Molti osservatori sono d’accordo sul fatto che ci sono problemi di sicurezza informatica relativi all’autenticazione degli utenti per la verifica degli account consumer e aziendali e che in questa era di lavoro remoto/ibrido, i CISO devono proteggere l’accesso della propria azienda ai dati disponendo di un piano di attacco informatico pronto da implementare, comprendendo i nuovi strumenti e le tattiche utilizzate dai ladri informatici ed essendo consapevoli delle nuove tecnologie basate sull’intelligenza artificiale che possono ridurre i rischi per la sicurezza informatica. Ma prima di tutto, per proteggere meglio le loro organizzazioni, i CISO devono adottare (nel caso non l’abbiano già fatto) alcune delle tecnologie di gestione dell’identità e dell’accesso in evoluzione offerte da un gruppo di aziende emergenti.

Le risposte di altri professionisti del settore generalmente concordano sul fatto che ci sono problemi relativi all’autenticazione, inclusa l’autenticazione a più fattori (MFA), ma alcuni di loro si sono chiesti se la FIDO Alliance non debba eliminare i rischi da tutto ciò, avendo appena annunciato nuove linee guida per accelerare l’adozione dell’AMF con le chiavi di sicurezza FIDO. Sì, dovrebbe, ma c’è molto di più che i professionisti della tecnologia possono fare.

Perché FIDO?

FIDO come iniziativa del settore è stata istituita dieci anni fa per standardizzare la necessità di tecnologie di autenticazione/password avanzate. È fondamentalmente un insieme più forte di misure di autenticazione di sicurezza tra un dispositivo e un servizio di terze parti. Le aziende che compongono FIDO includono giganti come Apple, Amazon, Meta, Microsoft, Google e altri player tech di alto livello. Collettivamente, tutte queste aziende stanno cercando di risolvere i problemi causati dagli utenti che devono creare, mantenere e ricordare più nomi utente e password.

Sebbene queste iniziative siano ottime, risolvono solo un problema di autenticazione tra il dispositivo e il servizio finale. FIDO fornisce un’autenticazione continua e sicura a un servizio da un browser, da uno smartphone o o da un’app. Ma la realtà è che si tratta di un’autenticazione del dispositivo, non umana. C’è ancora un passaggio a livello di front-end in cui l’utente deve autenticarsi con il dispositivo e questo può essere compromesso.

Identità e accesso: la sfida dell’autenticazione dell’utente

Ad esempio, utilizzando l’accesso al riconoscimento facciale del vostro smartphone, i vostri figli possono avvicinare il telefono al vostro volto e, boom, hanno accesso. Tutta la protezione aggiuntiva fornita da FIDO è stata appena spazzata via. I vostri figli avrebbero potuto usare (e abusare) dei vostri account. Inoltre, qualcuno potrebbe creare un’identità falsa che vi rappresenta sul proprio dispositivo. Da quel momento in poi il servizio di terze parti pensa che voi siate l’utente perché il dispositivo o il browser è stato autenticato, anche se in realtà è un hacker che ha dirottato la vostra identità per configurare il dispositivo.

Ovviamente, è ancora necessario un livello di autenticazione continua e gestione dell’identità degli utenti per proteggere da questi exploit. Si tratta di identificare l’utente rispetto alla macchina su base continuativa, non solo durante la configurazione o l’accesso. Come possiamo identificare meglio chi sono i nostri utenti reali, eliminando anche gli ex utenti (dipendenti e appaltatori) dalle liste di coloro che hanno accesso ad alcuni dei sistemi più critici? È proprio qui che alcuni dei nuovi prodotti che emergono dal mondo delle start-up saranno molto utili per proteggere le nostre organizzazioni.

identità

Uomo contro macchina

La risoluzione dell’identità dell’utente umano e del problema di autenticazione è solo una parte del problema. Un recente articolo su Security Affairs osserva che “mentre le persone hanno bisogno di nomi utente e password per identificarsi, anche le macchine devono identificarsi l’una con l’altra. Ma invece di nomi utente e password, le macchine utilizzano chiavi e certificati che fungono da identità delle macchine in modo che possano connettersi e comunicare in modo sicuro”. Ma anche questi strumenti di sicurezza possono essere compromessi dagli hacker.

La gestione dell’identità dei dispositivi utilizzati nei servizi cloud, nelle applicazioni SaaS e in altri sistemi sta forse diventando un problema ancora più grande. Le organizzazioni spesso configurano un nuovo servizio Web, creano un’identità per esso e le risorse IT ad esso associate e, una volta che il servizio è attivo e funzionante, è probabile che il personale IT non abbia fretta di modificare o aggiornare le configurazioni di sicurezza su quei sistemi. Una volta impostate le dipendenze iniziali tra i dispositivi, diventa molto più difficile interrompere o aggiornare quelle relazioni complesse.

Gli hacker sfruttano sempre più le credenziali delle macchine, non degli esseri umani, per lanciare i loro attacchi. Proprio come ingannano altri esseri umani, gli hacker possono ingannare altre macchine facendogli consegnare dati sensibili. Secondo Security Affairs, dato che le identità delle macchine sono le parti meno comprese e debolmente protette delle reti aziendali, non dovrebbe sorprendere il fatto che i criminali informatici le stiano sfruttando in modo aggressivo. Da Stuxnet a SolarWinds, gli aggressori abusano sempre più di identità di macchine non protette per lanciare una serie di attacchi. In effetti, negli ultimi quattro anni le minacce che prendono di mira identità di macchine deboli sono aumentate del 400%. E questo è un grosso problema.

Il quadro più grande

In definitiva, poiché le aziende continuano a espandere il loro uso di servizi digitali ibridi e multi-cloud, più entità umane e macchine ci saranno da gestire. È probabile che ciò implichi nuovi strumenti connessi all’intelligenza artificiale che gestiscono senza problemi l’integrazione, il rilevamento e l’automazione. Questi strumenti possono ugualmente limitare o estendere l’accesso a determinate funzioni sia per il personale umano, sia per le azioni automatizzate, migliorando la sicurezza e riducendo i costi eliminando le licenze account non necessarie.

Inoltre, queste soluzioni riempiranno un vuoto che ancora oggi crea grossi grattacapi in merito a conformità e reporting. La creazione di un audit trail completo nei sistemi esistenti è un inizio. Con le automazioni già in atto, il personale IT può quindi gestire meglio la governance. Pronti o meno, CIO e CISO devono adattarsi all’evoluzione del panorama della gestione delle identità e degli accessi per adottare una strategia olistica o rischiare violazioni della sicurezza, mancato rispetto della conformità e multe costose.