L’identità è il nuovo perimetro. Non è una constatazione teorica, ma un dato di fatto ormai consolidato a seguito della dissoluzione dei perimetri aziendali, causata dall’adozione massiva del cloud, dal lavoro distribuito e dall’esplosione dei servizi digitali. Nel contesto attuale, non è più possibile usare efficacemente barriere hardware o policy statiche per proteggere le identità (sia umane che macchina). Detto questo, nessuno può esimersi dalla gestione delle identità e degli accessi, a prescindere che si tratti di multinazionali, grandi provider o piccole PMI.

Perché le identità sono sotto attacco

Il motivo di questa imprescindibilità è la trasformazione dei vettori d’attacco e delle strategie dei cyber criminali. Sempre più spesso, l’obiettivo primario degli attaccanti non è più il sistema, bensì l’identità, perché ogni utente, ogni macchina, ogni applicazione rappresenta un potenziale punto di accesso. E questo vale per sia le persone, sia per le identità macchina.​

Secondo ricerche recenti, la maggioranza delle aziende italiane ha subìto compromissioni alle identità negli ultimi 12 mesi. Gli attacchi spaziano dalla compromissione della supply chain al furto di credenziali, passando per l’abuso di accessi privilegiati e l’esfiltrazione di dati. Il tutto avviene con escalation che spesso passano inosservate, salvo scoprire l’accaduto successivamente dai siti di rivendicazione dei gruppi criminali. L’attenzione sulle identità è data principalmente dal fatto che rappresentano la chiave di ogni accesso: comprometterle significa ottenere il controllo di dati riservati, risorse cloud, workflow cloud e molto altro.​

Man mano che crescono la complessità e la distribuzione degli ambienti IT aumenta esponenzialmente il livello di rischio. E di pari passo, gli attaccanti investono in tecniche mirate per sfruttare ogni minima disattenzione, configurazione errata, policy debole. Un’utenza compromessa o un permesso eccessivamente lasco diventano l’anello debole che può trasformarsi in una falla dalla quale entrare nell’infrastruttura.​

È inoltre da ricordare che il furto di credenziali resta il punto di partenza della maggior parte delle violazioni significative: una sola identità compromessa può consentire un movimento laterale e l’escalation su asset distribuiti tra cloud pubblici, privati e on-premise.

Attacchi e difesa moderni

Un tempi i rischi si riassumevano in due attività: phishing e brute force. Oggi gli attacchi sono molto più sofisticati: infostealer mirati che raccolgono credential da endpoint compromessi; toolkit automatizzati in grado di attaccare ambienti compositi; attacchi alle supply chain; movimenti laterali riconducibili ad account privilegiati lasciati inattivi o non monitorati.

Difendersi richiede una transizione culturale e tecnologica. Il modello Zero Trust è quello più consigliato: toglie dall’equazione il tassello della fiducia implicita e impone la validazione costante di ogni azione. Con Zero Trust nessun accesso è più garantito dall’interno della rete aziendale, nessun ruolo dà per scontato un privilegio. Ogni richiesta viene valutata per contesto, dispositivo, stato di sicurezza, identità e livello di rischio, e ogni anomalia viene gestita in tempo reale, anche e soprattutto grazie all’intelligenza artificiale.​

L’autenticazione multifattoriale (che ormai dovrebbe essere uno standard minimo anche per le PMI), la verifica della postura dei dispositivi, la segmentazione degli accessi, il controllo continuo delle identità macchina e umane limitano lo spazio d’azione degli attaccanti.

Detto questo, la tecnologia da sola non è sufficiente, per questo aumentano sempre di più gli investimenti in security awareness. L’anello debole resta l’utente, spesso impreparato a riconoscere le trappole di social engineering, phishing o attacchi mirati. Un’attività di formazione continua consente alle aziende di trasformare gli utenti nella prima linea di difesa, riducendo la probabilità che un clic sbagliato apra le porte a una compromissione.​

In aggiunta, un altro tassello fondamentale è l’osservabilità, che si ottiene mediante console di risk management, capacità di discovery, governance e automazione, che insieme consentono di identificare le aree di maggiore rischio, prioritizzare la remediation, rispondere alle normative. In sostanza si tratta di passare da un modello statico, basato sul perimetro, a uno dinamico, centrato sull’identitò e basato sul rischio. È un quadro in cui ogni identità dev’essere protetta lungo tutto il ciclo di vita, ogni accesso dev’essere contestualizzato, ogni comportamento anomalo esaminato con gli strumenti analitici e l’AI, quindi gestiti in maniera automatica.