Cybersecurity, sempre più strategico il controllo delle identità
Indice dell'articolo
Come sta evolvendo il mercato della cybersecurity per le medie e grandi aziende? Lo svela il report Identity Security Threat Landscape 2023 di CyberArk. Il sondaggio ha coinvolto 2.300 responsabili della sicurezza IT a livello mondiale (circa 100 in Italia) di imprese del settore pubblico e privato con almeno 500 dipendenti per dimostrare l’effetto “longtail” delle decisioni odierne in materia di sicurezza informatica sui futuri risultati di business. L’obiettivo era offrire insight data-driven per aiutare a creare strategie di prioritizzazione che aumentino l’efficacia delle protezioni.
“L’innovazione guidata dalla digital transformation procede molto rapidamente e i CISO fanno fatica a stare al passo – sottolinea Paolo Lossa, country sales director di CyberArk – In pratica, continua quel fenomeno esploso durante la pandemia e che ha compresso in pochi mesi anni di trasformazione digitale, con il frequente ricorso al cloud, in particolare alle applicazioni SaaS”.
Lossa si riferisce a quello che CyberArk ha chiamato debito di cybersecurity, ovvero quel gap che si crea perché l’elevata velocità della digital transformation non consente di mettere in sicurezza i nuovi ambienti IT in tempi brevi. “Questo lo avevamo già evidenziato nell’edizione dello scorso anno del report – aggiunge Lossa – ma ora si aprono sfide ancora più ampie perché è esplosa l’inflazione e le banche centrali hanno alzato i tassi di interesse. Come conseguenza, le aziende hanno rallentato le loro decisioni e hanno ridotto il numero di fornitori. A ciò va poi aggiunto che persiste un rilevante problema di shortage degli skill e sono state attuate numerose ristrutturazioni aziendali”.
Di fatto, quindi, ci si ritrova nel 2023 con un debito in cybersecurity che mostra un divario sempre più marcato tra la corsa alla digitalizzazione e l’adozione di strumenti per proteggere l’infrastruttura IT.
Aumento esponenziale delle identità
Questa la situazione di massima tratteggiata da CyberArk. “Se ci focalizziamo sul tema specifico della identity security – precisa Lossa – notiamo che il 49% dei responsabili della sicurezza italiani intervistati prevede nel 2023 problemi di cybersecurity derivanti dal turnover dei dipendenti. Non solo. Il 66% considera fonte di preoccupazione la perdita di informazioni riservate da parte di dipendenti, ex dipendenti e fornitori di terze parti”.
La digital transformation sta portando a un aumento esponenziale delle identità umane e non umane e come conseguenza la superficie di attacco diventa sempre più ampia e va ben oltre il tradizionale campus aziendale. Infatti, una serie di soggetti, persone o macchine, che non sono considerati all’interno della nomenclatura tradizionale del previlegio, diventano utenti accreditati per il tipo di interazioni che hanno con i dati in talune circostanze.
E questo obbliga ad aumentare i livelli di controllo.
“Un altro argomento di rilievo è che il 25% del campione stima che dovrà avere tra le 100 le 400 applicazioni SaaS in più – afferma Lossa – Tali applicazioni andranno a regime nel 2023 e negli anni successivi. Si apre così una serie di scenari di sicurezza, a partire dalle questioni inerenti a dove si trovano i dati (in Italia o all’estero?) o come possono essere crittografati perché non tutte le applicazioni lo consentono”.
I pro e i contro dell’intelligenza artificiale
Oggi quando si parla di cybersecurity non si può trascurare il tema dell’intelligenza artificiale (AI). In tal senso, i decision maker interpellati vedono da un lato l’AI come un grande rischio aggiuntivo che va a “rinforzare” il malware, per cui macchine e bot possono generare meccanismi automatizzati in grado di sferrare attacchi. Dall’altro lato, reputano l’AI un’opportunità perché dotarsi di tecnologie che utilizzano meccanismi di machine learning per proteggersi da malware e ransomware può fornire un importante contributo nella postura di cybersecurity.
Soprattutto consente di automatizzare una serie di attività, riducendo le competenze o il numero di risorse da dedicare alla sicurezza. Va sottolineato che il 59% degli intervistati ha dichiarato di aver subito almeno un attacco ransomware e di questi il 36% ha pagato il riscatto per il ripristino dei dati una o due volte.
Ancora molto da fare nel settore dell’energia
Il report di CyberArk prevedeva anche domande specifiche per realtà del settore energia, uno tra quelli più critici, come è stato ampiamente dimostrato di recente. “In questo momento – evidenzia Lossa – il tema forte riguarda la componente di operation technology (OT) usata per proteggere le varie funzione delle aziende del settore energetico e che è oggetto di numerosi attacchi. Molto spesso, più che altrove, ci si basa su un fornitore esterno per il software. Tuttavia, il 67% degli intervistati ha dichiarato che oggi non ha le tecnologie e i processi idonei per mettere in sicurezza la software supply chain”.
Estendendo questa specifica indagine a più ampio spettro, emerge che il 44% di tutte le aziende non ha adottato accorgimenti per proteggere la catena di fornitura del software negli ultimi 12 mesi. “È un aspetto che va normato e accadrà sicuramente con la prossima direttiva europea per la sicurezza informatica NIS 2”, ha aggiunto Lossa.
La convivenza di applicazioni cloud native e legacy
Il panorama delineato dal country sales director di CyberArk sta portando a un ampliamento indiscriminato delle superficie di attacco focalizzata sull’identità. “Oggi le identità umane o non umane sono al centro di tutti, o quasi, gli attacchi – sostiene Lossa – e rappresentano un vettore privilegiato. E gli ambienti IT non sono protetti in modo adeguato perché il ricorso al cloud ha portato a dover considerare privilegiate figure aziendali che devono accedere ai dati da remoto ma che tradizionalmente non sono gestite tramite il privileged access management”.
A questo si aggiunge il frequente problema di dover far convivere applicazioni cloud native e legacy. “Da un punto di vista di processi, le persone che operano in un ambiente cloud native è come se vivessero in un’altra azienda – evidenza Lossa –. Il CISO si trova così a dover fare in modo che qualsiasi processo aziendale, compreso quelli cloud, sia conforme alla stessa compliance. Cloud e legacy devono però muoversi con la stessa velocità perché se uno è in ritardo rispetto all’altro si possono creare rischi per il mondo DevOps e CI/CD. Rischi che riguardano in particolare la messa in sicurezza dei repository dove vengono salvati i codici sorgenti degli sviluppatori in cloud”.
Quali soluzioni
Oltre a elencare i problemi, il campione intervistato ha anche proposto il modo più idoneo per affrontarli. Secondo i decision maker italiani il punto di partenza è lo zero trust. “Non è certo una novità – precisa Lossa – ma viene citato perché c’è l’idea che non lo si sia ancora raggiunto davvero. Inoltre, sembra esserci la consapevolezza da parte dei decision maker che l’identity security sia diventato il backbone dello zero trust: gli intervistati hanno dichiarato che la gestione delle identità (88%) e la sicurezza degli endpoint (83%) sono critici o importanti per supportare lo zero trust”.
Per proteggere gli accessi sensibili, alcune misure sono state formulate e identificate come prioritarie in termini di investimento. Tra queste misure troviamo anzitutto il monitoraggio e l’analisi in tempo reale per verificare tutte le sessioni privilegiate (37% dei casi).
“Una buona pratica è usare tool che automatizzano il cambio e la rotazione delle credenziali – conclude Lossa – Tuttavia, potrebbe non bastare. Potrebbe essere necessario estendere di monitoraggio in tempo reale con attività di video recording che registrino ciò che un operatore effettua in un determinato momento. Inoltre, si sta andando verso una logica di passwordless molto spinta”.