Cybersecurity, intervistiamo Massimo Carlotti di CyberArk
L’obiettivo del passwordless sarà quello di rendere il coinvolgimento dell’utente meno fallibile, le chiavi più complesse, semplificando l’esperienza utente.
Massimo Carlotti, Sales Engineering Manager Italy di CyberArk, ci aiuta a orientare lo sguardo nel mutevole scenario della cybersecurity, tra identity security e passwordless.
– Con i workload che si stanno rapidamente spostando verso “la nuvola”, come è possibile ottenere la visibilità dei dati e il controllo degli accessi? Come abilitare una efficace identity security?
Le risorse e i workload che risiedono in cloud sono soggetti a un’ampia gamma di minacce alla sicurezza informatica, tra cui violazioni dei dati, ransomware, attacchi DDoS e di phishing. Gli hacker possono sfruttare le vulnerabilità della sicurezza cloud, utilizzando credenziali rubate o applicazioni compromesse per sferrare attacchi, interrompere servizi o rubare dati sensibili. Sistemi e pratiche di sicurezza cloud solidi sono fondamentali per mantenere la disponibilità delle applicazioni business-critical, salvaguardare le informazioni riservate e garantire conformità alle normative.
Le pratiche di sicurezza cloud possono essere per molti versi simili a quelle di security IT e di rete tradizionale, ma vi sono alcune differenze fondamentali. La sicurezza cloud è in genere governata da un modello di Shared Responsability in cui il cloud service provider è responsabile della gestione della protezione dell’infrastruttura sottostante, mentre il cliente della gestione della cybersecurity di tutto ciò che si trova al di sopra dell’hypervisor (ad esempio, sistemi operativi guest, utenti, applicazioni, dati).
Infine, ogni elemento del cloud deve essere gestito con appropriate policy di controllo degli accessi: console e workload da una parte, utenti (umani e non) , che devono essere autorizzati secondo logiche specifiche in base alla natura delle entità coinvolte (un utente che accede a una console cloud con tutti i possibili entitlement assegnati è completamente diverso rispetto a una applicazione che raggiunge un workload per recuperare dati) e, compatibilmente con i permessi che devono avere (minimi, se possibile, oppure temporanei e assegnati “Just in time”). Importante sottolineare anche l’utilizzo di strumenti di automazione, le pipeline DevOps e le console SaaS devono essere gestiti con particolari attenzioni mirate.
– La gestione degli accessi privilegiati mette al riparo da rischi estesi sulla rete e permette di bloccare preventivamente tentativi di intrusione. Come funziona?
La gestione degli accessi privilegiati è fondamentale per proteggere la rete da possibili rischi esterni e prevenire tentativi di intrusione. Per far ciò, è necessario partire da un sistema di riconoscimento e autenticazione “forte”. Questo sistema prevede una mappatura delle permission in base ai ruoli, che dovrebbero essere assegnati “Just in time” e non persistenti, quando possibile.
Inoltre, le policy dovrebbero tenere conto del contesto, permettendo un’assegnazione adattiva dei ruoli in base all’autenticazione. Ad esempio, in caso di richiesta d’accesso da un luogo diverso dalla sede di lavoro, e magari a tarda notte, il sistema di verifica dovrebbe essere in grado di richiedere uno step aggiuntivo alle credenziali principali (ad esempio un’autenticazione multi-fattore).
Infine, le identità stesse potrebbero diventare “effimere”, ovvero create solo per l’apertura di una sessione ed eliminate alla sua chiusura. Grazie a questi accorgimenti, si può garantire una gestione sicura degli accessi privilegiati, mettendo al riparo la rete da possibili rischi esterni e bloccando preventivamente tentativi di intrusione.
– La trasformazione digitale corre veloce e le imprese stanno accumulando un “debito di cybersecurity”, dove vedete le maggiori criticità? Quali sono le difficoltà per le aziende?
Nell’ultimo anno il nostro report CyberArk Identity Security Threat Landscape 2023 ha evidenziato che i livelli di debito informatico rischiano di aggravarsi, a causa della stretta economica, degli elevati livelli di turnover del personale, della contrazione della spesa dei consumatori e del contesto di incertezza globale. In particolare, le aziende di cybersecurity e di IT in generale sono sempre alla ricerca di competenze e risorse, in un mercato del lavoro che non riesce a soddisfare l’elevata richiesta di figure specializzate.
Questo debito di cybersecurity si traduce in diverse criticità per le aziende tra cui: iniziative, seppur positive, ma spesso slegate tra loro, in un mondo sempre più connesso in cui è necessario adottare tecnologie in grado di dialogare tra loro. La carenza di team specializzati può rendere meno efficace l’implementazione di ottime tecnologie e la scarsa collaborazione e condivisione di competenze ed expertise tra risorse può portare alla mancanza di una visione di insieme dello stato della cybersecurity, elemento fondamentale per rispondere alle minacce in modo efficace e agire in tempi sempre più rapidi.
– Scarsi investimenti e carenza di competenze rappresentano due problemi presenti da molti anni nel nostro Paese. Come si risolve una situazione come questa? Cosa fate per potenziare le competenze del canale e delle imprese?
Un maggior coinvolgimento e coordinamento delle iniziative scuola-lavoro è sicuramente una buona base di partenza e auspicabile per sviluppare competenze nelle generazioni più giovani. In numerosi paesi CyberArk sta avviando programmi di “internship” per diversi ruoli (al momento con un forte focus sulla parte tecnica) per contribuire alla formazione di giovani risorse che potremmo poi far accedere direttamente nei team. È importante però sottolineare come questo tipo di attività non debba essere fine a se stesso, e i giovani inseriti devono avere modo e opportunità di crescere, imparando ad affrontare nuove attività e svolgendo mansioni di responsabilità in base al proprio al ruolo.
Il nostro ambito di attività è caratterizzato da un elevatissimo tasso di innovazione. Per supportare i nostri partner in un percorso di enablement continuo, CyberArk promuove un programma di partnership con cui mette a disposizione un importante investimento in formazione e risorse. Inoltre, ci impegniamo a condividere regolarmente informazioni e aggiornamenti con i nostri clienti attraverso eventi istituzionali, sessioni dedicate, articoli e webinar.
– Le password sono spesso considerate “un male necessario” in ambito cybersecurity, ma molto spesso non sono generate e custodite in modo corretto. L’adozione dell’autenticazione multi-fattore e di strumenti biometrici può aiutare? Come?
Facciamo un esempio della vita reale, la concezione di “male necessario” non viene applicata alle chiavi di casa; nessuno si lamenta di doverle usare per accedere alla propria abitazione perché è cristallino l’inestimabile importanza della sicurezza della propria casa. Le password (o più semplicemente le credenziali per accedere a un servizio o a un file) devono essere considerate nello stesso modo.
L’autenticazione multi-fattore e gli strumenti biometrici sono senza dubbio utili, ma non sono sistemi inviolabili e da soli spesso non bastano, devono far parte di una più ampia strategia di verifica delle identità con l’aggiunta di un’analisi in tempo reale per adattare l’autenticazione alla circostanza, modificando, a seconda del contesto, i livelli di verifica richiesti. Per ridurre ulteriormente i fattori di rischio è anche importante sottolineare la fase di mappatura dei ruoli e la gestione dei minimi privilegi, passaggi che possono semplificare la gestione degli accessi in modo significativo. Infine, per evitare di creare falle nella strategia, è fondamentale definire un monitoraggio continuo alla ricerca di eventuali violazioni o privilegi scaduti.
– L’industria si sta gradualmente orientando verso una gestione passwordless. Ma è davvero possibile un mondo senza password? Come?
È necessario prima di tutto fare un po’ di chiarezza sul termine “passwordless” che non coincide con keyless, e la password è solo una possibile chiave di riconoscimento. I nuovi standard permettono di non dipendere più dalle password tradizionali, creando un’esperienza utente mediata da strumenti che permettono di non dover usare password (mobile app, token fisici, riconoscimento biometrico ect…) si cela di fatto uno scambio di “chiavi” più forti e complesse, che rimangono comunque “credenziali” di accesso.
L’obiettivo del passwordless sarà quello di rendere il coinvolgimento dell’utente meno fallibile, le chiavi più complesse – che dovranno essere gestite tramite automatismi affidabili – semplificando l’esperienza utente.
