Cos'è la sicurezza delle identità?

Via via che le organizzazioni adottano i servizi cloud, supportano il lavoro da remoto e gestiscono endpoint e applicazioni diverse, i perimetri di rete diventano più confusi e le difese basate sui perimetri diventano meno efficaci. Le identità digitali, ovvero i profili distinti che rappresentano utenti, dispositivi o applicazioni in un sistema, sono diventate fondamentali per mantenere la sicurezza dei dati.

Secondo il report di IBM Cost of a Data Breach, le credenziali rubate o compromesse sono un vettore di attacco comune, responsabile del 10% delle violazioni dei dati. Quando gli hacker mettono le mani sulle credenziali degli utenti, le usano per impossessarsi di account validi e abusare dei loro privilegi. 

La sicurezza delle identità aiuta a garantire che solo gli utenti autorizzati possano accedere a risorse specifiche, riducendo al minimo i rischi di attacchi basati su identità e credenziali.

Con un'efficace sicurezza delle identità, le organizzazioni possono ridurre le vulnerabilità, migliorare l'efficienza operativa e proteggersi dalle minacce informatiche, come attacchi di phishing e violazioni dei dati.

Storicamente, le organizzazioni proteggevano i propri sistemi e dati stabilendo un perimetro di rete sicuro protetto da strumenti come firewall, reti private virtuali (VPN) e software antivirus. Questa “recinzione digitale” presupponeva che tutto ciò che si trovava on-premise fosse affidabile, mentre tutto ciò che si trovava all’esterno dovesse essere bloccato.

Tuttavia, con la trasformazione digitale, quel perimetro preciso è scomparso. Quando le organizzazioni hanno adottato lavoro da remoto, ambienti ibridi e multicloud e strumenti software as a service (SaaS) di terze parti, la rete aziendale è diventata troppo diffusa per la sicurezza basata sul perimetro.

Anche le strategie di sicurezza sono cambiate, passando dalla protezione degli asset di rete alla protezione degli accessi e ponendo le identità digitali al centro della cybersecurity. La domanda non è più "Su quale rete ti trovi?", bensì "Chi sei e sei autorizzato ad accedervi?"

Anche i criminali informatici si sono adattati. Invece di violare i firewall, hanno iniziato a prendere direttamente di mira le identità utilizzando il phishing, il furto di credenziali e l'hijacking delle sessioni per impersonare gli utenti e aumentare i privilegi. Secondo l'IBM X-Force Threat Intelligence Index, l'abuso di account validi è uno dei metodi più comuni utilizzati dagli hacker per entrare nelle reti aziendali e rappresentano il 30% di tutti gli attacchi informatici.

In questo ambiente, la sicurezza delle identità è emersa come una disciplina distinta della cybersecurity, orientata alla protezione delle identità digitali e dei relativi privilegi di accesso da furti, usi impropri e abusi. 

La sicurezza delle identità si basa sulla gestione delle identità e degli accessi (IAM), un framework di sicurezza per la gestione delle identità degli utenti e il controllo degli accessi a sistemi e dati. Aggiunge funzionalità di protezione, rilevamento e risposta finalizzate in modo specifico alla protezione delle identità digitali.

In altre parole, la sicurezza delle identità non sostituisce la gestione delle identità e degli accessi (IAM), bensì la estende con funzionalità come il monitoraggio continuo, l'applicazione degli accessi contestuali e le risposte automatiche alle attività sospette. Laddove la tecnologia IAM determina chi può accedere, la sicurezza delle identità aiuta a garantire che l'accesso rimanga sicuro.

Insieme, la gestione delle identità e degli accessi (IAM) costituiscono la base delle moderne soluzioni di sicurezza delle identità, che aiutano le organizzazioni a proteggere le identità digitali, gestire le autorizzazioni degli utenti e difendersi dalle minacce informatiche basate sull'identità.

La sicurezza delle identità è una disciplina che unisce diversi strumenti e pratiche distinti in un programma coeso per proteggere le identità digitali durante tutto il loro ciclo di vita. Questo framework di sicurezza completo consente alle organizzazioni di semplificare la gestione degli accessi mantenendo una solida protezione dei dati.

I componenti chiave della sicurezza delle identità includono:

• Identità digitali
• Meccanismi di autenticazione
• Controllo degli accessi
• Governance e amministrazione delle identità (IGA)
• Rilevamento e risposta alle minacce legate all'identità (ITDR)

Le identità digitali sono alla base della sicurezza delle identità. Rappresentano utenti, dispositivi e app nei sistemi aziendali.

La sicurezza delle identità protegge queste entità digitali dall'accesso non autorizzato affinché i malintenzionati non possano abusare dei loro permessi per rubare dati, danneggiare asset o causare altri danni. 

I tipi comuni di identità includono:

• Identità utente: rappresentazioni digitali degli utenti umani, contenenti attributi come nome, ruolo, reparto e privilegi di accesso.

• Identità delle macchine: identità associate a entità come applicazioni, servizi e dispositivi IoT.

• Account di servizio: account speciali utilizzati dalle applicazioni per interagire con altri sistemi e servizi. Ad esempio, una soluzione di disaster recovery potrebbe utilizzare un account di servizio per estrarre backup da un database ogni notte.   

Con l'adozione da parte delle organizzazioni di un maggior numero di servizi cloud e con l'aumento delle iniziative di automazione, le identità delle macchine e gli account dei servizi sono diventati più numerosi degli account degli utenti umani in molte reti. Secondo una stima, il rapporto tra identità non umane e umane in un'azienda tipica è di 10:1^.1 La crescita dell'AI generativa e degli agenti AI potrebbe accelerare ulteriormente questa tendenza. 

La sicurezza delle identità aiuta a mantenere la visibilità e il controllo in questo panorama di identità in espansione, facilitando l'accesso sicuro agli utenti autorizzati e riducendo la superficie di attacco dell'organizzazione.

L'autenticazione verifica che gli utenti siano chi dicono di essere; questo è il primo punto di controllo critico nella sicurezza delle identità. L'autenticazione forte è essenziale per ridurre il rischio di accesso non autorizzato agli account utente e ai dati sensibili.

I metodi di autenticazione chiave includono:

• Autenticazione a più fattori (MFA): richiede che gli utenti presentino due o più fattori di verifica per dimostrare la propria identità. Questo requisito rende più difficile per gli hacker impersonare gli utenti, perché devono rubare o fabbricare diversi fattori per accedere a un account.

• Autenticazione biometrica: utilizza caratteristiche fisiche uniche come le impronte digitali o il riconoscimento facciale per verificare gli utenti. I fattori biometrici sono più difficili da rubare rispetto alle password. 

• Autenticazione senza password: elimina le vulnerabilità delle password tradizionali a favore di fattori più sicuri, come le chiavi crittografiche o la biometria.

• Single Sign-On (SSO): consente agli utenti di autenticarsi una sola volta e di accedere a più applicazioni. L'SSO non solo migliora l'esperienza utente, ma supporta anche la sicurezza delle identità riducendo l'affaticamento delle password, riducendo il rischio di password deboli o riutilizzate e centralizzando l'applicazione del controllo degli accessi. 

• Autenticazione adattiva: regola dinamicamente i requisiti di autenticazione in base a fattori di rischio contestuali come posizione, livello di sicurezza del dispositivo e modelli di comportamento degli utenti. Ad esempio, una persona che accede dallo stesso dispositivo che usa sempre potrebbe inserire solo la password. Se lo stesso utente accede da un dispositivo nuovo, potrebbe dover inserire sia una password che una scansione dell'impronta digitale per dimostrare la propria identità.

Il controllo degli accessi determina quali utenti autenticati possono accedere e quali azioni sono autorizzati a eseguire in un sistema.

I framework di sicurezza delle identità supportano policy di accesso solide, basate sul principio del privilegio minimo. Questo significa che gli utenti hanno solo l'accesso necessario per svolgere il proprio lavoro, né più né meno.

Gli approcci più comuni al controllo degli accessi includono: 

• Controllo degli accessi basato sui ruoli (RBAC): assegna autorizzazioni agli utenti in base ai ruoli organizzativi. Ad esempio, un ruolo finanziario potrebbe autorizzare un utente ad effettuare acquisti, mentre un ruolo delle risorse umane potrebbe autorizzare un utente a vedere i file del personale.

• Controllo degli accessi basato sugli attributi (ABAC): assegna le autorizzazioni di accesso in base agli attributi dell'utente, della risorsa, dell'azione e dell'ambiente. Ad esempio, se il direttore finanziario (utente) vuole accedere a un sistema di pagamento (risorsa) per approvare un pagamento (azione), l'ABAC analizzerà questi fattori insieme e autorizzerà l'attività.  

• Controllo degli accessi basato su policy (PBAC): applica le decisioni di accesso degli utenti sulla base di policy centralizzate e dinamiche che possono incorporare il contesto. Ad esempio, un utente potrebbe essere autorizzato ad accedere al database di un cliente solo se il suo livello di sicurezza soddisfa gli standard di protezione degli endpoint dell'azienda e si trova in un'area geografica designata. 

• Provisioning Just-in-Time (JIT): concede agli utenti autorizzazioni elevate solo quando necessario e per periodi limitati, eliminando i rischi che possono derivare dalla concessione agli utenti di privilegi permanenti. Ad esempio, se un utente deve eseguire la manutenzione programmata su un server di produzione, il provisioning JIT può concedere l'accesso temporaneo di amministratore e revocarlo al termine della finestra di manutenzione.

• Gestione degli accessi privilegiati (PAM): gli strumenti PAM si concentrano specificamente sulla protezione degli account privilegiati (come gli account amministratore) e delle attività privilegiate (come l'utilizzo di dati sensibili). Le funzionalità PAM comuni includono l'archiviazione delle credenziali, il monitoraggio delle sessioni, il provisioning degli accessi just-in-time e la rotazione automatica delle credenziali.

L'IGA aiuta a garantire che le identità digitali abbiano i giusti livelli di accesso e che l'accesso sia tracciato, al fine di soddisfare i requisiti interni e normativi. 

Mentre le soluzioni di gestione delle identità e degli accessi (IAM) controllano chi ha accesso ai sistemi e ai dati, l'IGA si concentra sul fatto che tale accesso sia corretto, giustificato e monitorato attivamente. L'IGA fornisce un framework operativo per la gestione dei cicli di vita delle identità e dei diritti di accesso, la riduzione dei rischi legati agli accessi e l'applicazione delle policy di sicurezza.

L'IGA è anche un aspetto importante del rispetto di normative standard come l'Health Insurance Portability and Accountability Act (HIPAA), il Sarbanes-Oxley(SOX) e il Regolamento generale sulla protezione dei dati (GDPR). Aiuta le organizzazioni a dimostrare che l'accesso ai sistemi e ai dati sensibili viene assegnato correttamente e che è controllato regolarmente. Genera anche tracce di audit per supportare le recensioni interne e gli audit esterni.

Le funzioni chiave dell'IGA includono:

• Provisioning e deprovisioning delle identità digitali: gestione dei diritti di accesso durante l'intero ciclo di vita delle identità per semplificare l'onboarding e ridurre i rischi di offboarding. Ad esempio, se un dipendente cambia ruolo, gli strumenti IGA possono revocare automaticamente le autorizzazioni obsolete o assegnarne di nuove in base alle responsabilità aggiornate. 

• Revisione delle autorizzazioni di accesso: esecuzione di controlli periodici delle autorizzazioni degli utenti per identificare e porre rimedio ai livelli di accesso eccessivi o non appropriati. Gli audit regolari aiutano le organizzazioni a far rispettare il principio del privilegio minimo e a ridurre il rischio di uso improprio dei privilegi. 

• Applicazione delle policy di sicurezza e reporting: applicare in modo uniforme le policy di sicurezza, come la separazione dei compiti (SoD) e il privilegio minimo, e identificare le violazioni. Ad esempio, se un utente tenta di accedere sia al sistema di pagamento che al sistema di approvazione, violando quindi le regole SoD, gli strumenti di governance delle identità possono segnalare o bloccare la transazione.  

L'ITDR migliora la sicurezza delle identità con funzionalità avanzate per proteggere l'infrastruttura delle identità e affrontare gli attacchi basati sull'identità. Sebbene non sia sempre incluso nelle soluzioni standard di sicurezza delle identità, l'ITDR sta diventando sempre più comune via via che le organizzazioni cercano solide misure di sicurezza contro la crescente minaccia degli attacchi basati sulle identità.

Le funzionalità chiave dell'ITDR includono:

• Monitoraggio continuo: sorveglianza in tempo reale delle attività legate alle identità, compresi i tentativi di autenticazione, le richieste di accesso e l'escalation dei privilegi, per rilevare le attività sospette. Ad esempio, l'ITDR può segnalare un utente che si collega da una nuova postazione o che tenta di accedere a informazioni sensibili che normalmente non utilizza.

• Analisi dei comportamenti: algoritmi avanzati che stabiliscono le linee di base del normale comportamento degli utenti e segnalano le deviazioni che potrebbero indicare potenziali minacce alla sicurezza, come un hacker che dirotta un account legittimo.

• Risposta automatica: controlli di sicurezza adattivi che agiscono immediatamente in caso di rilevamento di minacce, al fine di ridurre al minimo i potenziali danni. Ad esempio, se un utente mostra segni di uso improprio delle credenziali, l'ITDR può revocare la sessione, forzare la riautenticazione o bloccare temporaneamente l'accesso ai dati sensibili.
  

La sicurezza delle identità potenzia i controlli IAM per offrire vantaggi fondamentali:

• Livello di sicurezza più elevato

• Conformità normativa

• Efficienza operativa

La sicurezza delle identità può aiutare a ridurre la probabilità e l'impatto dell'hijacking degli account, del furto di credenziali, degli accessi non autorizzati e di altri attacchi basati sull'identità.

Gli strumenti di sicurezza delle identità possono aiutare le organizzazioni a mantenere (e dimostrare) la conformità alle regole pertinenti.

I sistemi di sicurezza delle identità possono aiutare a semplificare le operazioni quotidiane di un'organizzazione.

I progressi nell'intelligenza artificiale (AI) stanno influendo sulla sicurezza delle identità sia come minaccia che come opportunità.

Come minaccia, l'AI generativa (gen AI) aiuta gli aggressori a lanciare attacchi efficaci basati sull'identità in quantità maggiore e in meno tempo. Secondo l'X-Force Threat Intelligence Index, gli analisti di X-Force hanno visto gli hacker utilizzare la gen AI per generare voci e video deepfake, creare e-mail di phishing convincenti e persino scrivere codice dannoso.

Come opportunità, gli strumenti di rilevamento e prevenzione delle minacce delle identità basati su AI stanno diventando sempre più comuni e consentono alle organizzazioni di rilevare e fermare gli attacchi più rapidamente. Ad esempio, utilizzando il machine learning, le soluzioni ITDR possono creare modelli di base del normale comportamento degli utenti, che utilizzano per identificare deviazioni sospette che potrebbero costituire delle minacce.