Perché la visibilità è più importante della governance quando si tratta di identity security
Autore: Srilekha Veena Sankaran
In Game of Thrones, Lord Petyr Baelish – detto anche Ditocorto – non comandava eserciti. Non ha mai rivendicato il Trono di Spade. Il suo potere risiedeva nelle relazioni. Alleanze silenziose e catene di fiducia che lui vedeva meglio di chiunque altro. I suoi avversari agivano senza una mappa della scacchiera che aveva disposto lui. Oggi, gli ambienti di enterprise security si trovano ad affrontare la stessa dinamica.
Le organizzazioni fanno importanti investimenti in framework di governance, conformità e tool sempre più sofisticati. Eppure, gli hacker si muovono attraverso appartenenze a gruppi nascosti, account di servizio inattivi e relazioni di fiducia con i fornitori che non sono mai state progettate per garantire privilegi d’accesso interni. Non scatta alcun allarme perché tecnicamente non vi sono violazioni, l'accesso è consentito, il percorso è valido. Semplicemente, l’infrazione non era visibile come una catena.
Nell'aprile 2025, la catena di retail britannica Marks & Spencer ha imparato questa lezione a caro prezzo. Una violazione dei loro sistemi ha cancellato oltre 750 milioni di sterline in valore di mercato e bloccato gli acquisti online per oltre sei settimane. Ma oltre all'entità del danno, ciò che è davvero indicativo sono le dinamiche di ingresso.
Gli hacker non hanno dovuto abbattere alcuna difesa, hanno chiamato un helpdesk IT gestito da terze parti, si sono spacciati per dipendenti, hanno attivato un reset di routine delle credenziali e sono rientrati nella rete con un'identità legittima. Da lì, si sono spostati lateralmente per settimane prima di installare un ransomware.
Ogni passaggio è stato autorizzato. Il fornitore aveva accesso all'helpdesk, l'helpdesk aveva il permesso di reimpostare le credenziali e queste credenziali consentivano di accedere alla rete. Nulla è stato configurato in modo errato, né è stato necessario sfruttare alcuna falla del sistema.
Ciò che è mancato è stata la visibilità sui collegamenti tra le diverse autorizzazioni. I singoli passaggi della catena di fiducia erano formalmente validi, ma nel complesso hanno aperto il fianco a una violazione catastrofica. Secondo l'Unità 42 di Palo Alto Networks, le debolezze nelle identità digitali hanno rappresentato un fattore determinante in quasi il 90% degli incidenti indagati nel 2025, e la stragrande maggioranza è stata causata da lacune di esposizione prevenibili, più che da tecniche avanzate messe in atto dagli hacker.
Consideriamo un account di servizio creato per un'integrazione ormai in disuso che detiene ancora accesso privilegiato ai sistemi di produzione. Non ha mai causato danni e non è mai stato esaminato. È semplicemente rimasto attivo, non perché gli strumenti non riuscissero a rilevarlo, ma perché nessuno ha esaminato le modalità di connessione. Col tempo, i diritti si accumulano, i requisiti di autenticazione si indeboliscono e il monitoraggio comportamentale si riduce al minimo.
L'azienda può documentare meticolosamente il rapporto commerciale con i suoi fornitori. Ma raramente mapperà la relazione di identità nel grafo in cui operano gli hacker. Una credenziale rilasciata per uno scopo specifico accumula silenziosamente permessi ben oltre il suo ambito originale. Non per malizia, ma per la deriva di un'azienda che si muove più velocemente di quanto non effettui verifiche.
L'adozione di molteplici cloud e del SaaS aggrava il problema. Un'identità può esistere in Entra ID, federarsi in AWS e autenticarsi su diverse piattaforme SaaS, ciascuna con autorizzazioni diverse. Nessuna directory riflette l’accesso totale effettivo. Accorpare tale accesso in un'unica vista effettiva rimane una sfida per molte organizzazioni.
Le organizzazioni stanno rapidamente implementando agenti AI autonomi nei loro sistemi. Questi accedono alle API, interrogano i database, scrivono codice e orchestrano i flussi di lavoro. Ognuno di essi opera come un'identità macchina, spesso con privilegi significativi.
A differenza degli account di servizio tradizionali, gli agenti AI possono agire sui sistemi in modi non prevedibili dalle policy statiche. Le catene di fiducia che li governano sono immature e la visibilità sul loro accesso e comportamento è minima nella maggior parte delle aziende.
Le identità non umane stanno già crescendo a ritmi più rapidi di quanto i team di sicurezza riescano a monitorare manualmente. L'intelligenza artificiale non fa altro che accelerare questa traiettoria. Con la riduzione del tempo di permanenza degli aggressori, circa 2025 intrusioni passano dall'accesso iniziale all'esfiltrazione di dati in meno di due ore, una governance reattiva non è sufficiente. La visibilità deve operare prima della violazione.
L'intelligenza artificiale è un grande moltiplicatore di forza: se la visibilità non si estende agli agenti autonomi, gli angoli morti cresceranno di conseguenza.
Il ritmo del cambiamento ha superato la capacità di supervisione manuale. Le identità non umane si stanno moltiplicando rapidamente, i tempi di intervento degli hacker si stanno riducendo e ormai le violazioni si verificano in poche ore, non più in settimane.
La visibilità deve essere continua, automatizzata e lungimirante, includendo identità umane e non umane, agenti AI, autorizzazioni OAuth e percorsi relazionali che creano privilegi indesiderati. Solo identificando ed eliminando le catene di accesso a rischio prima che vengano sfruttate, le organizzazioni possono tenere testa alle intrusioni moderne.
Conoscere l’esistente. La maggior parte delle aziende gestisce solo una frazione della propria effettiva impronta di identità. Un inventario attendibile deve includere account di servizio, chiavi API, credenziali macchina, accesso ai fornitori, token CI/CD e agenti AI.
Mappare le relazioni, non solo gli account. Presi in isolazione, raramente gli account sono pericolosi. Il rischio emerge da gruppi nidificati, ruoli ereditati, federazioni multipiattaforma e catene di trust. Se non è possibile tracciare il percorso da un account di un appaltatore inattivo a una risorsa critica, non è possibile difenderla.
Trattare le identità non umane con la massima attenzione. Scadono raramente e spesso godono di privilegi eccessivi al momento della creazione. Vengono raramente revisionate. Meritano lo stesso rigore di governance applicato agli account umani.
Far diventare la visibilità un comportamento. I dati di accesso strutturale sono fondamentali. Le linee di base comportamentali trasformano tali dati in un segnale di allerta precoce. Quando un account di servizio inizia a interrogare sistemi non familiari, o le credenziali di un fornitore si discostano dagli schemi consolidati, quel segnale deve emergere prima che si verifichino danni.
Estendere la visibilità a tutti i vendor e gli ambienti. Una credenziale di terzi esterna al perimetro di monitoraggio dell’organizzazione rientra comunque nel suo profilo di rischio.
La definizione stessa di identità si sta allargando, plasmata dall'adozione di sistemi multi-cloud, dalle catene di fornitura del software e dagli agenti AI autonomi. Molte strategie di sicurezza aziendale sono progettate per respingere gli hacker che attaccano il perimetro e attivano avvisi, e contro questo modello funzionano bene.
Tuttavia, uno stack di sicurezza, per quanto sofisticato e maturo, non garantisce protezione se non si riesce a vedere l'intero sistema. Nessun framework di governance può difendere ciò che non può vedere. Governance, compliance e applicazione delle norme funzionano solo se possono fare affidamento su una visione completa e costantemente aggiornata dell’intera organizzazione.
I responsabili della sicurezza devono prima esaminare l'intero sistema. Poi gestirlo. La questione non è se esistano punti ciechi nel vostro profilo identitario, è riuscire a individuarli prima che lo faccia qualcun altro.
Inoltre, non si può governare ciò che non si vede!