Il fattore umano, i problemi legati all‘effettiva verifica delle identità quando gli utenti accedono ai servizi aziendali, tanto più oggi che le pratiche di remote working sono sempre più sviluppate, sono alcuni degli elementi più importanti da valutare quando si considera il problema della sicurezza in azienda. Adottare un modello di gestione delle identità in grado di indirizzare le esigenze in tutti i contesti operativi “hybrid” è quindi fondamentale. Ne parla Giovanni Napoli, presales director Emea di Rsa.
Dal Barometro Cybersecurity 2022 emerge che le minacce cyber sono in continua crescita e, osservando lo scenario, le identità sono ancora uno dei veicoli principali degli attacchi cyber, nonostante tutti gli sforzi di innovazione tecnologica e di mitigazione dei rischi. Qual è il punto di vista di RSA? Che tipo di evoluzione vede RSA in ambito identity e come mitigherebbe il continuo evolversi dei rischi cyber?
È sufficiente dare un’occhiata al Summary del Data Breach Investigations Report di Verizon del 2022 per confermare ancora una volta che le identità sono il maggior veicolo di attacchi andati a buon fine; questo sia grazie all’uso improprio o non autorizzato delle loro credenziali, sia grazie alla loro esposizione ad efficaci campagne di phishing.
Questa maggior esposizione ai rischi è anche conseguenza del remote working. Spesso, infatti, la rete di casa, oltre che anche Wifi, non è assolutamente compartimentalizzata, anzi, a questa sono connessi diversi dispositivi IoT non sempre disegnati secondo le best practice di sicurezza. Così come spesso il router/firewall di casa è scarsamente aggiornato e manutenuto; per di più, in genere, le sue credenziali vengono condivise tra più componenti della famiglia. Tutte condizioni che aumentano notevolmente la superficie di attacco.
Anche quest’anno, nelle breach analizzate da Verizon, il cosiddetto “human element” continua ad essere preponderante nel 82% dei casi. Non solo, gli impatti possono essere molto rilevanti anche quando questo tipo di attacco è indirizzato ad una terza parte con la quale l’azienda target collabora regolarmente.
Il fatto che le identità rimangano il maggior veicolo di attacco è un trend in continua evoluzione già da molti anni, ma che non ci dovrebbe sorprendere affatto. Sappiamo che Internet è stata concepita con l’obiettivo della interconnettività e della condivisione di informazioni, mancando però di un layer di identity. Difatti, una qualsiasi connessione di rete Tcp/IP, ci dice poco a proposito degli attori ai due capi della connessione stessa. Soprattutto se la password rimane il principale metodo di autenticazione delle Identità coinvolte e la governance delle stesse è parziale o del tutto assente.
RSA è da sempre in prima linea nell’affrontare queste minacce e nel mitigare i relativi rischi. Già nel 1986 ha contribuito con i suoi innovativi token hardware introducendo un metodo di autenticazione forte a due fattori (2FA). Col tempo questo si è evoluto in Multi Factor Authentication (MFA) grazie all’aggiunta anche di fattori biometrici. Non solo, dal 2013 RSA ha introdotto forti capacità di Identity Governance e Lifecycle, proprio perché consapevole dei crescenti rischi legati alle Identità.
In generale, la gestione delle identità è tra i processi più articolati perché entrano contemporaneamente in gioco persone, procedure di automazione e tecnologie. Pertanto, una continua Identity & Access Assurance, ad esempio nei processi di onboarding, moving e termination, è vitale se si vogliono ridurre al minimo le possibilità che le identità continuino ad essere il principale veicolo di attacco.
È anche un processo dove, aspetti di privacy, di sicurezza, di user-experience per gli utenti e gli amministratori e di gestione di emergenze, dovrebbero guidare la scelta strategica del fornitore e della tecnologia da parte del cliente finale.
Per tutti questi motivi, RSA crede in una piattaforma ampia, completa ed innovativa di Identity & Access Management, capace di indirizzare end-to-end sia i requisiti di Identity Assurance che quelli di Access Assurance, come da tradizione, con una forte attenzione alla user experience ed agli aspetti di sicurezza. RSA, consapevole delle diverse velocità che possono avere i propri clienti nel modernizzarsi digitalmente e nell’adottare piattaforme e servizi in cloud, supporta fortemente un modello misto, o hybrid, che consente di rispondere meglio ai rischi cyber proprio nelle fasi di forte cambiamento. Un cambiamento che, come ribadisce il nostro Ceo Rohit Ghai all’ultima RSA Conference, sarà sempre una costante con la quale confrontarci.
Cambiamenti che abbiamo visto associati sia ad evoluzioni lente e naturali, come nel passaggio dal modello di identità centralizzata a quello attuale di identità federata, sia ad adozioni forzate e repentine, come le pratiche estese di “remote working” conseguenza della pandemia da Covid-19. E di cambiamenti probabilmente ne vedremo ancora e di importanti, come quelli associati alla tendenza verso un modello di Identità decentralizzata che anche noi di RSA continueremo ad osservare molto da vicino.
Anche l’adozione di un approccio Zero-Trust sembra avere diversissime velocità di adozione e con diversi livelli di efficacia sulla mitigazione dei rischi cyber, perché? Cosa vede RSA in quest’ambito?
Le diverse velocità di adozione di un approccio Zero-Trust dipendono fondamentalmente dal livello di maturità del cliente o dell’organizzazione che ne ha deciso l’implementazione.
Non essendoci corrispondenza con alcuna tecnologia specifica, ed in un contesto aziendale operativo per la maggior parte esposto ormai su Internet, l’implementazione di un approccio Zero-Trust si traduce innanzitutto in un cambio di forma mentis. Un mindset, che adotta come mantra “never trust, always verify” e che, tra le altre cose, sposta il focus ed il perimetro di protezione proprio sulle identità.
La fiducia reciproca tra gli esseri umani si costruisce attraverso un processo graduale e, nel tempo, varia sulla base di esperienze positive o negative, o si riduce per il solo fatto di non vedersi per un lungo periodo.
Stabilire fiducia, o trust, può sembrare simile nel cyberspace, ma è sostanzialmente diverso, basti pensare al fatto che perdiamo tutti quegli elementi non verbali che nello “Human Space” usiamo regolarmente ed inconsciamente.
Nel cyberspace, dovremmo tendere ad un determinato livello di trust per ciascun processo. Un esempio tipico è il caso di onboarding di un nuovo impiegato che, magari, abbiamo anche assunto da remoto. In questo caso, Trust, diventa davvero la misura della qualità del processo che sottende l’onboarding stesso, oltre che dei metodi di autenticazione e di autorizzazione.
Come possiamo stabilire il livello di trust necessario per fornire ad un utente l’accesso in sicurezza alle risorse di propria competenza?
Non è sufficiente verificare l’identità dell’utente, sebbene questo sia un passaggio importantissimo. Dovremmo anche essere in grado di verificare che i permessi per quell’utente siano esattamente quelli attesi per accedere a quella specifica risorsa. E questo dovremmo anche ripeterlo ad ogni successivo accesso a risorse di propria pertinenza, idealmente nella modalità più trasparente possibile per l’utente stesso.
Ecco perché RSA ha l’obiettivo di continuare a sviluppare un’ampia e completa piattaforma di Identity & Access Management senza lasciare gap di gestione nell’intero ciclo di vita delle identità.
Già oggi all’interno della piattaforma, a supporto di un approccio Zero-Trust e di una ben apprezzata user experience, si trovano ad esempio:
- Un collaudato ed efficace Risk Engine basato su modelli statistici che sottopone un challenge aggiuntivo di autenticazione solo in situazioni di rischio
- La capacità di threat detection embedded all’interno dell’app di autenticazione di RSA e che, in caso di palesata minaccia, blocca l’app stessa mentre invia notifiche a ruoli aziendali di amministrazione, risk management o sicurezza
- Il supporto di diversi metodi di autenticazione (OTP su software e hardware tokens, Push Notification, Biometria, FIDO, QR-Code, Chiamata Vocale, SMS) a copertura delle più svariate necessità operative e nell’ambito di una Multi Factor Authentication
- Il supporto di un solido portale di SSO con un’ampia interoperabilità grazie al recepimento di protocolli standard come SAML e OIDC
- La capacità di supportare una governance e lifecycle delle identità end-to-end, sulle quali vengono in aiuto anche engine di analytics per un miglior supporto decisionale
RSA ha le sue storiche radici nell’omonimo algoritmo di crittografia asimmetrica per abilitare mutua autenticazione e firma digitale su Internet. Focalizzando la sua attenzione ed investimenti sul dominio identity (hybrid o cloud che sia), vuole continuare a dare il suo forte contributo nell’instillare fiducia nelle persone e nel fornire protezione alle identità, nonostante la continua evoluzione, a volte aggressiva, delle minacce nel cyberspace.
Infine, l’adozione del modello operativo cloud sembra correre velocemente. Quali sono i punti di attenzione per un’azienda che sta intraprendendo questo percorso e quali i passi da compiere?
Qualsiasi azienda che abbia deciso di intraprendere un tale percorso, molto probabilmente, si troverà ad avere periodi critici di transizione da un modello operativo puramente on-premise ad uno puramente on-cloud, passando magari per un modello hybrid. Spesso, la permanenza su un modello operativo hybrid è davvero lunga a causa della vastità e complessità intrinseca dei progetti di migrazione in cloud.
RSA è tra i pochi fornitori di Identity ed Access Management che continua pesantemente ad investire nel supportare anche un modello operativo hybrid. Questo, al fine di minimizzare l’enorme esposizione ai rischi cyber qualora questo processo di transizione verso il cloud presentasse dei gap pesanti di sicurezza, di gestione o di user experience.
Sappiamo bene che la migrazione di un’applicazione in cloud non significa banalmente spostarla presso uno qualsiasi dei noti cloud provider. Spesso comporta il ri-disegno dell’applicazione stessa, con un rilascio a fasi durante le quali bisognerà garantire una interoperabilità sia con componenti e servizi in cloud che con quelli on-premise.
Ecco uno degli scenari dove RSA può fare certamente la differenza grazie al suo efficace e consistente supporto di un modello hybrid.
L’altro forte suggerimento che ci sentiamo di dare è quello di adottare un modello di gestione delle identità che sia davvero end-to-end. Soprattutto nelle fasi di forte cambiamento e di transizione al cloud, pensare soltanto alla parte di autenticazione, tralasciando troppo gli aspetti di access, di governance e di lifecycle, significa lasciare all’interno dell’organizzazione un’esposizione ai rischi troppo ampia rispetto alle minacce che sappiamo ormai essere in costante ed aggressiva evoluzione.
Ci sono ormai diversi segnali rilevati dai maggiori attori operanti nell’ambito della threat detection & response che indicano come campagne di ransomware targettano più pesantemente l’Europa e non più soltanto gli Usa, così come le motivazioni dietro un attacco cyber non sono più solo economiche o state-sponsored ma si sta tornando ad un’affermazione personale di singoli threat actor.
Ancora una volta, l’unica costante rimane il cambiamento e la sicurezza del proprio business parte dalla protezione delle identità.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2022
© RIPRODUZIONE RISERVATA
