A cura di Jim Ducharme, Vice President, Identity Products at RSA, CSO
Secondo alcune recenti ricerche, oltre l’80% degli attacchi cyber nel 2017 ha coinvolto password compromesse – un dato in crescita del 63% rispetto al 2016. Ma, quanto ancora può peggiorare la situazione?
Jim Ducharme, Vice President of Identity Products di RSA, spiega perché le aziende non devono stare ad aspettare per scoprirlo
Nonostante gli attacchi cyber sempre più sofisticati – e la rapida frequenza con cui li sperimentiamo – il modo in cui le aziende mettono in sicurezza gli accessi ai propri dati ‘mission critical’ è stato solo minimamente modificato. Di recente, il Report sulle Breach Investigations di Verizon ha sottolineato che, anno dopo anno, le password sono un vettore di attacco invitante e sempre più vulnerabile. È chiaro, quindi, che il nostro approccio nei confronti della protezione delle informazioni (che siano sensibili o meno) e la difesa contro gli attacchi credential-based deve cambiare. E velocemente.
Con il crescente utilizzo e fiducia riposta nelle tecnologie basate su cloud, nelle applicazioni SaaS e le nelle soluzioni di mobile computing, le soluzioni per la gestione delle identità e degli accessi (IAM) si sono di certo evolute nel tempo per gestire i rischi correlati – ma le modalità di accesso comuni (come le password) non sono riuscite a stare al passo.
Il problema è che questi metodi di autenticazione ‘tradizionali’ non sono mai cambiati – almeno non in modo significativo – per far fronte alle carenze di sicurezza create dagli accessi cloud e mobile; al contrario, sono stati semplicemente riadattati per funzionare in questi nuovi ambienti. Le soluzioni di web single sign-on (SSO) si sono evolute in soluzioni SSO in cloud, mentre la sincronizzazione delle password ha solo cambiato forma in password vault. Nonostante questi cambiamenti, dipendiamo ancora troppo dalle password nella protezione dei nostri dati, applicazioni e informazioni più importanti e di maggior valore. Anche l’introduzione dell’autenticazione a due fattori non mitiga la situazione se l’approccio di base verso la protezione degli accessi rimane immutato.
In qualità di professionisti della sicurezza, dobbiamo prendere seriamente in considerazione le modalità con cui influenziamo il cambiamento nell’arena della gestione delle identità e degli accessi (IAM) – ed entrare quindi in un’ottica che possa in futuro rendere un attacco credential-based inefficace e poco interessante per gli attaccanti.
Trasformare l'accesso sicuro: 3 passaggi chiave
È possibile creare un ambiente IAM basato sulla identity assurance? Come definire un sistema che assicuri l’accesso in modo affidabile (e coerente) a coloro che hanno i permessi, e lo neghi a chi non li ha?
Creare un sistema di questo tipo richiede una rivoluzione sostanziale del modo in cui pensiamo alla sicurezza fin nella sua adozione granulare – costruendo nuove fondamenta che siano racchiuse in un triumvirato di elementi chiave: insight sulle identità, threat intelligence e contesto aziendale.
- Insight sulle identità: determinare il rischio tramite i profili di accesso degli utenti
La tecnologia continua a evolvere più velocemente rispetto alle misure di protezione adottate per noi stessi, per cui una comprensione accurata dei rischi sulle identità diventa inestimabile. Fino a dieci anni fa, persino i normali gestori degli accessi avevano pochissime conoscenze sulla persona che effettivamente accedeva alle loro risorse. In genere il livello di discernimento si limitava a un nome utente e a una password "senza volto".
Oggi abbiamo a disposizione una matrice di dati che possono essere ottimizzati per creare profili utenti che costituiscano il primo punto di riferimento quando si prendono decisioni in merito all’accesso. Questi elementi di profilazione costituiscono un contesto fondamentale per le credenziali d’accesso, inclusi dettagli sulla geolocalizzazione, la rete e il dispositivo, così come il ruolo dell’utente all’interno dell’organizzazione. Utilizzando engine di machine learning e tecniche di analytics avanzate, ora è anche possibile dedurre gli schemi comportamentali tipici degli utenti e identificare le deviazioni dalla norma.
Questo approccio poliedrico agli insight sulle identità delinea un quadro incredibilmente dettagliato degli utenti e dei loro ambienti, offrendo una visione olistica degli stessi e dei rischi di accesso ad essi associati.
- Threat intelligence: rivelare i fattori di rischio legati alle identità
Gli insight sulle identità sono indubbiamente fondamentali per la trasformazione degli approcci verso la protezione degli accessi, ma è altrettanto importante comprendere che, se li inquadriamo insieme ad altri fattori di rischio, possono diventare infinitamente più preziosi.
Per esempio, mentre le soluzioni di endpoint identificano i malware potenziali e gli strumenti di network forensic monitorano il traffico dei dispositivi sospetti, potremmo ancora non avere un quadro completo della situazione. Combinando queste conoscenze con una lista dei dispositivi potenzialmente compromessi o degli utenti al momento sotto inchiesta, potremo prendere decisioni maggiormente informate in ambito IAM e modificare o aggiornare di conseguenza i controlli.
Bloccare l’accesso a risorse verso le quali si hanno dei dubbi sugli effettivi permessi finché questi non siano mitigati, o richiedere ulteriori prove di identità a un utente che stia cercando di accedere al sistema da un dispositivo sospetto tramite metodi di autenticazione forte e robusti, diventano quindi possibilità reali. E i vantaggi funzionano in entrambe le direzioni perché i dati di autenticazione vengono trasmessi ai sistemi di threat intelligence, fornendo informazioni preziose sugli utenti.
- Contesto di business: comprendere i rischi associati alle applicazioni, ai dati e agli utenti
Il terzo e ultimo elemento è il contesto di business– cioè la comprensione della misura in cui app, dati e utenti espongono l’azienda al rischio.
Si tratta di porsi le domande giuste: una specifica applicazione può agire come porta di ingresso per gli attaccanti in modo che ottengano accesso ad altre applicazioni aziendali e relative risorse? È segregata in un segmento di rete separato e sicuro? Quale portata potrebbe avere un attacco se un malintenzionato ottenesse l’accesso a un’applicazione a cui non dovrebbe? Quanto sono ‘mission critical’ i dati a rischio?
Si tratta di dati personali o aziendali altamente sensibili, o soltanto dati del menu settimanale della mensa? Chiaramente nel secondo caso la posta in gioco è bassa!
In ultimo, quale livello di accesso hanno gli utenti? A cosa gli è permesso accedere, e quali permessi glielo consentono? Se un consulente esterno, ad esempio, richiedesse l’accesso ai conti economici dell’azienda dovrebbe suonare un campanello d’allarme cosa che invece non avverrebbe se fosse il CFO a fare la stessa richiesta.
Una visione più chiara
Costruire la propria strategia IAM su questi tre pilastri fondamentali può garantire una visione più chiara della propria base utente, del panorama delle minacce e dei livelli di esposizione al rischio.
Se implementati correttamente, e se i livelli di identity assurance sono alti e il rischio di business basso, anche l’esperienza per i propri dipendenti sarà fluida e naturale. Tuttavia, se i livelli di identity assurance sono bassi, o il rischio di business alto, bisognerà essere in grado di considerare un contesto più ampio e installare una forma di validazione più solida – sfruttando ad esempio soluzioni biometriche, token, OTP (one-time-password), SMS e push notification – per assicurare la protezione del proprio business, dei dati e degli utenti.
Implementare un accesso sicuro pervasivo, integrato e continuo
Come sempre, sono le fondamenta solide a consentire di realizzare progetti di successo; l’accesso sicuro non fa eccezione. Costruendo su questi pilastri fondamentali è possibile ottenere una strategia IAM che sia:
- Pervasiva – sfruttando una serie di principi di sicurezza che si estendono per tutta la portata e l'ampiezza del proprio business, raggiungendo tutte le applicazioni, i dispositivi e gli utenti, sia on-site sia nel cloud
- Integrata– abilitando la comunicazione critica tra governance delle identità, gestione degli accessi e sistemi di threat intelligence per favorire la condivisione delle informazioni e la prevenzione degli attacchi
- Continua – un approccio always-on sul monitoraggio delle attività, alla raccolta e all'analisi dei dati, con un’adeguata intelligence che consenta di apprendere nel tempo e prendere difficili decisioni di rischio senza l’input umano
Insieme, questi elementi essenziali hanno la capacità di cambiare completamente le regole del gioco dell’accesso sicuro. Le modalità inefficaci e frammentate di autenticazione degli accessi sono superate, sostituite da un approccio potente e proattivo. Partendo dal basso – utilizzando le conoscenze sulle identità, le informazioni sul panorama delle minacce circostanti e il più ampio contesto di rischio aziendale – si ha una reale opportunità di trasformare il modo in cui garantire accessi sicuri e protetti per le aziende moderne, in tutto il mondo.
