Mentre il mondo continua ad abbracciare la trasformazione digitale e il lavoro distribuito, le aziende continueranno a distribuire applicazioni SaaS, pur continuando a utilizzare strumenti on-premise. Di conseguenza, gli ecosistemi ibridi stanno diventando sempre più comuni. Purtroppo, le attuali pratiche di gestione delle identità e degli accessi (IAM) non sono all'altezza del compito di gestirli.
Un'azienda media gestisce almeno 20 prodotti per la gestione e il mantenimento dell'identità. Il controllo degli accessi per questi prodotti può essere un pasticcio, con credenziali tipicamente sparse in tutta l'organizzazione. È un vero e proprio tesoro per gli hacker malintenzionati.
Cosa si può fare, allora? Alla recente Hybrid Identity Protection Conference, ho moderato una tavola rotonda del settore che è partita proprio da questa domanda. Abbiamo discusso dei problemi legati alle attuali pratiche di gestione delle identità e di come le aziende possano aggiornare le loro pratiche per renderle più efficienti, efficaci e sicure.
In questo post troverete i punti salienti della discussione, a cui hanno partecipato Ricky Allen, CISO di Critical Start; Brian Desmond, Principal di Ravenswood Technology Group; Brandon Nolan, Global Digital Identity & Recovery lead di Avanade; e io, fondatore e CEO di TAG Cyber.
1. Le identità e gli endpoint non possono più essere gestiti separatamente.
Il primo passo che le aziende devono compiere è riconcepire il modo in cui approcciano l'IAM.
"È necessario considerare contemporaneamente la sicurezza degli endpoint e quella delle identità", ha affermato Desmond. "Non c'è più differenza tra le due cose. I tempi in cui i dispositivi e la gestione delle identità venivano gestiti da reparti diversi sono finiti: semplicemente non funzionano più, soprattutto se si considerano le linee guida consolidate su un modello a fiducia zero".
L'IAM non è qualcosa che un prodotto può semplicemente fornire. Le aziende devono invece iniziare con la gestione delle identità o degli endpoint, per poi fondere questo elemento con la sua controparte. Nell'ambito di questo processo, è fondamentale stabilire la proprietà di asset quali segreti e caveau di chiavi, definire le identità privilegiate rispetto a quelle non privilegiate e determinare livelli di accesso concreti.
In un ambiente Microsoft, le aziende possono raggiungere al meglio questo equilibrio passando ad Azure Active Directory (Azure AD), perché consente funzionalità critiche, come l'autenticazione a più fattori (MFA).
2. Il consolidamento è il primo passo per risolvere la sfida della sicurezza ibrida.
La complessità è l'ostacolo più significativo per un'efficace sicurezza ibrida. Come molte aziende hanno scoperto, un approccio integrato è la chiave per affrontare questo ostacolo. Le organizzazioni possono collaborare con un fornitore di servizi di identità per smantellare gradualmente le soluzioni endpoint esistenti e consolidare le loro funzionalità in un'unica piattaforma. Il fornitore di identità può quindi connettersi ad Azure, migliorando l'efficienza e riducendo al contempo lo sprawl.
"Gli attori delle minacce amano la complessità", ha dichiarato Nolan. "Di conseguenza, molte organizzazioni stanno studiando il modo per liberarsi da questa complessità. Stiamo iniziando a vedere molti più movimenti verso le piattaforme invece che verso le soluzioni endpoint".
3. È necessaria una visibilità in tempo reale
Un'azienda che non ha un quadro chiaro delle proprie risorse è un obiettivo primario per lo sfruttamento. Purtroppo, gli ambienti aziendali incentrati sul cloud si muovono troppo rapidamente per le tecniche di auditing tradizionali. Anche le istantanee non sono adatte, in quanto offrono un'immagine statica di un ambiente dinamico.
"L'inventario è un bersaglio mobile", ha affermato Desmond. "Quando si finisce un audit, le informazioni che si hanno sono già superate".
Le aziende possono affrontare questo problema adottando strumenti di rilevamento automatizzati. Gli strumenti basati sull'intelligenza artificiale e sull'apprendimento automatico possono monitorare attivamente l'infrastruttura e classificare gli avvisi che i team di sicurezza umani devono gestire. In questo modo, un'azienda può impegnarsi nella gestione in tempo reale, nel rilevamento delle minacce e nella bonifica.
"La visibilità tende a essere molto complessa", afferma Nolan. "Nel nostro caso, analizziamo un ecosistema rispettivamente in un livello di identità, endpoint, rete e automazione. L'idea è che la visibilità non riguardi solo gli asset o l'inventario: Si tratta anche di telemetria di autenticazione e servizi di federazione".
4. La cultura dell'eredità è un punto di arresto significativo
Per abbracciare l'IAM ibrido, le aziende devono innanzitutto liberarsi delle vecchie abitudini, idee e convinzioni sull'autenticazione e sul controllo degli accessi. I sistemi legacy sono un sintomo di questo vecchio modo di pensare. Sono allo stesso tempo la più grande minaccia alla sicurezza per molte aziende e l'ancora che le blocca durante la trasformazione digitale.
"Credo che l'intero argomento di questa conversazione sia la definizione del rischio più grande", ha detto Allen. "E trovo che si tratti di apparecchiature legacy. Abbiamo sempre adottato un approccio inverso, compatibile con il passato, anche se ci muoviamo sempre più velocemente. Non portiamo con noi il minimo comune denominatore. Di conseguenza, siamo costretti a declassare tutta la nostra autenticazione".
Abbandonare questo paradigma e abbandonare le abitudini accumulate in più di 20 anni non è un compito semplice. Richiede una collaborazione significativa tra l'IT e gli altri segmenti aziendali. Richiede inoltre che le aziende accettino l'etica del "meno è meglio": meno sistemi distinti sono utilizzati da un'organizzazione, meglio è.
Cosa ci riserva il futuro
Microsoft svolge da tempo un ruolo di primo piano nella sicurezza aziendale. Per quanto riguarda l'IAM ibrido, tuttavia, Azure AD ha il potenziale per svolgere un ruolo ancora più importante. Per tutte le aziende che lavorano all'interno dello stack Microsoft, le licenze E5 sono particolarmente importanti, in quanto forniscono un migliore controllo degli accessi, visibilità e rilevamento delle minacce.
"Credo che, in ultima analisi, l'attenzione debba essere rivolta a ciò che Microsoft sta facendo nell'ambiente della sicurezza", ha concluso Allen. "L'approccio dell'azienda ai suoi prodotti è cambiato, convergendo in un'unica SKU di prodotto che ora gestisce la posta elettronica, gli endpoint e l'identità su tutta la linea. Vale sicuramente la pena di prendere in considerazione e di esaminare le licenze E5".
Nel frattempo, nuove tecnologie come la blockchain potrebbero ridefinire il modo in cui gestiamo la crittografia. Memorizzando una chiave di sicurezza in un libro mastro distribuito, è possibile non solo proteggerla, ma anche garantirne l'integrità. Tuttavia, questa tecnologia è ancora molto teorica ed è improbabile che se ne parli prima del 2023.
Per la sicurezza ibrida, la strada da percorrere è quella delle partnership
La protezione di un ambiente ibrido è un compito complesso e ad alta intensità di risorse, che richiede all'azienda di ripensare non solo l'infrastruttura, ma l'intera cultura. La continua carenza di talenti rappresenta forse il più grande ostacolo alla trasformazione. In definitiva, l'identità ibrida significa che non sarà semplicemente consigliabile collaborare con altre organizzazioni, ma diventerà necessario.
"La mia esperienza è che un'organizzazione non può fare tutto da sola", ha aggiunto Nolan. "Semplicemente non ci sono abbastanza risorse qualificate per la sicurezza ibrida per fare il lavoro. Ci vuole un villaggio: la giusta partnership tra fornitore, service provider e azienda".