Parliamo con Claudia Tagliacollo, Advisory Security Technical Specialist, IBM Italy, del moltiplicarsi dei cyber-attacchi e della necessità per le aziende di proteggersi in modo adeguato, con un approccio Zero Trust.
In questo periodo stiamo assistendo a vari attacchi che hanno coinvolto grandi realtà e i loro clienti, in cui, a quanto pare, per accedere sono state usate credenziali sottratte o violate. Stupisce che queste credenziali non fossero protette da MFA: come mai ancora oggi l’autenticazione a più fattori non è utilizzata sempre, soprattutto da grandi aziende? Ci sono ostacoli tecnici o di usabilità?
Il report X-Force Threat Intelligence Index 2024 pubblicato da IBM e basato su insight e osservazioni che derivano dal monitoraggio di oltre 150 miliardi di eventi legati alla cybersecurity che si verificano ogni giorno, ha messo in luce come lo sfruttamento di account validi sia diventato la via più facile per i criminali informatici che investono sempre di più in tattiche volte a ottenere le identità degli utenti.
In molti casi le compromissioni si sarebbero potute evitare applicando l’autenticazione a più fattori (MFA) che purtroppo non è ancora adottata da tutte le aziende per ragioni che possono essere diverse caso per caso.
Un aspetto che rileviamo frequentemente è la percezione non adeguata del rischio al quale la propria azienda è esposta con conseguente difficoltà nell’attribuire un valore tangibile all’adozione della MFA.
Inoltre, c’è spesso il timore di dover affrontare progetti complessi con la necessità di integrazione con i molteplici sistemi esistenti ed in particolari con i sistemi legacy che possono non interagire facilmente con le soluzioni di MFA moderne.
L’impatto sull’utente finale occupa inoltre un posto di rilievo con la preoccupazione che l’introduzione della MFA possa avere conseguenze negative sull’esperienza dell’utente e sulla produttività, così come la necessità di strutturarsi per fornire un supporto adeguato all’utente in caso di problemi.
Oggi le soluzioni di gestione degli accessi che per IBM fanno parte della suite IBM Security Verify includono capacità per utilizzare la MFA con qualsiasi applicazione con una configurazione richiesta minima o nulla. È inoltre possibile applicare l’accesso adattivo per limitare le invocazioni di MFA e ridurre ulteriormente l’attrito per l’utente finale.
Quali sono i vantaggi di una politica di tipo Zero Trust? E quali gli eventuali limiti, per esempio sull’esperienza utente?
Sviluppata nel 2010 da John Kindervag, un analista di Forrester Research, l’architettura Zero Trust è un ampio framework che presuppone che la sicurezza di una rete complessa sia sempre a rischio di minacce esterne e interne.
Il concetto di base del modello Zero Trust è “Never trust, always verify”.
Ciò significa che ogni tentativo di accesso deve essere verificato e autorizzato, indipendentemente da dove provenga. Questa filosofia offre numerosi vantaggi in quanto garantisce:
- una maggiore sicurezza, grazie ad una verifica costante dell’identità e delle autorizzazioni di utenti e dispositivi, riducendo il rischio di accessi non autorizzati;
- una riduzione dei rischi sui dati in quanto garantisce che solo le persone corrette accedano in modo corretto ai dati di pertinenza favorendo l’implementazione del “principio del privilegio minimo”;
- maggiore prontezza di adeguamento alle normative in quanto porta ad una piena visibilità e controllo su accessi e dati.
Allo stesso tempo ci sono alcuni aspetti che possono costituire un potenziale svantaggio e che, anche in questo caso, riguardano soprattutto l’esperienza dell’utente finale che, se non dotato degli strumenti più moderni e adeguati, vede una maggiore difficoltà di accesso ai sistemi.
Un altro aspetto da considerare è il costo di adozione di questa metodologia che richiede nuove tecnologie, infrastrutture e personale competente. Costo che rimane però molto inferiore a quanto si dovrebbe affrontare come conseguenza di un data breach con interruzione dell’attività operativa e conseguenti danni di immagine. Basti pensare che il costo medio globale di una violazione dei dati nel 2023 è stato di 4,45 milioni di dollari.
Quali sono le differenze pratiche fra una politica Zero Trust e un controllo degli accessi basato sul rischio?
Come abbiamo detto una politica Zero Trust è un approccio completo che prevede, tra i punti principali, una continua verifica sugli accessi. Tale metodologia richiede però di essere bilanciata rispetto all’esperienza dell’utente sia che parliamo di un utente interno all’organizzazione che necessita di mantenere un alto livello di produttività ed ancora di più se si tratta di un utente esterno che desidera accedere ai servizi offerti in modo semplice ed intuitivo.
Un controllo degli accessi basato sul rischio (adaptive access) permette di arrivare ad una sorta di compromesso grazie al calcolo in tempo reale di un “rischio” che sarà parte integrante delle decisioni di accesso.
Nello specifico, la funzionalità di adaptive access di IBM Security Verify fornisce una valutazione in tempo reale e completa del rischio, sfruttando algoritmi di intelligenza artificiale, sulla base di informazioni di contesto come:
- attributi dell’utente;
- informazioni sul dispositivo utilizzato;
- caratteristiche della rete tramite la quale avviene la connessione;
- elementi comportamentali come il movimento del mouse o la velocità di battitura.
Tutto ciò viene analizzato sia rispetto ai dati storici ed alla baseline di utilizzo sia rispetto a pattern malevoli noti.
L’autenticazione basata sul rischio può essere considerata una parte fondamentale della strategia Zero Trust di qualsiasi organizzazione, perché rende più accurata la decisione di accesso in modo che solo gli utenti giusti tramite i dispositivi corretti abbiano accesso alle informazioni aziendali.
Il fatto che soluzioni come lo Zero Trust e l’accesso basato sul rischio siano complessi da implementare può rappresentare un freno alla loro adozione?
La complessità e i costi associati all’implementazione di soluzioni Zero Trust possono certamente rappresentare un ostacolo alla loro adozione. Spesso l’idea della complessità deriva dalla difficoltà di conoscere in modo approfondito il funzionamento dei sistemi esistenti e dell’impatto sugli stessi.
La crescente frammentazione della gestione delle identità conseguenza della trasformazione digitale ed in particolare dell’adozione del cloud ibrido può rendere complesso identificare in modo chiaro il perimetro di applicazione.
Tuttavia, le aziende devono bilanciare questi fattori con i benefici significativi in termini di miglioramento della sicurezza e riduzione dei rischi e promuovere un’analisi dei sistemi esistenti e di come arricchirli delle funzionalità più moderne che possano fornire la sicurezza adeguata.
La crescente consapevolezza delle minacce informatiche e delle potenziali conseguenze vede sempre più organizzazioni disposte a superare queste potenziali barriere e a adottare politiche di sicurezza avanzate ed in linea con il contesto in cui operano.
La protezione degli accessi per una PMI può essere costosa e richiede delle competenze specifiche, non sempre presenti in azienda: come si può ovviare a questo problema, soprattutto in Italia, dove le PMI costituiscono la maggior parte del tessuto imprenditoriale?
Anche le Piccole e Medie Imprese sono finite nel mirino dei criminali informatici e spesso, a differenze delle grandi aziende, non dispongono di risorse sufficienti per poter affrontare le conseguenze di un attacco.
Proprio per questo motivo l’approccio Zero trust rappresenta una soluzione efficace anche per le PMI che devono però trovare il giusto compromesso per poter essere nelle condizioni di adottare un modello efficace e sostenibile rispetto alle proprie caratteristiche intrinseche.
L’affermarsi delle soluzioni SaaS può essere un ambito di profondo interesse per le PMI che possono appoggiarsi a prodotti già pronti, contenere i costi legati all’infrastruttura e alla manutenzione, ridurre gli sforzi progettuali e l’esigenza di competenze specifiche grazie a framework spesso intuitivi che sempre di più seguono l’approccio low-code/no-code. Ciò riguarda anche la sicurezza e la possibilità di fruire in modo semplice di single-sign-on (SSO), MFA, autenticazione basata sul rischio e governance delle identità digitali.
Rimane importante una continua sensibilizzazione sui temi della sicurezza e, in questo contesto, IBM ha recentemente effettuato un importante investimento con la IBM Cyber Academy inaugurata a Roma lo scorso marzo. Si tratta di un’iniziativa, patrocinata dall’Agenzia per la Cybersicurezza Nazionale (ACN), che ha tra i suoi obiettivi proprio accrescere la consapevolezza e la cultura digitale, indirizzando anche il fabbisogno di competenze in materia di cybersecurity in un contesto come quello italiano in cui le PMI sono alla base del sistema imprenditoriale.
Quali consigli potete dare per implementare una strategia di controllo e protezione degli accessi efficace?
Oggi ci troviamo davanti a due grandi trend tecnologici: il cloud ibrido e l’intelligenza artificiale. Entrambi gli ambiti introducono, in termini di sicurezza, una maggiore complessità e l’esigenza di gestire una superficie di attacco più ampia e variegata.
Ciò sta rivoluzionando l’approccio allo IAM che sempre di più si allontana dall’idea di centralizzazione che è stata perseguita negli ultimi decenni e abbraccia invece il concetto di identity fabric. L’identity fabric non è un prodotto, bensì un’evoluzione dell’infrastruttura IAM di un’organizzazione, progettata per consentire la sicurezza incentrata sull’identità.
Oggi implementare una strategia di gestione degli accessi efficace richiede di gestire gli elementi principali dell’identity fabric concentrandosi su:
- tecniche di autenticazione moderna (MFA, passkey, autenticazione basata sul rischio);
- modernizzazione delle applicazioni legacy introducendo tecniche di autenticazione moderne senza dover eseguire il refactoring dell’applicazione;
- orchestrazione delle identità al fine di disegnare flussi di autenticazione e gestione delle identità nel cloud ibrido;
- Identity Threat Detection & Response (ITDR) e Identity Secure Posture Management (ISPM): capacità di identificare e rimediare agli attacchi basati sulle identità (dall’utilizzo di password compromesse ad attacchi di tipo credential stuffing/password spray/brute force…) e di avere una piena osservabilità sulla postura di sicurezza delle identità;
- governance delle identità tramite l’automazione del ciclo di vita delle identità e l’implementazione di un modello a ruoli;
- Privilege Access Management (PAM) ovvero gestione dei diversi aspetti legati alla gestione degli utenti privilegiati.
Ciò comporta un approccio graduale che porta alla creazione di un sistema IAM robusto che protegge le risorse aziendali e garantisce che solo gli utenti autorizzati possano accedere alle informazioni sensibili.
