Che cos'è la gestione delle identità e degli accessi (IAM)?

Con l'avvento del cloud computing, del lavoro da remoto e dell'AI generativa, la gestione delle identità e degli accessi (IAM) è diventata una componente fondamentale della sicurezza di rete.

La rete aziendale tipo ospita oggi un numero crescente di utenti umani (dipendenti, clienti, appaltatori) e non umani (agenti AI, IoT e dispositivi endpoint, workload automatizzati). Questi utenti sono distribuiti in varie sedi e necessitano di un accesso sicuro alle app e alle risorse sia on-premise che basate sul cloud.

Gli hacker si sono accorti di questa superficie di attacco all'identità in espansione. Secondo l'IBM® X-Force Threat Intelligence Index, il 30% degli attacchi informatici comprende il furto o l'uso improprio di account validi.

La gestione delle identità e degli accessi può aiutare a facilitare l'accesso sicuro per gli utenti autorizzati, bloccando al contempo l'accesso non autorizzato per aggressori esterni, insider malevoli e persino utenti ben intenzionati che stanno facendo un uso improprio dei loro diritti di accesso. Gli strumenti di gestione delle identità e degli accessi (IAM) consentono alle organizzazioni di creare ed eliminare in modo sicuro identità digitali, impostare e applicare politiche di controllo degli accessi, verificare gli utenti e monitorarne l'attività. 

Lo scopo dell'IAM è quello di fermare gli hacker consentendo agli utenti autorizzati di svolgere facilmente le attività per le quali sono autorizzati, ma non altro.

A tal fine, le implementazioni IAM si basano su quattro pilastri:

• Amministrazione
• Autenticazione
• Autorizzazione
• Revisione

L'amministrazione delle identità, nota anche come "gestione dell'identità" o "gestione del ciclo di vita dell'identità", è il processo di creazione, manutenzione ed eliminazione sicura delle identità degli utenti in un sistema.

Per facilitare l'accesso sicuro degli utenti, le organizzazioni devono prima sapere chi e cosa c'è nel loro sistema. Ciò comporta in genere l'assegnazione a ciascun utente umano e non umano di un'identità digitale distinta.

Un'identità digitale è una raccolta di attributi distintivi associati a un'entità specifica. Le identità digitali comprendono tratti come il nome dell'utente, le credenziali di accesso, la qualifica professionale e i diritti di accesso.

Le identità digitali in genere vengono memorizzate in un database o in una directory centrale che funge da unica fonte di verità. Il sistema IAM utilizza le informazioni contenute in questo database per convalidare gli utenti e determinare cosa è loro consentito fare.

Oltre all'onboarding dei nuovi utenti, gli strumenti IAM possono aggiornare le identità e le autorizzazioni man mano che i ruoli degli utenti evolvono e revocare l'accesso agli utenti che abbandonano il sistema.

Le squadre IT e di cybersecurity possono gestire manualmente il provisioning e il deprovisioning degli utenti, ma molti sistemi IAM supportano anche un approccio self-service. Gli utenti forniscono le proprie informazioni e il sistema crea automaticamente la loro identità e imposta i livelli di accesso appropriati in base alle regole definite dall'organizzazione. 

L'autenticazione è il processo che verifica che un utente sia chi dichiara di essere.

Quando un utente accede a un sistema o richiede l'accesso a una risorsa, invia le credenziali, note come "fattori di autenticazione", per dimostrare la propria identità. Un utente umano, ad esempio, inserisce una password o una scansione dell'impronta digitale biometrica, mentre uno non umano può condividere un certificato digitale. Il sistema IAM verifica queste credenziali con il database centrale. Se corrispondono, l'accesso viene concesso.

Anche se una password è la forma di autenticazione più semplice, è anche una delle più deboli. La maggior parte delle implementazioni di gestione delle identità e degli accessi (IAM) oggi utilizza metodi di autenticazione più avanzati, come l'autenticazione a due fattori (2FA) o l'autenticazione a più fattori (MFA), che richiedono agli utenti di fornire più fattori di autenticazione per dimostrare la propria identità.

Ad esempio, quando un sito web richiede agli utenti di inserire sia una password sia un codice che viene inviato via sms al telefono, si tratta di uno schema 2FA.

L'autorizzazione è il processo per concedere agli utenti verificati il livello di accesso appropriato a una risorsa.

L'autenticazione e l'autorizzazione sono profondamente collegate e la prima è in genere un prerequisito della seconda. Dopo che un utente ha dimostrato la propria identità, il sistema IAM controlla i privilegi connessi a tale identità nel database centrale e autorizza l'utente di conseguenza.

Insieme, autenticazione e autorizzazione costituiscono la componente di gestione degli accessi della gestione delle identità e degli accessi.

Per impostare le autorizzazioni di accesso degli utenti, organizzazioni diverse adottano approcci diversi. Un framework di controllo degli accessi comune è l'RBAC (Role-Based Access Control) in cui i privilegi degli utenti si basano sulle loro funzioni lavorative. RBAC aiuta a semplificare il processo di impostazione delle autorizzazioni utente e riduce i rischi di concedere agli utenti privilegi più elevati di quelli necessari.

Ad esempio, supponiamo che gli amministratori di sistema stiano impostando le autorizzazioni per un firewall di rete. Un rappresentante commerciale probabilmente non avrà alcun accesso, in quanto il ruolo dell'utente non lo richiede. Un analista della sicurezza di livello junior potrà visualizzare le configurazioni del firewall ma non di modificarle. Il Chief Information Security Officer (CISO) avrà invece pieno accesso amministrativo. Un application programming interface (API) per un sistema integrato di gestione degli eventi e delle informazioni di sicurezza (SIEM) potrebbe essere in grado di leggere i registri delle attività del firewall.

La maggior parte dei framework di controllo degli accessi sono progettati secondo il principio del privilegio minimo. Spesso associato a strategie di cybersecurity zero trust, il principio del privilegio minimo afferma che agli utenti dovrebbero essere assegnate solo le autorizzazioni minime necessarie per completare un compito. I loro privilegi dovrebbero essere revocati non appena il compito è terminato.

Eseguire l'audit significa assicurarsi che il sistema IAM e i suoi componenti (amministrazione, autenticazione e autorizzazione) funzionino correttamente.

Il processo di audit comporta il monitoraggio e la registrazione delle attività svolte dagli utenti con i propri diritti di accesso per garantire che nessuno, inclusi gli hacker, abbia accesso a informazioni riservate e che gli utenti autorizzati non abusino dei propri privilegi.

L'audit è una funzione fondamentale della governance delle identità ed è importante per la conformità normativa. I mandati di sicurezza come il Regolamento generale sulla protezione dei dati (GDPR), il Sarbanes-Oxley (SOX) Act e il PCI-DSS (Payment Card Industry-Data Security Standard) richiedono alle organizzazioni di limitare i diritti di accesso degli utenti in determinati modi. Gli strumenti e i processi di audit aiutano le organizzazioni a garantire che i loro sistemi IAM soddisfino i requisiti e le tracce di controllo possono aiutare a dimostrare la conformità o individuare le violazioni, se necessario.

Le organizzazioni si affidano a strumenti tecnologici per semplificare e automatizzare i principali workflow IAM, come l'autenticazione degli utenti e il monitoraggio delle loro attività. Alcune organizzazioni utilizzano soluzioni puntuali per coprire diversi aspetti della gestione delle identità e degli accessi, mentre altre utilizzano piattaforme complete che svolgono tutte le funzioni o integrano più strumenti in un unico sistema.

I componenti e le funzioni principali delle soluzioni di gestione delle identità e degli accessi includono:

I servizi di directory sono dove i sistemi IAM memorizzano e gestiscono i dati sulle identità, le credenziali e le autorizzazioni di accesso degli utenti. Le soluzioni IAM possono avere le proprie directory centralizzate o integrarsi con servizi di directory esterni come Microsoft Active Directory e Google Workspace.

Alcune implementazioni IAM utilizzano un approccio chiamato "federazione delle identità", in cui sistemi eterogenei condividono tra loro informazioni sull'identità. Un sistema agisce come provider di identità, utilizzando standard aperti come SAML (Security Assertion Markup Language) e OIDC (OpenID Connect) per autenticare in modo sicuro gli utenti ad altri sistemi.

Gli accessi tramite social network, ovvero quando un'app consente a un utente di accedere utilizzando il proprio account Facebook, Google o altri, sono un esempio comune di federazione delle identità.

Oltre all'autenticazione MFA e 2FA, molte soluzioni IAM supportano metodi di autenticazione avanzati quali single sign-on (SSO), autenticazione adattiva e autenticazione senza password.

Il single sign-on (SSO) consente agli utenti di accedere a più app e servizi con un unico set di credenziali di accesso. Il portale SSO autentica l'utente e genera un certificato o un token che funge da chiave di sicurezza per altre risorse. I sistemi SSO utilizzano protocolli come SAML e OIDC per condividere le chiavi tra i fornitori di servizi.

Autenticazione adattiva, chiamata anche autenticazione basata sul rischio, modifica i requisiti di autenticazione in tempo reale quando cambiano i livelli di rischio. Gli schemi di autenticazione adattivi utilizzano l'intelligenza artificiale (AI) e il machine learning (ML) per analizzare il contesto di un accesso, inclusi fattori come il comportamento dell'utente, il livello di sicurezza del dispositivo e i tempi. Più un accesso è rischioso, maggiore è il numero di autenticazioni richiesto dal sistema.

Ad esempio, un utente che accede da dispositivo e posizione abituali potrebbe dover inserire solo la password. Lo stesso utente che accede da un dispositivo non affidabile o tenta di visualizzare informazioni particolarmente sensibili potrebbe dover fornire più fattori, poiché tale situazione rappresenta un rischio maggiore per l'organizzazione.

I sistemi di autenticazione senza password sostituiscono le password, notoriamente facili da rubare, con credenziali più sicure. Le passkey, come quelle basate sul diffuso standard FIDO, sono una delle forme di autenticazione senza password più diffuse. Usano la crittografia a chiave pubblica per verificare l'identità di un utente.

Gli strumenti di controllo degli accessi consentono alle organizzazioni di definire e applicare policy di accesso granulari a utenti umani e non umani. Oltre all'RBAC, i framework di controllo degli accessi più comuni includono:

• Controllo degli accessi obbligatorio (MAC), che applica politiche definite centralmente a tutti gli utenti in base ai livelli di autorizzazione o ai punteggi di affidabilità.
  
  
• Controllo di accesso discrezionale (DAC), che consente ai proprietari delle risorse di impostare le proprie regole di controllo degli accessi per tali risorse. 
  
  
• Controllo degli accessi basato sulle attribuzioni (ABAC), che analizza gli attributi degli utenti, degli oggetti e delle azioni, come il nome dell'utente, il tipo di risorsa e l'ora del giorno, per determinare se l'accesso sarà concesso.

Gli strumenti di gestione del privilegio di accesso (PAM) supervisionano la sicurezza degli account e il controllo degli accessi per gli account utente con privilegi elevati, come gli amministratori di sistema. Gli account privilegiati ricevono protezioni speciali perché sono obiettivi di alto valore che i malintenzionati possono utilizzare per causare gravi danni. Gli strumenti PAM isolano le identità privilegiate dalle altre, utilizzando credenziali e protocolli di accesso just-in-time per una maggiore sicurezza.

Gli strumenti di gestione delle credenziali consentono agli utenti di memorizzare in modo sicuro password, passkey e altre credenziali in una posizione centrale. Gli strumenti di gestione delle credenziali possono mitigare il rischio che i dipendenti dimentichino le proprie credenziali. Possono anche promuovere una maggiore sicurezza facilitando agli utenti l'impostazione di password diverse per ogni servizio utilizzato.

Gli strumenti di gestione dei segreti proteggono le credenziali, come certificati, chiavi, password e token, per utenti non umani, come app, server e workload. Le soluzioni di gestione dei segreti spesso memorizzano i segreti in un archivio centrale protetto. Quando gli utenti autorizzati hanno bisogno di accedere a un sistema sensibile, possono ottenere il segreto corrispondente dalla cassaforte. 

Gli strumenti di governance delle identità aiutano le organizzazioni a controllare l'attività degli utenti e a garantire la conformità normativa.

Le funzioni principali degli strumenti di governance delle identità includono il controllo delle autorizzazioni degli utenti per correggere livelli di accesso inappropriati, la registrazione delle attività degli utenti, l'applicazione delle politiche di sicurezza e la segnalazione delle violazioni.

Gli strumenti di rilevamento e risposta alle minacce legate alle identità (ITDR) scoprono e contrastano automaticamente minacce e rischi alla sicurezza basati sulle identità, come l'escalation dei privilegi e le configurazioni errate degli account. Gli strumenti ITDR sono relativamente nuovi e non ancora standard in tutte le implementazioni IAM, ma sono un componente sempre più comune delle strategie di sicurezza delle identità aziendali.

La gestione delle identità e degli accessi dei clienti (CIAM) governa le identità digitali dei clienti e di altri utenti che si trovano al di fuori di un'organizzazione. Le funzioni principali del CIAM comprendono l'acquisizione dei dati del profilo del cliente, l'autenticazione degli utenti e la facilitazione dell'accesso sicuro ai servizi digitali, come i siti di e-commerce.

Le soluzioni di gestione delle identità e degli accessi basate sul cloud, chiamate anche strumenti "identity-as-a-service" (IDaaS), adottano un approccio software-as-a-service (SaaS) alla gestione delle identità e degli accessi.

Gli strumenti IDaaS possono essere utili nelle reti complesse in cui gli utenti distribuiti accedono da dispositivi Windows, Mac, Linux e mobili per accedere alle risorse situate in loco e nei cloud privati e pubblici. Queste reti possono essere soggette a lacune di frammentazione e visibilità, ma le soluzioni cloud IAM possono scalare per accogliere utenti diversi, app e asset in un unico sistema di identità.

Gli strumenti IDaaS consentono inoltre alle organizzazioni di esternalizzare alcuni degli aspetti più dispendiosi in termini di tempo e risorse dell'implementazione dei sistemi IAM, come la configurazione delle directory e la registrazione dell'attività degli utenti. 

Man mano che le organizzazioni adottano ambienti multicloud, AI, automazione e lavoro da remoto, devono garantire un accesso sicuro per più tipologie di utenti a più tipologie di risorse in più sedi. Le soluzioni IAM possono migliorare sia l'esperienza che la cybersecurity nelle reti decentralizzate, semplificando la gestione degli accessi e proteggendo dalle minacce comuni.

La trasformazione digitale è la norma per le aziende odierne, il che significa che la rete IT centralizzata e interamente on-premise appartiene essenzialmente al passato. Le soluzioni e le strategie di sicurezza incentrate sul perimetro non possono proteggere efficacemente le reti che comprendono dispositivi on premise e off-premise, servizi basati su cloud, app web e team di utenti umani e non umani sparsi in tutto il mondo.

Di conseguenza, le organizzazioni stanno facendo della sicurezza delle identità un pilastro fondamentale delle loro strategie di cybersecurity. Piuttosto che concentrarsi sull'edge di rete, può essere più efficace proteggere i singoli utenti e le loro attività, indipendentemente da dove si svolgano.

Allo stesso tempo, le organizzazioni devono garantire agli utenti l'accesso on-demand necessario per svolgere il proprio lavoro, senza che siano ostacolati da misure di sicurezza eccessivamente rigide.

I sistemi di gestione delle identità e degli accessi offrono ai team IT e di sicurezza un modo centralizzato per definire e applicare politiche di accesso personalizzate e conformi per i singoli utenti in tutta l'organizzazione.

Gli strumenti IAM possono anche autenticare gli utenti in modo sicuro e aiutare a tenere traccia del modo in cui le entità utilizzano le loro autorizzazioni, funzionalità importanti per la difesa dagli attacchi informatici basati sull'identità, che oggi sono il metodo preferito da molti criminali informatici.  

Secondo il report Cost of a Data Breach di IBM, il furto di credenziali è la causa principale di violazione dei dati e rappresenta il 10% degli attacchi. Questi attacchi basati su credenziali, in cui gli hacker utilizzano gli account di utenti legittimi per accedere a dati sensibili, costano 4,67 milioni di USD e richiedono in media 246 giorni per rilevarli e contenerli.

Gli strumenti IAM possono rendere più difficile per gli hacker eseguire questi attacchi. Ad esempio, l'MFA fa in modo che i criminali informatici abbiano bisogno di qualcosa di più di una semplice password per accedere. Anche se prendono il controllo di un account, il movimento laterale è limitato perché gli utenti hanno solo le autorizzazioni necessarie per svolgere il proprio lavoro e non di più. Inoltre, gli strumenti ITDR possono semplificare l'individuazione e l'arresto di attività sospette sugli account degli utenti autorizzati. 

Secondo il report Cost of a Data Breach, la tecnologia IAM è un fattore chiave per ridurre i costi delle violazioni, abbassando il costo di un attacco in media di 189.838 USD.

Un identity fabric è un'architettura di identità completa che unisce tutti i sistemi di identità all'interno di una rete in un insieme integrato. Le soluzioni IAM olistiche che collegano app eterogenee e coprono tutte le funzioni IAM fondamentali sono strumenti importanti nella creazione di queste strutture.

Le identità stanno diventando sempre più popolari man mano che le organizzazioni cercano di affrontare le sfide derivanti dall'utilizzo di molte app diverse con diversi sistemi di identità. Secondo un report, un team tipo usa 73 app SaaS diverse. Quando queste app hanno i propri sistemi di identità, la frammentazione crea sia problemi logistici che lacune di sicurezza.

Per combattere questi problemi, le organizzazioni stanno investendo in strumenti di identity orchestration, che aiutano i sistemi di identità eterogenei a parlare tra loro.

Le soluzioni IAM complete che gestiscono tutti gli aspetti chiave della gestione delle identità e degli accessi (amministrazione delle identità, gestione degli accessi, governance, auditing, PAM e CIAM) aiutano a facilitare questa orchestrazione. L'obiettivo è creare un tessuto di identità a livello di rete che consenta all'organizzazione di gestire le informazioni sull'identità e l'accesso per tutte le app, gli utenti e gli asset in un'unica piattaforma.

Oltre a semplificare la gestione delle identità e degli accessi (IAM), l'approccio integrato può anche aumentare la sicurezza. Secondo l'X-Force Threat Intelligence Index, il consolidamento delle soluzioni di identità è uno dei modi più efficaci per frenare l'espansione incontrollata delle identità e proteggersi dagli attacchi basati sull'identità.

L'AI tradizionale basata su regole fa parte del funzionamento della gestione delle identità e degli accessi da molto tempo, automatizzando workflow come l'autenticazione e le tracce di controllo. Tuttavia, l'arrivo dell'AI generativa presenta sia nuove sfide che nuove opportunità.

Tra nuove app basate su modelli linguistici di grandi dimensioni (LLM) e agenti AI autonomi, l'AI generativa è pronta a guidare un aumento significativo del numero di identità non umane nella rete aziendale. In un'azienda tipica queste identità superano già gli umani con un rapporto di 10 a 1.¹ E il rapporto potrebbe presto aumentare notevolmente.  

Queste identità non umane sono spesso bersagli di attacchi perché dispongono di livelli di accesso relativamente elevati e credenziali scarsamente protette.

Tuttavia, gli strumenti IAM possono mitigare i rischi che i criminali informatici possano appropriarsi degli account AI. Le tecniche e gli strumenti più comuni per la gestione degli accessi privilegiati, come la rotazione automatica delle credenziali e le casseforti di credenziali sicure, possono rendere più difficile il furto delle credenziali da parte degli hacker.

L'AI ha anche casi d'uso positivi per la gestione delle identità e degli accessi (IAM). Secondo l'IBM Institute for Business Value, molte organizzazioni utilizzano già l'AI per aiutare a gestire la verifica e l'autorizzazione degli utenti (62%) e per controllare il rischio, la conformità e la sicurezza (57%). Gli strumenti di AI generativa possono amplificare questi utilizzi.

Ad esempio, alcuni strumenti IAM stanno implementando chatbot che consentono ai team di sicurezza di utilizzare il linguaggio naturale per analizzare i set di dati di sicurezza, creare nuove politiche e suggerire livelli di accesso personalizzati per gli utenti.