Il perimetro dell’azienda, lo sentiamo dire spesso, diventa sempre più liquido. La superficie esposta al rischio di potenziali attacchi cyber e compromissioni si sta progressivamente ampliando, parallelamente all’aumento di device e applicazioni in uso. A complicare ancor di più le cose ci sono i nuovi approcci smart e la diffusione pervasiva dell’Internet of Things, vera benzina per il business ma anche incubo per il CISO. Sensori, smart object, robot, cobot e connessioni Machine-to-Machine che permettono di automatizzare ed efficientare buona parte dei processi operativi, ma che introducono elementi di ulteriore vulnerabilità. E la gestione degli accessi si dimostra, mai come oggi, un elemento critico nell’ambito della strategia di data protection e sicurezza aziendale.
Gestione degli accessi, componente chiave della data security
La gestione degli accessi è attuata in azienda attraverso sistemi di Identity Access Management (IAM) che consentono di identificare, autenticare e autorizzare individui, gruppi e identità “non umane”, e controllare il loro accesso alle applicazioni, alle risorse, ai servizi e alle reti attraverso la definizione di diritti o, al contrario, di restrizioni. Un tipico sistema di gestione degli accessi comprende quattro elementi fondamentali: una directory dei dati personali, che il sistema utilizza per identificare e definire le caratteristiche dei singoli utenti; una serie di strumenti per aggiungere, modificare ed eliminare questi dati; un sistema di gestione dei privilegi, che regola l’accesso degli utenti a dati e applicazioni, e un sistema di controllo e reportistica. Una soluzione IAM ha, dunque, la capacità di gestire e orchestrare il ciclo di vita delle identità in modalità end-to-end, dall’assegnazione alla rimozione dei privilegi di accesso. Senza un’Identity Management efficace, queste funzioni sono spesso eseguite manualmente, il che può comportare rischi significativi per la sicurezza. Due dei rischi riscontrati più comunemente (responsabili di una buona quota di violazioni) includono l’overprovisioning – ovvero la concessione a un ID, persona fisica o meno, di autorizzazioni superiori a quelle necessarie per svolgere i propri task – e il mancato deprovisioning – ovvero i ritardi nell’eliminazione dei privilegi per gli utenti che interrompono il proprio rapporto con l’azienda.
Perché è importante l’IAM, la gestione degli accessi
La gestione degli accessi rappresenta un elemento centrale del piano di sicurezza aziendale, legato a doppio filo a tematiche più ampie e complesse di resilienza IT e Business Continuity. La compromissione delle credenziali d’accesso dell’utente aziendale è, infatti, molto spesso l’entry point per attività criminali più articolate di penetrazione della rete aziendale, esfiltrazione dei dati e compromissione degli asset di valore. Inoltre, negli ultimi anni l’ID management efficace rappresenta uno dei requisiti essenziali per garantire la compliance normativa: si pensi, per esempio, al GDPR (General Data Protection Regulation) cui sono assoggettate le aziende che operano in Europa o al Regolamento Privacy per le organizzazioni italiane.
Privileged Access Management (PAM)
Un’attenzione particolare da parte del CISO deve essere riposta nella gestione e controllo degli account e dei privilegi d’accesso di particolari categorie di utenti che, in virtù del loro ruolo in azienda o delle funzioni che svolgono, potrebbero avere accesso a particolari dati e risorse aziendali. Si parla, a questo proposito di Privileged Account Management (PAM), ma anche di sicurezza degli accessi privilegiati (PAS) e gestione delle identità privilegiate (PIM). Il tema della gestione degli accessi privilegiati negli ultimi anni è diventato particolarmente “scottante” in virtù dell’esplosione del numero di identità non umane legate alla diffusione degli approcci di digitalizzazione, robotizzazione pervasiva e Internet of Things. Questi ID, spesso mal presidiati e protetti, sono stati spesso presi di mira negli ultimi anni dai cybercriminali per condurre attività di esfiltrazione e compromissione dell’operatività degli ambienti industriali smart e delle Supply Chain connesse.
Le cinque facce della cyber security automation
L’autenticazione a più fattori (es. username e password) è lo standard quando si tratta di accedere a un network aziendale. In molti casi, però, all’utente è richiesto uno step addizionale. Per migliorare la user experience e non penalizzare l’operatività dell’utente, si diffondono nella gestione degli accessi nuove funzionalità che puntano ad automatizzare buona parte delle attività di identificazione e autenticazione. Ecco le più rilevanti:
- Autenticazione biometrica: fa riferimento alle procedure di “riconoscimento” dell’utente basate sulle sue caratteristiche uniche e attuate attraverso sensori di impronte digitali, riconoscimento facciale e scansione della retina.
- Controllo degli accessi context aware: si tratta di una metodologia di controllo degli accessi basata su policy, che permette di garantire l’accesso alle risorse in rete sulla base del contesto in cui opera l’utente. Se, per esempio, l’utente si collega in smart working dalla propria abitazione potrà godere di procedure più snelle rispetto a quando utilizza il servizio di free Wi-Fi di un centro commerciale o di un ristorante.
- Identity Management and Governance (IMG): questi strumenti, spesso chiamati anche IGA (Identity Governance Administration) forniscono una gestione automatizzata e facilmente replicabile dell’intero ciclo di vita delle identità. Questa si rivela particolarmente utile per garantire la compliance alle normative di tutela della privacy.
- Risk Based Authentication (RBA): questi servizi “aggiustano” dinamicamente i requisiti di autenticazione sulla base della situazione di rischio che si verifica nel preciso momento della richiesta. Per esempio, se un utente cerca di autenticarsi per l’accesso alle risorse in rete da un luogo o da un indirizzo IP sconosciuto, gli verrà richiesto di soddisfare ulteriori requisiti di autenticazione.
- User Behavior Analytics (UBA): le tecnologie UBA usano il Machine Learning e l’intelligenza artificiale per esaminare i pattern di comportamento degli utenti ed evidenziare le anomalie associabili a potenziali minacce alla sicurezza.
Queste funzionalità sono disponibili all’interno dei principali ID Management Systems (IMS) e sistemi di gestione degli accessi sia on premise e sia come servizi erogati in cloud (Identity as a Service -IDaaS).
Le 3 tendenze dell’IAM che ridisegnano il futuro della sicurezza
Gli strumenti di Identity and Access Management si stanno adattando alle nuove esigenze delle aziende, che vedono il proprio perimetro estendersi progressivamente ben oltre i confini fisici della sede, dei siti produttivi e dei magazzini per arrivare a comprendere ogni singolo endpoint. La superficie d’attacco si amplia e fa il paio con le pessime abitudini di utenti poco accorti. Il “fattore umano”, lo sappiamo bene, è il vero anello debole della catena posta a protezione dei dati aziendali. La sfida per i CISO è, dunque, proteggere reti enterprise sempre più complesse ed esposte. Gli approcci tradizionali di autenticazione e gestione degli accessi hanno dimostrato di non essere più efficaci. Servono, quindi, approcci più dinamici, automatizzati e “intelligenti” e in questo momento tre sono, in particolare, i trend che ridisegnano lo scenario delle tecnologie IAM:
- Cloud IAM e Managed Services
Oggi un numero considerevole di dipendenti lavora in smart working e gli ambienti ibridi, che vedono la compresenza di applicazioni on premise e gestite in cloud, sono la norma in azienda. Con l’accelerazione di questa tendenza, le organizzazioni trovano sempre più naturale rivolgersi ai provider di servizi di sicurezza gestita (MSSP, Managed Security Service Provider) per gestire gli accessi in modo più efficace e trasparente per l’utente, ma anche per monitorare la sua attività in modo più puntuale; ricevere avvisi su attività potenzialmente dannose e garantire la conformità con le diverse normative sulla privacy - Identità decentralizzate
Le preoccupazioni sulla privacy relativa alle informazioni di identificazione personale spingono gli operatori della security a sperimentare nuove modalità di convalidare l’identità dell’utente. La Blockchain potrebbe fornire la risposta a queste necessità, garantendo funzionalità di Self Sovereign Identity (SSI) in cui sono i soggetti stessi a controllare direttamente i propri dati. - Accesso just-in-time
Il principio del privilegio minimo è fondamentale per la gestione degli accessi e l’IAM. L’idea di base è di fornire all’utente l’accesso allo “stretto necessario”, ovvero conferirgli i soli privilegi d’accesso utili per metterlo nella condizione di svolgere il proprio lavoro. I nuovi modelli di gestione degli accessi privilegiati, però, includono non solo il monitoraggio degli account privilegiati, ma anche l’accesso just-in-time. I modelli di provisioning degli accessi in tempo reale minimizzano il rischio di veder penetrata la rete aziendale: la gestione degli accessi in questi casi avviene sulla base dell’analisi di diversi fattori di contesto, del tracking dei dati sensibili e del monitoraggio continuo delle attività dell’utente.
Tutti questi trend sono “potenziati” grazie all’uso diffuso di algoritmi di Machine Learning e Artificial Intelligence. Le tecnologie di autoapprendimento, infatti, sono usate in modo sempre più esteso per tracciare il comportamento degli utenti e includere opzioni context aware ai processi di verifica delle identità.
UNO Informatica: Managed Security Services e gestione degli accessi
Proteggere i dati e gli asset di valore è un’impresa sempre più complessa e onerosa per qualsiasi organizzazione. Difficile tenere il passo con minacce sempre più sofisticate, che evolvono con estrema rapidità, e pensare di “far da sé” può rivelarsi davvero rischioso. Ecco perché sono sempre più numerose le aziende che adottano modelli di gestione più efficaci della cyber security: modelli che liberano il team IT dall’onere dell’aggiornamento tecnologico e della formazione continua, delegando queste incombenze a uno o più partner. Meglio se in grado di assicurare una gestione a 360° della security come Uno Informatica, che integra tecnologie innovative seguendo i vincoli di compliance normativa e gli standard più attuali, coniugando anche l’obiettivo di uno spending appropriato. L’approccio ideato da UNO Informatica si fonda su tre pilastri (3R):
- React: identificazione delle necessità di protezione e analisi dei gap (tecnologico e di compliance normativa).
- Respond: analisi delle minacce e degli eventi e minimizzazione dell’impatto.
- Resolve: attività di remediation mirate a garantire la business continuity del cliente.
Un percorso metodologico fluido, che contempla alcune tappe fondamentali: fotografia dell’esistente (as is), gap analysis, elaborazione di una matrice delle attività di remediation ed eventuale selezione dei servizi gestiti di incident management e SOC, erogati in modalità on premise o As a Service (Managed Security Services). A corredo anche formazione e change management a supporto dell’organizzazione.
Uno degli elementi più importanti dell’architettura di sicurezza è proprio la gestione degli accessi, oggi sempre più automatizzata. In questo ambito Uno Informatica ha maturato una significativa esperienza nell’integrare le tecnologie di autenticazione a più fattori. L’aggiornamento continuo delle password, che penalizza la user experience, potrà essere superato tramite la multifactor authentication utilizzando una chiavetta che genera in tempo reale una password temporanea (OTP, One Time Password) oppure tramite un’app mobile che svolge la medesima funzione. La MFA si rivela particolarmente utile in questo periodo storico caratterizzato dal ricorso massivo allo smart working. Grazie a queste tecnologie, infatti, è possibile chiudere in una “bolla applicativa” tutta l’attività aziendale del dipendente che lavora fuori dall’ufficio o, ancora, creare un perimetro a protezione dei device mobili utilizzati da dipendenti e manager per scopi di lavoro e personali, a garanzia della massima protezione di dati e asset.