"CyberArk nasce nel Privileged Access Management, ma come innovatori ci siamo posti l'obiettivo di creare una nuova categoria della cybersecurity: l'Identity Security. Perché ogni identità digitale, associata o meno a una persona reale, per essere sicura deve avere associato un corretto livello di privilegi". Per certi versi le parole di Paolo Lossa, Country Sales Director di CyberArk Italia, sembrano ovvie: da tempo chi fa cybersecurity ha il problema di definire livelli di privilegio sempre equilibrati, specie considerando che quello umano è sempre il principale anello debole della sicurezza.

Oggi però la questione-identità si è fatta decisamente più articolata che in passato e presenta maggiori problemi nella difesa dei dati e delle risorse IT aziendali. Il report CyberArk 2024 Identity Security Threat Landscape evidenzia, ad esempio, che il 90% delle aziende italiane ha subìto due o più violazioni legate alle identità nell'ultimo anno. Questo vuol dire aver subìto un attacco informatico che è passato attraverso la compromissione di una identità digitale.

La stessa dinamica che ha colpito le aziende italiane riguarda anche quelle di tutto il mondo, il che porta i responsabili della cybersecurity a vedere nelle identità digitali una sorta di nuovo perimetro di sicurezza. O anche - dipende dai punti di vista - una nuova superficie di attacco. Parlare di Identity Security come un di un campo a sé stante assume quindi, oggi, un preciso significato.

Uno dei cambiamenti che ha reso più complesso gestire in sicurezza le identità digitali è che queste sono aumentate in numero e in varietà. Il tradizionale utente privilegiato - l'operatore IT in senso lato - non è più la sola figura che potenzialmente accede a dati e risorse sensibili. "La logica degli utenti in qualche modo privilegiati si andrà ad estendere a macchia d'olio oltre gli operatori IT, coinvolgendo le identità legate ai dipendenti, agli sviluppatori e anche alle cosiddette identità-macchina", spiega Lossa.

Paolo Lossa, Country Sales Director di CyberArk Italia

Qualsiasi identità privilegiata è un potenziale bersaglio, perché un attaccante la prenderà di mira per acquisirne credenziali e privilegi e, con questi, effettuare operazioni di attacco più efficaci. Una difficoltà in più è che nell'attuale scenario dell'IT le identità "preziose" possono essere dentro e fuori l'azienda, agire su risorse ampiamente distribuite tra on-premise e multicloud, essere legate tanto a persone quanto a bot oppure oggetti IoT.

Il report CyberArk 2024 Identity Security Threat Landscape fotografa l'incertezza delle aziende e dei loro CISO di fronte a questo scenario. C'è il pericolo della frammentazione delle identità: il 51% del campione italiano dell'indagine CyberArk considera le identità delle terze parti come le più rischiose, seguite dalle identità-macchina (49%) e da quelle dei clienti B2B (44%). E c'è il problema del numero delle identità da gestire: il 39% del campione italiano prevede che le identità cresceranno nei prossimi 12 mesi, mediamente di 2,4 volte.

C'è anche - e ancora, vien da dire - una sottovalutazione del rischio associato ai "digital worker", che possono essere chatbot, script di Robotic Process Automation, AI, oggetti smart o quant'altro. Solo il 37% del campione considera identità privilegiate tutte quelle dotate di accesso sensibile, che siano o meno associate a utenti umani. Il 63% restante guarda solo a cosa potrebbero fare, volontariamente o meno, le persone. E per questo rischia più del dovuto, secondo CyberArk.

Un approccio trasversale

Insomma, la questione delle identità digitali si è fatta decisamente complessa e la piattaforma che CyberArk propone per affrontarla - la Identity Security Platform - è stata progettata proprio puntando ad un approccio olistico alla sicurezza delle identità. E può proporsi come una soluzione omogenea e coerente ai vari aspetti collegati perché - spiega Massimo Carlotti, Sales Engineering Manager Italy di CyberArk - "CyberArk ha lavorato, per sviluppi interni come per acquisizioni, sempre con un'idea molto ben precisa in mente, che era proprio quella di costruire il concetto stesso di Identity Security".

Massimo Carlotti, Sales Engineering Manager Italy di CyberArk

La Identity Security Platform ha visto di recente l'introduzione di diverse nuove funzioni mirate per il controllo e la protezione delle identità associate alle "personas" chiave identificate dalla software house: utenti della forza lavoro, utenti IT, sviluppatori, identità macchina. Idealmente "sotto" le funzioni specifiche della piattaforma, inoltre, si colloca ora una base di funzioni di Intelligenza Artificiale - collettivamente battezzate Cora AI - in grado di rilevare anomalie nel comportamento degli utenti (umani e non) e di reagire di conseguenza.

Cora AI è, in estrema sintesi, un motore di Intelligenza Artificiale che gira dietro le quinte della piattaforma CyberArk e offre alcuni servizi "di supporto" ai moduli della piattaforma stessa. Si occupa ad esempio di analizzare le sessioni utente, monitorare l'uso delle credenziali delle identità macchina, creare automaticamente policy mirate, interagire con gli operatori umani attraverso chatbot. Offre quindi, in sostanza, un aiuto in più nella parte di detection e response.

"L'obiettivo in questo momento - spiega Carlotti - è permettere agli operatori della security di rilevare prontamente tutte le anomalie che a un occhio umano forse sfuggirebbero, semplicemente perché richiedono tempi di reazione possibili solo a una macchina. Soprattutto quando si tratta di valutare le possibili ramificazioni di situazioni che sono, quelle sì, in qualche modo codificabili e strutturabili". Cosa fare nei vari possibili scenari resta però una decisione, per ora, non automatizzata: "Cora AI può eseguire dei playbook predefiniti, ma non vogliamo lasciare il completo controllo della situazione all'AI. Le azioni da mettere in atto possono essere suggerite e poi innescate manualmente dagli operatori", sintetizza Carlotti.

Serve un cambio di passo

Nelle intenzioni di CyberArk, poter gestire in maniera omogenea e automatizzata vari aspetti della Identity Security aiuta in particolare perché la gestione tradizionale è invece molto frammentata. "Le aziende effettivamente riconoscono di avere una percezione poco esaustiva del problema: percepiscono isole di rischio ma fanno ancora fatica a vederle come un disegno unico", spiega Lossa. Un altro limite a cui le tecnologie di CyberArk cercano di porre rimedio, puntando sull'automazione e sull'AI, è una gestione spesso troppo statica delle identità digitali. Ad esse di norma vengono assegnati privilegi fissi nel tempo o che cambiano raramente, ma non deve essere per forza così.

"Possiamo fare in modo - spiega ad esempio Massimo Carlotti - che una identità venga creata quando l'utente deve accedere a una risorsa o a determinati dati e sia cancellata non appena il suo compito è finito, per ridurre la superficie attacco. Inoltre, possiamo assegnare ad una identità solo i privilegi necessari per quello che è il suo ruolo in una specifica sessione".

La tecnologia può fare molto, certamente, ma per l'Identity Security serve anche, sottolinea Lossa, un cambiamento culturale: "Serve passare dal concetto di utente privilegiato classicamente gestito all'interno dei framework della cybersecurity a una logica di gestione del rischio, per cui cioè qualsiasi identità può essere critica a seconda del tipo di attività che svolge e del tipo di dati a cui accede".

È un salto di qualità nell'approccio che aiuta molto le aziende, non solo per la cybersecurity ma anche in particolare lato compliance, e che però al momento stanno facendo solo le imprese più mature. Le altre si pongono il problema quando sono stimolate dai tradizionali "fattori di spinta" degli investimenti in sicurezza: una scadenza di compliance in arrivo o un incidente cyber da cui ripartire. Due condizioni, però, non proprio ideali per mettere seriamente mano alla propria infrastruttura.