6 segnali di allarme che la vostra strategia IAM sta fallendo
Le aziende sviluppano ed eseguono strategie di Identity and Access Management (IAM) da decenni. “Tutto è iniziato con il time sharing del mainframe, quindi non c’è nulla di nuovo” afferma Jay Bretzmann, direttore del programma per i prodotti di sicurezza presso IDC. Nonostante questa lunga esperienza, ci sono ancora opportunità di errore, soprattutto quando le aziende aggiornano le proprie piattaforme IAM a quelle in grado di gestire meglio le moderne implementazioni IT.
Ecco sei segnali di allarme che che la vostra strategia IAM sta fallendo.
Gli utenti non possono accedere alle loro applicazioni, ma i criminali possono
L’obiettivo principale di una piattaforma IAM è consentire agli utenti legittimi di accedere alle risorse di cui hanno bisogno, tenendo fuori i “cattivi”. Se però sta succedendo il contrario, allora qualcosa non va. Secondo l’ultimo Verizon Data Breach Incident Report, le credenziali rubate sono state il metodo di attacco più comune dell’anno scorso e ha coinvolto la metà di tutte le violazioni e oltre l’80% delle violazioni delle applicazioni web.
La prima cosa che le aziende di solito cercano di fare è allontanarsi dalle semplici combinazioni di nome utente e password e aggiungere password monouso tramite SMS. Questo però non aiuta molto e, anzi, aggrava gli utenti. “Se implementata bene, una strategia IAM è più di un semplice accesso singolo e di un’autenticazione a più fattori”, continua Bretzmann. “Si tratta di comprendere la varietà di utenti che richiedono l’accesso ai sistemi IT e di risolvere i loro problemi di connettività”.
Secondo l’analista di Forrester Andras Cser, gli utenti che rientrano nella sfera di competenza dei sistemi IAM aziendali includono dipendenti, partner commerciali e clienti finali. Tutti richiedono approcci diversi. Per i dipendenti, le aziende spesso si rivolgono a provider di identity-as-a-service come Okta o Azure Active Directory o a sistemi IAM locali, che sono ancora più potenti e ricchi di funzionalità rispetto alle opzioni basate su cloud. Per i clienti, alcune aziende stanno iniziando a passare da nomi utente e password ad accessi social come Google e Facebook.
Un’ultima categoria di accesso IAM è l’identità della macchina. Secondo un sondaggio pubblicato lo scorso autunno da Pulse e KeyFactor, le identità delle macchine hanno una priorità inferiore rispetto alle identità degli utenti, ma il 95% dei CIO afferma che la loro strategia IAM può proteggere le identità delle macchine dagli attacchi. Le aziende devono anche prestare attenzione al fatto che devono proteggere tutti questi diversi tipi di utenti in una varietà di ambienti: on-premise, cloud, SaaS, mobile e lavoro da casa.
Piattaforme di gestione dell’identità e degli accessi in silos
Molte organizzazioni utilizzano soluzioni diverse per la gestione degli accessi, per la governance e l’amministrazione delle identità e per la gestione degli accessi privilegiati, afferma Henrique Teixeira, analista di Gartner. I silos creano lavoro extra “e spesso ci sono delle lacune tra ciascuna soluzione di cui gli aggressori possono trarre vantaggio”.
I fornitori stanno iniziando a spostarsi verso sistemi unificati per affrontare questo problema, afferma Teixeira. “Okta e Microsoft, ad esempio, hanno iniziato a offrire piattaforme più convergenti”. Entro il 2025, Gartner stima che il 70% dell’adozione di IAM avverrà attraverso quelle piattaforme IAM convergenti. L’IAM rivolto ai clienti è ancora più indietro, afferma Teixeira. “La maggior parte delle organizzazioni utilizza applicazioni personalizzate e proprietarie. Ciò è problematico quando si affrontano i nuovi requisiti normativi per la privacy e si deve proteggere l’infrastruttura dai tipi di attacchi più moderni”.
Piano di implementazione IAM eccessivamente aggressivo
Può essere allettante pensare che una piattaforma IAM farà tutto in una volta sola. I dirigenti possono facilmente diventare troppo entusiasti di una soluzione, afferma Cser. “Questo è problematico per molte organizzazioni. Se state cercando di installare una soluzione di gestione degli accessi e dovete avere tutte le vostre 300 applicazioni attive in un giorno, state certi che sarà un fallimento”.
Cser consiglia invece un’implementazione graduale. Cercare di fare tutto in un colpo solo non è realistico. Ad esempio, nonostante ciò che i fornitori promettono, le aziende in genere devono fare più lavori di personalizzazione e orchestrazione per integrare le loro applicazioni. Ciò è particolarmente vero se un approccio moderno all’IAM richiede la riprogettazione dei processi interni. Cser raccomanda inoltre alle aziende che eseguono un aggiornamento IAM di sfruttare l’opportunità per semplificare e razionalizzare prima i processi.
Autenticazione e autorizzazione separate
“Una strategia IAM rappresenta una pietra miliare per qualsiasi programma IT e di sicurezza”, afferma Rohit Parchuri, CISO di Yext, una società di tecnologia di ricerca. “Dovete sapere quali utenti e risorse esistono nel vostro portafoglio prima di poter iniziare a proteggerli. IAM offre sia la visibilità del panorama di accesso, sia l’abilitazione delle funzionalità per controllare tale accesso”.
Nel corso degli anni Parchuri ha riscontrato alcuni problemi durante l’implementazione di una strategia IAM. “Quando inizialmente ci siamo avventurati nell’esecuzione di IAM, non abbiamo aggiunto alcune cose ai nostri criteri di successo”. Il primo problema era che l’autorizzazione veniva trattata come un’entità separata dall’autenticazione. “Con un server di autorizzazione separato, dovevamo passare dall’autenticazione alle pratiche di autorizzazione su due diversi sistemi”. Ciò ha aumentato il costo totale di proprietà e ha imposto al team ulteriori oneri per la gestione di due entità separate.
Punti ciechi della copertura dell’autenticazione
Un altro problema che Parchuri ha dovuto affrontare è che alcuni sistemi interni non erano catalogati e si basavano ancora sull’autenticazione locale. “Avendo l’autenticazione locale sui nostri sistemi interni, la visibilità era carente in termini di gestione delle sessioni e pratiche di onboarding e offboarding degli utenti. Queste attività sarebbero dovute essere gestite dallo strumento IAM, ma non lo erano”.
L’azienda di Pachuri ha individuato l’errore durante un esercizio di copertura del suo programma di gestione patrimoniale. “Abbiamo riscontrato che le applicazioni annotate nel nostro database di gestione della configurazione non erano state acquisite dallo strumento IAM. Una volta identificate tali applicazioni, abbiamo anche notato che lo strumento IAM aveva esternalizzato la convalida dell’autorizzazione a sistemi locali distribuiti in loco, sebbene esistessero nello strumento IAM come entità”.
Per risolvere il problema, la parte più difficile è stata capire se lo strumento IAM e gli strumenti interni potevano essere integrati utilizzando Security Assertion Markup Language (SAML) o la gestione dell’identità tra domini (SCIM). “Una volta capito quale strategia adottare, tutto è andato per il verso giusto”.
Più sistemi IAM che causano problemi di visibilità
“Le aziende a volte hanno difficoltà a integrare piattaforme IAM disparate” afferma Luke Tenery, partner di StoneTurn, una società di consulenza globale specializzata in questioni di regolamentazione, rischio e conformità. “Se hanno troppi sistemi di gestione delle identità, è difficile trovare relazioni tra le anomalie della sicurezza. Ecco dov’è il problema.”
Molti attacchi informatici, ad esempio, comportano una qualche forma di compromissione della posta elettronica. Se la stessa identità viene utilizzata, ad esempio, anche per l’accesso al sistema Salesforce di un’azienda, potrebbe verificarsi un ritardo significativo prima che venga scoperto il secondo vettore di attacco. “Se il tempo di permanenza è più lungo, c’è un rischio maggiore di impatto sull’organizzazione. Più a lungo il cancro rimane nel corpo, più tempo ha la minaccia per fare danni”.
Tenery afferma di aver assistito a un caso in cui gli attori delle minacce sono stati in grado di accedere a un database Salesforce per un programma fedeltà di un fornitore di servizi di ospitalità ottenendo l’accesso a milioni di record dei clienti. La soluzione consiste nel creare una visione olistica dell’identità e della gestione degli accessi in tutta l’azienda. “Può essere un processo lungo e complesso riunire quel tessuto connettivo, ma ci sono piattaforme proprio per aiutare le organizzazioni a consolidare le loro funzioni IAM”.
Se l’integrazione diretta non è un’opzione, afferma Tenery, esistono strumenti avanzati che sfruttano machine learning e IA in grado di creare automazioni per costruire quei collegamenti. Nel caso di Salesforce e Office 365, sono disponibili integrazioni dirette. “E ci sono strumenti di terze parti, come Obsidian Security, che utilizziamo”, conclude Tenery. “È una piattaforma che sfrutta diverse forme di automazione e machine learning per identificare i collegamenti di identità, con lo scopo di rilevare anomalie di sicurezza e gestire il rischio di identità”.