Identità digitale, una superficie d’attacco in espansione

Tutte le iniziative digitali, dal lavoro ibrido all'introduzione di nuovi servizi verso clienti o cittadini, si traducono in un maggior numero di interazioni tra persone, applicazioni e processi. Questo fa sì che il numero delle identità digitali da gestire stia diventando sempre più alto, e che rappresenti oggi uno dei principali – se non il principale – rischio di cybersecurity.  La ricerca “2022 Identity Security Threat Landscape Report” di CyberArk, un sondaggio mondiale su 1.750 responsabili di sicurezza IT, mette in evidenza le debolezze degli attuali percorsi di digitalizzazione. Secondo la maggior parte degli intervistati (il 79%), la sicurezza è passata in secondo piano rispetto al mantenimento delle attività aziendali. Iniziative digitali come il lavoro remoto/ibrido, lo sviluppo di nuovi servizi digitali verso clienti e cittadini e il ricorso all’outsourcing, hanno la priorità: tutto questo ha portato a un'esplosione di identità legate a persone o macchine, con numeri che hanno raggiunto le centinaia di migliaia per azienda. 

Siamo arrivati al punto di parlare di un “cybersecurity debt”, un debito tecnologico nell’ambito della sicurezza IT che dovrà essere colmato in futuro per riportare il tutto sotto controllo. 

Una marea di identità incontrollate 

Per capire la portata del problema, il sondaggio evidenzia come il numero di identità digitali nelle aziende sia già molto elevato e come continui a crescere. Normalmente abbiamo:  

-personale che in media accede a più di 30 applicazioni e account;

-le Identità delle macchine superano le identità umane di ben 45 volte. 

Alcune identità godono di un accesso privilegiato a dati e risorse sensibili, ma tutte le identità possono diventare privilegiate in determinate condizioni, in base a situazioni, applicazioni o dati a cui accedono, a operazioni che stanno eseguendo. Parlando di questi accessi con privilegi, lo scenario è il seguente:

-più della metà della forza lavoro (il 52%) ha accesso a dati aziendali sensibili;

-il 68% di macchine/ bot ha accesso a dati e risorse sensibili. 

Sappiamo bene come possa bastare una sola identità compromessa per avviare una catena di attacco malevolo voluto da un attore esterno o interno. L'accelerazione delle iniziative digitali e il conseguente aumento delle identità digitali alimentano una superficie di attacco in espansione. 

(Fonte: Cyberark, "2022 Identity Secure Landscape Report")

Aziende ancora impreparate ad affrontare gli attacchi

Dalla ricerca emerge che le aziende partecipanti al sondaggio sono state, come molte altre, bersaglio di attacchi informatici negli ultimi 12 mesi. In particolare, due tipologie di attacco hanno registrato elevate percentuali: 

-Ransomware. Oltre il 70% delle aziende intervistate ha subito attacchi ransomware nell'ultimo anno, in media due, con le organizzazioni sanitarie che ne hanno subiti anche più di due. L'escalation dei privilegi è stato il vettore di attacco principale nelle organizzazioni sanitarie. 

-Attacchi alla catena di fornitura del software. Il 71% delle organizzazioni ha subito un attacco andato in porto relativo alla supply chain del software, con perdita di dati e compromissione delle risorse. Aziende del settore energetico e dei servizi pubblici sono state particolarmente prese di mira. 

I partecipanti hanno inoltre identificato le iniziative digitali che rappresentano il maggiore rischio informatico:

-Lavoro ibrido (86%) 

-Nuovi servizi digitali verso clienti o cittadini (84%) 

-Aumento dell'outsourcing verso fornitori remoti (84%). 

Il 64% dei responsabili della sicurezza ha ammesso di non essere riuscito a fermare un attacco proveniente da un fornitore di software compromesso. Inoltre, i due terzi degli intervistati hanno dichiarato che negli ultimi 12 mesi, il tasso accelerato di abbandono (o turnover) dei dipendenti ha causato problemi di sicurezza (ad esempio, il mancato de-provisioning dei diritti di accesso).

L'accesso alle credenziali è il fattore di rischio numero uno
Situate in tutta l'infrastruttura IT di un’azienda, in tutte le applicazioni e i processi, le credenziali poco protette rappresentano la via prioritaria per gli aggressori per raggiungere i propri obiettivi, si tratti del furto di dati, di tenerli in ostaggio per guadagno, fino a semplici interruzioni dell'attività. Indipendentemente dall'obiettivo, il primo passo è spesso ottenere le credenziali privilegiate, in quanto offrono accessi di livello elevato e la possibilità di spostarsi lateralmente per raggiungere dati e risorse ancora più preziose. 

Alla domanda su quali siano le aree di rischio più importanti per la propria organizzazione, prendendo come riferimento tattiche e tecniche del framework Mitre Att&ck, la maggior parte delle risposte (40%) hanno individuato proprio le credenziali di accesso. 

Confrontarsi con il “cybersecurity debt” 

I professionisti della sicurezza concordano sul fatto che le iniziative digitali implementate in modo veloce nelle proprie organizzazioni abbiano avuto un prezzo: la crescita di un “debito” verso la sicurezza informatica. Questo debito rappresenta i costi futuri che si sono accumulati nel tempo. 

Ai partecipanti è stato chiesto di specificare dove i controlli di Identity Security (definiti nel sondaggio come gestione degli accessi privilegiati (PAM), gestione degli accessi, gestione dei segreti e gestione dei diritti), esistevano all'interno di aree chiave del loro ambiente IT. La maggior parte degli intervistati ha risposto che questi controlli erano assenti da tutti tranne uno di questi ambienti chiave. 

Leggendo sempre i risultati di questa domanda, il 52% degli intervistati ha affermato che identità relative ad applicazioni business-critical non sono protette. Inoltre, quasi la metà delle organizzazioni non dispone di controlli di Identity Security relativi all'infrastruttura cloud e ai carichi di lavoro. I server mission-critical sono altrettanto insicuri.  

(Clicca sull'immagine per scaricare il report di Cyberark)

Le trasgressioni all’Identity Security dilagano con DevOps, CI/CD e ambienti di sviluppo 

Con riferimento allo sviluppo di software:

-L'87% degli intervistati ha riferito che i segreti sono archiviati in più posizioni negli ambienti DevOps. 

-Secondo la metà, la sicurezza delle credenziali è lasciata agli sviluppatori. L'80% concorda sul fatto che gli sviluppatori hanno più privilegi di quelli che servirebbero.

-Solo il 3% delle aziende utilizza una piattaforma di gestione centralizzata dei segreti per gestire le credenziali applicative. 

-I problemi di sicurezza hanno portato il 74% delle organizzazioni a rallentare la Robotic Process Automation (RPA) e lo sviluppo di bot. Solo il 28% dispone attualmente di controlli di Identity Security per proteggere soluzioni RPA (Robotic Process Automation).

Alcune organizzazioni si sono impegnate a cambiare, affrontando il debito esistente in materia di sicurezza informatica e lavorando per integrare la sicurezza fin dall'inizio nelle nuove iniziative. I partecipanti hanno identificato diverse misure che le loro organizzazioni hanno già introdotto, o prevedono di introdurre, per gestire meglio gli accessi di persone e macchine a risorse aziendali sensibili.

Le priorità nei controlli di sicurezza sulle identità, secondo principi Zero Trust 

Il sondaggio dimostra un accordo quasi unanime sul fatto che il modello di sicurezza informatica Zero Trust (la filosofia di "non fidarsi di nulla; verificare tutto") è fondamentale nello stabilire controlli di difesa “in profondità” ed è quindi il miglior percorso da seguire. Nell'esaminare lo stato di maturità delle aziende nell’adozione di Zero Trust, il sondaggio ha rilevato che quasi il 100% sta facendo qualcosa per portare in azienda i principi Zero Trust. 

((Fonte: Cyberark, "2022 Identity Secure Landscape Report")

Adottare strategie di “Defense-in-Depth” 

Un 82% degli intervistati ha dichiarato che le loro aziende ha una mentalità per cui si "presumere di essere vittima di violazione". Quasi il 100% ha dichiarato di avere una strategia di difesa molto ampia nel combattere il ransomware. In particolare, molti puntano a ridurre il “debito di sicurezza informatica” rispondendo ai rischi in modo più olistico, non solo con controlli tecnici incisivi, ma anche con iniziative centrate sulle persone, per portare nella cultura aziendale comportamenti consapevoli con riferimento alla sicurezza. 

Dalla classifica ottenuta con le interviste, i primi tre componenti più efficaci di una strategia di difesa in-depth per combattere il ransomware sono: 

1. Autenticazione a più fattori 

2. Formazione sulla consapevolezza della sicurezza 

3. Software anti-phishing.

Alzare l'asticella per la sicurezza nel software 

Migliorare la sicurezza della software supply chain non è solo una necessità aziendale: è stata riconosciuta come prioritaria ai più alti livelli del governo degli Stati Uniti. Un Executive Order di maggio 2021 ha infatti richiesto maggiore trasparenza e "meccanismi più rigorosi e prevedibili nel garantire che i prodotti funzionino in modo sicuro e come previsto". L’ordine esecutivo del governo USA includeva la richiesta, tra le altre disposizioni, di una "distinta base software" (software bill of materials, SBOM) per tutti gli applicativi venduti al governo federale. 

Questa distinta base per il software fornirebbe visibilità sui singoli componenti che lo costituiscono (e sulle relazioni associate nella supply chain). Sarebbero anche inclusi i componenti open source che, come noto, introducono rischi significativi. Secondo gli intervistati, si tratta di una mossa positiva: l'85% afferma che una distinta base del software ridurrebbe il rischio di compromissione nella software supply chain.