LA GUIDA PRATICA

Identity Management: cos’è, a cosa serve, i consigli degli esperti

L’Identity Management o gestione delle identità rappresenta un elemento di security strategico e imprescindibile, ma come implementarlo nel modo più corretto lo indicano best practice ed esperti interpellati sul tema

31 Ago 2020
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor


L’Identity Management o gestione delle identità è uno degli asset digitali più critici oggigiorno. In parte questo è dovuto ai crescenti attacchi per frodi digitali che avvengono mediante ripetuti tentativi di rubare le identità digitali altrui per rivendita diretta nel Dark Web, oppure mediante appropriazione subdola delle credenziali di quei soggetti le cui organizzazioni sono target per esfiltrarne dati strategici o sensibili da monetizzare. L’altro elemento che rende cruciale l’Identity Management è che rappresenta una chiave di volta per garantire sicurezza, la privacy e affidabilità di un prodotto o servizio reso disponibile mediante internet. Infatti, l’Identity Management (IdM) è l’insieme dei processi aziendali che unitamente ad una appropriata infrastruttura di supporto permettono la creazione, il mantenimento e l’uso delle identità digitali in un contesto legale, sia esso amministrativo, commerciale o pubblico o privato. Dunque, capire le implicazioni di una corretta applicazione della gestione delle identità digitali non rappresenta solo un passaggio basilare di consapevolezza, ma costituisce un elemento abilitante del business aziendale.

Identity Management: i concetti introduttivi

L’Identity and Access Management (IAM) nell’IT aziendale rappresenta il processo di definizione e di gestione dei ruoli e dei privilegi di accesso dei singoli utenti della rete, secondo le esigenze di lavoro se l’utente è un dipendente e secondo le condizioni contrattuali se l’utente è un cliente. L’obiettivo principale dei sistemi IAM è identificare un utente, autenticarlo e autorizzarlo all’accesso secondo il profilo e ruolo della sua identità digitale. Una volta stabilita, l’identità digitale deve essere mantenuta, modificata e monitorata in ogni momento del ciclo di vita del procedimento di accesso, ovvero durante il provisioning del servizio, l’onboarding dell’utenza e il suo offboarding e cancellazione al momento appropriato. Tipicamente i sistemi di IAM sono composti da strumenti di gestione delle password, software di provisioning, di l’applicazione delle policy di sicurezza, app di reporting e monitoraggio e archivi di identità. Vi sono poi tecnologie legate all’Identity Management che negli anni hanno assunto crescente adozione: le soluzioni basate su API security, quelle di Identity-as-a-service (IDaaS), i Customer identity and access management (CIAM) integrabili con i CRM ed ERP, le Analytics sulle identità per controllare ed eventualmente bloccare comportamenti sospetti (usano sistemi di behavioural basati su machine learning e sistemi statistici n.d.r), Identity Management and Governance (IMG) per il governa automatizzato e ripetibile del ciclo di vita delle identità e il Risk-based authentication (RBA) che gestisci gli accessi a uno o due fattori dipendentemente dal profilo di rischio dell’utenza che tenta di accedere. L’importanza dei sistemi di IAM è aumentata in relazione all’introduzione del GDPR che e richiede una maggiore sicurezza della protezione dei dati e quindi controlli per gli accessi degli utenti come parte di tale rafforzamento. In questo senso i sistemi di IAM sono diventati un fattore abilitante di supporto alla compliance normativa. Un tipico sistema di gestione delle identità comprende quattro elementi di base: una directory dei dati personali che il sistema utilizza per definire i singoli utenti (tipo un archivio di identità); una serie di strumenti per aggiungere, modificare ed eliminare i dati (relativi alla gestione del ciclo di vita degli accessi); un sistema che regola l’accesso degli utenti (applicazione di politiche di sicurezza e privilegi di accesso); e un sistema di controllo e reportistica (per verificare cosa sta succedendo nel sistema). A partire da questi elementi di base, a causa delle minacce degli attacchi sempre più insistenti nel carpire le identità, sono stati introdotti nei sistemi elementi di biometria, di apprendimento automatico, di intelligenza artificiale, di autenticazione multifattore e quella basata sul rischio. Le maggiori sfide dell’IAM sono legate a:

  1. l’esigenza di rendere sicure le identità digitali perché ancora oggi sono oggetto di attacchi per la maggior parte dei data breach;
  2. il fenomeno dell’identity sprawl per il quale ogni persona ha una proliferazione di account su diverse piattaforme e luoghi digitali con conseguenti problemi di protezione per ognuno di questi account che possono non avere gli stessi livelli di protezione fra loro e naturalmente a problemi di perdita di efficienza a causa degli account decentralizzati;
  3. un ulteriore sfida è legata ai sistemi proprietari di IAM che non si evolvono con la stessa velocità che sarebbe necessaria e al conseguente vendor Lock-in che pure impedisce cambi di vendor in funzione di nuove esigenze o tecnologie più mature;
  4. in aggiunta ai problemi anche la Shadow IT ovvero la proliferazione della adozione di applicazioni non approvate dai comparti IT aziendali, che provoca potenziali crisi e falle di sicurezza per le identità digitali non gestite centralmente.

Ulteriori sfide riguardano la gestione delle identità nei nuovi paradigmi dell’IT: il Cloud, l’IOT e il fog computing o l’edge. Infatti, le infrastrutture IT possono presentarsi ibride nella loro composizione mista fra on premise e delocalizzata.

Best practice sull’Identity Management

Se si considera la sfida dello IAM legato alle soluzioni molteplici legacy presenti in una organizzazione, allora l’approccio migliore risiede nella coesione e collaborazione fra dipartimenti che devono evitare di trovare soluzioni personali che poi risulteranno ridondate fra loro, ma piuttosto dovrebbero unificare il loro approccio allo IAM snellire processi e operazioni e pensare ad un approccio unico aziendale, ad esempio integrando lo IAM con i processi HR per gestire le identità aziendali e quelle digitali in modo integrato. Alcuni processi di gestione delle identità potrebbero essere automatizzati ma non completamente per lasciare un adeguato controllo manuale al team preposto. Ad esempio, nei casi di emergenza una gestione delle identità solitamente automatizzata potrebbe prevedere flussi di lavoro manuali da gestire in queste circostanze speciali. Un accorgimento necessario fra le automazioni riguarda la possibilità di abilitare il recupero delle password mediante un processo automatizzato per non sovraccaricare l’help desk aziendale spesso sopraffatto da questo tipo di richieste. Sistemi di sicurezza con secondo fattore di tipo OTP (One Time Password) possono garantire questo processo. Idealmente, qualunque sia la soluzione unica prescelta per l’azienda, dovrebbe essere rivalutata regolarmente anche per rivalutarne interventi di aggiornamento. Per risolvere il problema dei sistemy legacy ma anche per risposta alle sfide relative alla proliferazione degli accessi su sistemi diversi in una stessa rete, la soluzione risiede nella gestione delle identità federate che consente di condividere ID digitali con partner affidabili. È un meccanismo di condivisione dell’autenticazione che consente agli utenti di utilizzare lo stesso nome utente, password o altro ID per ottenere l’accesso a più di una rete oppure ad applicazioni diverse che sono ospitate nella stessa organizzazione e in comune con i partner di business. Lo standard Single Sign-On (SSO) è una applicazione della gestione degli ID federati. In aggiunta tutte i processi di impostazione e cambio password dovrebbero prevedere fattori di complessità c guidando l’utente alla scelta e formulazione di una password complessa ma di facile memorizzazione. Naturalmente un’unica consolle delle operazioni di gestione delle identità rappresenta un target allettante per gli attaccanti perché se non fosse correttamente protetta all’interno della rete dell’organizzazione, questa dashboard rappresenterebbe un “single point of failure”. Qualsiasi soluzione IAM deve poi poter essere realizzata in modo da garantire provisioning e de-provisioning dinamica con efficienza ed efficacia nella creazione e rimozione delle utenze per evitare buchi di vulnerabilità. Inoltre, sarebbe opportuno memorizzare le credenziali mediante sistemi di crittografia usando hash code. L’interazione dello IAM con i sistemi Mobile è altrettanto cruciale anche perché gli smartphone possono fornire informazioni sulla geolocalizzazione l’indirizzo IP e altre informazioni legate all’utente concorrendo così alla sua autenticazione più certa. Ultimo e non meno importante accorgimento è la formazione e preparazione dei dipendenti alle corrette regole e norme di Cyber Hygiene in modo da poter riconoscere per tempo i tentativi di frode veicolati da campagne di phishing, sviluppare password complesse e utilizzare l’autenticazione a due fattori o a più fattori. I sistemi che inducono una maggior motivazione nel partecipare alle pratiche di security in modo proattivo sono le soluzioni piu’ appropriate e durature nel tempo perché rendono i dipendenti parte attiva del perimetro di protezione e forse il più efficace. Per questo motivo è utile effettuare periodicamente un riesame sui dipendenti per vedere dove le politiche di gestione dell’identità e degli accessi dell’azienda stanno causando criticità per procedure difficili, farraginose o complesse causando stress eccessivo nel praticarle. Nel riesame delle politiche e procedure di IAM è appropriato e utile verificare i malfunzionamenti e gli errori che potrebbero comportare slittamento di privilegi a utenze non autorizzate oppure il frequente caso in cui il passaggio ad un nuovo ruolo aziendale consente l’assegnazione di nuovi privilegi senza che i vecchi siano mai revocati.

Previsioni per il 2020 dagli esperti

A fronte di minacce crescenti e innovazioni nel panorama dello IAM alcuni esperti di sicurezza hanno tracciato i trend per il futuro: il Michael Covington di Wander sostiene che sebbene i metodi di autenticazione continueranno probabilmente a spostarsi verso un approccio basato sulla biometria superiore, il fattore di autenticazione più importante diventerà il “contesto” in cui gli utenti operano e da cui effettuano il tentativo di accesso, ovvero il luogo fisico di lavoro e il tipo di rete da cui proviene la connessione, ma anche il paese di lavoro, potranno incidere sulle logiche e policy di accesso. A tal proposito Gerald Beuchelt, di LogMeIn, sottolinea l’adozione approfondita di tool di apprendimento automatico capaci di analizzare contesti a granularità diversa usando ad esempio il geofencing e i sensori biometrici dei dispositivi. La zero trust IT, per Greg Keller, JumpCloud, impone di prevedere come standard di impostazione il “least priviledge” e di rendere sicuri gli accessi alle singole workstation di qualunque tipologia si tratti (workstation, laptop, remote desktop). Su questo stesso tema Chris Hickman, Keyfactor, sostiene che la gestione delle identità non può limitarsi più solo alle persone ma deve abbracciare anche dispositivi e applicazioni come conseguenza dell’IoT ma anche dell’interazione di app fra loro. Si rendono quindi necessari strumenti di orchestrazione IAM per semplificare e automatizar4e i processi e far collegare i vari tool in sicurezza. Per Jim Ducharme, RSA è necessario supportare le organizzazioni nel trovare un equilibrio tra sicurezza e user experience per evitare che gli utenti sfuggano dai processi di accesso standardizzati aziendali. Kowsik Guruswamy, Menlo Security il tema cruciale è la convergenza fra le identità corporate e quelle personale conseguenza del confine del BYOD sempre più sfumato a maggior ragione con l’introduzione di sistemi di accesso biometrici. Per Kim Martin,di ID R&D dato l’utilizzo della AI per gli attacchi è necessaria la collaborazione fra vendor per il settore IAM. Esempi come la DeepFake Detection Challenge, che misura i progressi nella tecnologia di individuazione delle minacce deep fake ne è un valido esempio. Un tema cruciale che emerge anche dall’analisi degli impianti normativi europei in materia di security, NIS, Cybersecurity Act e GDPR, è quello della regolamentazione e della compliance. Infatti, l’approfondimento e perfezionamento normativo iniziato con il GDPR imporrà alle aziende una doverosa implementazione della IAM ed un periodico riesame per non incappare in eventuali interventi sanzionatori a fronte di una violazione, dimostrando di aver effettuato preventivamente quelle azioni adeguate al rischio e commisurate alle possibilità economiche dell’impresa. Insomma, se prima la security era un “panno da lavare a casa propria” oggi diventa una vulnerabilità del sistema di mercato a cui l’organizzazione appartiene e come tale il sistema non può permettersi lo status “di groviera” con buchi di vulnerabilità estesi e frequenti ma si deve puntare anche in campo informatico ad una immunità di gregge costruita con un approccio preventivo e globalmente standardizzato. Per approfondimenti si consiglia di valutare i vantaggi di una soluzione IAM e si può consultare il sito IBM dedicato allo IAM. Contributo editoriale sviluppato in collaborazione con IBM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5