Autore: Redazione SecurityOpenLab
Con la digitalizzazione dei servizi, il lavoro da remoto e l’industrializzazione del cybercrime, l’identità si è di fatto affermata come il nuovo perimetro. Gli attacchi contro le identità sono aumentati a ritmo crescente, tanto che oggi l’identità è il principale strumento utilizzato dai criminali informatici nella quasi totalità degli attacchi, ransomware inclusi. Secondo un recente report di Cisco Talos relativo al secondo trimestre del 2024, il 60% degli incidenti ha visto come vettore di accesso iniziale l'uso di credenziali compromesse, in aumento del 25% rispetto al trimestre precedente.
Le identità hanno un valore commerciale elevatissimo e la loro raccolta e gestione giustifica professioni come quella degli Identity Access Broker, che per entrarne in possesso mettono in campo decine di tecniche e tattiche differenti, che vanno dal credential stuffing alle email di phishing, allo smishing, passando per il password spraying e il caro e vecchio brute force. Esistono poi tecniche sopraffine, come per esempio le false notifiche MFA, il saccheggio di Active Directory o il cloud hijacking (lo sfruttamento di configurazioni errate e vulnerabilità nelle applicazioni cloud per ottenere accessi non autorizzati).
Nella maggior parte dei casi, gli obiettivi sono i dipendenti di aziende da cui ricavare profitto, con una particolare predilezione per gli account con privilegi elevati, come gli amministratori di sistema, perché una volta violati garantiscono accesso a vaste risorse aziendali.
Cone l’avvento delle GenAI la situazione non può che peggiorare perché verrà impiegata dagli attaccanti per creare attacchi sempre più sofisticati e difficili da identificare. Anche la difesa, tuttavia, farà progressi di cui già oggi si intravedono le direzioni.
Prima di tutto, come gli attaccanti, anche i difensori faranno sempre più uso della GenAI, quindi si arriverà a una situazione in cui la difesa reagirà in tempo macchina. In secondo luogo, verrà ridotto il rischio associato alle password, semplicemente facendone a meno. Gli anni di egemonia del sistema-password ne ha messi in evidenza tutti i limiti: non riuscendo a ricordare decine di password differenti, di elevata complessità, la maggior parte degli utenti usa chiavi banali e le ricicla fra più account, con il risultato di indebolire i sistemi e accentuare l’effetto domino. Anche chi si impegna davvero nella formulazione di password complesse e uniche, cade in fallo davanti a email di social engineering talmente ben confezionate da ingannare anche gli esperti.
Al momento si sta cercando di rafforzare le password con l’Autenticazione a più fattori (MFA). Tuttavia sono sempre più diffuse le tecniche passwordless, come l’identificazione biometrica (impronta digitale, riconoscimento del viso) e lo Zero Trust, che di fatto toglie la fiducia diffusa e verifica a ogni accesso sia l’autenticità della persona che quella del sistema da cui opera. La filosofia Zero Trust peraltro rassicura anche su un altro aspetto: prevedendo la micro-segmentazione delle reti e il principio del privilegio minimo, anche in caso di ingresso in rete di un attaccante, aiuta a contenerne l’attività in un ambito ristretto, così da evitare danni diffusi.
Tutte queste opzioni fanno parte delle cosiddette soluzioni IAM (Identity Access Management), appositamente strutturate per gestire l’accesso alle risorse aziendali. Fra le peculiarità di tali soluzioni vi sono anche tecnologie come la Behavior Analytics, che analizza il comportamento degli utenti, rilevando in tempo reale comportamenti anomali indicativi di potenziali compromissioni.
Nelle pagine di questo Speciale oltre dieci vendor di cybersecurity presentano le proprie soluzioni per la sicurezza e la difesa delle identità. Ciascuna ha le proprie peculiarità, scorrendole si comprendono la varietà di opzioni e la diversità di approcci possibili. Posto che oggi è mandatorio disporre di una soluzione di Identity Security, la sfida è trovare il compromesso migliore per la propria situazione, che è frutto di un’attenta analisi dell’infrastruttura, delle esigenze e, ovviamente, anche dei budget. Per questo motivo il percorso più saggio da seguire è affidarsi a una consulenza esperta.
In fase decisionale esortiamo a tenere in considerazione almeno un paio di elementi. Il primo è che, a prescindere dalla tecnologia implementata, nessuna soluzione tecnologica da sola fa miracoli: occorre pianificare un percorso di formazione continua per tutto il personale aziendale che insegni a riconoscere i trucchi degli attaccanti e a non abboccare, perché l’IAM può essere eccellente, ma se un utente consegna spontaneamente le proprie credenziali a un cyber criminale c’è poco da fare.
In seconda battuta, ricordiamo che oggi i caposaldi della cyber security sono visibilità e semplicità di gestione. Le esperienze passate hanno ormai dimostrato ampiamente che affidarsi ai best in breed per ciascuna categoria è controproducente, se poi gli addetti alla security devono stressarsi trascorrendo la giornata a rincorrere gli allarmi di N piattaforme differenti invece che indagare sulle segnalazioni davvero importanti. Per questo motivo sono nate le piattaforme XDR che da un’unica console consentono di supervisionare tutti gli aspetti della security, dalle identità agli endpoint, passando per il cloud, la sicurezza delle email, dell’infrastruttura di rete, dei dispositivi mobile e IoT, eccetera. Esistono XDR chiusi (monobrand) e aperti, che attivano un interscambio di dati con le soluzioni verticali di altri vendor. Valutate attentamente questa opportunità.