Essay — Zerivox

Zero trust è diventato un termine molto diffuso — e ampiamente frainteso. Viene commercializzato come un’architettura o una suite di strumenti. In pratica, è una disciplina di ragionamento sui sistemi che operano in ambienti che non possono essere considerati sicuri.

L’intuizione originaria

Zero trust rifiuta l’assunzione che la fiducia possa essere dedotta dalla posizione, dall’identità o dal comportamento passato. I sistemi evolvono, le credenziali trapelano, gli utenti commettono errori e gli attaccanti si adattano. Zero trust impone uno scetticismo continuo.

Il problema della “productizzazione”

Nessuno strumento può eliminare la fiducia. Gli strumenti possono applicare regole e raccogliere segnali, ma non possono decidere quando lo scetticismo è giustificato in situazioni nuove o non previste.

La fiducia non è scomparsa — si è spostata

Invece di fidarsi delle reti, le organizzazioni iniziano a fidarsi di asserzioni di identità, punteggi di rischio, motori di policy — e sempre più di decisioni guidate dall’IA. Questi elementi sono raramente sottoposti allo stesso livello di scetticismo applicato a endpoint e utenti.

L’IA complica il quadro

La valutazione basata su IA promette scalabilità, ma introduce opacità, incertezza e nuove superfici di attacco. Una disciplina zero trust tratta l’IA come una fonte di ipotesi, non come una fonte di verità.

Praticare il zero trust

Definire cosa viene considerato affidabile e perché. Identificare dove vengono prese le decisioni di fiducia. Comprendere le modalità di fallimento. Garantire che gli esseri umani mantengano un’autorità significativa. Zero trust non si raggiunge al momento della distribuzione; si mantiene attraverso un ragionamento continuo.

Zero trust non significa “non fidarsi di nulla”. Significa non fidarsi di nulla senza giustificazione.