Protezione delle identità e degli accessi. Sfide e opportunità per CIO e CISO

La sicurezza delle identità, la centralità dell’accesso alle risorse aziendali e la necessità di una protezione adeguata, oltre l’autenticazione. Active Directory, chiave di accesso all’infrastruttura IT, ma anche bersaglio preferito di attacchi cyber

Le soluzioni tradizionali di sicurezza delle identità – Identity and access management (IAM) e Privileged access management (PAM) – consentono agli amministratori IT di assegnare un’unica identità digitale a ciascuna entità – account privilegiati compresi – autenticarla quando effettua l’accesso, autorizzarla ad accedere a specifiche risorse, monitorarle e gestirle per tutto il loro ciclo di vita. Tuttavia concentrarsi esclusivamente sul processo di creazione di un’identità, sulla connessione e il controllo dell’accesso alle identità, non basta. Per ottenere un migliore livello di sicurezza è necessario andare oltre l’autenticazione e il controllo degli accessi e considerare altri aspetti quali credenziali, privilegi, diritti e sistemi che li gestiscono, oltre al rilevamento degli attacchi. L’Active Directory è uno dei principali obiettivi di attacco cyber. Nel rapporto “Digital Defense Report 2020”, Microsoft afferma che “l’adozione di attacchi mirati alle credenziali Active Directory è aumentata del 100% nel corso degli ultimi due anni” e che “il 52% degli attacchi cibernetici esamina o sfrutta vulnerabilità relative alle credenziali”.

Introdotto nel lontano 1999, Active Directory a distanza di oltre 30 anni rimane di gran lunga il metodo principale utilizzato dalla stragrande maggioranza di aziende e organizzazioni per fornire agli utenti l’accesso a risorse e applicazioni in base al ruolo svolto in azienda attraverso credenziali, regole, autenticazione e autorizzazione. Allora, possiamo affermare esplicitamente che spesso i problemi di sicurezza iniziano da qui? Active Directory incorpora le chiavi di accesso all’intera infrastruttura IT di qualsiasi azienda. «Ma presenta oggi numerose vulnerabilità, come l’assenza di meccanismi di sicurezza integrati, l’alto potenziale di malconfigurazioni o l’obsolescenza dei profili utente o di dominio definiti» – spiega Alberto Brera, country manager Italy di Stormshield. La crescita esponenziale di utenti in mobilità e l’utilizzo su più dispositivi di app basate sul cloud, hanno aumentato l’importanza di Active Directory e al tempo stesso la sua vulnerabilità. Un attacco capace di mandare al tappeto Active Directory inibisce l’accesso ai sistemi aziendali e apre praterie immense per prendere il controllo di sistemi, sottrarre dati, cancellare le tracce e avanzare richieste di riscatto. Da Active Directory sono partiti molti degli attacchi che hanno messo in ginocchio aziende e organizzazioni negli ultimi anni. Il suo danneggiamento comporta tempi lunghi per il ripristino e, nei casi peggiori, il ripristino dei backup può risultare inutile, perché infettato dal malware inserito dall’attaccante.

Data la centralità di Active Directory nell’architettura IT, sottolineare l’importanza di una protezione adeguata è superfluo. Oltre all’adozione di tecnologie appropriate, la messa in sicurezza richiede strategie mirate che contemplino la prevenzione. A partire da controlli periodici sulle identità fisiche e logiche presenti nella directory attraverso tool specifici. «Una prima misura, oltre al patching tempestivo, consiste nel garantire l’attualità dei dati contenuti» – afferma Brera. «Per assicurare la fruibilità dei servizi Active Directory ai giusti utenti, si raccomandano le buone prassi di sicurezza (come minimo l’aggiornamento delle password, di cui va valutata ciclicamente la robustezza e il backup dei profili), l’interposizione di soluzioni per la gestione delle identità e degli accessi (IAM), per l’autenticazione a più fattori (MFA) o di Endpoint detection and response (EDR), che integrano funzionalità di vaglio dei privilegi dell’utente in base al giorno, all’orario, alla rete a cui si è connessi, al dispositivo con cui ci si connette e verificano in tempo reale la coerenza dell’attività dell’utente con il suo profilo». Altrettanto importante è comprendere le tattiche più comuni utilizzate dagli avversari e la capacità di esserne allertati in tempo reale e disporre di una mappatura su framework MITRE per supportare la risposta delle Security Operations: attività questa – sottolinea Brera – che consiste nell’associare le attività di cyber threat intelligence ai framework di attacco noti (come appunto MITRE ATT&CK) per identificare le fasi del ciclo di vita dell’attacco e le tecniche utilizzate dagli aggressori.

Un approccio che consente alle security operations di comprendere meglio gli attacchi e sviluppare una strategia di risposta efficace. Le soluzioni tecnologiche, certamente utili per proteggere Active Directory, da sole non sono sufficienti. Più importante è la capacità di sviluppare una strategia di sicurezza globale per tutta l’organizzazione. «La protezione di Active Directory, così come di tutti i sistemi di gestione dell’identità digitale, richiede un approccio globale in grado di combinare le tecnologie appropriate, con una strategia organizzativa forte, e una cultura della sicurezza diffusa in tutta l’organizzazione» – afferma Mauro Cicognini, membro del Comitato scientifico di CLUSIT. «Alle prime ci possiamo arrivare, magari con un po’ di sforzo economico, ma le altre due, almeno in ambito cybersecurity, sono ancora appannaggio di pochi».

CENTRALITÀ E DEBOLEZZE

La criticità di Active Directory rende la sua sicurezza una delle principali preoccupazioni per i reparti IT. Su questa centralità e su queste debolezze si è sviluppata un’ampia offerta di prodotti e servizi – gestione degli accessi privilegiati, monitoraggio degli eventi, protezione degli account, prevenzione delle intrusioni, protezione contro il furto di credenziali e molto altro ancora – che alimenta un mercato in costante espansione. In questo segmento, le soluzioni IAM (Identity and access management) sono particolarmente importanti per la sicurezza di Active Directory perché forniscono funzionalità per garantire che solo gli utenti autorizzati abbiano accesso a risorse e dati, abilitando accessi privilegiati, monitoraggio degli eventi, autenticazione multifattoriale e gestione delle password. Anche le soluzioni PAM (Privileged access management) specificamente progettate per proteggere gli account privilegiati, limitare l’accesso ai sistemi sensibili e monitorare le attività degli utenti con accesso elevato, forniscono ai team IT maggiore controllo e visibilità su accessi e utilizzo delle credenziali. Oltre a prevenire eventuali attacchi, grazie a funzionalità come l’accesso su richiesta, la rotazione automatica delle password e la registrazione completa delle attività degli utenti.

Sebbene entrambe le soluzioni risalgono alla fine degli anni 90, solo negli ultimi anni, da quando l’aumento degli incidenti informatici ha costretto le aziende ad aumentare la sicurezza delle proprie infrastrutture IT, hanno iniziato a diventare molto popolari. «Oggi, le soluzioni più evolute includono la congruità dei processi attivati dall’utente X cui è stato garantito accesso tramite credenziali Y con il profilo definito, allo scopo di identificare e bloccare eventuali attività sospette o anomale, come l’accesso ad applicazioni o risorse non autorizzate o l’accesso in orari e da luoghi insoliti» – spiega Alberto Brera di Stormshield. Queste soluzioni offrono anche una gestione dei privilegi avanzata, con la possibilità di definire regole di sicurezza per il controllo dell’accesso alle risorse, la gestione dei privilegi di amministratore e l’audit dei privilegi. Inoltre – continua Brera – «presentano meccanismi di protezione avanzati come la crittografia delle credenziali, l’impiego di token di autenticazione, la gestione delle password con rotazione automatica e analisi di conformità delle stesse con le policy di sicurezza e l’autenticazione a due fattori. Una caratteristica essenziale infine è la gestione avanzata del ciclo di vita delle identità con la creazione e la gestione automatizzata delle identità utente, delle autorizzazioni, delle licenze e la cancellazione automatica delle identità utente e dei privilegi assegnativi».

Queste tecnologie occupano quote di mercato importanti nel mercato del software sia in Italia che in Europa. IDC conferma le previsioni di crescita di queste soluzioni anche per il 2023. «L’efficace gestione delle identità e degli accessi rimane una priorità di CIO e CISO delle principali aziende italiane, alla costante ricerca di approcci e tecnologie che possano garantire la massima sicurezza e un’ottimale gestione del ciclo di vita degli account» – conferma Diego Pandolfi, consulting manager di IDC Italia. «Per queste ragioni, gli investimenti continuano a crescere ritmi molto sostenuti». Negli scorsi anni IDC ha rilevato una spesa complessiva in crescita di circa il 20% all’anno, alimentata dal progressivo affermarsi del lavoro da remoto. Anche per il 2023, IDC stima una spesa in crescita in Italia di circa il 12%, che ribadisce l’importanza che quest’area ricopre all’interno degli investimenti totali in sicurezza, e che rappresenta circa il 30% della spesa complessiva in software di sicurezza.

POLITICA DEGLI ACCESSI

Prima dell’implementazione delle tecnologie IAM/PAM, è auspicabile una chiara comprensione dei diversi ruoli e responsabilità all’interno dell’organizzazione, nonché delle autorizzazioni necessarie per svolgere determinate attività. In altre parole – come sintetizza Alex Galimi, sales engineer di Trend Micro Italia – si tratta di avere una politica di accesso alle informazioni, per capire “chi accede a cosa”, definendo le regole per l’assegnazione dei diritti di accesso, le autorizzazioni necessarie per accedere alle diverse risorse, le procedure di gestione degli account e degli accessi, e le modalità di monitoraggio e controllo degli accessi. «Una politica di accesso alle informazioni – spiega Galimi – può prevedere, per esempio, che solo gli utenti autorizzati possono accedere alle risorse specifiche, e solo per le attività autorizzate; che l’accesso alle risorse è concesso solo in base al ruolo dell’utente, alle responsabilità e alle esigenze di lavoro e ad altri criteri definiti. Con diritti di accesso periodicamente revisionati e aggiornati in base alle modifiche di ruolo, alle promozioni degli utenti. Solo dopo aver definito questi elementi si potrà procedere con l’implementazione di una soluzione IAM/PAM che soddisfi i requisiti di sicurezza e conformità stabiliti dall’organizzazione».

Un capitolo altrettanto importante nella valutazione di queste soluzioni è l’analisi delle modalità d’integrazione con Active Directory. In pratica, si tratta di comprendere – come osserva Galimi – in che misura i sistemi da proteggere supportano i moderni sistemi di autenticazione, e di prevedere una fase di integrazione per i sistemi più obsoleti. A seconda delle esigenze dell’azienda le soluzioni IAM possono integrarsi con Active Directory in diversi modi per semplificare le operazioni di gestione degli account degli utenti. Provisioning, sincronizzazione, Single Sign-On e naturalmente gestione degli accessi sono le modalità più comuni. Integrare una soluzione IAM con Active Directory può sollevare però alcune criticità. Le più comuni riguardano le incompatibilità tra le versioni dei protocolli di autenticazione e autorizzazione, le configurazioni errate, e la possibilità che all’interno di Active Directory siano contenute informazioni obsolete, account assegnati a persone che non lavorano più per l’azienda, password obsolete, e così via. Configurazioni sbagliate e problemi di manutenzione comportano inefficienze nel day-by-day, sincronizzazione errate e prestano il fianco all’introduzione di vulnerabilità. Anche l’integrazione delle soluzioni PAM con quelle di gestione delle identità e degli accessi, e di Active Directory può presentare alcune sfide. In genere l’integrazione tra PAM e IAM richiede la configurazione di connettori, l’armonizzazione dei processi di provisioning e deprovisioning degli account, e l’implementazione di un modello di gestione degli accessi unificato. Tra i problemi che potrebbero sorgere, la sovrapposizione delle funzionalità di IAM e PAM è forse la più ricorrente. Per esempio, entrambe potrebbero disporre di funzionalità di gestione delle autorizzazioni, di single sign-on (SSO) e di provisioning degli account.

In questo caso, l’integrazione deve evitare conflitti e duplicazioni. Alcune soluzioni IAM potrebbero non avere funzionalità specifiche per la gestione degli accessi privilegiati, come la rotazione automatica delle password e l’accesso su richiesta, funzionalità più spesso presenti nelle soluzioni PAM, ma difficili da replicare in una soluzione IAM. Inoltre, prima della effettiva implementazione bisogna considerare i punti deboli delle soluzioni IAM/PAM tradizionali. A partire – come spiega Brera di Stormshield – dalla complessità del processo di assegnazione e gestione dei privilegi per le sole risorse necessarie all’utente, che richiede un approccio personalizzato a discapito dell’implementazione di policy aziendali.

Ma anche limiti di scalabilità e flessibilità, soprattutto in organizzazioni di grandi dimensioni o che utilizzano una vasta gamma di dispositivi e applicazioni anche cloud-based. Oppure, la dipendenza dalla autenticazione multifattoriale per mitigare il rischio di accesso tramite credenziali carpite via phishing, ingegneria sociale o forme coercizione. Senza contare, la difficoltà nella gestione del ciclo di vita delle identità. Per concludere il ragionamento – «le organizzazioni – afferma Brera – dovrebbero considerare l’adozione di nuove tecnologie come l’intelligenza artificiale e l’analisi comportamentale per tutelare meglio le identità, monitorare le attività e migliorare la gestione dei privilegi».

Secondo Cicognini di CLUSIT, la debolezza maggiore di queste soluzioni è di essere state concepite quindici o venti anni fa – «per risolvere problemi di security operations, quando nessuno aveva ancora pensato a cosa succede se esse stesse diventano l’obiettivo dell’attacco, o peggio, alle conseguenze di una politica di gestione carente». Il controllo degli accessi e la gestione delle identità non sono sufficienti a garantire una totale protezione che deve essere invece raggiunta lavorando su più fronti mettendo a fattor comune tecnologia e attenzione estrema al comportamento umano – spiega Debora De Cosmi, customer service team director di Cyber Guru. «Per questo ogni organizzazione, oltre a irrobustire la sua rete di protezione attraverso un ferreo controllo degli accessi, non può trascurare di adottare un programma di formazione di cybersecurity awareness di qualità e di training che deve mettere tutto il personale nelle condizioni di intuire immediatamente una minaccia e di arginarla mettendo in atto tutte le strategie apprese e continuamente esercitate».

COME PROTEGGERE LE IDENTITÀ

Secondo Roberto Patriarca, identity access management manager di S3K, l’adozione di soluzioni di Identity governance (IG), e soprattutto dei processi interni che esse impongono, ha permesso alle aziende di ridurre drasticamente il rischio associato alle credenziali, limitandone il numero per utente, riducendo allo stretto necessario l’estensione e la durata temporale del loro “potere”, individuando quelle fuori controllo. «Parallelamente, le piattaforme di access management hanno eliminato la necessità per le applicazioni web di gestire internamente la verifica dell’identità degli utenti, che anzi oggi è sempre più demandata a servizi esterni (da SPID a Facebook o Google) con standard di sicurezza altrimenti fuori dalla portata di un’azienda media».

Tuttavia, concentrarsi solo su aspetti quali il processo di creazione di un’identità, la connessione e il controllo dell’accesso alle identità, non è sufficiente per garantire un livello adeguato di sicurezza. Per ottenere un migliore livello di protezione occorre considerare anche altri aspetti quali credenziali, privilegi, diritti e sistemi che li gestiscono, oltre al rilevamento degli attacchi. Compiti assolti da soluzioni di sicurezza che incorporano funzionalità di Identity attack surface management (ID ASM) e Identity threat detection and response (ITDR), progettate per fronteggiare altri aspetti cruciali della sicurezza delle identità come la gestione delle credenziali e dei privilegi degli utenti, il rilevamento degli attacchi e la risposta alle minacce. «Il furto di credenziali con privilegi amministrativi è tuttora una delle maggiori cause di incidenti informatici, problematica resa ancora più complessa da gestire per via dei nuovi sviluppi infrastrutturali su cloud ibridi e multi-cloud» – spiega Alex Galimi di Trend Micro Italia. «La tecnologia ITDR si focalizza nell’analisi delle identità e di come queste vengono utilizzate. L’approccio è molto simile a quello di un sistema EDR, dove ritroviamo monitoraggio in tempo reale, regole di risposta automatica e vari strumenti di analisi. La differenza tra i due risiede nel fatto che EDR monitora l’endpoint, mentre ITDR monitora l’identità in uso».

Con l’aumento dei punti di accesso al sistema aziendale, gestire e controllare le identità degli utenti che accedono ai dati e alle applicazioni diventa più impegnativo, elevando al contempo i rischi di sicurezza. In uno scenario in cui il perimetro aziendale è diluito – «l’adozione di soluzioni ITDR applicate a livello di Active Directory, endpoint e network diventa fondamentale» – afferma Marco Rottigni, technical director di SentinelOne per l’Italia. «Parliamo di soluzioni automatizzate che non soltanto limitano il furto di credenziali, ma sono in grado anche di “deviare” su binari morti gli attaccanti, senza consentire loro di accedere ai dati aziendali».

Soprattutto, come sottolinea Pandolfi di IDC Italia, le soluzioni di Attack surface management e di Identity threat detection and response mirano a individuare e mitigare i rischi prima che si verifichino, aiutando a migliorare la sicurezza informatica in modo proattivo. Semplificando, la differenza principale tra queste due soluzioni risiede nei rispettivi obiettivi – come sintetizza Brera di Stormshield. Per l’EDR. l’obiettivo è la protezione del dispositivo, mentre per l’ITDR è la garanzia di congruità delle attività dell’identità con il suo profilo e i suoi privilegi. Una volta rilevato un attacco mirato alle identità – spiega Rottigni di SentinelOne – «ITDR aggiunge un livello di difesa, fornendo dati plausibili ma falsi, che reindirizzano l’hacker verso entità fittizie ma accessibili, attuando una innovativa strategia di inganno (deception) dell’attaccante».

Naturalmente, diverse sono le minacce e quindi diversi sono gli algoritmi di difesa. «In parte, c’è senz’altro una sovrapposizione, perché ci possono essere minacce all’identità che avvengono sull’endpoint» – spiega Cicognini di CLUSIT. «Gli EDR cercano di rilevare le minacce attraverso l’analisi delle attività sospette sui singoli endpoint, come le modifiche ai file di sistema o le connessioni a siti web sospetti, mentre l’ITDR monitora le attività degli utenti e le autorizzazioni degli account in modo da individuare eventuali comportamenti sospetti o anomalie. In entrambi i casi. si cerca di identificare eventi sospetti utilizzando una qualche euristica statistica oppure il machine learning».

Entrambe le soluzioni a fronte dei vantaggi presentano anche qualche debolezza perché forniscono una visione parziale, motivo per cui si tende ad adottarle entrambe, per ottenere una visione più completa delle minacce e delle attività anomale nell’ambiente IT organizzativo. «Una rapida convergenza è del tutto auspicabile» – commenta Cicognini, proprio per fornire una visione più completa delle minacce e delle attività anomale a livello di endpoint e di identità. IDC in tal senso prevede la loro progressiva integrazione con tecnologie di analisi di threat intelligence, network intelligence, SIEM e XDR, probabilmente fornite dallo stesso vendor per creare un’offerta evoluta di servizi di protezione in grado di aggiornarsi continuamente in base all’evoluzione dello scenario di rischio. «Inoltre, le soluzioni di ID ASM e ITDR andranno incontro a un progressivo aumento del livello di automazione – spiega Pandolfi di IDC Italia – con l’obiettivo di effettuare la prima risposta difensiva ovvero isolare l’endpoint e avviare un’autenticazione a più fattori o altre procedure di difesa che possono rendere più rapida la risposta». Nessuna soluzione di sicurezza può garantire una prevenzione totale da eventuali compromissioni di identità, account o attacchi sempre più sofisticati e complessi alla rete aziendale.

Per affrontare questa tipologia di minaccia – come sottolinea Cicognini di CLUSIT – è necessario automatizzare controlli più avanzati, che includono la rilevazione di un eccessivo numero di account con autorizzazioni elevate, l’utilizzo di utenze in posizioni troppo distanti tra loro e una revisione periodica dei diritti di accesso. La protezione può essere ulteriormente potenziata mediante l’integrazione delle piattaforme IAM/PAM e dei nuovi servizi ITDR in un unico ambiente, poiché l’implementazione e la gestione di due soluzioni separate, il coordinamento tra le due soluzioni e la gestione dei dati generati dalle soluzioni possono presentare difficoltà oggettive. L’integrazione in un unico ambiente contribuisce a ridurre significativamente il rischio di compromissione di identità e account, migliorando la capacità dell’organizzazione di rilevare, rispondere e mitigare le minacce.

«La diffusione delle intrusioni dovute alle credenziali compromesse (61% secondo Verizon, fino al 75% secondo Gartner) ci spinge sempre di più a suggerire l’integrazione delle piattaforme IAM e PAM con nuovi servizi ITDR, che consentono di controllare l’uso e la diffusione delle credenziali» – spiega Roberto Patriarca di S3K. L’ITDR rappresenta un passo avanti nella lotta contro le insidie sempre più sofisticate dirette alle identità, che ormai sono considerate una superficie di attacco a sé stante (Identity Attack Surface). «Gli strumenti di questa categoria – continua Patriarca – sono in grado sia di limitare tale superficie scovando credenziali memorizzate e permessi vulnerabili dall’endpoint in uso agli utenti all’Active Directory o al cloud, sia di individuare e contrastare in tempo reale gli usi sospetti delle identità in tutte le loro forme, inclusi i token di sessione autenticati invisibili agli utenti». Tuttavia – come evidenzia Patriarca – molte aziende non dispongono ancora di piattaforme di Identity governance a causa di scarsa conoscenza dei benefici o a causa delle difficoltà e dei costi di implementazione. In questi casi, è consigliabile indirizzare i clienti verso soluzioni basate su cloud, più convenienti e adatte all’adozione crescente di servizi SaaS.