Una versione precedente di questo post è stata pubblicata su NASDAQ il 1° giugno 2023
Se si esclude il gergo, le politiche, i titoli e gli standard, la sicurezza informatica è sempre stata un gioco di numeri. I team di sicurezza devono proteggere X utenti, applicazioni, diritti e ambienti. Le organizzazioni si affidano a Y professionisti della sicurezza per proteggere queste risorse. Hanno un budget Z da spendere in tecnologie, strumenti e formazione.
Questi numeri ci stanno sfuggendo. L'universo delle identità si sta espandendo molto più velocemente di quanto gli attori umani riescano a fare: in una 2021 Oltre 80% degli intervistati hanno dichiarato che il numero di identità gestite è più che raddoppiato e 25% hanno segnalato un aumento di 10 volte.
E non si tratta solo di creare più identità, ma anche di creare identità che possano fare molto più del necessario. All'incirca 98% di autorizzazioni rimangono inutilizzate. Questi rischi aumentano man mano che le organizzazioni aggiungono altri ambienti cloud: Gartner prevede che la "gestione inadeguata di identità, accesso e privilegi causerà 75% di fallimenti nella sicurezza del cloud" quest'anno e che la metà delle aziende esporrà erroneamente alcune delle proprie risorse direttamente al pubblico.
Non c'è da stupirsi, quindi, che 58% delle volte, i team di sicurezza hanno scoperto di essere stati violati grazie alla divulgazione da parte degli attori delle minacce. Esatto: più della metà delle volte, le organizzazioni hanno saputo di essere state sconfitte solo quando i cattivi hanno comunicato loro di aver perso.
Abbiamo visto più volte gli attori delle minacce sfruttare questi numeri attaccando le infrastrutture di identità delle organizzazioni e lanciando alcuni dei cyberattacchi di più alto profilo e più dannosi della memoria recente. Colonial Pipeline, SolarWinds, LAPSUS$ e le minacce sponsorizzate dallo Stato hanno dimostrato quanto siano diventate grandi, interconnesse e vulnerabili le infrastrutture di identità.
Non fraintendetemi: non intendo incolpare i team di cybersecurity per queste violazioni. Non è solo che i loro avversari sono stati intelligenti, o fortunati, o entrambi. Non è solo che non ci si può aspettare che le organizzazioni private siano all'altezza delle risorse di uno Stato nazionale. Concentrandosi su queste variabili si perde di vista il punto: non ci si può più aspettare che gli attori umani garantiscano la sicurezza, la conformità e la convenienza del patrimonio informatico di un'organizzazione. La velocità, la portata e la complessità di ciò che dobbiamo proteggere sono cresciute di diverse dimensioni rispetto a ciò che la mente umana può anche solo concepire, per non parlare della sicurezza.
Non è che i conti non tornino, è che la loro somma supera le capacità umane.
Considerando quanto è grande e complesso l'universo IT oggi - e quanto è destinato a diventare ancora più grande e complesso - è irragionevole aspettarsi che i team di identità e sicurezza creino universi IT sicuri, conformi e convenienti. Non credo che gli esseri umani può lo fanno da soli.
La buona notizia è che non è necessario. Proprio mentre l'universo dell'identità si sta espandendo oltre le capacità umane, l'intelligenza artificiale (AI) ha raggiunto un punto in cui può contribuire a proteggere l'intero ciclo di vita dell'identità. Stiamo creando nuovi strumenti adatti a questo momento e in grado di proteggere le lacune e i punti ciechi sfruttati dagli attori delle minacce.
L'intelligenza artificiale è adatta a questo momento perché è in grado di fare qualcosa che gli esseri umani hanno sempre faticato a fare: dare un senso a grandi quantità di dati in modo rapido.
A titolo di esempio, ricordiamo che 98% di diritti non vengono mai utilizzati. Questo è probabilmente il risultato dell'eccessivo provisioning degli account da parte dei team IT e di identità fin dal momento dell'ingresso di un nuovo utente e della creazione di un account. Abbiamo troppe abilitazioni fin dall'inizio e non riusciamo a reagire abbastanza rapidamente per fornire l'accesso appropriato quando necessario.
Gli esseri umani tendono a vedere il mondo con approssimazioni a grana grossa: pensiamo che l'ingegneria debba accedere al server Dev, il team Ops al server Prod e che gli amministratori debbano accedere a entrambi. Molte soluzioni di governance si basano su queste approssimazioni grossolane: il controllo degli accessi basato sui ruoli (RBAC) assegna i privilegi in base al reparto a cui una persona è assegnata in un'organizzazione. I dipendenti del reparto marketing dovrebbero avere accesso ai diritti A, B e C, mentre quelli del reparto finanziario dovrebbero avere accesso ai diritti D, E e F.
Sebbene le approssimazioni a grana grossa siano costrutti utili, sono fondamentalmente in contrasto con la direttiva "zero trust" di fornire il minimo indispensabile di diritti necessari per svolgere un ruolo. La fiducia zero richiede un'analisi e un processo decisionale a grana fine e just-in-time. Arrivare alla fiducia zero significa avere una comprensione quasi molecolare di chi è un utente, di cosa ha bisogno, quando ne ha bisogno, come dovrebbe usarlo e perché. Inoltre, è necessario riesaminare queste informazioni quasi ogni momento e assicurarsi continuamente che una richiesta sia appropriata.
Gli esseri umani non possono operare a quel livello o a quella velocità. Ma l'intelligenza artificiale sì. Una macchina non si lascia scoraggiare da migliaia di utenti con milioni di diritti che cambiano ogni secondo. Al contrario, una macchina può diventare più efficace imparando da un insieme di dati più ampio. Mentre gli esseri umani possono essere sopraffatti da una tale quantità di dati, le macchine possono utilizzarli per sviluppare una cybersecurity più forte, migliore e veloce.
L'ho già detto, ma vale la pena ripeterlo: abbiamo zero possibilità di arrivare a zero fiducia senza l'IA.
Abbiamo visto in prima persona i contributi dell'AI alla cybersecurity. Per quasi 20 anni, RSA ha utilizzato l'apprendimento automatico e l'analisi comportamentale per migliorare l'autenticazione dei clienti. La nostra funzionalità Risk AI apprende il comportamento tipico di ogni utente, quindi applica segnali contestuali, tra cui l'ora del giorno in cui l'utente effettua una richiesta, il dispositivo utilizzato, l'indirizzo IP, i modelli di accesso e altri fattori, per ottenere un punteggio di fiducia dell'identità e, se necessario, automatizzare l'autenticazione step-up.
E questo solo per quanto riguarda l'autenticazione: le organizzazioni possono ottenere risultati migliori, più valore e una sicurezza più forte applicando l'identity intelligence in una piattaforma di identità unificata che integra l'autenticazione con l'accesso, la governance e il ciclo di vita. RSA ha recentemente annunciato nuove funzionalità automatizzate di identity intelligence per Governance e ciclo di vita RSA. Presto introdurremo ulteriori dashboard e intelligence nelle nostre soluzioni e aiuteremo i clienti a comprendere la postura complessiva del rischio di accesso, a identificare gli utenti, le applicazioni e le sedi ad alto rischio e a determinare le modifiche alle policy necessarie per proteggere meglio le risorse critiche.
L'identità è sempre stata lo scudo di un'organizzazione. L'identità ci dice chi far entrare e stabilisce come verificare che qualcuno sia chi dice di essere. Stabilisce a cosa devono accedere i nostri utenti.
L'identità crea le difese iniziali e più critiche di ogni organizzazione. Ma se l'identità è lo scudo del difensore, è anche l'obiettivo dell'attaccante. Infatti, l'identità è la parte della superficie di attacco più attaccata: 84% delle organizzazioni hanno segnalato una violazione legata all'identità nel 2022, secondo l'associazione Alleanza per la sicurezza definita dall'identità. Verizon ha rilevato che le password sono state la causa principale di tutte le violazioni di dati ogni anno negli ultimi 15 anni.
Non possiamo aspettare che il Security Operations Center (SOC) intervenga: un universo di identità in rapida crescita significa più endpoint, traffico di rete e infrastrutture cloud da monitorare. I team SOC non hanno già visibilità sulle minacce all'identità come la forza bruta, le tabelle arcobaleno o le attività insolite degli utenti: è irragionevole aspettarsi che si occupino delle minacce all'identità ora che stanno diventando più pronunciate.
Con il SOC sopraffatto e l'identità sotto attacco, l'identità deve adattarsi. Non è sufficiente che una piattaforma di identità sia ottima per la difesa. In futuro, l'identità dovrà anche essere in grado di autodifendersi.
Dobbiamo costruire piattaforme che si occupino di rilevamento e risposta alle minacce all'identità (ITDR) in modo intrinseco, non come funzione o opzione, ma come parte fondamentale della loro natura.
Il nostro settore sta lavorando per sviluppare queste capacità. In RSA stiamo espandendo l'autenticazione basata sul rischio nella nostra Unified Identity Platform per prevenire i rischi, rilevare le minacce e automatizzare le risposte.
Dobbiamo dare priorità a questo lavoro, perché i nostri avversari stanno già usando l'intelligenza artificiale per affinare e accelerare i loro attacchi. L'intelligenza artificiale può scrivere malware polimorfo, migliorare ed eseguire campagne di phishing, e persino di violare il giudizio umano di base e il ragionamento con deepfakes.
L'integrazione dell'IA nella cybersecurity sarà un lavoro difficile ma essenziale. In definitiva, significherà una sicurezza informatica migliore, più intelligente, più veloce e più forte. Il nostro settore è agli inizi nell'utilizzo dell'IA per proteggere le organizzazioni, ma i segnali sono promettenti: IBM ha rilevato che le organizzazioni con una sicurezza e un'automazione dell'intelligenza artificiale completamente implementate hanno ridotto di 74 giorni il tempo necessario per identificare e contenere una violazione e hanno abbassato il costo di una violazione dei dati di oltre $3 milioni.
Ma non sarà priva di sfide: noi esseri umani ci troviamo di fronte a un'incombente crisi d'identità. I professionisti della sicurezza informatica dovranno reimmaginare i nostri ruoli a fianco dell'IA. Dovremo apprendere nuove competenze in materia di formazione, supervisione, monitoraggio e persino protezione dell'IA. Dovremo dare la priorità a chiedere all'IA di migliorare domande, impostando le sue politiche e perfezionando i suoi algoritmi per essere sempre un passo avanti rispetto ai nostri avversari.
In definitiva, non è solo la tecnologia a doversi evolvere. Siamo tutti noi.
