Che cos'è un'identità nella cybersecurity?
- Glossario IAM
- Che cos'è un'identità nella cybersecurity?
Un'identità nella cybersecurity è un insieme unico di attributi utilizzati per rappresentare un'entità ai fini di identificazione e autenticazione. Sebbene l'identità sia tipicamente associata agli account utente, un'entità può anche essere una macchina, un'applicazione, un servizio o un agente AI. Ciascuna richiede una propria identità affinché i sistemi possano riconoscerla e verificarla, determinare cosa gli è consentito fare, a quali risorse può accedere e quali azioni può eseguire. L'identità nella cybersecurity crea le basi per due principali funzioni di sicurezza: l'autenticazione e l'autorizzazione. Senza un modo per stabilire l'identità, né l'autenticazione né l'autorizzazione sono possibili, per cui la gestione dell'identità è una parte cruciale di una strategia di sicurezza.
Perché le identità sono importanti nella cybersecurity
Ogni richiesta di accesso è legata a un'identità. Che un utente acceda a un servizio, un'applicazione interroghi un database o uno script esegua un processo, ogni identità viene utilizzata per determinare se una richiesta può essere autenticata e quale accesso dovrebbe essere autorizzato. Poiché una singola identità compromessa può garantire l'accesso a informazioni sensibili e a sistemi critici, le identità sono obiettivi molto preziosi per i criminali informatici.
La sfida principale è la proliferazione delle identità, ovvero la diffusione incontrollata di identità non governate in ambienti on-premise, ibridi e cloud. Con l'adozione da parte delle organizzazioni di un numero sempre maggiore di servizi cloud e integrazioni con terze parti, il numero di identità cresce rapidamente, rendendo sempre più difficile il monitoraggio e la gestione. Anche l'AI sta accelerando la crescita delle identità all'interno delle organizzazioni, spesso con i team IT e di sicurezza che non hanno visibilità né sul numero di identità né sul loro raggio d'azione.
Account orfani, permessi eccessivi e account di servizio non monitorati ampliano la superficie di attacco. Con gli attacchi basati sull'identità, come il furto di credenziali e il phishing, costantemente classificati tra i vettori di attacco più diffusi nella cybersecurity, le credenziali devono essere protette per garantire la sicurezza delle identità.
Quali attributi compongono un'identità nella cybersecurity?
Un'identità è definita da un insieme unico di caratteristiche che consentono ai sistemi di riconoscere, verificare e distinguere un'entità da un'altra. Questi attributi variano a seconda del tipo di entità, ma alcuni dei più comuni includono:
- Nome utente
- Indirizzo e-mail
- Indirizzo IP
- Certificati
- Chiavi crittografiche
- Segnali comportamentali
- Ruoli e autorizzazioni
- Abbonamenti di gruppo
- Metadati
- Informazioni sulla sessione
Nessun singolo attributo definisce completamente un'identità. Quando valutati insieme, questi attributi permettono ai sistemi di sicurezza di prendere decisioni consapevoli basate sul contesto, segnalando anomalie comportamentali, applicando controlli di accesso dinamici e riducendo la dipendenza da un singolo fattore che potrebbe essere falsificato o compromesso.
Tipi di identità nella cybersecurity
Le identità nella cybersecurity vanno oltre gli account dei singoli utenti, poiché qualsiasi entità che interagisce con un ambiente digitale può avere un'identità. Queste entità si dividono in quattro categorie principali:
- Identità umane
- Identità non umane (NHI)
- Identità di macchine e applicazioni
- Azioni e risorse
Identità umane
Le identità umane rappresentano le persone che si autenticano e interagiscono direttamente con i sistemi, inclusi dipendenti, clienti, amministratori e utenti con privilegi. Queste identità sono in genere collegate a credenziali individuali come nomi utente e password e sono regolate dagli Identity Provider (IdP). Poiché le identità umane sono spesso prese di mira negli attacchi informatici, richiedono solidi controlli di autenticazione e monitoraggio continuo.
Identità non umane (NHI)
Le NHI sono identità digitali che comprendono account di servizio, applicazioni, carichi di lavoro, API e agenti AI. Queste identità si basano tipicamente su credenziali come chiavi API, segreti, token e certificati per l'autenticazione. A differenza delle identità umane, le NHI operano generalmente in modo continuativo in background, il che le rende facili da trascurare per i team di sicurezza. È proprio questo che le rende così pericolose: le NHI tendono ad avere privilegi eccessivi e a restare non gestite per lunghi periodi. Senza un'adeguata governance, le NHI diventano punti di ingresso per i criminali informatici, per ottenere silenziosamente un accesso non autorizzato, spostarsi lateralmente e aumentare i privilegi.
Identità di macchine e applicazioni
Le identità delle macchine fanno parte dell'infrastruttura fisica e virtuale che costituisce gli ambienti digitali. Server, endpoint e dispositivi Internet of Things (IoT) devono essere autenticati prima di poter comunicare in rete. Le identità delle applicazioni coprono il livello software, inclusi database, servizi cloud e piattaforme SaaS che si autenticano regolarmente tra loro per funzionare. Questa comunicazione da servizio a servizio è una parte fondamentale dell'infrastruttura cloud moderna, e l'identità è ciò che la rende sicura. Senza identità autenticate di macchine e applicazioni, le organizzazioni non hanno un modo affidabile per garantire che solo sistemi affidabili scambino dati.
Azioni e risorse come contesto dell'identità
Le azioni e le risorse non hanno identità come gli utenti e le macchine, ma sono associate a identità e criteri di accesso. Azioni come query, esecuzioni e connessioni di rete vengono sempre eseguite nel contesto di un'identità, creando un contesto comportamentale e voci essenziali per il rilevamento e la conformità delle minacce. Risorse come file, record di database e unità condivise sono tipicamente regolate da policy di accesso che definiscono quali identità possono interagire con esse e cosa le identità possono fare. Insieme, azioni e risorse forniscono i necessari livelli contestuali e comportamentali che permettono ai sistemi di valutare il rischio, rilevare attività sospette e imporre controlli più severi quando l'attività si discosta dalla norma.
Identità vs autenticazione vs autorizzazione
Sebbene strettamente correlati, identità, autenticazione e autorizzazione sono tre concetti separati che operano in sequenza per governare l'accesso nei sistemi sicuri. L'identità si riferisce a chi o cosa è un'entità, completa del set di attributi che la definiscono. L'autenticazione è il modo in cui l'identità viene verificata, confermando che l'entità è chi afferma di essere tramite una password, un certificato, o biometria.
L'autenticazione a più fattori (MFA) rafforza questo aspetto richiedendo due o più di questi fattori. Al contrario, l'autorizzazione è ciò che l'identità verificata è autorizzata a fare, come leggere un file ma non modificarlo o eseguire un'azione specifica. Insieme, questi tre concetti costituiscono la spina dorsale del controllo degli accessi, e un guasto a qualsiasi livello può compromettere la sicurezza dell'intero sistema.
Come le organizzazioni gestiscono e proteggono le identità
La gestione delle identità è una parte fondamentale dei modelli di sicurezza zero trust. Invece di concedere accessi ampi basati sulla posizione di rete o su un singolo login, il modello zero trust assume che nessuna identità debba essere considerata affidabile per impostazione predefinita e richiede una verifica continua delle identità e delle richieste di accesso. La sicurezza basata sull'identità rende essenziali le pratiche di gestione dell'identità. Ecco alcuni modi in cui le organizzazioni possono gestire e proteggere le identità:
- Applicare l'accesso con privilegi minimi: Ogni identità dovrebbe ricevere solo i permessi minimi necessari. L'accesso con privilegi minimi dovrebbe essere applicato a ogni livello e rivisto regolarmente per rimuovere le autorizzazioni non più necessarie e ridurre il rischio di sfruttamento.
- Usa la MFA ovunque: la MFA richiede che un'entità verifichi la propria identità attraverso due o più fattori. Dovrebbe essere applicata universalmente, specialmente agli account con privilegi e agli utenti con accesso remoto a sistemi critici.
- Implementa la Gestione degli accessi con privilegi (PAM): le soluzioni PAM forniscono un controllo centralizzato sugli account privilegiati. Consentono alle organizzazioni di imporre controlli di accesso granulari, richiedere verifiche aggiuntive per le operazioni critiche e mantenere audit dettagliati.
- Ruota automaticamente le credenziali e i segreti: Credenziali che cambiano raramente o mai rappresentano vulnerabilità persistenti. La rotazione automatizzata garantisce che credenziali e segreti di tutte le identità vengano aggiornati regolarmente, limitando la finestra di opportunità per i criminali informatici.
- Monitora e registra l'attività della sessione: il monitoraggio e la registrazione continui delle sessioni creano un registro in tempo reale delle attività svolte dalle diverse identità con i relativi accessi. Combinato con l'analisi comportamentale, il monitoraggio delle sessioni consente alle organizzazioni di identificare minacce che eludono l'autenticazione sfruttando credenziali legittime ma compromesse.
- Identità sicure delle macchine e flussi di lavoro automatizzati: le macchine hanno identità che devono essere governate secondo lo stesso standard degli utenti umani. Le organizzazioni dovrebbero tenere un inventario completo delle identità delle macchine e garantire che i flussi di lavoro automatizzati operino con permessi regolarmente verificati.
- Gestisci gli agenti AI: gli agenti AI stanno sempre più interrogando i sistemi e interagendo con le infrastrutture in modo autonomo, quindi devono essere trattati come identità distinte e soggette alla stessa governance delle altre entità. In assenza di un'adeguata governance delle identità per gli agenti AI, le organizzazioni rischiano di avere identità altamente capaci non supervisionate, mettendo così a rischio i propri ambienti.