La sicurezza delle identità è al centro delle strategie di protezione digitale, in un contesto in cui le aziende si trovano a gestire ambienti sempre più complessi e interconnessi. La crescita esponenziale delle identità digitali, l’adozione dell’intelligenza artificiale e dell’automazione e l’aumento della superficie d’attacco impongono un cambio di prospettiva. Con Paolo Lossa, Country Sales Director di CyberArk Italia, esploriamo sfide, priorità e best practice per affrontare con efficacia una nuova fase nell’Identity Security.
La sicurezza delle identità è ormai percepita dai C-level come un fattore critico per la resilienza aziendale. Quali sono, secondo te, i principali errori che ancora molte organizzazioni commettono nell’approccio all’Identity Security e quali invece le priorità su cui dovrebbero concentrarsi nel 2025?
La consapevolezza dei C-level sul ruolo critico della sicurezza delle identità per la resilienza aziendale è in costante crescita, tuttavia restano ancora molti fattori che minano l’efficacia delle strategie di Identity Security.
Tra i principali errori che le aziende commettono spiccano la sottovalutazione delle identità macchina e della Shadow AI. Molte organizzazioni, infatti, si concentrano ancora sulla protezione delle identità umane, trascurando due elementi fondamentali: le identità macchina superano ormai di gran lunga quelle umane (in Italia, ad esempio, il rapporto è di 85 a 1) e una percentuale significativa di esse (53% sempre nel nostro Paese) gode di accessi privilegiati o sensibili. Inoltre, la proliferazione della Shadow AI non autorizzata e non gestita rappresenta un rischio emergente, con il 47% delle organizzazioni che si mostra non in grado di proteggerne l’utilizzo, creando una vasta e vulnerabile superficie di attacco. Un ulteriore errore comune è l’adozione di un approccio prevalentemente reattivo alla sicurezza. Spesso, i controlli di accesso privilegiato vengono applicati solo dopo che account cloud, carichi di lavoro e risorse sono già stati distribuiti. Questo approccio genera un debito di sicurezza crescente e lascia le aziende esposte per un periodo che può rivelarsi critico. Vi è poi la mancanza di visibilità e controllo centralizzato. In ambienti ibridi e multi-cloud, la varietà di strumenti, policy e paradigmi di identità rende difficile applicare controlli coerenti e avere una visione unificata della postura di sicurezza. Questo porta a configurazioni errate e al fenomeno del ”privilege creep”, ovvero l’accumulo graduale di permessi non necessari. Infine, ma non meno importante, anche un’esperienza utente insoddisfacente può rappresentare un problema, poiché quando la sicurezza ostacola la produttività, i dipendenti tendono ad aggirare le policy, riutilizzando password deboli, condividendo credenziali o installando applicazioni non autorizzate.
Per questi prossimi mesi, per le aziende sarà prioritaria l’adozione di un approccio Security at Inception, che integri i controlli di identità automatizzati fin dalla creazione delle risorse, nelle pipeline DevOps e nei flussi di lavoro CI/CD. Questo consente di proteggere gli account privilegiati al momento del provisioning e applicare Zero Standing Privileges come impostazione predefinita. È fondamentale proteggere e gestire le identità macchina su larga scala, riconoscendole come utenti privilegiati e implementando soluzioni di Machine Identity Security che offrano visibilità completa e gestione automatizzata del ciclo di vita (dalla scoperta alla rotazione e revoca).
L’esplosione delle identità digitali, in particolare quelle “macchina” che oggi superano di gran lunga quelle umane, rappresenta una trasformazione radicale. Come stanno cambiando i paradigmi del Privileged Access Management e quali strumenti propone CyberArk per gestire in modo scalabile e sicuro questa nuova complessità?
L’esplosione delle identità macchina è, senza dubbio, una delle trasformazioni più significative a cui assistiamo nel panorama della cybersecurity. Non si tratta più solo di server o applicazioni, ma di API, container, cloud workload, microservizi e, in modo sempre più preponderante, di agenti AI.
I paradigmi del Privileged Access Management (PAM) stanno cambiando in diversi modi. Si assiste a un’estensione del perimetro: quello tradizionale si concentrava principalmente sugli account privilegiati umani, ma ora il raggio d’azione deve ampliarsi in modo completo anche alle identità macchina. Questo include la gestione di secret, chiavi API e SHH, certificati TLS, e credenziali utilizzate da bot, agenti AI e workload cloud. Un’ulteriore trasformazione è l’enfasi su automazione e scalabilità. La gestione manuale di milioni di identità macchina è insostenibile; il nuovo PAM deve essere intrinsecamente automatizzato per provisioning, rotazione, revoca e monitoraggio di credenziali e accessi. La velocità di creazione e rimozione delle identità in ambienti cloud-native richiede processi che operino a “velocità macchina”. Il principio del minimo privilegio e l’approccio Zero Standing Privileges (ZSP) stanno diventando lo standard: non è più sufficiente limitare i privilegi, ma è necessario eliminare quelli permanenti. L’accesso deve essere concesso just-in-time (JIT), solo quando strettamente necessario e per un periodo limitato, riducendo drasticamente la superficie di attacco. Anche il contesto e il comportamento sono diventati fattori chiave. Il PAM moderno deve andare oltre la semplice autenticazione, comprendendo il contesto dell’identità (umana o macchina), il suo ruolo, i requisiti di accesso, monitorandone continuamente il comportamento per rilevare anomalie e prevenire abusi. Infine, è fondamentale l’integrazione con l’ecosistema digitale: PAM non può essere una soluzione isolata, ma deve integrarsi in modo agile con pipeline CI/CD, strumenti DevOps, piattaforme cloud (AWS, Azure, GCP), sistemi SIEM e soluzioni EDR per garantire una postura di sicurezza olistica.
Per gestire questa nuova complessità, con la CyberArk Identity Security Platform si è in grado di proteggere tutte le identità – umane e macchina – con accesso privilegiato, offrendo una visibilità completa su tutte le identità, i loro privilegi e attività.
L’adozione diffusa di AI e automazione porta con sé nuove opportunità ma anche rischi inediti. In che modo l’Identity Security può supportare le aziende a mantenere il controllo e garantire che queste tecnologie vengano integrate senza compromettere la postura di sicurezza complessiva?
AI e automazione sono motori di innovazione straordinariamente efficaci, ma come abbiamo visto, anche un’arma a doppio taglio, perché portano con sé una serie di rischi, che un’efficiente strategia di Identity Security aiuta a contenere.
La sicurezza delle identità supporta le aziende in diversi modi, innanzitutto, attraverso la protezione degli stessi i modelli di AI che, per funzionare, necessitano di un numero enorme di identità macchina con accesso sensibile (dati clienti, processi finanziari). Spesso ospitati nel cloud pubblico, questi modelli creano una nuova superficie di attacco vulnerabile. La sicurezza delle identità deve garantire che questi modelli siano protetti con controlli adeguati, applicando il principio del minimo privilegio e ZSP agli accessi ai dati di training e agli ambienti di deployment. In secondo luogo, è fondamentale la gestione delle identità degli agenti AI, sistemi autonomi in grado di prendere decisioni ed eseguire azioni, che introducono una nuova tipologia di identità. Questi agenti necessitano di un’identità unica e universale, con autenticazione, autorizzazione e supervisione adeguate per tutto il loro ciclo di vita.
L‘Identity Security offre un framework completo per proteggere le risorse digitali. Si occupa innanzitutto della discovery e del contesto, identificando e classificando agenti noti e “shadow” (utenti, macchine, applicazioni) in tutti gli ambienti, fornendo una visione chiara del panorama delle identità. Procede poi con il controllo dei privilegi, gestendo in modo sicuro gli accessi privilegiati, applicando il principio del privilegio minimo e gestendo i secret per ridurre la superficie di attacco. Un altro aspetto cruciale è la Threat Detection and Response, che monitora il comportamento delle identità in tempo reale per rilevare deviazioni, anomalie e prevenire abusi, reagendo prontamente alle minacce. L’Identity Security include anche la gestione automatizzata del ciclo di vita, assicurando un onboarding e offboarding sicuro e automatizzato degli agenti e rimuovendo tempestivamente gli accessi obsoleti.
Infine, garantisce la governance e la conformità, assicurando che tutte le operazioni siano in linea con i requisiti aziendali e normativi, mantenendo un elevato livello di compliance. La sicurezza delle identità è oggi più che mai cruciale per mitigare gli attacchi potenziati dall’intelligenza artificiale, che ne amplifica la sofisticazione. L’Identity Security può contrastare efficacemente questo fenomeno attraverso l’implementazione di una MFA adattiva e robusta per gli utenti, bloccando tentativi di impersonificazione sempre più sofisticati. Richiede inoltre una verifica continua delle identità, adottando processi più rigorosi per accertare l’autenticità di utenti e macchine, garantendo una verifica dinamica. Infine, sfrutta l’analisi comportamentale avanzata, utilizzando l’AI stessa per analizzare il comportamento delle identità, rilevare anomalie e prevedere minacce, riducendo drasticamente i tempi di triage da ore a minuti.
In sintesi, l’Identity Security non è solo un meccanismo di difesa, ma un fattore abilitante che permette alle aziende di abbracciare l’innovazione di AI e automazione con fiducia, garantendo che la crescita della produttività non avvenga a scapito della sicurezza, ma sia intrinsecamente protetta fin dall’inizio.
Sempre più spesso si parla di superare i silos organizzativi per integrare la sicurezza delle identità nelle strategie di business e non solo nei processi IT. Quali best practice CyberArk osserva nelle aziende più mature e quali i consigli alle realtà che vogliono allineare governance delle identità, compliance e innovazione digitale?
La sicurezza delle identità non può più essere appannaggio solo del reparto IT, ma deve diventare un pilastro strategico che permei l’intera organizzazione, allineandosi agli obiettivi di business. Le imprese più mature con cui collaboriamo hanno ben chiara questa evoluzione e stanno adottando un approccio olistico e proattivo.
Tra le best practice che possiamo segnalare: il coinvolgimento della leadership e un allineamento costante con i C-level, in cui la sicurezza delle identità entra a far parte dell’agenda del consiglio di amministrazione. Ciso, Cio e Cto sono chiamati a operare in stretta collaborazione, con una chiara comprensione di rischi e priorità, e responsabilità della sicurezza condivisa, non più solo delegata al Ciso. Il principio guida è quello della Security at Inception, ma è fondamentale anche continuare a promuovere una cultura della sicurezza incentrata sull’utente, vista come beneficio e non come un ostacolo per la produttività.
Un altro aspetto importante è la misurazione continua del ROI della sicurezza, con l’obiettivo di mostrare il valore degli investimenti attraverso metriche chiare e tangibili, come la riduzione del rischio, l’efficienza operativa, la conformità normativa e il miglioramento della resilienza aziendale. Infine, è essenziale integrare la gestione del rischio di terze parti, estendendo i controlli di sicurezza delle identità a fornitori esterni e partner, riconoscendo la catena di fornitura come un punto debole critico.
Per le realtà che desiderano allineare governance delle identità, compliance e innovazione digitale, è opportuno formare board e responsabili, spiegando in modo chiaro e quantificabile i rischi legati alle identità e il valore strategico di un investimento proattivo, evidenziando tendenze e vulnerabilità emerse, ad esempio, nel report CyberArk Identity Security Landscape. È fondamentale adottare un approccio Zero Trust, partendo dal presupposto che una violazione sia inevitabile e che nessuna identità sia intrinsecamente attendibile, implementando il principio del privilegio minimo e di Zero Standing Privileges ovunque possibile.
Si consiglia di investire in una piattaforma di Identity Security unificata, evitando soluzioni frammentate, poiché offre visibilità, controllo e automazione su tutte le identità, umane e macchina, semplificando la gestione e riducendo la complessità. Infine, è consigliabile focalizzarsi sul rispetto della conformità come opportunità, vedendo normative come Nis2 e Dora non solo come un onere, ma un’opportunità per rafforzare la resilienza operativa e la fiducia dei clienti, implementando controlli che soddisfino i requisiti e forniscano un audit trail dettagliato, definendo Kpi chiari per la sicurezza delle identità e monitorando costantemente le prestazioni per identificare le aree di miglioramento e dimostrare il valore degli investimenti.
Allineare governance, compliance e innovazione digitale attraverso l’identity security non è solo una questione di protezione, ma di abilitazione, consentendo alle aziende di innovare più velocemente, con maggiore fiducia e resilienza, trasformando la sicurezza da un costo a un vantaggio competitivo.
Leggi tutti gli approfondimenti di Voice of Cube Day Cybersecurity
© RIPRODUZIONE RISERVATA
