La cyber security e la protezione dell’identità digitale restano al centro delle preoccupazioni della maggior parte delle aziende. A confermarlo è il report 2024 Identity Security Threat Landscape pubblicato da CyberArk, al cui interno è presente anche una fotografia della situazione italiana.
Nel dettaglio, la survey riguardante le imprese nostrane evidenzia come il 90% delle organizzazioni nel nostro Paese abbia subito due o più violazioni legate all’identità nell’ultimo anno. Una percentuale simile (91%) avrebbe invece affrontato almeno un attacco ransomware nello stesso periodo, mentre l’83% avrebbe pagato un riscatto per ripristinare i dati. Numeri preoccupanti, dai quali emerge un livello di maturità decisamente “perfettibile” delle realtà italiane.
L’identità al centro
Se i dati riguardanti il numero di aziende vittime di attacco e, ancor più, la percentuale che ha deciso di cedere all’estorsione sono indizio di una situazione ancora emergenziale in ambito di sicurezza informatica, il vero nodo del problema va oltre le semplici statistiche.
“Le imprese faticano a individuare nell’identità digitale il vero nodo del problema” sottolinea Paolo Lossa, Country Sales Director di CyberArk. “Se concetti come l’Identity Access Management possono ormai considerarsi interiorizzati, lo stesso non si può dire della Identity Protection. La stessa Gartner, nei suoi report, non prevede ancora questa categoria”.
Eppure, secondo Lossa, il tema dovrebbe essere in cima alle agende di tutti i team di security. La maggior parte degli attacchi subiti dalle aziende, infatti, coinvolgono in qualche modo una compromissione di identità. Un problema che è destinato ad amplificarsi, visto e considerato che dal già citato report di CyberArk emerge come il 39% delle stesse imprese italiane prevedano che il numero di identità all’interno del loro ecosistema IT sia destinato a raddoppiare nei prossimi 12 mesi.
Qui le cose, però, si fanno un po’ più complicate. “Quando parliamo di identità, spesso tendiamo a considerare soltanto l’account aziendale” spiega Massimo Carlotti, Sales Engineering Manager di CyberArk. “In realtà il panorama che ci si trova ad affrontare è decisamente più complesso.
Quali identità?
Carlotti spiega che CyberArk identifica almeno quattro diverse categorie di identità. La prima e più ovvia è quella dei “semplici” dipendenti, la cui gestione richiede semplicemente un’accurata definizione di policy per gli accessi. Le cose cambiano già quando si parla di categorie che hanno privilegi più “pesanti” come i tecnici IT o gli sviluppatori. L’ultima (e più problematica) categoria è quella delle identità “non umane”, cioè macchine e applicazioni.
“Troppo spesso ci dimentichiamo che un applicativo può avere accesso a una notevole quantità di sistemi e di dati all’interno della rete (o WAN) aziendale” sottolinea Carlotti. “Questo aumenta notevolmente la superficie di attacco e permette spesso ai pirati informatici di eseguire con facilità il movimento laterale all’interno dei sistemi”.
Se si considera che la generazione di credenziali che vengono utilizzate dalle macchine sono in un rapporto di 45:1 rispetto a quelle per lavoratori in carne e ossa, diventa evidente come l’assenza di un sistema di controllo efficace a questo livello possa trasformarsi nel vero anello debole a livello di sicurezza. Il rischio è confermato dal fatto che la percezione da parte delle aziende italiane sul tema, così come fotografato dal report di CyberArk, evidenzia una forte sottostima del rischio. Solo il 37% degli intervistati considera infatti le identità macchina come “privilegiate”. Un errore che può costare caro.
“La frequenza con cui le macchine comunicano tra loro è impressionante e lasciare che questa sia una sorta di ‘area grigia’ all’interno della gestione delle identità significa fornire un vero e proprio assist a un eventuale intruso” spiega Carlotti.
Affidarsi all’AI per gestire le identità
In ecosistemi complessi come quelli che le aziende si trovano a gestire, l’adozione di strumenti di automazione è un passaggio indispensabile per garantire una gestione puntuale delle identità. “Una governance efficace dovrebbe sfruttare policy dinamiche per la gestione dei privilegi, che permettano di adattare i permessi di accesso ai singoli processi” spiega Carlotti. “Per centrare l’obiettivo, la migliore alleata è l’intelligenza artificiale”.
La soluzione CyberArk in questo ambito è CORA AI, che Massimo Carlotti definisce come un “motore” che opera in maniera assolutamente trasparente per gli utenti ed è in grado di analizzare il comportamento di qualsiasi identità, rilevare eventuali anomalie e reagire di conseguenza. L’esperto di CyberArk tiene però a precisare che non si tratta di un livello di automazione eccessivamente “spinto”. “CORA AI è in grado di fornire informazioni e suggerimenti, ma l’ultima parola spetta sempre a un operatore in carne e ossa” precisa.
Ma di quale tipo di AI stiamo parlando? In tempi in cui l’attenzione del pubblico è concentrato esclusivamente sull’intelligenza artificiale generativa, è bene precisare che il “nocciolo” del sistema poggia sul caro vecchio machine learning, il cui contributo in ambito security è ormai un elemento sedimentato. La Gen AI ha però un ruolo anche all’interno della piattaforma CyberArk.
“Il sistema è in grado di attingere a informazioni puntuali senza che sia necessario consultare corpose documentazioni e anche di fornire suggerimenti su come modificare le policy di accesso in modo da migliorare la postura di sicurezza in base alle anomalie rilevate” specifica Carlotti.
Più in generale, CORA AI si propone come uno strumento flessibile, in cui la definizione delle policy è comunque nelle mani del team di sicurezza. “Quando si parla di cyber security, cristallizzare un modello ideale per tutti è pressoché impossibile” conclude Carlotti. “Il vero obiettivo è quello di definire un livello di rischio accettabile per l’organizzazione e agire di conseguenza”.