Per mettere in pratica l’approccio Zero Trust serve oggi integrare i servizi di tutela delle reti con quelli d’accesso alle applicazioni, sfruttando le capacità delle nuove piattaforme di directory di realizzare azioni, anche automatiche, di difesa.
Perché questo possa funzionare la gestione degli ID utente deve affiancarsi con competenze, policy e strumenti in grado di garantire una governance efficace. Vediamo insieme cosa è prioritario con l’aiuto di Gianpaolo Vittorelli, AD e direttore tecnico di Microsys.
Indice degli argomenti
Perché occorre una diversa postura nella security aziendale
L’apertura delle reti a utenti esterni in telelavoro, oltre che ai dati e alle applicazioni nel cloud, hanno reso inefficaci molte delle tradizionali difese perimetrali di rete. Le aperture che servono per utilizzare da remoto o in modo flessibile i servizi innovativi possono essere sfruttate dai cybercriminali per trafugare dati o inserire malware nei sistemi aziendali, come i famigerati ransomware.
Secondo i dati presentati nel Security Summit 2022 dell’Osservatorio Clusit, negli ultimi 12 mesi c’è stata una crescita del 20% degli attacchi informatici più gravi, per il 43% realizzati con malware. “Mentre sempre più dati vengono scambiati all’esterno della rete aziendale e gli utenti usano applicazioni as-a-service in cloud, come Office 365 per la produttività d’ufficio, vengono meno le tutele delle tradizionali difese basate su firewall – spiega Vittorelli -. Per questo serve oggi cambiare postura di difesa, adottare l’approcci Zero Trust nella security, che significa assimilare la rete aziendale a quella “aperta” di uno store Starbucks: una rete dove è possibile fare solo ciò per cui si è stati autorizzati”.
Va da sé che tutto questo richieda un solido sistema di gestione delle identità utente e pieno controllo nell’erogazione dei servizi e nell’accesso ai dati.
L’approccio Zero Trust e la gestione delle user ID
L’approccio Zero Trust ha necessità di una solida gestione degli ID utente e, ad ogni identità, devono essere assegnate specifiche prerogative d’accesso alle risorse di sistema, applicative e dati. Perché sia efficace, la gestione degli ID dev’essere affiancata da sistemi di controllo efficaci, in grado di evidenziare anomalie e aiutare le verifiche anche su ciò che occasionalmente fanno gli utenti legittimi.
Lo scaricamento seriale di molte schede clienti può essere normale oppure incompatibile con le esigenze di lavoro, al pari di un accesso da aree geografiche lontane o in orario insolito. Questi aspetti possono essere un segnale per identificare un furto di credenziali: situazione che richiede attenzione e azioni immediate di difesa.
La gestione degli ID utente con sistemi di directory legacy non può essere adeguata ai nuovi contesti d’uso della rete. “Nella nostra esperienza come fornitori di servizi di security ci imbattiamo in aziende che hanno comprato firewall e altri presidi della LAN, ma che restano ugualmente esposte a gravi rischi per l’incapacità di usare le funzionalità dei moderni strumenti di gestione delle directory, come l’Azure Active Directory – spiega Vittorelli -. Le vecchie logiche di gestione degli ID sono cambiate negli attuali contesti on premise e di cloud”.
Secondo Data Breaches Digest, molti attacchi cyber subiti da aziende italiane (i particolare i casi recenti di Boggi, Erg, Moncler, Regione Lazio e Siae) hanno in comune le violazioni e lo scaling dei privilegi sui vecchi sistemi di Active Directory.
Situazione non eccezionale per Vittorelli: “Vediamo in molte aziende sistemi di directory configurati male o in modo insufficiente. Una condizione che era sopportabile nelle reti chiuse del passato, ma non in quelle di oggi. Un rischio che molte imprese scoprono tardi a loro spese, quando gli attacchi sono già andati a segno”.
Mettere la conoscenza delle persone al centro della difesa
Gli strumenti di security oggi a disposizione permettono d’individuare i comportamenti atipici dei sistemi e degli utenti, controllare le connessioni via VPN, filtrare spam e link pericolosi.
Un aspetto sul quale purtroppo non si presta abbastanza attenzione è, secondo Vittorelli, è l’education degli utenti. “Nei test che facciamo con finti phishing, sfruttando qualche informazione interna per renderli credibili, vediamo ancora oggi troppi abboccamenti, anche tra dirigenti e persone di alto profilo – spiega Vittorelli -. E’ la ragione per cui accadono tanti disastri nelle aziende e nelle pubbliche amministrazioni”.
Anche gli amministratori hanno bisogno di formazione per quanto riguarda la conoscenza degli strumenti e il rispetto delle best practice. “Serve conoscere le funzionalità di sicurezza di strumenti come Office 365 e Azure Active Directory per essere consapevoli delle proprie azioni – precisa Vittorelli -. Con un solo click su un bottone è possibile attivare la multifactor autentication di Office 365, ma possono volerci anche 2-3 giorni di lavoro per configurare correttamente le policy, associare gli eventi alle azioni di difesa appropriate evitando di paralizzare inutilmente il lavoro delle persone”.
I requisiti per un approccio corretto alla security
Dare accesso alle risorse aziendali solo agli utenti legittimi, a prescindere da dove siano le risorse digitali e gli utenti, è la chiave per ridisegnare l’ID management. “Nel nostro lavoro sappiamo cosa è davvero importante – spiega Vittorelli –. Non serve avere più hardware, ma mettere insieme le competenze sistemistiche negli ambienti ibridi on-premise/cloud con le best practice e la conoscenza dei moderni strumenti di gestione ID”.
È importante imparare a sfruttare le risorse a disposizione, capire qual è l’impegno da dedicare alla protezione degli utenti e delle risorse aziendali; come adeguare nel numero e nelle competenze il personale addetto alla sicurezza oppure affidarsi a professionisti esterni.
“In tema di strumenti e best practice abbiamo condensato la nostra esperienza in una piattaforma software (il nome è Keys of The Kingdom 365, disponibile nel marketplace cloud di Microsoft, ndr) con cui ci proponiamo di aiutare i clienti che vogliono innalzare il livello della sicurezza aziendale, ma non sanno dove mettere le mani”.
La sicurezza richiede anche la capacità d’agire velocemente a problemi che si possono presentare in qualsiasi momento: un tallone d’Achille in molte realtà aziendali, dove i sistemi rilevano gli eventi, avvisano gli amministratori con segnalazioni ed e-mail ma vengono trascurati. “Il più delle volte si tratta di falsi allarmi ma, in qualche caso, è importante dare attenzione alle segnalazioni – spiega Vittorelli -. I team devono avere il tempo per accorgersi, per esempio, che troppe login errate costituiscono un tentativo d’attacco. In molte aziende non ci sono persone in grado di dare attenzione con continuità ai temi della sicurezza. Per questo è spesso vantaggiosa l’opzione dei managed services, affidare a terze parti specializzate il compito di agire velocemente quando la situazione lo richiede”.
Contributo editoriale sviluppato in collaborazione con Microsys
