Questi due concetti di sicurezza possono sembrare simili ma sono completamente diversi.
Sebbene sia i concetti di zero trust che di zero knowledge siano componenti fondamentali delle odierne tendenze della sicurezza informatica, non sono la stessa cosa.
Sembrano in qualche modo simili e condividono uno scopo, ma la conoscenza zero fa un passo avanti rispetto alla fiducia zero nella creazione di un sistema di sicurezza in grado di contrastare le minacce informatiche in continua evoluzione.
In effetti, la prova zero-knowledge può essere utilizzata per trasformare in realtà le idee del modello di sicurezza zero-trust. Tuttavia, prima di continuare, chiariamo quali sono questi due concetti.
Che cos'è la fiducia zero?
In breve, l'idea centrale alla base del concetto di zero trust è "non fidarti di nessuno, controlla tutti". Quindi, in un framework zero-trust, non c'è fiducia tra una rete e i suoi utenti, una rete e i suoi componenti hardware e software, o tra un'organizzazione e i suoi utenti.
Partendo dal presupposto che tutti e tutto sono una minaccia fino a prova contraria, zero trust security richiede sempre una sorta di autenticazione prima di consentire l'accesso alle applicazioni e ai dati dietro di esse. Tutti gli utenti all'interno del framework zero trust devono essere autenticati, autorizzati e sottoposti prima a una valutazione dello stato di sicurezza.
Inoltre, Zero Trust consente agli amministratori IT di garantire una visibilità completa su tutti gli utenti, i dispositivi e i sistemi. Ciò non solo garantisce la conformità alle normative, ma aiuta anche a evitare attacchi informatici causati da credenziali utente compromesse e mitiga le violazioni dei dati. Quindi, ce ne sono più di pochi ragioni per l'adozione di un modello di sicurezza zero-trust.
Cos'è la conoscenza zero?
Un concetto di conoscenza zero cerca di capire come qualcuno possa dimostrare di avere qualcosa di riservato, come un'informazione sensibile, senza rivelarne nulla. Nel contesto di crittografia a conoscenza zero, la sicurezza a conoscenza zero garantisce che i dati dell'utente vengano crittografati prima che l'utente comunichi con il fornitore di servizi. Inoltre, i dati possono essere decrittografati con una chiave univoca, sconosciuta al provider: solo l'utente ha quella chiave.
Quindi, con la crittografia a conoscenza zero, nessuno tranne l'utente può accedere ai propri dati nella sua forma non crittografata. Idealmente, nessuno oltre all'utente dovrebbe essere in grado di accedere ai dati in forma crittografata, ma i paesi all'interno Alleanze Five Eyes, Nine Eyes e 14 Eyes direi altrimenti.
Nella sicurezza informatica, la conoscenza zero può essere vista come una componente del modello zero trust in quanto consente azioni come l'autenticazione da eseguire senza rivelare alcuna informazione sensibile sul utenti.
Zero fiducia vs. Conoscenza zero: somiglianze e differenze
Se lo slogan del concetto di zero trust è "non fidarti di nessuno", allora lo slogan di zero knowledge è "non sappiamo nulla". Sebbene questi due concetti condividano uno scopo, ovvero rafforzare la sicurezza dei dati e la sicurezza informatica in generale, non funzionano allo stesso modo.
Nella sicurezza informatica, la conoscenza zero può essere vista come una componente del modello zero trust in quanto consente azioni come l'autenticazione da eseguire senza rivelare alcuna informazione sensibile sul utenti.
Il modello a conoscenza zero può essere utilizzato per proteggere la privacy dei dati in quanto il fornitore di servizi ha una "conoscenza zero" al riguardo. Nella maggior parte dei casi, questi dati sono costituiti da password, credenziali di accesso e altre informazioni sensibili. Molti tipi di autenticazione a due fattori (2FA) e autenticazione a più fattori (MFA) utilizzano la conoscenza zero modello, il che significa che non ti verrà richiesto di condividere segreti o fornire informazioni sensibili per verificare il tuo identità.
Sia 2FA che MFA sono componenti fondamentali del framework zero-trust, che è ulteriormente supportato dalla crittografia e dalla segregazione dei dati. Un fornitore di servizi che utilizza framework di sicurezza zero-knowledge e zero-trust può essere sicuro dei suoi sistemi sono protetti da minacce interne ed esterne e che nessun dato sensibile sarà compromesso in caso di dati violazione.
Zero fiducia vs. Conoscenza zero: qual è più importante per la sicurezza informatica?
Non c'è motivo per cui i professionisti della sicurezza informatica debbano scegliere tra concetti di sicurezza zero trust e zero knowledge. Dopo aver capito come funzionano questi due aspetti nella sicurezza informatica, possiamo vedere la conoscenza zero come componente fondamentale del modello di sicurezza zero trust.
Dovremmo anche notare che mentre l'implementazione del concetto di zero trust può sembrare semplice in teoria, è più facile a dirsi che a farsi quando si tratta di pratica.
