La velocità del cambiamento digitale di questi ultimi mesi è stata oggetto di una profonda discussione che ha coinvolto vendor, aziende clienti ed esperti di mercato e sicurezza. Abbiamo visto come la fornitura di servizi è stata trasformata, quanto rapidamente sono state lanciate nuove app, come sono stati sviluppati nuovi flussi di lavoro e nuovi modi di supportare i clienti. La nostra capacità di adattarci a condizioni in così rapido cambiamento è stata strabiliante.
Tuttavia, questo progresso richiederà un costo. Principalmente, sotto forma di un debito di sicurezza legato all’identità che è grande, sempre più grande, e dovrà essere in qualche modo ripagato. Abbiamo quindi chiesto l’autorevole opinione di Massimo Carlotti, Presales Team Leader di CyberArk
Identità digitale, attenzione ai rischi per la sicurezza
Il passaggio al digitale è stato vantaggioso in molti modi, ma ci ha costretti in un luogo in cui la natura dell’identità digitale deve essere completamente ripensata. È qualcosa che viene implementato all’interno delle organizzazioni ed è ben più importante del mero accesso; l’esercizio per cui le persone e, ultimamente, le cose (macchine, applicazioni, server, dispositivi), ottengono le autorizzazioni necessarie per svolgere i loro ruoli o compiti.
In un certo senso, abbiamo sempre riconosciuto che alcune di queste persone e cose abbiano permessi di accesso che richiedono un’attenzione speciale. I diritti di accesso del CEO di un’azienda sono tali da consentire loro di accedere a informazioni privilegiate di ogni tipo. Questo accesso privilegiato è gestito e protetto per evitare, per esempio, che informazioni sensibili al mercato diventino note prima dell’annuncio dei risultati finanziari.
Ma cosa succederebbe se fosse possibile ottenere queste informazioni con altri mezzi? Che cosa succederebbe se, per esempio, un aggressore facesse uno studio sulla busta paga di un dirigente in certi punti dell’anno, in concomitanza magari con l’assegnazione di bonus legati a risultati raggiunti o meno, questa informazione avrebbe il potere di anticipare i risultati finanziari e, quindi, il valore in borsa?
La gestione dei permessi, un punto critico per le organizzazioni
Anche l’identità e i privilegi di accesso del responsabile delle buste paga possono diventare un problema, perché devono essere protetti e gestiti in modo tale che nessun altro possa accedere a questi dati privilegiati. Questo è spesso un punto cieco per molte aziende. Spesso ci si concentra solo a come proteggere i percorsi ovvi alle risorse critiche; senza prendere in considerazione la necessità di proteggere altre cose che possono diventare altrettanto critiche in determinate circostanze.
A questo si aggiunge il problema della cattiva gestione del ciclo di vita. Nel mondo on-premise, il problema è indicato come permessi “orfani” e, nel cloud, come permessi “eccessivi”. Questi permessi sono pervasivi e si creano per esempio quando le persone entrano in una funzione e poi passano a un’altra. Tipicamente, i permessi legati alla vecchia funzione non vengono ritirati. La situazione si replica con i servizi che non sono più utilizzati. Questi permessi possono essere utilizzati dagli aggressori per accedere a dati e beni potenzialmente sensibili, come fossero sentieri dimenticati (ma ancora perfettamente utilizzabili). L’accesso non gestito associato a varie identità umane e non umane è una condizione molto frequente.
Il lavoro da remoto e gli accessi alla rete aziendale, un problema di sicurezza
Negli ultimi 15 mesi circa, nella fretta di riposizionarsi – e in alcuni casi semplicemente di sopravvivere – le organizzazioni hanno amplificato i problemi descritti sopra. Abbiamo osservato molti casi in cui ai dipendenti è stato detto di correre in ufficio prima della chiusura, prendere il loro computer portatile e lavorare tramite qualsiasi connessione a cui potessero accedere. Oppure è stato dato loro del denaro e gli è stato detto di comprare i dispositivi necessari. Parallelamente, sono stati lanciati servizi cloud per eseguire le funzioni che l’infrastruttura on-premise non poteva più fare.
Tutto ciò significa che sono state create nuove identità e nuovi diritti di accesso. Per un’organizzazione di medie dimensioni, ogni nuovo servizio cloud, ogni nuovo strumento di collaborazione e ogni nuova applicazione rivolta ai clienti porta con sé centinaia, se non migliaia, di nuovi set di credenziali. Secondo il Verizon 2021 Data Breach Investigations Report phishing e uso di credenziali rubate sono state le prime due modalità adottate dagli aggressori nelle 5.258 violazioni studiate. E l’abuso di privilegi è stato presente in almeno il 60% delle violazioni. In pratica, questo significa che sempre più spesso permessi, identità e accessi vengono utilizzati per portare avanti un attacco.
La fretta è un chiaro ostacolo per la cybersecurity
La velocità ha battuto la sicurezza. I CISO che pianificano un futuro ibrido sono probabilmente consapevoli del rischio legato all’identità che è stato creato. E quello che succederà è quello che vediamo sempre quando si parla di accesso e sicurezza, con i team dedicati chiamati ad aggiungere la sicurezza a posteriori tutti gli accessi che sono stati creati.
Nel fare ciò, i CISO si imbatteranno nel problema di cercare di effettuare un cambiamento comportamentale. Le persone che si sono abituate all’accesso completo dell’amministratore ai sistemi, protetto da una VPN (con una scarsa MFA), cercheranno di opporsi. L’atto di imporre il minimo privilegio sugli endpoint remoti creerà analogamente un attrito.
Quello che è stato contratto, quindi, in un periodo di tempo molto breve, e su una scala particolarmente estesa, è un vasto debito di sicurezza legato all’identità. Il modo in cui i professionisti della sicurezza lo affronteranno definirà quanto saranno vulnerabili i nostri dati e le nostre risorse, almeno nel corso del resto del 2021 e nel 2022.
