Al di là del nome che appare mistico-fantascientifico, le identità non umane esistono in ogni organizzazione. Proteggerle è materia concreta e prioritaria, considerando anche che chiavi API e dispositivi IoT sono ormai strumenti diffusi.
Le identità non umane, il cui nome è mutuato dall’inglese Non-Human-Identity (NHI), fanno parte di quegli scenari complessi e sempre più sfaccettati che la cybersecurity è chiamata a proteggere.
Il report 2025 State of Non-Human Identities and Secrets in Cyber security, prodotto dal centro di ricerca Entro Labs dell’azienda di cyber security Entro Security, evidenzia come queste entità tendono a coincidere con i principali vettori di attacco in diversi settori industriali, spesso a causa di configurazioni errate o di una gestione incompleta del loro intero ciclo di vita.
Proteggere queste risorse è diventato un compito cruciale per mantenere l’integrità dei sistemi e la riservatezza delle informazioni sensibili in un ecosistema digitale sempre più dinamico e interconnesso.
Indice degli argomenti
Cosa sono le identità non umane
Le identità non umane (NHI)sono componenti fondamentali dei moderni ambienti IT e includono account di servizio, chiavi API, certificati e token di applicazione.
A differenza delle identità umane, queste vengono utilizzate principalmente per facilitare i processi automatizzati e la comunicazione tra diverse applicazioni.
Nel report di Entro Labs si legge che sono numerose e che, in ambienti industriali complessi, ce ne sarebbero 92 per ogni identità umana.
Al di là della correttezza di tale cifra, restano invariate sia la funzione delle NHI sia la loro gestione.
Sono importanti, persino vitali per il corretto svolgimento delle attività di business, e tendono a essere snobbate aprendo così le porte a intrusioni e fughe di dati.
Quali sono i rischi principali delle identità non umane
Molte NHI soffrono di over-provisioning, ossia godono di permessi eccessivi rispetto a quelli necessari e non rientrano nei parametri osservati dalle aziende, il loro operato non viene quindi tracciato.
Questo si traduce in un peso per la buona cyber postura. Concedere privilegi superiori e non giustificati è attività che facilita il compito ai criminal hacker e, non di meno, la mancata rotazione delle NHI non è l’unico indice di gestione perfettibile.
Sempre secondo i dati forniti da Entro Labs, il 91% dei token appartenenti a ex dipendenti non viene mai revocato, creando così punti di accesso latenti.
Va evidenziato che la tracciabilità dell’uso delle NHI è complessa e rende difficile il rilevamento di abusi e, parallelamente, le organizzazioni tendono a esporre le identità non umane a terze parti senza garantire salvaguardie appropriate.
La complessità gestionale fa il paio con le configurazioni errate le quali, spesso non semplicissime, vengono gestite alla bell’e meglio con il rischio di causare accessi non autorizzati o perdite di dati.
Questi non sono gli unici rischi ma sono i più frequenti e pericolosi.
Perché proteggere le identità non umane
Lasciando parlare i fatti, la risposta a questa domanda è ereditata dal passato recente.
Alla fine del 2023 Cloudflare è stata vittima di un attacco sferrato proprio facendo leva sulle lacune della protezione delle identità non umane. Usando credenziali compromesse ottenute durante una precedente violazione, gli attaccanti hanno avuto accesso a 5.000 token non ruotati. L’incidente è stato risolto e chiuso in meno di 24 ore e i clienti non ne hanno subito l’onda d’urto. Cloudflare non ne è però uscita con specchiata reputazione.
Ad agosto del 2024 sono finiti sotto i riflettori diversi clienti di Amazon Web Service che, a causa di configurazioni sbagliate, hanno esposto pubblicamente dei file .env che contenevano chiavi di accesso ad AWS. Da qui un’operazione di data extortion che ha compromesso oltre 90.000 variabili ambientali.
A causa di questi errori di configurazione completamente imputabili ai clienti e non ad AWS, gli attaccanti hanno ottenuto anche token OAuth, chiavi API e privilegi IAM.
A metà del 2024, la piattaforma Spaces di Hugging Face ha subito una violazione mediante la quale gli attaccanti hanno ottenuto accesso non autorizzato ai token API e ai parametri utilizzati dagli utenti per gestire le rispettive applicazioni e i rispettivi dataset di intelligenza artificiale.
Questi esempi certificano che proteggere le identità non umane è categorico, giacché ampliano le superfici d’attacco.
L’automazione ha creato un parterre di attori digitali che agiscono nell’ombra, spesso snobbati dalle politiche di sicurezza che, ancora oggi, tendono a focalizzarsi quasi esclusivamente sull’utente umano.
È la natura stessa delle identità non umane a decretarne la caducità: spesso vengono generate in modo reattivo per fare fronte a necessità operative improvvise, salvo poi rimanere attive a titolo perpetuo e al riparo da politiche che ne disciplinano la disattivazione o il ritiro.
Ciò fa di un’infrastruttura IT un palazzo con delle finestre rotte e, in aggiunta, poiché le identità non umane tendono a condividere dati e informazioni tra più applicazioni o sistemi, i criminal hacker che dovessero riuscire a compromettere un singolo elemento, avrebbero accesso privilegiato a più sistemi.
Come difendere le identità non umane
La sicurezza delle identità non umane passa attraverso l’implementazione di una strategia che ne governi il ciclo di vita presidiandone ogni fase dal momento in cui vengono create fino a quando vengono ritirate.
La prassi dell’over-provisioning va debellata mediante un’accorta definizione dei permessi (scoping) e auna revisione periodica.
In breve, lo scoping è il processo utile alla definizione di quali sistemi, persone, processi e dati rientrano nei perimetri delle regole di sicurezza e di compliance. In parole spicce, serve a stabilire quali sono i dati sensibili, dove risiedono, attraverso quali applicazioni o server passano e chi può avervi accesso.
Lo scoping serve quindi a delimitare il perimetro di sicurezza. Senza questa fase non può essere chiaro dove devono essere applicati i controlli e, ancora prima, lo scoping richiede una visibilità totale e centralizzata dell’ecosistema delle identità non umane.
La difesa propriamente detta va al di là dello scoping e deve includere la salvaguardia delle credenziali e un controllo granulare degli accessi.
La salvaguardia delle credenziali esige che non vengano protette soltanto le macchine, ma anche le credenziali di accesso al fine di tenere lontani gli utenti non autorizzati, tema variegato che non include soltanto l’idea di password robuste e al quale abbiamo dedicato un approfondimento.
Il controllo granulare degli accessi richiama invece l’implementazione di controlli di accesso incentrati sui ruoli (RBAC) che consente la definizione di permessi in modo particolareggiato.
Il monitoraggio continuo del comportamento delle macchine consente di individuare attività sospette. Siamo nei meandri di ciò che è più affine alla mitigazione che alla difesa in quanto tale e che si riassume nel rilevamento delle minacce in tempo reale.
Interviene poi la remediation, ovvero la capacità di dare una risposta rapida alle vulnerabilità individuate, riducendo così la probabilità di violazioni di dati su larga scala.
In aggiunta, la gestione dinamica delle chiavi ne consente l’aggiornamento regolare ed evita che quelle non più utili diventino grimaldelli nelle mani dei malintenzionati.
