L’uso dell’AI rende credenziali e identità sempre più vulnerabili. Il controllo degli accessi diventa dinamico e continuo per contrastare minacce difficili da rilevare.
Autore: Redazione SecurityOpenLab
La sicurezza delle identità sta assumendo un ruolo sempre più centrale negli attuali modelli di difesa, in un contesto in cui le modalità di attacco si sono evolute rapidamente. Secondo l’analisi di Integrity360, più che a violare i sistemi sfruttando exploit tecnici, gli attaccanti preferiscono accedere direttamente alle reti utilizzando identità compromesse o costruite ad hoc. Questo cambiamento segna una discontinuità rispetto al passato e mette in discussione presupposti consolidati nei processi di autenticazione e verifica.
Storicamente, la fiducia ha rappresentato un elemento implicito nei meccanismi di identificazione. La validità di una comunicazione, di una firma o di una richiesta operativa veniva era data per acquisita sulla base di segnali percepiti come affidabili. Il guaio è che l’evoluzione delle tecnologie di AI ha reso questi segnali sempre più facili da replicare o manipolare. La capacità di generare contenuti sintetici realistici, inclusi video e voce, riduce significativamente la possibilità per un individuo di distinguere tra un’identità autentica e una artefatta. Le stime indicano che il riconoscimento umano dei deepfake si colloca su livelli di precisione limitati, che sono destinati a peggiorare con il progresso tecnologico.
Parallelamente, si sta diffondendo l’uso di identità artificiali costruite a partire da dati reali, che sono difficili da distinguere dagli utenti legittimi e che sono già impiegate in attacchi contro processi aziendali critici come l’onboarding o i controlli di accesso. Questo fenomeno si inserisce in un quadro più ampio in cui una parte significativa delle organizzazioni segnala un aumento degli attacchi basati sull’AI e una crescente esposizione al social engineering.
Il contesto operativo delle aziende contribuisce ad amplificare il problema. Il perimetro tradizionale della rete è ormai scomparso, sostituito da un ecosistema distribuito in cui applicazioni, servizi e dati risiedono in ambienti cloud e SaaS. Gli utenti accedono da dispositivi eterogenei e da qualsiasi luogo, mentre i processi di autenticazione e autorizzazione si basano su un numero crescente di identità, spesso difficili da gestire in modo centralizzato.
In questo scenario, l’identità diventa il principale punto di controllo per l’accesso alle risorse. Quando un’identità viene compromessa, l’attaccante può operare all’interno dell’ambiente con modalità che risultano coerenti con quelle di un utente legittimo, rendendo difficile individuare le attività malevole. Movimenti laterali, escalation dei privilegi e persistenza possono avvenire senza attivare segnali evidenti per i sistemi di monitoraggio tradizionali.
L’AI accelera ulteriormente queste dinamiche e permette agli attaccanti di analizzare grandi volumi di dati, individuare percorsi di accesso privilegiato e sfruttare configurazioni deboli in tempi ridotti. Gli account con privilegi elevati rappresentano l’obiettivo principale, poiché permettono di disattivare controlli di sicurezza, accedere a infrastrutture critiche o mantenere la presenza all’interno dei sistemi. Un ulteriore elemento critico riguarda la riduzione del tempo che intercorre tra la compromissione iniziale e l’impatto sull’organizzazione.
In questo contesto, modelli come Zero Trust mantengono una loro rilevanza, ma mostrano limiti legati alla qualità e all’affidabilità delle identità su cui si basano. La verifica continua perde efficacia se le credenziali possono essere replicate o dirottate. Per questo motivo, emerge la necessità di un approccio che superi l’autenticazione statica e introduca controlli dinamici, basati sul comportamento e sul contesto operativo.
La sicurezza delle identità tende quindi a configurarsi come un processo continuo, che richiede valutazioni in tempo reale su ogni sessione e su ogni richiesta di accesso. Questo implica l’adozione di modelli capaci di adattarsi ai segnali di rischio e di limitare l’impatto di una compromissione, partendo dal presupposto che le identità rappresentano uno dei principali vettori di attacco. Le organizzazioni che continuano a considerarle come un semplice perimetro rischiano di non cogliere la portata del cambiamento in atto.