Le credenziali rubate sono diventate il volano per la maggior parte dei cyber attacchi. Un account violato costituisce la chiave d'accesso per un endpoint, da cui avviare movimenti laterali nelle reti aziendali. Come proteggerle in maniera efficace?

Adottando una metodologia di protezione degli account basata sul framework zero trust, con il quale si ha la certezza al 100% che l’utilizzatore delle credenziali sia un soggetto effettivamente autorizzato. Okta è ad esempio uno IAM che fa della filosofia zero trust il suo concetto fondante.

L'eliminazione delle password può essere una soluzione percorribile, alla luce del fatto che Microsoft permette l'accesso ai servizi Microsoft Edge e Microsoft 365 senza più chiedere le password, e che altri big hanno proposto tecnologie passwordless?

Certo. In un’ipotetica scala di valori, l’utilizzo delle credenziali è lo strumento di autenticazione più facile da usare ma al contempo più semplice da bucare. Esistono sul mercato prodotti come Okta MFA che sono in grado di supportare più fattori di autenticazione, come la push notification, utile a rendere superfluo l’inserimento delle credenziali, soprattutto in condizioni di accesso considerate rischiose.

Quasi sempre il problema delle credenziali "bucate" è riconducibile a una cattiva gestione delle password da parte degli utenti, fra il riciclo di chiavi di sicurezza e la mancanza di aggiornamenti anche a seguito di data breach. Che ruolo gioca la formazione al riguardo?

La Cyber Security Awarness è fondamentale per la formazione del personale di un’azienda. Accanto a questa, sarebbe auspicabile l’utilizzo di strumenti di Insider Threat Management che consentono alle infrastrutture IT di essere protette anche dai danni accidentali di utenti “poco consapevoli”. Ekran System è uno di questi: è un prodotto che mette insieme da una parte l’aumento della consapevolezza aziendale e dall’altra sistemi di protezione dai danni accidentali.

Quali prodotti/servizi consigliate ai vostri clienti per una gestione ottimale delle password?

Nel caso di utenti standard la direzione giusta a nostro avviso è quella di uno IAM, Okta o ADSelfService Plus di ManageEngine; nel caso di utenze “privilegiate”, l’utilizzo di uno strumento di PAM (Privileged Acces Management) è da considerarsi fondamentale. Tra questi come non menzionare la stessa Okta, nella sua declinazione di Advanced Server Acces, Ekran System ma soprattutto una soluzione completa ed affidabile come PAM360 di ManageEngine.