Per contrastare efficacemente i rischi connessi all’utilizzo delle identità digitali è necessario aumentare le proprie capacità dinamiche di difesa, focalizzando l’attenzione sui comportamenti degli utenti apparentemente “regolari” e monitorandone in tempo reale gli scostamenti rispetto a pattern definiti di comportamento.
Un buon approccio, in tal senso, potrebbe venire dallo sviluppo di un nuovo sistema di monitoraggio della posture attraverso due tipologie di soluzioni.
Gestione delle identità e controllo degli accessi: problematiche e tipologie di strumenti
Indice degli argomenti
Le problematiche delle identità digitali
Il panorama di minacce cyber è diventato via via sempre più complesso e le infrastrutture aumentano ogni giorno i punti di accesso per poter essere reattivi alle nuove esigenze di business: applicativi esposti all’esterno, credenziali interne assegnate a consulenti esterni, politiche BYOD ne sono un ottimo esempio.
Diverse best practice in merito alla prevenzione degli attacchi informatici mostrano come l’utente sia al centro delle compromissioni e spostano la responsabilità della identity hygiene all’utente finale; le nuove tecnologie di IAG (Identity Access Governance), al contrario, mirano a delimitare il perimetro di azione degli utenti al solo necessario per poter affrontare la compromissione partendo proprio dal presupposto che sia già avvenuta e che occorre mitigare l’impatto dell’accesso ai sistemi (concetto di segregation of duties).
Il futuro della sicurezza informatica di nuova generazione è proprio l’unione di due materie e mondi: quello tecnico delle soluzioni di analisi del comportamento degli utenti e quello gestionale dell’assegnazione di profili e identità a ogni utente per poter metter in pratica in modo ottimale il concetto della zero trust.
Identity hygiene e profilazione degli utenti aziendali
Quando si parla di identity hygiene si intende il processo di profilazione degli utenti aziendali attraverso l’utilizzo di piattaforme evolute di IAG con l’obiettivo di governare le utenze aziendali ed essere proattivi in termini di change management.
Ogni attività di IAG si fonda su due pilastri: autenticazione e accesso; due componenti che devono essere coniugate con tutte le sfaccettature che ne conseguono per poter gestire identità e policy di accesso di applicativi on premise e in cloud.
In futuro queste piattaforme saranno sempre più l’orchestratore delle utenze aziendali per poter riuscire a tracciare in modo univoco i privilegi assegnati a ogni utente attraverso un ‘footprint’ univoco.
La difficoltà è riuscire a mappare i ruoli e le azioni che gli utenti eseguono sugli applicativi per riuscire ad offrire un modello Role-Based o Attribute-Based ed in seguito di generare reportistica che vada a popolare la tecnologia di User Entity Behaviour Analysis.
Automatizzare il provisioning delle utenze
Il cambiamento è la costante di un’organizzazione: onboarding e offboarding devono essere affrontate con visione d’insieme e non si può prescindere da un sistema automatizzato per poterlo gestire al meglio. Il provisioning delle utenze deve avere un margine di errore molto basso come anche l’eliminazione di credenziali di figure non più presenti in azienda, ed in questo una tecnologia di questo tipo può essere chiave.
L’automatizzazione di questi processi diviene sempre più importante per poter alleggerire processi meccanici assegnati agli helpdesk e in questo le tecnologie IAG si sono adattate nel tempo.
In che modo l’analisi degli utenti aiuta i team di sicurezza ad accelerare il rilevamento e le indagini? In qualsiasi momento, le aziende dovrebbero idealmente essere in grado di rispondere a diverse domande chiave: Chi sta tentando di accedere ai miei sistemi? Da dove stanno entrando? Chi accede ai sistemi? Cosa fanno quegli utenti una volta effettuato l’accesso? Ci sono anomalie da affrontare?
Analisi in tempo reale dei comportamenti degli utenti
Le soluzioni UEBA (User Entity Behaviour Analytics), aiutano proprio nella risposta a queste domande: sono piattaforme evolute di analisi in tempo reale del comportamento degli utenti e delle entità un tipo di processo di sicurezza informatica che prende atto del comportamento standard degli utenti, aggiornandolo in funzione dell’apprendimento automatico quotidiano di eventuali differenze del pattern attraverso modelli e algoritmi di Machine Learning.
Tali piattaforme sono in grado di verificare gli scostamenti dai pattern definiti (e aggiornati in real time) e segnalare tali scostamenti in tempo reale alle strutture di monitoraggio e controllo eventi aziendali. UEBA è progettato per elaborare enormi volumi di dati da varie fonti, inclusi set di dati strutturati e non strutturati.
Può analizzare le relazioni dei dati nel tempo, tra applicazioni e reti e analizzare milioni di bit per trovare “significati” che possono aiutare a rilevare, prevedere e prevenire le minacce. Minacce che possono essere riassunte nelle seguenti tipologie:
- cambiamenti sospetti nel comportamento dei dipendenti e di terzi;
- account utente o entità compromessi;
- esfiltrazione dei dati;
- abuso e uso improprio dell’accesso privilegiato;
- violazioni delle politiche di sicurezza di un’organizzazione.
La sinergia tra queste due modalità di affrontare la sicurezza aziendale sarà il modello vincente per diversi motivi.
I motori UEBA generano per loro natura una quantità di falsi positivi rilevante, che spesso deve essere gestita da team dedicati o fornitori di servizi; la possibilità di arricchire gli allarmi rilevati con le disposizioni aziendali in merito all’effettiva natura del profilo dell’utente che ha eseguito l’azione può chiarire molto meglio il perimetro di attività dell’entità analizzata; infine in presenza di un SOC (Security Operation Center) si riesce a dare tutte le informazioni corrette per gestire l’evento.
In secondo luogo sarà molto più facile proteggere gli asset che vengono acceduti in modalità ibrida da utenti in smart-working o consulenti; si tratta infatti di un sistema che viene alimentato e si alimenta a sua volta giorno per giorno migliorando nell’efficacia della prevenzione agli accessi illeciti, infatti le anomalie rilevate possono spaziare dallo scostamento dai pattern acquisiti fino a tentativi di innalzamento dei privilegi senza il necessario consenso.
Una soluzione che integra monitoraggio, controllo degli accessi, corretta profilazione delle utenze e verifica costante dei pattern di comportamento degli utenti consente di mitigare in modo efficace i rischi connessi alla sicurezza delle identità digitali, un asset sempre più rilevante per le organizzazioni, le aziende e le istituzioni.