L’identità digitale e l’accesso ai servizi sta radicalmente cambiando:a raccontarlo è Fabrizio Zarri, CyberSecurity Master Solution Engineer Oracle Italia.
Un tempo, queste attività erano appannaggio esclusivo delle reti intranet; l’avvento del cloud e dei dispositivi mobili ha mutato la prospettiva.
Questa tendenza, già in atto, è fortemente incentivata dalla emergenza globale in atto.
Zarri ci ha rivelato che la situazione Covid-19 ha accelerato notevolmente le richieste che Oracle sta ricevendo dalle società italiane. I Data Center di Oracle stanno mettendo al riparo i clienti della società fondata di Larry Ellison da downtime e perdite di performance.
L’introduzione di sistemi evoluti di autenticazione (multi-factor, OTP e altri) si è resa necessaria per mitigare i rischi insiti nell”ampliamento della superficie di attacco.La visibilità dei servizi a cui si accede deve essere sotto la totale visibilità degli amministratori IT, il cui compito si fa sempre più ampio e gravoso.
Anche la User Experience si espande, grazie a nuove tecnologie di unificazione delle piattaforme: in questo caso l’intento è aumentare la produttività.
Ad oggi, secondo IDC ben il 90% delle organizzazioni usa un mix di cloud privati, pubblici e on premise; questa eterogeneità presenta ulteriori difficoltà di gestione.
Fra i nuovi servizi, Identity as a Service (IDaaS) e Web Application Firewall (WAF) sono gestiti direttamente dal vendor: l’ottica dei servizi di sicurezza gestiti si sposta sempre più verso i big del settore.
La ragione è semplice; il perimetro degli uffici è sempre più liquido ed è indispensabile offrire un adeguato livello di sicurezza tanto nella sede tradizionale, quanto presso il domicilio (smart working nuovamente) o anche semplicemente in agilità.
Per quanto riguarda IDaaS, Oracle propone Oracle Identity Cloud Services. Questa piattaforma cloud-native non ha necessità di essere gestita dal cliente: è il vendor che si fa carico di patch e aggiornamenti di sicurezza. Al cliente compete la sola configurazione. Oracle Identity Cloud Services è basata su standard di mercato aperti, dato che deve essere interfacciabile da servizi di terzi, e la società americana la definisce particolarmente sicura.
Può essere declinata in ambienti B2E, B2B e B2C, an dando quindi ad abbracciare l’intero mercato ad oggi ipotizzabile.
Oracle Identity Cloud Services è compatibile con autenticazioni di ogni tipo: multi-factor authentication, adaptive authentication, Single sign-on. Grazie a questa piattaforma è possibile integrare piattaforme on premise, e nel futuro sarà possibile ampliare notevolmente il range di prodotti il cui accesso viene protetto da Oracle Identity Cloud Services.
Il Web Application Firewall per la società americana è Oracle Web Application Firewall. Si tratta di una infrastruttura cloud-based, basato su un access control a cui è possibile applicare varie regole (ad esempio negare accesso agli indirizzi IP del dark web, o da alcune nazioni). Inoltre esiste un controllo post-challenge (ad esempio se le azioni vengono considerate non umane) tramite tecnologie di ML e IA abilita il bot challenge, riducendo il fronte di attacco senza per questo penalizzare l’esperienza utente.
Esistono anche regole di “virtual patching”. Se una determinata applicazione ha una vulnerabilità per cui esiste già una patch ma non è possibile implementarla per business continuity, il WAF di Oracle consente di applicare la patch in modo virtuale, in attesa che sia possibile installarla sulla applicazione vera e propria.
Oracle Web Application Firewall viene erogato dai Point Of Presence di Oracle sul territorio globale; snodi tecnologici in cui ad oggi lavorano quasi 2000 persone altamente qualificate. La reattività e la velocità del cloud abilita l’intelligence team a rispondere in tempi rapidi, con performance non comparabili con quelle ottenibili da soluzioni on premise.
La gestione da parte di Oracle supporta le aziende, non ultime quelle italiane, in difficoltà nella tematica cybersecurity e in particolare sulla gestione delle identity.
Infine, Zarri ha indicato un fattore essenziale che per Oracle rappresenta un vero passo avanti della cybersecurity: la consapevolezza degli utenti, la cui formazione continua non è un lusso la base da cui partire: come ha correttamente sottolineato il manager italiano, nessuno strumento può prevenire comportamenti rischiosi e irresponsabili.