori (MFA) utilizzano il modello a conoscenza zero, il che significa che non ti verrà richiesto di condividere segreti o fornire informazioni sensibili per verificare la tua identità.
Sia 2FA che MFA sono componenti fondamentali del framework zero-trust, che è ulteriormente supportato dalla crittografia e dalla segregazione dei dati. Un fornitore di servizi che utilizza framework di sicurezza zero-knowledge e zero-trust può essere certo che i suoi sistemi siano protetti da minacce interne ed esterne e che nessun dato sensibile venga compromesso in caso di violazione dei dati.
Zero Trust vs. Zero-Knowledge: qual è più importante per la sicurezza informatica?
Non c’è motivo per cui i professionisti della sicurezza informatica debbano scegliere tra concetti di sicurezza zero trust e zero knowledge. Dopo aver capito come funzionano questi due aspetti nella sicurezza informatica, possiamo vedere la conoscenza zero come componente fondamentale del modello di sicurezza zero trust.
Dovremmo anche notare che mentre l’implementazione del concetto di zero trust può sembrare semplice in teoria, è più facile a dirsi che a farsi quando si tratta di pratica.