CyberArk, società che opera nell’identity security in applicazioni aziendali, forza lavoro distribuita, ambienti cloud ibridi e nell’intero ciclo di vita DevOps, ha pubblicato un nuovo report globale, intitolato Identity Security Threat Landscape 2023. L’indagine è stata condotta da Vanson Bourne a livello mondiale su 2.300 decision maker di cybersicurezza di aziende del settore pubblico e privato, con almeno 500 dipendenti, di Brasile, Canada, Messico, Stati Uniti, Francia, Germania, Italia, Paesi Bassi, Spagna, Regno Unito, Australia, India, Israele, Giappone, Singapore e Taiwan.
In occasione di un evento per la stampa, Paolo Lossa, Country Sales Director di CyberArk Italia, ha illustrato i punti salienti di questo report incentrato sulle problematiche legate alla digital identity e mettendo in evidenza la situazione in Italia, dato che circa 100 delle figure intervistate appartengono a grandi aziende italiane, molte delle quali (il 70% circa) sono clienti di CyberArk.
Come sta evolvendo il mercato italiano
L’innovazione legata alla trasformazione digitale sta viaggiando a una velocità veramente molto elevata, ma le aziende e i manager non riescono a tenere il passo. La crescita è stata esplosiva in particolare durante la pandemia, periodo in cui si è affermato il fenomeno SaaS (Software as a Service). Questa differenza di velocità ha portato a un vero e proprio debito di cybersecurity, ovvero il rischio sempre più elevato di non aver messo in sicurezza gli ambienti lavorativi distribuiti (lavoro in remoto, ibrido) che si sono creati con la trasformazione digitale.
Oggi la sfida è ancora più grande, a causa del peggiorare degli attacchi e della situazione economica più precaria (crescita dell’inflazione e dei tassi bancari). Per ridurre i costi, le aziende hanno allungato i tempi per prendere le decisioni relative alla ristrutturazione dei reparti IT, rinviano i lavori in questo ambito e riducono i fornitori. Particolarmente nel nostro Paese, è in atto una riduzione degli investimenti, riduzione iniziata con la pandemia e ulteriormente rafforzata nell’ultimo periodo. Inoltre in Italia continua a persistere una carenza di competenze.
L’identity security
Le informazioni relative alla digital identity (sia degli esseri umani sia delle macchine) sono al centro di quasi tutti gli attacchi informatici. Sono un vettore di attacco privilegiato perché tramite queste identità è possibile accedere ai dati sensibili delle aziende e dei Governi.
Il 49% degli intervistati in Italia prevede problemi di sicurezza dovuti al turnover dei dipendenti nel 2023. Il 66% considera come una fonte rilevante di preoccupazione la perdita di informazioni a causa dei dipendenti, ex dipendenti, consulenti, fornitori, terze parti.
La crescita del lavoro ibrido e dell’uso sempre più massiccio del cloud porta una sempre maggiore esposizione delle aziende ai cyberattacchi. In altre parole, la superficie di attacco è sempre più ampia. Oggi, infatti, non si lavora più solo all’interno dell’azienda, al riparo di un firewall, ma persone e macchine sono sparse anche all’esterno. Queste figure accedono ai sistemi delle aziende da remoto, attraverso Internet e il cloud.
Gli utenti privilegiati, che per definizione hanno il pieno diritto di accedere ai dati sensibili aziendali, sono sempre di più, sono persone e macchine che operano anche dall’esterno dell’azienda. Perciò è necessario aumentare il livello e la qualità dei controlli.
La sicurezza informatica
Il report ha evidenziato che le aree critiche dell’IT delle aziende sono protette in maniera inadeguata (il 51% degli interpellati la pensa così). Buona parte degli intervistati in Italia stima che dovrà avere da 100 a 400 applicazioni SaaS in più nel corso del 2023 e nei prossimi anni. Questo porta a problemi di sicurezza sui dati, sicurezza che può essere ottenuta tramite la scelta del luogo dove sono memorizzate le informazioni e la loro crittografia. CyberArk è ben attrezzata per quest’ultimo aspetto, dato che dispone di tecnologie per codificare i dati e far avere la chiave di crittografia soltanto all’utente che ne ha diritto.
L’indagine mette in risalto la preoccupazione degli intervistati circa la sicurezza informatica. In particolare esistono forti timori sull’intelligenza artificiale, che può essere un pericolo oppure un aiuto. La caratterizzazione dell’utente in base al suo comportamento, alle sue azioni, è uno strumento potente sia per carpire informazioni preziose per accedere ai dati sensibili dell’azienda sia per riconoscerlo in maniera più sicura e garantirgli un più immediato accesso alle informazioni che gli competono. CyberArk usa l’AI per assicurare l’identity dell’utente, in base al suo comportamento, alle sue azioni, alle operazioni che compie, alla geolocalizzazione.
Un punto molto importante è il ransomware, a cui il nostro Paese è molto esposto. Il 59% delle aziende in Italia ha subito un attacco di questo tipo e di queste il 56% ha pagato un riscatto per il ripristino dei dati, una o anche due volte.
Per quanto riguarda le aziende che operano nel settore dell’energia, il 67% degli intervistati ammette di non avere gli strumenti necessari per mettere in sicurezza la catena di fornitura del software da parte di terze parti. La situazione è simile in Italia, con il 44% delle società che lamenta una situazione simile negli ultimi 12 mesi.
Come ottenere una maggiore sicurezza
Le aziende intervistate sono al lavoro per eliminare le proprie vulnerabilità. Le strategie più seguite sono:
- Zero Trust: la quasi totalità degli intervistati (circa 88%) ha dichiarato che alla base dello Zero Trust c’è la gestione – giudicata critica – delle identità digitali degli utenti. A questa si aggiungono la sicurezza degli endpoint e la fiducia nei dispositivi
- Protezione dei dati sensibili: dare la massima priorità per proteggere gli accessi ai dati sensibili tramite il monitoraggio e l’analisi in tempo reale di tutte le sessioni privilegiate. Idealmente, il controllo dovrebbe essere esteso a tutte le sessioni, così da poter tracciare tutte le operazioni effettuate. Da notare che un controllo così capillare e completo pone importanti problemi di privacy, che possono essere risolti (almeno in parte) dalla richiesta di accettazione da parte dell’utente delle condizioni d’uso del servizio. In alcuni settori, come quelli bancario e delle telecomunicazioni, il monitoraggio è obbligatorio. In questi casi la privacy è gestita anche con meccanismi che garantiscono la riservatezza dei dati acquisiti, così che non siano divulgati e che siano usati soltanto per lo scopo per cui sono stati registrati
- Just in time: di solito i profili e l’hardware sono statici, ma possono esserci situazioni dinamiche come la creazione temporanea di una macchina virtuale. Ecco quindi la necessità del just in time, ovvero la generazione delle autorizzazioni di accesso ai dati solo per il tempo strettamente necessario a compiere l’operazione. Il tutto, idealmente, dovrebbe essere gestito in maniera totalmente automatica
- Gestione dei previlegi: cancellare sempre le credenziali di accesso dai dispositivi quando è terminato il loro uso, non devono rimanere nella memoria della macchina. Inoltre va creato un elenco di applicazioni con il loro livello di affidabilità, così da poter definire profili ad hoc per stabilire cosa si può fare e cosa no
- Eliminazione delle password: è la tendenza più recente e CyberArk è al lavoro in questo campo. Il sistema rilascia all’utente una password temporanea e segreta, che è attiva solo per la sessione in corso. Chiusa la sessione, la password non è più valida
Paolo Lossa, Country Sales Director di CyberArk Italia
Il report 2023 mette in luce diverse aree critiche della sicurezza italiana e la conseguente necessità di focalizzarsi ulteriormente sull’identity security per potenziare le difese aziendali. Solo il 38% degli intervistati ha affermato di avere una strategia Zero Trust definita e articolata in tutta l’organizzazione, ci impegneremo per aumentare questa percentuale al fine di incrementare il livello di protezione delle aziende italiane con tecnologie e strumenti sempre più efficaci e innovativi. Nei prossimi mesi, le aziende italiane hanno affermato che concentreranno i propri sforzi in: analisi dei rischi, segnalazione di vulnerabilità, valutazione e controllo delle strategie di cybersecurity e definizione di piani di gestione delle crisi per garantire continuità aziendale.