▾ G11 Media Network: | ChannelCity | ImpresaCity | SecurityOpenLab | GreenCity | Italian Channel Awards | Italian Project Awards | ...

Controllo degli accessi e degli account

Il settore IAM (Identity and Access Management) cambia con l'evolvere dei modelli IT: a cosa puntare in questa fase del mercato.

Tecnologie/Scenari

La protezione delle credenziali e degli accessi alle risorse aziendali è un argomento caldo da un paio d'anni. L'emergenza sanitaria e il conseguente lavoro da casa hanno ampliato la superficie di rischio, dato che gli utenti si connettono per lo più dall'ambiente domestico. Trovarsi fuori dagli ormai dissolti perimetri aziendali in un momento di accelerata e obbligata accelerazione della trasformazione digitale ha esacerbato ancora di più i rischi. Non solo dipendenti e collaboratori si connettono alle reti aziendali dall'esterno, ma fanno uso di un numero sempre maggiore di servizi sia professionali, sia personali.

In questo scenario si insinua l'attività del cybercrime, che ha colto più di un'opportunità per perpetrare attacchi. Perimetri aziendali un tempo inespugnabili si superano facilmente con una credenziale rubata. Da lì è poi relativamente semplice attuare movimenti laterali, individuare gli asset critici e bloccarli. Un'escalation che ha fatto fiorire il mercato delle credenziali, finanche a portare alla creazione di vere e proprie figure professionali, gli Initial Access Broker, deputati a rubare e rivendere credenziali ai gruppi cyber per agevolarne gli attacchi. Per avere una proporzione del fenomeno, basti pensare che solo nel markeplace UAS su cui si vendono credenziali RDP, fra dicembre 2018 e marzo 2021 sono passati di mano 1.379.609 account.

Il problema è generalizzato e non può essere circoscritto all'ambiente professionale. Tutti i dipendenti hanno una vita privata, in cui a loro volta fanno uso di servizi e app che necessitano di password. Anche chi è consapevole dei rischi fatica a ricordare decine di password differenti: basta riciclarne un paio per avviare un effetto domino che dalla sfera personale contamina quella professionale e viceversa.

Oltre tutto, con la dissoluzione dei perimetri il problema non è più circoscritto all'accesso alle risorse on-premise. Non si può e non si deve trascurare la sfera cloud, che riveste un'importanza ormai critica. Non è un caso che una recente ricerca di mercato condotta da IDC su 300 CISO abbia rilevato che il 79% delle aziende ha subito almeno una violazione dei dati in cloud negli ultimi 18 mesi. E che fra i motivi che hanno portato alla violazione, il terzo è proprio la gestione degli accessi. Da qui l'inserimento da parte di IDC del controllo dei permessi di accesso fra le tre priorità per la cloud security.

Le password da sole non bastano più

È quindi urgente e prioritaria la necessità di adottare soluzioni di controllo degli accessi. Le opzioni sono molte, gli esperti che abbiamo intervistato per questo speciale hanno proposto tecniche MFA (Multi Factor Authentication), app di autenticazione cloud based, gestione degli accessi Zero Trust e altro. Qualcuno auspica addirittura la soppressione delle credenziali "vecchio stile" a favore di tecniche passwordless decisamente più robuste e difficili da violare. Sono punti di vista differenti che hanno una propria valenza nell'ambito del controllo degli accessi.

Quello su cui tutti concordano è che il binomio username e password è ormai superato. Non è più possibile affidarsi solo a questa combinazione di chiavi. Occorre aggiungere all'equazione un elemento aggiuntivo più o meno automatizzato, come un codice di conferma, un'app di autenticazione, la biometria. Per una maggior sicurezza si può optare per l'adozione di soluzioni che combinano la procedura di autenticazione con il controllo della sicurezza del dispositivo da cui si esegue l'operazione.

È meno corale, invece, il consenso sui corsi di formazione per il personale. Se per il phishing conoscere le best practice è fondamentale e fa la differenza fra un attacco riuscito e uno sventato, per l'autenticazione non c'è la stessa percentuale di successo. Non ricordare password troppo complesse è umano, non riuscire a farlo per 30, 40 account è naturale. Nella situazione odierna è inevitabile che qualche password sia troppo scontata o parzialmente ripetuta, e la commistione fra personale e professionale è ormai tale che un errore nel primo ambito può facilmente avere conseguenze sul secondo.

L'onere del controllo degli accessi insomma non è delegabile all'utente e non si può a ragion veduta addossare a quest'ultimo la responsabilità della gestione della sicurezza delle risorse aziendali. Spetta all'azienda tutelare la propria sicurezza, adottando strumenti e procedure altamente sicuri e quanto più possibile inviolabili. E fornire agli utenti una soluzione chiavi in mano il più possibile automatizzata e facile da usare. Le valutazioni da fare sono molte, ed è inevitabile a questo punto investire in una soluzione IAM di ultima generazione, dopo un'attenta valutazione del rischio e dopo avere vagliato tutte le soluzioni che il mercato offre.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter