Forum Gdpr

Accesso sicuro: un nuovo approccio per le moderne minacce informatiche

I metodi di autenticazione classici non sono mai stati rivisitati ma solo evoluti per gli ambienti cloud e mobile. Oggi, anche sulla spinta del GDPR, serve un'ottica diversa.

Autore: Jim Ducharme

Nonostante gli attacchi cyber sempre più sofisticati – e la rapida frequenza con cui li sperimentiamo – il modo in cui le aziende mettono in sicurezza gli accessi ai propri dati ‘mission critical’ è stato solo minimamente modificato. Di recente, il Report sulle Breach Investigations di Verizon ha sottolineato che, anno dopo anno, le password sono un vettore di attacco invitante e sempre più vulnerabile. È chiaro, quindi, che il nostro approccio nei confronti della protezione delle informazioni (che siano sensibili o meno) e la difesa contro gli attacchi credential-based deve cambiare. E velocemente.

Con il crescente utilizzo e la fiducia riposta nelle tecnologie basate su cloud, nelle applicazioni SaaS e nelle soluzioni di mobile computing, le soluzioni per la gestione delle identità e degli accessi (IAM) si sono di certo evolute nel tempo per gestire i rischi correlati – ma le modalità di accesso comuni (come le password) non sono riuscite a stare al passo. 
Il problema è che questi metodi di autenticazione ‘tradizionali’ non sono mai cambiati – almeno non in modo significativo – per far fronte alle carenze di sicurezza create dagli accessi cloud e mobile; al contrario, sono stati semplicemente riadattati per funzionare in questi nuovi ambienti. Le soluzioni di web single sign-on (SSO) si sono evolute in soluzioni SSO in cloud, mentre la sincronizzazione delle password ha solo cambiato forma in password vault.

Nonostante questi cambiamenti, dipendiamo ancora troppo dalle password nella protezione dei nostri dati, applicazioni e informazioni più importanti e di maggior valore. Anche l’introduzione dell’autenticazione a due fattori non mitiga la situazione se l’approccio di base verso la protezione degli accessi rimane immutato.
senza titolo 1 30csqgch1xxnwx7jjjz7ka
In qualità di professionisti della sicurezza, dobbiamo prendere seriamente in considerazione le modalità con cui influenziamo il cambiamento nell’arena della gestione delle identità e degli accessi (IAM) – ed entrare quindi in un’ottica che possa in futuro rendere un attacco credential-based inefficace e poco interessante per gli attaccanti.

È possibile creare un ambiente IAM basato sulla identity assurance? Come definire un sistema che assicuri l’accesso in modo affidabile (e coerente) a coloro che hanno i permessi, e lo neghi a chi non li ha? Creare un sistema di questo tipo richiede una rivoluzione sostanziale del modo in cui pensiamo alla sicurezza fin nella sua adozione granulare – costruendo nuove fondamenta che siano racchiuse in un triumvirato di elementi chiave: insight sulle identità, threat intelligence e contesto aziendale.

Insight sulle identità

La tecnologia continua a evolvere più velocemente rispetto alle misure di protezione adottate per noi stessi, per cui una comprensione accurata dei rischi sulle identità diventa inestimabile. Fino a dieci anni fa, persino i normali gestori degli accessi avevano pochissime conoscenze sulla persona che effettivamente accedeva alle loro risorse. In genere il livello di discernimento si limitava a un nome utente e a una password "senza volto".

Oggi abbiamo a disposizione una matrice di dati che possono essere ottimizzati per creare profili utenti che costituiscano il primo punto di riferimento quando si prendono decisioni in merito all’accesso. Questi elementi di profilazione costituiscono un contesto fondamentale per le credenziali d’accesso, inclusi dettagli sulla geolocalizzazione, la rete e il dispositivo, così come il ruolo dell’utente all’interno dell’organizzazione. Utilizzando engine di machine learning e tecniche di analytics avanzate, ora è anche possibile dedurre gli schemi comportamentali tipici degli utenti e identificare le deviazioni dalla norma.
security
Questo approccio poliedrico agli insight sulle identità delinea un quadro incredibilmente dettagliato degli utenti e dei loro ambienti, offrendo una visione olistica degli stessi e dei rischi di accesso ad essi associati.

Threat intelligence

Gli insight sulle identità sono indubbiamente fondamentali per la trasformazione degli approcci verso la protezione degli accessi, ma è altrettanto importante comprendere che, se li inquadriamo insieme ad altri fattori di rischio, possono diventare infinitamente più preziosi.

Per esempio, mentre le soluzioni di endpoint identificano i malware potenziali e gli strumenti di network forensic monitorano il traffico dei dispositivi sospetti, potremmo ancora non avere un quadro completo della situazione. Combinando queste conoscenze con una lista dei dispositivi potenzialmente compromessi o degli utenti al momento sotto inchiesta, potremo prendere decisioni maggiormente informate in ambito IAM e modificare o aggiornare di conseguenza i controlli. 


Bloccare l’accesso a risorse verso le quali si hanno dei dubbi sugli effettivi permessi finché questi non siano mitigati, o richiedere ulteriori prove di identità a un utente che stia cercando di accedere al sistema da un dispositivo sospetto tramite metodi di autenticazione forte e robusti, diventano quindi possibilità reali. E i vantaggi funzionano in entrambe le direzioni perché i dati di autenticazione vengono trasmessi ai sistemi di threat intelligence, fornendo informazioni preziose sugli utenti.

Contesto di business

Il terzo e ultimo elemento è il contesto di business – cioè la comprensione della misura in cui applicazioni, dati e utenti espongono l’azienda al rischio. 
Si tratta di porsi le domande giuste. Una specifica applicazione può agire come porta di ingresso per gli attaccanti in modo che ottengano accesso ad altre applicazioni aziendali e relative risorse? È segregata in un segmento di rete separato e sicuro? Quale portata potrebbe avere un attacco se un malintenzionato ottenesse l’accesso ad un’applicazione a cui non dovrebbe?
servers 3 800x400
Quanto sono ‘mission critical’ i dati a rischio? Si tratta di dati personali o aziendali altamente sensibili, o soltanto dati del menu settimanale della mensa? Chiaramente nel secondo caso la posta in gioco è bassa! 
In ultimo, quale livello di accesso hanno gli utenti? A cosa gli è permesso accedere, e quali permessi glielo consentono? Se un consulente esterno, ad esempio, richiedesse l’accesso ai conti economici dell’azienda dovrebbe suonare un campanello d’allarme cosa che invece non avverrebbe se fosse il CFO a fare la stessa richiesta.

Come sempre, sono le fondamenta solide a consentire di realizzare progetti di successo; l’accesso sicuro non fa eccezione.

Jim Ducharme è Vice President, Identity Products at RSA, CSO