La vulnerabilità più debole della vostra organizzazione non è un sistema non patchato, una password facile da indovinare o un team di sicurezza assediato.
La vulnerabilità più importante è invece qualcosa di molto più ampio e difficile da gestire: la fiducia.
Nelle ultime settimane abbiamo assistito a un'ondata di cyberattacchi che hanno utilizzato un mix di exploit e che hanno colpito diversi settori che utilizzano tutti la fiducia per violare la sicurezza delle organizzazioni:
- Il Attacco SolarWinds ha utilizzato un sistema di aggiornamento fidato per installare codice maligno in un massimo di 18.000 organizzazioni, tra cui il Pentagono, il Dipartimento della Sicurezza Nazionale, la National Nuclear Security Administration, ospedali e i principali media.
- La scorsa settimana, una nuova campagna orchestrata dallo stesso gruppo che sta dietro a SolarWinds (Nobelium) ha violato il provider di posta elettronica dell'AID statunitense, Constant Contact, per inviare e-mail contenenti URL malevoli a circa 3.000 conti presso più di 150 gruppi internazionali per lo sviluppo e i diritti umani.
- Gli hacker stanno sfruttando cambiando COVID-19 restrizioni per inviare false e-mail "da" Chief Information Officer per rubare le credenziali dei dipendenti.
(Non sappiamo con certezza se il gruppo che ha obbligato JBS Foods chiude le attività negli Stati Uniti e in Australia si è affidato a tattiche simili, ma continueremo a monitorare la vicenda per capire se la fiducia ha giocato un ruolo importante).
In tutti questi exploit, i malintenzionati inviano link o installazioni da un sito presumibilmente fonte attendibile. Adattarsi a questa situazione può essere impegnativo: in una società complessa, remota, che lavora da qualsiasi luogo, dobbiamo fidarci dei nostri colleghi, fornitori e sistemi per svolgere il nostro lavoro, fare ordini, effettuare e ricevere pagamenti.
Gli utenti hanno bisogno di fiducia. Ma le organizzazioni non possono permettersela. Online, la fiducia può essere una grande responsabilità.
Abbiamo discusso fiducia zero prima: non si tratta di un numero di parte o di un prodotto. Non esiste una SKU o un modulo d'ordine rapido per acquistarlo.
Al contrario, la fiducia zero è un principio, è una mentalità che i team di sicurezza dovrebbero iniziare a sviluppare. In generale, la fiducia zero è la classica mentalità del "minimo privilegio", solo ampliata su una scala più ampia. È un modo per effettuare i giusti compromessi costi/benefici per proteggere ciò che conta di più senza rallentare gli utenti o interrompere l'attività.
Uno dei modi più efficaci per avvicinarsi alla zero fiducia è dare priorità all'identità e ricordate che la gestione degli accessi alle identità (IAM) e l'amministrazione della governance delle identità (IGA) hanno una portata più ampia. Si applicano a utenti, risorse, applicazioni e i vostri fornitori: per applicare il modello "mai fidarsi, sempre verificare" di Zero Trust, dovete iniziare a definire politiche di governance per concedere l'accesso giusto agli utenti giusti e mantenere l'elenco dei loro ruoli e privilegi. Le aziende hanno bisogno di modi migliori, più veloci e più intelligenti per tracciare e controllare queste informazioni.
Anche in questo caso, IAM e IGA sono estesi: i recenti hackeraggi di Nobelium sottolineano la necessità di inventariare tutti i dati relativi a sistemi e accessi e fornire un'autenticazione forte. I sistemi aziendali basati sul cloud, come Office 365, Salesforce, Slack e Constant Contact, devono essere più solidi, autenticazione basata sul rischio per garantire sicurezza del cloud e proteggere sia le identità personali che il materiale sensibile dell'organizzazione. Inoltre, gli hack dimostrano anche la necessità per le aziende di eliminare la nostra vulnerabilità alle password e alle credenziali di accesso rubate (e di recuperare risparmi significativi) andando a senza password.
Identificando, gestendo e riducendo la quantità di fiducia che concediamo agli utenti e alle risorse, possiamo trarre vantaggio dalle nostre connessioni e limitare i danni che possono arrecare a noi, ai nostri colleghi e alle nostre aziende. In definitiva, la fiducia zero non è una meta: è un viaggio che intraprendiamo, in cui impariamo e reimpariamo costantemente i compromessi che dobbiamo fare in un mondo online. Sempre più spesso sta diventando un viaggio che vale la pena intraprendere.
