Ep12 - Cosa significa mitigare i rischi per la sicurezza, consentire la Compliance e gestire l’Identità - OneIdentity
[Musica]
Il boom degli ex broker è esploso nel 2022. Sistemi che acquisiscono l'accesso alle organizzazioni e le forniscono ad altri attori, inclusi gli operatori di ransomware che utilizzano queste informazioni per velocizzare le fasi di attacco nella parte iniziale dell'attacco. Potremmo dire che forniscono un Initial Access as a Service.
Il recente rapporto Clusit racconta di come proprio nel 2022 ci sia stato un vero boom di questo approccio, di questi servizi, segnando un aumento del 121% rispetto al 2021. E allora com'è possibile prevenire questa situazione ma non solo; in generale com'è possibile mitigare i rischi per la sicurezza? Come è possibile farlo ed essere compliant? E soprattutto, come possibile gestire l'identità aziendale?
Io sono Lorenzo Beliusse e vi do il benvenuto a INNOVATIABLE, il podcast di Reti S.p.A. che parla di innovazione e lo fa attraverso una linea di pensiero sostenibile a beneficio di persone, aziende e organizzazioni.
Oggi qui con me per parlare di questo interessante tema c'è Elia Mariani, Responsabile nord Italia di One identity.
Benvenuto Elia!
Grazie Lorenzo. Buongiorno a tutti!
Allora partiamo subito con una domanda relativa ai rischi. L'ho detto in apertura, siamo costretti a utilizzare il termine "mitigare" i rischi, ecco allora Elia perché non è possibile azzerarli?
Azzerare un rischio, avere una sicurezza assoluta in realtà è un concetto irrealistico in tantissime situazioni, direi praticamente tutte le situazioni. Noi abbiamo a che fare con un panorama informatico estremamente complesso dove c'è una serie di criminali informatici molto organizzati, organizzati anche in vere e proprie società che sono sempre un passo avanti a noi, scoprono vulnerabilità, sviluppano tecniche per eludere le difese digitali... Ciò significa che anche le migliori misure di sicurezza possono essere superate posto che l'attaccante abbia il budget e il tempo necessario. Per questo ci sono diversi fattori che impediscono appunto la sicurezza assoluta. Pensiamo al progresso tecnologico: ci troviamo di fronte a una società che ogni ogni mese, ogni anno, ogni 5 anni va avanti con nuove scoperte, pensiamo adesso a tutte le tematiche di intelligenza artificiale o ancora di blockchain di poco tempo fa e queste certo aprono nuove possibilità per migliorare la società ma ovviamente aprono anche a nuove falle di sicurezza a nuovi scenari di cui bisognerà tener conto. Quindi questa fluidità del panoramico informatico rende molto difficile prevenire e prevedere soprattutto tutti i tipi di minacce. Altri fattori sono l'aspetto umano che è sempre molto importante. Le persone spesso sono l'anello debole di questa catena anche a fronte delle misure migliori dal punto di vista tecnologico, l'umano può sempre causare il fallimento di queste. Pensiamo a persone non adeguatamente formate a livello di sicurezza informatica che cliccano su link o allegati dannosi, che usano password semplici o condividono queste password, che non hanno la giusta cura dei propri asset aziendali. Non solo le persone ma anche le aziende sono il fattore umano. Le aziende possono non preoccuparsi abbastanza appunto della formazione del proprio personale. Infine ricordiamoci comunque che le risorse per la sicurezza informatica sono risorse limitate. Le aziende hanno un budget definito, spesso questo budget deve andare in contrasto con il budget dedicato al core business e la sicurezza informatica, al netto degli operatori del settore, non è il core business di un'azienda e quindi dato risorse economiche limitate e risorse umane quindi personale limitati, bisogna spesso concentrarsi sulle misure più necessarie e tralasciare, posticipare per il futuro misure di sicurezza secondaria e quindi anche qui abbiamo un'esposizione al rischio.
In definitiva, la sicurezza non è una scienza che ti blinda in modo assoluto, la sicurezza richiede un approccio multidimensionale che gli inglesi chiamano "Security in Depth", vuol dire creare quante più barriere possibili per rendere il lavoro degli attaccanti non impossibile ma il più difficoltoso, sia in termini economici che di tempo, in modo che gli attaccanti vadano verso obiettivi più semplici.
Ok, direi che è una risposta chiarissima. È vero, la tecnologia continua a correre e quindi non può essere una scienza appunto statica per cui faccio la fotografia oggi sono certo che non cambierà più nulla, anzi, avanzamento di tecnologia, nuovi business che si aprono all'interno dell'azienda quindi nuovi applicazioni, nuovi ambienti e quindi in qualche modo il perimetro è cambiato quindi è necessario essere costantemente allerta su questi temi.
La sicurezza viene appunto spesso associata anche a tutta una tematica di compliance. In che senso Elia?
Beh sono due tematiche strettamente correlate, una si fa forza con l'altra.
La compliance - Cosa vuol dire compliance? Vuol dire garantire che una organizzazione, un'azienda, un'associazione operi in conformità, per l'appunto in compliance, con norme e direttive. Norme e direttive che possono essere interne, esterne, statali, locali ecc.
La sicurezza in generale, quindi sia fisica che informatica, invece si riferisce alla protezione degli assets aziendali da minacce anche qui possono essere interno o esterne. E si può già capire la sinergia tra le due. Ad esempio, per compliance, ad esempio le normative GDPR, le aziende devono proteggere i dati personali. Come fanno a proteggere questi dati personali? Implementando adeguate misure di sicurezza, se queste misure di sicurezza non sono adeguate portano a violazioni sulla normativa GDPR a livello europeo oppure una garante 2 a livello italiano, portano a non compliance e portano a ripercussioni legali ed economiche. Guardandolo dall'alto punto di vista, la sicurezza può richiedere la conformità a determinati standard di settore, pensiamo a ISO 27001, Common Criteria 27002, tutta la serie 27000 ad esempio, il NIST e quindi in questo caso la conformità ha questi standard permette di dimostrare un'azienda che è sicura e quindi avere una presa sul mercato rispetto a un'azienda che non può dimostrare conformità a questi standard, quindi in definitiva compliance e sicurezza vanno a braccetto, sono estremamente sinergici.
Ok chiaro. Abbiamo parlato, abbiamo iniziato alcuni rischi, ma se dovessimo dare una classifica, anche a fronte della tua esperienza, magari proprio anche quelli che vengono più sottovalutati per mancanza di consapevolezza, che classifica faresti?
Io te ne direi tre che secondo me sono più o meno tutti allo stesso livello e anche - in termini di portata - in termini di portata sia di accadimenti, perché sono esemplificativi degli accadimenti degli ultimi anni - quindi anche di probabilità e poi - anche di impatto, ovviamente. Quindi parliamo sicuramente di violazioni di dati, quindi un criminale informatico riesce ad avere accesso a dati aziendali ritenuti sensibili e poi questi dati, ad esempio, vengono portati fuori, vengono messi sul Dark Web quindi rifacendoci a quello che ci raccontavi degli Access Brokers e ovviamente gli impatti sono a livello reputazionale, per ambienti, azioni legali, multe - reputation - assolutamente, posso andare dal danno reputazionale fino al danno operativo del core business dell'azienda, una violazione del dato può essere anche la navigazione segreti industriale ad esempio, lì non è solo reputazionale, lì è un grosso danno a quelli che potrebbero essere progetti segreti di un'azienda che ha portato via risorse per anni - magari per ricerche, brevetti e tutto. Chiaro. - esattamente.
Secondo rischio e qui parliamo, della categoria dei malware e dei ransomware, ransomware che è una categoria di malware - che è stato su tutte le cronache per diverso periodo poi dipende, va periodi, però abbiamo sentito diversi nomi in passato che hanno accompagnato anche i TG, no? E sono arrivati fino in pubblico - Nel pubblico, nel privato quindi diciamo che l'Italia è in una posizione privilegiata per questi attacchi perché purtroppo abbiamo un debito tecnologico elevato ma siamo comunque ancora una potenza mondiale a livello, ad esempio, manifatturiero. Quindi diciamo, un target ricco con delle difese basse - è proprio l'ideale - è ideale, esattamente Lorenzo.
Possiamo dire che malware e ransomware possono causare danni gravissimi a un'azienda, interrompere l'operatività del business, causare la perdita di dati critici, inattività, costi di ripristino dei sistemi. Pensiamo a un malware che va a compromettere l'altoforno di una fonderia. Se si spegne un altoforno ci vogliono tempi lunghissimi per la riaccensione e non è neanche detto che si riesca a riaccendere, per come è fatto un altoforno che ha una parete refrattaria all'interno, deve essere sempre tenuta calda. Quindi non avendo una sicurezza,
in questo caso di Operational Security da questo punto può addirittura abbattere completamente un'azienda. - Chiaro -
Poi come ultimo rischio direi il classico, che però si evolve sempre i modi più disparati, che è il Phishing e l'ingegneria sociale. Quindi attaccanti; il limite è la fantasia - e torniamo al tema 2 delle persone che hai citato prima - Esattamente. L'ingegnere sociale diventa sempre più accurata, più targettizzata, non è l'sms che ti arriva a caso sul telefono dicendo "la tua banca ti ha bloccato il conto, sbloccalo" oppure "c'è un pacco delle poste che ti aspetta. Clicca questo link". Queste sono,
lancio in un milione e spero che 10 abbocchino.
La vera ingegneria sociale presuppone uno scouting dell'azienda target e un confezionamento delle operazioni e dei messaggi in modo che siano il più reali possibili - e credibili. Proprio specifici, proprio sui comportamenti di quell'azienda e di quella persona - esattamente. E questo, a meno che la persona che è target di questo non sia stata adeguatamente formata, è veramente difficile riuscire a capire e reagire. Pensiamo a un'email che arriva dall'indirizzo certificato del nostro manager o del nostro CEO. Dubitare di quello è un po' ... diciamo che bisogna essere formati dalla nostra azienda stessa per cogliere tutte quelle sfumature che possono essere indice di un ingegneria sociale e in più garantire sempre di chiedere prima di agire.
- Quindi qui c'è tantissima componente di formazione, quella che accennavi prima. -
L'ingegneria sociale si sconfigge con la formazione delle persone, non solo gli operatori IT che ci si aspetta che abbiano una sensibilità di un certo tipo ma qualsiasi personale aziendale, quindi dall'operatore IT, al Business Manager, al CEO, alla segretaria, al magazziniere, deve essere formato perché ormai tutti abbiamo accesso ai sistemi informatici e tutti possiamo essere il punto di ingresso per l'attaccante.
Capiti tutti questi rischi che sono davvero tanti, nei hai scelti tre con tre scenari che sono assolutamente comprensibili e sono assolutamente realistici. A questo punto come può un'azienda approcciare alla più corretta strategia di sicurezza dal tuo punto di vista?
Tutti questi rischi, quello di cui abbiamo parlato finora, hanno in comune un target che è quello della credenziale privilegiata. Credenziale privilegiata è qualsiasi tipo di credenziale che dà accesso a dati e risorse sensibili e quindi se compromessa è quella che ha il potenziale maggiore di fare danni a un'azienda. E una strategia di sicurezza efficace per proteggere le credenziali privilegiate sono l'implementazione chiamate PAM, quindi di Privileged Access Management, gestione degli accessi privilegiati.
Perché sono le più efficaci? Sono le più efficaci perché permettono la maggior riduzione della superficie di attacco a fronte del minore investimento economico e proteggono le credenziali privilegiate consentendone l'accesso solo alle persone che effettivamente sono abilitate a quell'accesso. Ad esempio portano delle casseforti cifrate all'interno delle cui queste
credenziali sono protette, ruotano periodicamente le password in modo che se una persona si appunta la password,
la scambia questa password non è più valida per
un accesso successivo, hanno un'archiviazione sicura di queste password e inoltre permettono anche agli amministratori di sistema, che sono target, diciamo sono i detentori degli accessi privilegiati, di operare in sicurezza sui sistemi critici. Operare in sicurezza vuol dire, ad esempio, che le loro sessioni sono monitorate e registrate,
sono indicizzate in modo da verificare che non ci siano anomalie e anche ovviamente visto che abbiamo parlato di
sicurezza e compliance sono monitorate e registrate
anche a fini di compliance.
Ricordiamoci che in Italia e in Europa abbiamo leggi che dicono che le attività degli amministratori di sistema devono essere monitorate e registrate ai fini dell'audit.
- Quindi agevolano anche poi tutte le fasi a valle - Diciamo in soluzione di questo tipo hanno sempre un occhio di riguardo per la sicurezza, un occhio di riguardo per la compliance e un occhio di riguardo per l'esercizio IT. Quindi da una parte andiamo a ridurre la superficialità di attacco mettendo in sicurezza le credenziali privilegiate, dall'altra andiamo a fornire un audit trail di tutto ciò che avviene sui sistemi critici ad opera degli amministratori di sistema in modo da garantire
la compliance e le normative
e dall'altra, comunque, automatizzando e centralizzato la gestione delle credenziali privilegiate siamo in grado, diciamo, di fare streamlining dei processi aziendali in modo da efficientare quello che è l'utilizzo del personale IT e in questo modo andiamo anche a ridurre l'errore umano.
Per fare un esempio di approccio con e senza PAM?
Allora immaginiamoci un approccio senza PAM, inizialmente. Un caso d'uso. Un amministratore Windows deve
accedere a un server Windows con credenziali di domain admin. Un caso d'uso dei più pericolosi perché comunque con il domain admin puoi qualunque cosa.
Deve sapere la password, probabilmente questa password o se la tiene da qualche parte o utilizza dei tool di password management personali sul proprio PC, deve stare la password, deve scrivere la password per loggarsi nel sistema, entra nel sistema e fa il suo lavoro.
Cosa fa in quel sistema? Se non c'è un sistema di di auditing, di registrazione, non è dato saperlo.
Il flusso con un PAM implementato in tutte le sue funzionalità principali sarebbe: l'amministratore IT accede alla soluzione PAM e richiede di avere accesso a quello specifico server con quella specifica credenziale; questa richiesta viene sottoposta a un processo approvativo che può essere o auto approvato, più semplice possibile, oppure se l'accesso è considerato critico sottoposto all'approvazione, ad esempio del suo capo, del team, del responsabile, una volta che viene approvato, la soluzione PAM
estrae la password di questa carenziale dal suo volto cifrato, la inietta automaticamente nella sessione e ritorna, ad esempio, la sessione in remote desktop o in SSH, quindi grafica o testuale, all'amministratore di sistema.
Quindi finora amministratore di sistema non ha toccato la credenziale privilegiata, non ha interagito con la password, non l'ha estratta, non la messa, non l'ha registrata da nessuna parte. L'amministratore di sistema sta accedendo a un sistema critico con credenziali privilegiata senza comunque trattare elementi critici della credenziale.
Questa sessione poi è registrata, indicizzata. Cosa vuol dire? Non solo che vi è una traccia di tutto quello che fa, ma che ci sono dei motori d'intelligenza artificiale e di Machine Learning che vanno a costruire quello che è il comportamento normale di un amministratore di sistema, quindi parlando di Machine Learning ovviamente, si ha un tempo di apprendimento che può essere di qualche settimana o di un mese in cui crea il profilo dell'amministratore; Quindi quali sistemi utilizza, quando li utilizza, per quanto tempo li utilizza, quindi indicatori classici fino agli indicatori più complessi che sono autenticazioni continue biometriche ad esempio, come muove il mouse sullo schermo, come batte i tasti sulla tastiera tutti noi abbiamo un modo, uno stile di interagire c'è chi scrive con tutti e cinque le dita e chi invece usa gli indici per pestare i tasti.
Con questa tipologia di creazione della baseline il sistema poi è anche in grado, ovviamente, di rilevare quali sono i discostamenti dalla baseline e quindi andare a evidenziare anomalie - presunte anomalie chiaro - un esempio può essere: questo amministratore ha sempre lavorato dalle 9 alle 18 sui sistemi Unix adesso le due di notte sta facendo il dump di una tabella di un database di un SQL Server. Questo viene evidenziato subito. Può essere corretto perché è un'emergenza, può essere un'anomalia perché è stata compromessa la credenziale, può essere un'anomalia perché un attacco Insider? perchè
stiamo attenti che le minacce non arrivano sempre dall'esterno ma anche dall'interno.
Tutto ciò permette, ovviamente rispetto al caso in cui una soluzione PAM non ci sia, di avere un layer di sicurezza molto forte, che va a diciamo bloccare la compromissione della credenziale privilegiata che è il punto di svolta dell'attacco di un criminale. Il criminale informatico per entrare in un'azienda identifica una
vulnerabilità iniziale che può essere un dipendente con un account non sicuro,
non protetto da Multifactor Authentication, entra con quella credenziale, si muove alla scoperta di modi per fare escalation di privilegi (quindi passare da una credenziale utente standard a una credenziale con maggiori privilegi) e l'obiettivo è raggiungere una credenziale privilegiata che gli permetta poi di accedere ai dati. Un PAM gli blocca l'accesso alla credenziale privilegiata.
- È chiaro - Poi la difesa in Depth vuole anche che nella misura in cui neppure il PAM sia in grado di bloccarlo perché parliamo sempre di sicurezza non assoluta, ci siano anche soluzioni ad esempio di backup e recovery che permettano di ripristinare i dati nel caso in cui malauguratamente vengano compromessi e rubati o cifrati.
E ripristinare la situazione. Hai fatto degli esempi molto chiari che hanno spiegato bene i vantaggi per irrobustire la propria infrastruttura. La sfida legata alla gestione dell'identità e degli accessi all'interno di un'organizzazione però magari può non sembrare appunto così semplice, ora tu l'hai fatta semplice. E come fa un PAM a gestire, appunto, la creazione, la revoca degli account, la gestione dei ruoli, come avviene anche l'automazione dei processi che ci sono dietro?
Il modo migliore per indirizzare queste necessità è inserire il PAM all'interno di un'iniziativa tecnologica da una parte ma soprattutto business processuale aziendale dall'altra di gestione dell'identità aziendali a 360 gradi.
Qui gli analisti del settore, come Gartner, parlano di Converged Identity Platform, Cupping Call altro analista parla di Identity Fabric , One identity parla di Unified Security Platform.
In sostanza parliamo tutti la stessa cosa ed è una piattaforma integrata modulare che permette di indirizzare le tematiche di Identity Governance and Administration, le tematiche di Access Management, le tematiche di PAM, tematiche di gestione sicura di Active Directory che ricordo 99% delle aziende in Italia ha Active Directory e quella è il target del 99% degli attacchi e nello specifico per rispondere alla domanda "Come fa un PAM a gestire l'assegnazione, la modifica, la revoca degli account privilegiati?"
facendo sinenergia fra quello che è un IGA
quindi una piattaforma, un modo di gestione dell'identità aziendali e un PAM possiamo raggiungere una situazione in cui viene gestito il ciclo di vita degli account privilegiati associati all'identità aziendale di dipendenti, fornitori, consulenti in modo che con una gestione Bach quindi basata sui ruoli e basata sul principio del privilegio minimo, arrivata una nuova persona in azienda o una persona che cambia mansione, in base al ruolo gli vengono assegnate automaticamente anche gli account privilegiati gestiti dal PAM.
Quindi immaginiamoci il caso in cui il dipartimento IT, prendiamo il solito amministratore Windows, assume un nuovo amministratore Windows, viene profilato nel HR, gli viene dato il ruolo di amministratore IT, una soluzione IGA automaticamente è in grado di assegnargli ovviamente tutti i privilegi necessari ad operare su asset aziendali che possono andare dall'applicazione, al server, al PC e integrandosi col PAM può anche assegnargli e creare gli account privilegiati che poi verranno utilizzati in congiunzione e protetti dal PAM.
Per concludere Elia, se dovessimo elencare in maniera sintetica i principali vantaggi tangibili per le aziende nell'adozione di un PAM e dell'integrazione che hai appena descritto cosa potremmo dire?
Qui ci sono quattro classi di vantaggi. Ovviamente un miglioramento della sicurezza, tutto quello di cui abbiamo parlato porta a una riduzione concreta della superficie di attacco; dall'altra parte abbiamo la conformità normativa,
che è altrettanto importante quindi come abbiamo detto il PAM permette di monitorare, avere un audit trail non modificabile anche utili
a fini forensi, a audit di compliance alla dimostrazione di aderenza a leggi e normative; abbiamo una migliore efficienza operativa del reparto di esercizio IT che da una parte si traduce in una riduzione dei costi posso fare di più con meno, dall'altra si riduce l'errore umano, anche qui in una situazione in cui tutte le operazioni vengono gestite a mano dal personale sempre la creazione di un account, l'inserimento di una password, l'autenticazione a un sistema queste si prestano delle compromissioni a delle sviste comunque - anche di errori semplicemente - Sì ma anche errori dovuti anche a tante..
Prendiamo l'esempio di dover profilare un nostro amministratore IT e dargli gli account privilegiati che gli servono per lavorare. Se ho un dipartimento IT che fa tutto manualmente, che ha migliaia di ticket da gestire, probabilmente inizio a cercare dei modi di efficientare che può anche dire prendo il template di un'altra persona e associo questo template dell'altra persona a questa persona; copia e incolla che può portare nel caso migliore l'amministratore IT non ha tutti i permessi necessari per lavorare e dovrà richiedere altri; nel caso peggiore ne ha molti di più di quelli che gli servono e quindi inizia a essere un accentratore di rischio. Una gestione automatizzata, ad esempio dell'identità associata al PAM, queste cose le rimuove.
Perché i processi sono automatizzati, i permessi sono assegnati in base ai ruoli, qualsiasi cosa è tracciata, chi cambia dipartimento gli vengono tolti permessi precedenti gli vengono dati quelli nuovi, chi se ne va gli viene tolto qualsiasi accesso.
E in ultimo, ma assolutamente non meno importante, negli ultimi anni ci sono quelle che si chiamano le Cyber Assicurazioni, assicurazioni contro il rischio informatico. Assicurazioni che ovviamente richiedono il pagamento di premi assicurativi più o meno grandi e definiti in seguito a degli audit che le assicurazioni fanno sui propri clienti. E
dimostrare di avere una soluzione PAM, come anche una soluzione di gestione dell'identità, come anche una soluzione di Access Manager con SSO nella Multi-Factor Authentication son tutti dei check che vanno a diminuire il premio assicurativo e questo è un una riduzione dei costi molto molto concreta e estremamente misurabile.
Quindi un ulteriore fattore positivo che va a toccare anche un tema interessante questo della Cyber Insurance che forse è attiva davvero da pochi anni ma nei confronti delle quali le aziende oggi devono necessariamente prevedere all'interno dei propri budget, quindi un punto in più che si aggiunge rispetto ai molti che hai citato.
Elia, ti ringraziamo per questa chiacchierata, ci auguriamo magari di rivederti prossimamente con magari qualche verticale in più perché hai tirato fuori tanti argomenti interessanti però credo che per ognuno di questi poi per andare a guardarli
verticalmente c'è la necessità di parlarne abbondantemente. Assolutamente, abbiamo andato giusto una spolveratina alla punta dell'iceberg!
Esatto ma era l'obiettivo di questa puntata con te. Elia, ti ringrazio ancora molto e grazie a tutti quanti, vi rimandiamo a reti.it/podcast
per il prossimo episodio di INNOVATINABLE sempre, ancora, su le tematiche di cybersecurity!
[Musica]