Il report CyberArk Identity Security Landscape EMEA 2024 è un'indagine condotta su 1.050 decision
maker della sicurezza in 8 Paesi che esamina l'impatto degli attacchi sull'identità. Quest'anno, il debito
informatico continua a crescere grazie alla GenAI, all'aumento delle identità macchina e dei rischi di
terze e quarte parti.
Descriviamo i risultati di quest'anno con una metafora: se l'innovazione fosse acqua, un bicchiere
andrebbe bene, un rubinetto sarebbe perfetto, ma un idrante sarebbe pessimo. La nostra vena
poetica non vuole essere una tortura, ma un supporto per comprendere lo tsunami assoluto
di nuove identità, nuovi ambienti e nuovi metodi di attacco che stanno colpendo e confondendo
il panorama delle minacce nel 2024.
Quasi la metà delle aziende prevede un aumento più che triplo del numero totale di identità, con quelle
macchina direttamente al primo posto (ma in gran parte non protette adeguatamente e con privilegi
eccessivi). Questa crescita delle identità vulnerabili, alimentata dall'uso diffuso di strategie multi-cloud,
è una minaccia attuale pronta per essere sfruttata dai malintenzionati dotati di capacità di esecuzione
su larga scala alimentate dall'AI.
Ovviamente, questa non è la prima volta che qualcuno utilizza l'AI generativa. Quasi tutte le aziende
intervistate (e i loro avversari) ne fanno uso. La novità è l'aumento del volume di attacchi legati all'identità,
la crescente sofisticatezza dei deepfake nell'anno elettorale e la preoccupante sicurezza tra i dirigenti
C-level che i loro dipendenti siano in grado di identificare realistici falsi video o audio dei loro responsabili.
Il nostro report ha anche rivelato una mancanza di attenzione rigorosa alla gestione del rischio dei
fornitori, nonostante la crescita dei nostri ecosistemi digitali. Le violazioni di terze e quarte parti possono
essere facilmente trasmesse a cascata in un'azienda, creando un effetto moltiplicatore sul rischio.
In un momento concitato di trasformazione digitale, AI e attacchi legati all'identità, si è tentati di
adottare questa nuova tecnologia per risolvere un caso d'uso unico o semplicemente per paura
di non restare al passo con il mercato e incorrere in un elevato debito informatico. Ma occorre non
perdere d'occhio il punto cieco di questa nuovissima tecnologia: gli attacchi di phishing e vishing.
Sebbene siano molto meno interessanti, questi metodi di attacco comprovati rimangono altamente
efficaci e provocano violazioni e perdite finanziarie significative a 9 aziende su 10.
Negli ultimi 12 mesi, il 93% delle aziende ha subito due o più violazioni legate all'identità.
Con il 94% degli intervistati che utilizza più di 10 fornitori per iniziative di cybersecurity
legate alle identità, le aziende si trovano in un intrico di più sistemi, applicazioni e servizi
su piattaforme e sedi differenti. Sebbene il vettore di attacco sia estremamente ampio,
al limite del distopico, il consolidamento lento e costante della fiducia (degli strumenti
con partner esperti, competenti, innovativi e affidabili) potrebbe essere il fattore vincente
in questa gara.
Infine, riteniamo che l'imperativo di stabilire una robusta postura di sicurezza inizi con la
protezione di ogni identità in tutta l'azienda. Ottenere questo risultato richiede un nuovo
modello di sicurezza focalizzato sull'identity security. Le soluzioni legacy, in silos, sono
state create per risolvere i problemi di ieri. Il futuro della sicurezza inizia con l'identità.
GenAI: Promessa,
potenziale e rischio
Iniziamo il nostro report Threat Landascape 2024 con la tecnologia che amiamo e odiamo:
AI generativa. Da qualunque parte ci si collochi - amico, nemico o futuro - due trend sono
innegabili. Innanzitutto, gli strumenti alimentati da AI non scompariranno (e non è una
sorpresa). Il nostro report 2023 ha indicato che il 98% delle aziende in EMEA stava sfruttando
l'AI nelle proprie iniziative di cybersecurity legate all'identità. Nel 2024, tutti gli intervistati
(100%) affermano di sfruttare la GenAI nelle loro iniziative di cybersecurity legate all'identità.
Purtroppo lo fanno anche i cybercriminali.
In EMEA prevediamo un aumento senza precedenti del volume e della sofisticatezza degli
attacchi legati alle identità, poiché i malintenzionati, esperti e non, sfruttano la GenAI per
intensificarli. Come mostrato dai nostri risultati globali, negli ultimi 12 mesi, 9 aziende su 10
in EMEA sono state vittime di una violazione causata da un attacco di phishing/vishing. Questi
tipi di attacchi saranno più difficili da rilevare, in quanto l'AI automatizzerà e personalizzerà
il processo di attacco. Per quanto riguarda il prossimo anno, le aziende possono aspettarsi
di essere colpite da perdita di dati dovuta a modelli di AI compromessi, malware e phishing
alimentati da AI. E con la GenAI, anche le aziende precedentemente non colpite si troveranno
nel mirino e dovranno contenere i danni.
Allaccia la cintura e preparati all'impatto
I nostri intervistati si stanno preparando a fronteggiare una
miriade di minacce in arrivo basate su GenAI, in particolare
i deepfake, che produrranno un numero crescente di attacchi
riusciti di phishing e/o vishing.
Quest'anno, i tre motivi principali che causano attacchi
legati all'identità sono:
Trasformazione digitale (EMEA 23%, globale 22%)
Infrastruttura IAM vulnerabile (EMEA 22%, globale 21%)
Volume e sofisticatezza degli attacchi informatici
(EMEA 19%, globale 20%)
Quest'anno, un'altra novità si aggiunge ai problemi esistenti: i deepfake.
Forse l'unico fattore più preoccupante dell'aumento dei video deepfake
è l'eccessiva fiducia nella nostra capacità di non lasciarci ingannare.
Quasi tre quarti delle aziende sono sicure che i loro dipendenti siano
in grado di identificare i video deepfake B2B.
Sei più furbo di un deepfake?
La verità è che gli strumenti di GenAI produrranno video deepfake sempre
più realistici che saranno difficili da identificare per i dipendenti e ancora
più complessi da affrontare per i team di cybersecurity. Finché non si dispone
di strumenti sufficientemente sofisticati per rilevare e prevenire le truffe
deepfake, i CISO devono concentrarsi su formazione e consapevolezza,
con i team di supporto in prima linea nella gestione delle chiamate e delle
e-mail di assistenza tecnica.
I nostri insight a livello di persona dipingono un quadro interessante.
ja tamAbbiamo osservato che i dirigenti C-level in EMEA sono assolutamente
sicuri che i loro dipendenti siano in grado di identificare questi deepfake,
rispetto ad altri responsabili e professionisti della cybersecurity intervistati
in questo report. Questa tendenza è coerente con i nostri risultati globali.
Che si tratti di un'illusione di controllo, di un errore di pianificazione o di
semplice ottimismo umano, questo livello di fiducia sistemica è sbagliato.
Il potenziale distruttivo della GenAI non è ancora del tutto noto e potremmo
non comprendere appieno il nostro livello di vulnerabilità.
La rapida adozione della GenAI si riallaccia a un altro fenomeno globale con
un percorso di distruzione simile: i social media non regolamentati. A tal fine,
assistiamo all'urgenza dei governi di tutto il mondo, desiderosi di non ripetere
gli stessi errori con la GenAI.
A marzo 2023, l'Unione Europea ha approvato l'Artificial Intelligence Act e,
otto mesi dopo, gli Stati Uniti hanno emesso l'ordine esecutivo 14110, o EO for Safe,
Secure, and Trustworthy Development and Use of Artificial Intelligence. In EMEA,
il messaggio è chiaro: la responsabilità dell'uso sicuro degli strumenti basati su AI
spetta direttamente a fornitore e utenti, con pesanti sanzioni per utlizzi impropri.
I fornitori stanno rispondendo a tono. OpenAI sta ritardando il lancio di Sora AI,
per garantire la provenienza dei contenuti e consentire agli utenti di identificare
i video reali da quelli sempre più simili, ma falsi. I deepfake espongono tutti a un
rischio crescente di diffusione di informazioni errate e disinformazione, attacchi
di phishing e vishing, violazioni, perdita di dati, sanzioni normative e danni alla
reputazione su una scala finora sconosciuta.
Un video deepfake mostra il tuo CEO che scambia contanti con un
noto criminale. I tuoi dipendenti sanno cosa stanno vedendo realmente?
La risposta cambia a seconda della persona a cui poni questa domanda.
Secondo la nostra ricerca, i dirigenti C-level hanno molta più fiducia
nelle capacità di rilevamento dei deepfake dei loro dipendenti rispetto
ai professionisti di cybersecurity.
Il nostro consiglio: Discuti questa differenza di percezione con gli stakeholder
della tua azienda e identifica i possibili motivi. Solo quando dirigenti e team
di cybersecurity saranno allineati sarà possibile trovare una soluzione.
Con il 99% delle aziende che già adotta strumenti basati su AI nelle proprie
iniziative di cybersecurity legate all'identità, è fondamentale considerare
scenari in cui l'AI che protegge la tua azienda subisca un attacco. Ecco
alcune rapide regole generali per introdurre gli strumenti di AI.
1
2
3
Esecuzione per vie legali:
È consigliabile includere nei contratti clausole legali che consentano
di esaminare le loro capacità. Ciò garantisce che lo strumento fornisca
esattamente ciò che ha promesso e soddisfi le aspettative.
Maneggiare (dati) con cura:
Scopri le tipologie di dati a cui lo strumento di intelligenza artificiale
accede e che conserva. Pensa a come isolare e separare gli strumenti
per prevenire qualsiasi manomissione o perdita di informazioni,
soprattutto se i modelli di dati vengono compromessi.
La consapevolezza è tutto:
Non rinunciare alla formazione sulla cybersecurity per i tuoi
team di assistenza e supporto. Sono in prima linea con i clienti e,
potenzialmente, con i malintenzionati.
Una nuova era:
L'incremento delle macchine
Ora le aziende comprendono che qualsiasi identità umana con accesso a dati sensibili è un
utente privilegiato. Ma che dire delle identità non umane (macchina)? Non vogliamo risultare
troppo distopici, ma la classica tendenza umana a sottovalutare le macchine porterà alla
nostra rovina, in pieno stile Bladerunner. Allo stesso modo, in un ambiente B2B, sottovalutare
le macchine contribuisce al rischio di cybersecurity, rendendole le identità più pericolose.
Nei prossimi 12 mesi, prevediamo che il numero di identità raddoppierà (2,4 volte) in EMEA,
seguendo lo stesso modello osservato nelle risposte a livello globale del 2023 e del 2024.
Analogamente ai nostri risultati globali, quasi la metà degli intervistati in EMEA quest'anno
prevede un aumento di tre volte o più nel 2024, un incremento del 24% rispetto all'anno scorso.
Sci-Fi 101: Non trascurare le macchine
L'aumento del numero totale di identità non è nuovo, né sorprendente. Ciò che colpisce è che quasi
due terzi delle aziende intervistate abbiano una definizione molto ristretta di “utente privilegiato”.
L'accesso è potere, e le identità macchina ne hanno più di quanto pensiamo.
I controlli di sicurezza che implementiamo nei nostri ambienti IT sono validi solo per i rischi
che definiamo. Con 9 aziende su 10 in EMEA che citano phishing e vishing come il motivo
numero uno di una violazione legata all'identità, concentriamo naturalmente tutte le nostre
risorse di sicurezza sull'anello più debole: le identità umane. Tuttavia, secondo le nostre
ricerche, le identità macchina sono la principale forza trainante alla base della crescita
esponenziale del numero totale di identità in EMEA. Gli esseri umani sono solo una tessera
di un puzzle composto da milioni di pezzi. Dopo tutto, hai pensato che non ci vorrà molto
prima che chatbot o assistenti virtuali subiscano attacchi phishing?
Ripeti dopo di me: Anche le
macchine sono utenti privilegiati
Quasi tre quarti (68%) degli intervistati indicano che fino al
50% di tutte le identità macchina ha accesso a dati sensibili,
rispetto al 64% che afferma che circa la metà di quelle umane
vi abbia accesso. Con un numero crescente di identità macchina
che ottiene accesso a dati sensibili, il 49% degli intervistati le
identifica come la tipologia più rischiosa.
E, a causa della mancanza di attenzione alla protezione delle
identità macchina, le aziende riferiscono di essere preoccupate
soprattutto di un incidente di sicurezza correlato a queste
dentità, che richiederebbe un notevole sforzo manuale per
essere affrontato o risolto.
Gestisci qui le tue identità non umane
È necessario proteggere le identità macchina rischiose,
sconosciute e non gestite. Da dove iniziare?
Secondo gli intervistati, il panorama dei rischi si è spostato
dalle applicazioni business-critical (2023) a DevOps, pipeline
CI/CD e ambienti di sviluppo, seguiti dalle macchine utente
e dagli account di servizio utilizzati dalle applicazioni.
Insight CyberArk
Il messaggio è chiaro. Le identità macchina sono in aumento e hanno accesso ai tuoi dati sensibili.
Con la GenAI, le identità macchina cresceranno a un ritmo molto più rapido nel prossimo futuro.
La tua azienda deve rivalutare la propria definizione di utente privilegiato per garantire che ogni
identità sia protetta. E, vogliamo ribadirlo ancora una volta, ciò include le identità macchina.
Cosa significa per te
Una volta definite le identità sia umane che macchina come utenti privilegiati, è importante
valutare ogni macchina utente, account di servizio e workload per applicare controlli di sicurezza
laddove in precedenza erano limitati o assenti, a causa di una definizione troppo ristretta.
È stato detto migliaia di volte, ma lo ripeteremo ancora per sicurezza: Gli sviluppatori e i
team di engineering devono coinvolgere da subito nei loro progetti i team di cybersecurity.
Entrambe le parti devono concordare un equilibrio tra produttività e sicurezza.
Se non hai visibilità sui secret all'interno del tuo ambiente, prendi in considerazione
l'eliminazione (o almeno la riduzione) di vault multipli e dello sprawl dei secret.
Reazione a catena: Rischi
di terze e quarte parti
Se sei già preoccupato per lo stato della cybersecurity dei tuoi fornitori di terze
parti, hai preso in considerazione i problemi che potrebbero derivare dai partner
dei tuoi partner?
Hai sentito parlare di fornitori di terze parti (aziende di prodotti o servizi con cui
la tua azienda collabora direttamente). Le quarte parti stipulano contratti con le
tue terze parti e generalmente forniscono prodotti o servizi per supportare il tuo
business digitale. Sfortunatamente, raggiungere un compromesso con una di
queste parti obbliga a raggiungerne uno con tutte le altre. È davvero scoraggiante.
Terze e quarte parti:
Più pericoloso di una famiglia allargata
La crescente costellazione di relazioni di business può estendere portata,
competenze e budget di un'azienda. Ma ogni ennesimo fornitore aggiuntivo
inserito nel tuo ecosistema digitale aumenta esponenzialmente il rischio.
La nostra indagine ha rilevato che l'84% delle aziende prevede di sfruttare tre
o più Cloud Service Provider (CSP) nei prossimi 12 mesi (in linea con l'85% dell'anno
scorso). Inoltre, prevedono un aumento dell'89% del numero di fornitori di Software
as a Service (SaaS) nei prossimi 12 mesi, rispetto al 67% del report 2023.
Ora, è bene ricordare che le relazioni della tua azienda vanno oltre CSP e fornitori
SaaS. I fornitori di terze parti includono service provider, system integrator, fornitori
di hardware e infrastrutture, partner commerciali, distributori, rivenditori, operatori di
telecomunicazioni e molti altri fornitori esterni che abilitano il tuo business digitale.
Hai visibilità su tutte le pratiche di sicurezza dei tuoi fornitori di terze parti? E per
quanto riguarda i fornitori di quarte parti?
Per EMEA, vulnerabilità dei software, malintenzionati e ambienti di lavoro remoto
sono al quarto posto tra i principali problemi di sicurezza cloud.
I nostri intervistati in EMEA si avvalgono anche di una media di 88 fornitori SaaS.
Ogni fornitore è a rischio di attacco informatico e tutti i suoi clienti si trovano nel
raggio dell'esplosione. Eppure, la gestione del rischio dei fornitori rimane una
priorità bassa negli investimenti post-violazione.
Offerta speciale per malintenzionati
Alcune ipotesi negative: Supponiamo che uno o più dei tuoi fornitori di terze parti
vengano presi di mira e subiscano una violazione dei dati. Sono tenuti a informarti
dell'entità del danno e delle sue implicazioni. Ma cosa succede se gli attaccanti
accedono a un tuo fornitore di quarta parte e colpiscono una tua terza parte?
Verresti a conoscenza dell'entità delle conseguenze per la tua azienda? Se gestisci
un ambiente multi-tenant, a un malintenzionato basta attaccare un solo provider per
ottenere l'accesso agli ambienti di più clienti.
1
2
3
Furto di dati (EMEA 25%, globale 24%)
Protezione dei dati/privacy (EMEA 24%, globale 23%)
Perdita di password/secret (EMEA 23%, globale 23%).
Per EMEA, vulnerabilità dei software, malintenzionati e ambienti di lavoro remoto
sono al quarto posto tra i principali problemi di sicurezza cloud.
I nostri intervistati in EMEA si avvalgono anche di una media di 88 fornitori SaaS.
Ogni fornitore è a rischio di attacco informatico e tutti i suoi clienti si trovano nel
raggio dell'esplosione. Eppure, la gestione del rischio dei fornitori rimane una
priorità bassa negli investimenti post-violazione.
Offerta speciale per malintenzionati
Alcune ipotesi negative: Supponiamo che uno o più dei tuoi fornitori di terze parti
vengano presi di mira e subiscano una violazione dei dati. Sono tenuti a informarti
dell'entità del danno e delle sue implicazioni. Ma cosa succede se gli attaccanti
accedono a un tuo fornitore di quarta parte e colpiscono una tua terza parte?
Verresti a conoscenza dell'entità delle conseguenze per la tua azienda? Se gestisci
un ambiente multi-tenant, a un malintenzionato basta attaccare un solo provider per
ottenere l'accesso agli ambienti di più clienti.
Non molto tempo fa, il settore ha subito il suo primo doppio attacco alla supply chain software
su 3CX che ha colpito oltre 600.000 clienti. Oggi, vediamo che gli hacker stanno ottimizzando
i loro sforzi e massimizzando i potenziali guadagni finanziari con sofisticati attacchi informatici
alimentati da AI. I risultati del 2024 indicano che l'81% delle aziende EMEA ha subito una
violazione legata all'identità a causa di un attacco alla supply chain, e il 58% di queste ha
riferito che i responsabili erano malintenzionati esterni.
Stiamo assistendo a un numero crescente di individui, gruppi e stati-nazioni che colpiscono
attivamente i fornitori di infrastrutture tecnologiche critiche. In aprile 2024, alcuni hacker sono
riusciti ad accedere a secret hard-coded nei repository GitLab di Sisense, azienda di business
intelligence. La conseguente violazione di dati sensibili dei clienti ha portato l'agenzia statunitense
CISA, Cybersecurity and Infrastructure Security Agency, a emettere alert rivolti ai clienti
per chiedere loro di reimpostare immediatamente tutte le credenziali e i secret condivisi.
Alcuni malintenzionati vogliono influenzare i risultati delle elezioni, altri lo fanno a puro scopo
di lucro, altri ancora puntano semplicemente alla tua e-mail. All'inizio di quest'anno, alcuni
malintenzionati guidati da uno stato hanno spiato le e-mail dei dirigenti di Microsoft e HPE.
Gli esperti stanno ancora valutando l'entità della violazione. Mentre sempre più elementi
incendiari si accumulano nella polveriera di un anno elettorale globale, violazioni sismiche,
come quella di SolarWinds, potrebbero essere solo l'inizio.
Un ecosistema digitale è spesso composto da strumenti eterogenei che soddisfano requisiti
unici in ambienti on-premise, ibridi e multi-cloud. Questo vale anche per il tuo stack tecnologico
di cybersecurity, incluso il tuo portafoglio di identità. Infatti, il 26% degli intervistati in EMEA
ha scelto “mancanza di visibilità su più strumenti, prodotti e servizi specifici relativi alle identità”
come le due affermazioni più veritiere per la propria azienda. La mancanza di visibilità in ambienti
eterogenei (on-premise e cloud) era al terzo posto.
Questa mancanza di visibilità si estende in profondità nell'ecosistema digitale, dove i rischi
di fornitori di terze e quarte parti sono difficili da valutare regolarmente. È opportuno ripetere
che la valutazione del rischio del fornitore è solitamente l'ultima priorità negli investimenti
post-violazione. Questo deve cambiare.
Il business digitale è una rete fortemente intrecciata di partner e fornitori in continua
espansione, ognuno desideroso di adottare nuove tecnologie, ma spesso incapace di liberarsi
degli ambienti legacy. Per i professionisti di identity security, l'eccesso di strumenti per
troppi casi d'uso è un grave problema. Secondo la ricerca, il 94% delle aziende si avvale
di oltre 10 fornitori per le proprie iniziative di cybersecurity legate all'identità, rispetto
all'89% dell'anno scorso. Se questo vale anche per la tua azienda, permettici di insistere:
1
2
3
Controlla e valuta tutte le tecnologie - legacy e nuove -
nel tuo ambiente.
Valuta i rischi di questi differenti strumenti rispetto al tempo
e allo sforzo necessari per mantenerli.
Crea un piano per consolidare il tuo stack tecnologico in base al giusto
equilibrio per la tua azienda. Procedi lentamente, ma con sicurezza.
Certo, potrebbe essere un progetto a lungo termine, ma riteniamo che il risultato ne valga
decisamente la pena.
Cosa significa per te
Consolidare il tuo stack di fornitori e abbandonare questi strumenti legacy non è un compito
facile. Ma ci sono pochi modi per rendere il processo meno doloroso.
Inizia con una semplice domanda: Cosa significa veramente “terza parte affidabile”? Quando
si qualifica un fornitore, è necessario ricevere un consenso dei tuoi stakeholder su perché
e come inserire e classificare la sua esperienza, registrare le capacità di innovazione e del
servizio clienti. Esaminare i report di analisti, degli utili e le valutazioni di mercato e prendere
in considerazione le raccomandazioni. Sebbene si possa essere tentati dal prodotto o dal
servizio più accattivante e più rinomato, a volte gli strumenti meno appariscenti sono i più
adatti al tuo ambiente unico.
Debito informatico: “Shiny
Object Syndrome” (sindrome
dell'oggetto splendente)
e punti ciechi
“Shiny Object Syndrome”: l'abbiamo avuta tutti. Dopo tutto, le nuove tecnologie sono interessanti,
entusiasmanti e catturano la nostra immaginazione, nonché una significativa quantità di tempo
e denaro dell'azienda (vedi ad esempio la GenAI). Ma mentre ci si concentra sull'adozione
e implementazione di tecnologie di trasformazione e sulla risposta alle minacce del futuro,
i team di cybersecurity non possono permettersi, nemmeno per un momento, di distogliere
lo sguardo dal panorama dei rischi esistenti e più datati. Questa è una ricetta per il disastro.
Più le cose cambiano, più restano assurde
La trasformazione digitale continua a essere la causa principale degli attacchi legati all'identità.
Analogamente ai risultati globali, le violazioni causate da attacchi di phishing e vishing hanno
colpito 9 organizzazioni su 10 in EMEA. Quasi lo stesso numero di aziende EMEA è stato colpito
da ransomware nel 2024 (90%) rispetto al 2023 (88%), con un numero più elevato di chi ha
segnalato danni (perdita irrecuperabile di dati).
Ogni identità con accesso sensibile è un gateway
È importante notare che l'accesso non autorizzato o compromesso di qualsiasi utente
aziendale (dipendente o collaboratore di terze parti) è altrettanto pericoloso di quello di un
utente privilegiato compromesso. Abbiamo scoperto che il 70% delle aziende EMEA riferisce
che fino al 50% delle identità umane ha accesso a dati sensibili, rispetto al 65% nel 2023.
Nella nostra indagine 2024, il 36% degli intervistati EMEA ritiene che più della metà delle
loro identità umane abbia accesso a dati sensibili. È un aumento del 10% rispetto al 2023.
In altre parole, ogni identità che ha accesso a dati sensibili è un'identità privilegiata e deve
essere protetta adeguatamente.
Come si effettua una compromissione?
Ci sono numerosi modi
I nostri intervistati hanno indicato di essere stati vittima di una violazione dei dati dovuta a uno
dei seguenti tipi di attacco:
- Phishing e vishing si verificano quando un utente viene contattato tramite e-mail,
telefono o SMS da qualcuno che si presenta come un contatto personale o un'entità
legittima. Il ransomware è un esempio comune di attacchi di phishing e vishing.
- Il furto di credenziali è un tipo di crimine informatico che prevede il furto
delle credenziali di un utente che ne dimostrano l'identità. Una volta entrati,
i malintenzionati ottengono gli stessi privilegi dell'account dell'utente.
Il furto di credenziali è la prima fase di un attacco basato su credenziali.
- La compromissione dell'accesso privilegiato si verifica quando un malintenzionato
ottiene l'accesso alle credenziali di accesso di un utente a un firewall, server o altro
account amministrativo con accesso sensibile più elevato.
- Gli attacchi basati su credenziali si verificano quando i criminali rubano le credenziali
per ottenere l'accesso, eludono le misure di sicurezza dell'azienda e rubano dati critici.
- Il furto di identità di terze parti si verifica quando i malintenzionati ottengono
l'accesso a collaboratori esterni, consulenti o altre persone in azienda che hanno
bisogno di accedere alle tue risorse IT. Queste identità di terze parti (utenti) non
sono permanenti nella user base aziendale.
- L'attacco alla supply chain utilizza strumenti o servizi di terze parti (collettivamente
denominati “supply chain”) per infiltrarsi nel sistema o nella rete di un obiettivo. Questi
attacchi attraverso l'ecosistema digitale sono talvolta chiamati “attacchi alla value-chain”
o “attacchi alle terze parti”.
- La vulnerabilità delle applicazioni è una falla di sistema o una debolezza nel codice
di un'applicazione che può essere sfruttata da un malintenzionato, con conseguente
potenziale violazione della sicurezza. Le aziende devono applicare patch a software
e sistemi criticamente vulnerabili nella loro footprint digitale. Gli attaccanti prendono
di mira attivamente chi non le ha ancora applicate.
Abbiamo detto che 9 intervistati su 10 sono stati violati a causa di un attacco di phishing o
vishing. Spesso gli attacchi di phishing o vishing conducono a qualche forma di ransomware.
Sebbene molti di noi vorrebbero vivere in un mondo senza ransomware, la verità è che
“old is gold" e gli umani sono l'anello più debole. Il ransomware è destinato a rimanere e,
in realtà, aumenterà in volume e sofisticatezza con i deepfake abilitati dall'AI. E,
indipendentemente dal livello di consapevolezza sulla cybersecurity, i malintenzionati
riusciranno a indurre un utente innocente a cliccare su un link o a condividere l'OTP,
fattore che può compromettere la sua identità e i dati aziendali.
Non c'è onore tra ladri
Il 90% delle aziende ha subito un attacco ransomware che ha causato danni in diversi modi.
Ma forse la tendenza più allarmante è che il 74% di queste vittime ha pagato il riscatto,
ma non ha recuperato i dati, percentuale aumentata del 7% rispetto al 2023. Abbiamo
anche scoperto che le aziende dei settori finanziario, sanitario e life science presentano
un tasso significativamente più elevato di questo doppio danno, ovvero pagare il riscatto
senza recuperare i dati.
Qualsiasi violazione è grave
Negli ultimi 12 mesi, quasi tutte le aziende (99%) vittime di una violazione delle identità
hanno subito un impatto diretto sulla loro attività. Quindi ci si potrebbe chiedere: come
ha fatto quell'1% a evitare conseguenze negative?
Esaminando ulteriori insight, abbiamo scoperto che il 3% delle aziende EMEA del settore
tecnologico non ha riportato ripercussioni negative legate alle violazioni. Considera per un
momento tutti i fornitori high-tech a cui fai affidamento: quanti di loro hanno l'anno scorso
hanno subito una violazione di alto profilo? Hai smesso di collaborare con loro? La tua azienda
digitale è così interconnessa con la loro tecnologia che il tempo e lo sforzo necessari per
passare a un nuovo fornitore vale il rischio di continuare a collaborare con loro?
Lo sappiamo. Non è una scelta facile.
Questo ci riporta alle lezioni apprese nelle sezioni relative ai rischi di terze e quarte
parti di questo report. Le aziende sono preoccupate di questi rischi legati ai fornitori,
ma l'unica cosa che possono fare (che la maggior parte afferma di non fare) è
aumentare gli investimenti e la frequenza delle valutazioni dei rischi dei fornitori.
Insight CyberArk
Nel suo Global Risks Report 2024¹, il World Economic Forum indica cattiva informazione
e disinformazione al primo posto tra i dieci rischi principali per i prossimi due anni -
e la cybersecurity al quarto. Considerato il panorama politico ed economico, queste
due minacce tecnologiche (che si collocano tra le prime 5 su 10) creeranno una nuova
serie di vincitori e perdenti nel panorama digitale.
Cosa significa per te
Sebbene “pericolo” e “incertezza” siano due costanti nella cybersecurity,
esistono modi per garantire non solo di evitare ostacoli macroscopici lungo
il percorso, ma anche di vincere la gara.
1
2
3
4
5
Zero Trust. La tua azienda deve iniziare subito il suo percorso Zero Trust.
Se stai già implementando una strategia Zero Trust, congratulazioni.
Passa rapidamente al punto 2.
Proteggi ogni identità in tutto l'ambiente. Non lasciare identità,
umane e macchina, non gestite o non protette. Questo è l'unico
modo per garantire che l'identità rimanga una difesa formidabile.
La formazione funziona. I malintenzionati tendono a prendere di mira
gli esseri umani. Dopo tutto, siamo soggetti a un falso senso di fiducia
e possiamo essere facilmente persuasi a condividere informazioni
sensibili. Pertanto, una formazione regolare e obbligatoria sulla
consapevolezza della cybersecurity è indispensabile per stabilire
lentamente pratiche di cyber-igiene tra i tuoi dipendenti.
Preparati al peggio. Non importa quanto si investa nel rafforzamento
delle difese, i malintenzionati adorano la sfida di individuare vulnerabilità
trascurate. Sviluppa un piano di contingenza e crea esercizi di simulazione
per scenari critici chiave come ransomware, phishing, minacce interne,
violazioni della supply chain software, violazioni dei dati e attacchi
di conformità alla privacy.
Assicurazione cyber. Sì, è difficile ottenere un'assicurazione nel
cyberspazio. Le linee guida e i requisiti degli assicuratori sono sempre
più rigorosi. Ma, in realtà, se segui queste linee guida significa che hai
sviluppato un percorso verso una robusta postura di sicurezza e puoi
goderti una certa tranquillità.
Il percorso da seguire
Sebbene non manchino gli aspetti negativi, ve ne sono anche di significativamente positivi.
Le aziende stanno sviluppando le proprie strategie di cybersecurity con nuove capacità
e automazione delle attività. Le aziende di identity security stanno adottando capacità
di Identity Threat Detection and Response (ITDR) e di autenticazione senza password.
Gli intervistati hanno affermato che implementazione di accesso just-in-time (JIT),
automazione IGA e analytics avanzanti del comportamento degli utenti hanno aumentato
la loro capacità di mitigare i rischi legati all'identità e di ridurre il debito informatico.
Lo stato dell'automazione
Tutte - il 100% - le aziende in EMEA, hanno indicato che daranno priorità a nuovi
strumenti o tecnologie nei prossimi 12 mesi. Al primo posto della lista: ITDR. Questa
nuova disciplina di sicurezza aiuterà aziende come la tua ad affrontare una sfida
fin troppo familiare: gestire e proteggere il numero elevatissimo di identità umane
e macchina in azienda. L'ITDR consente iniziative Zero Trust, mantiene l'identità al
centro dell'attenzione e protegge ciò che è più prezioso per la tua azienda: i dati.
La nostra ricerca rivela che le imprese stanno automatizzando, o parzialmente
automatizzando, le attività di threat-hunting, analisi di phishing, reimpostazione
delle password, classificazione degli alert e gestione della threat intelligence.
Gli strumenti alimentati da AI stanno anche migliorando il rilevamento e la
prevenzione delle violazioni e gli analytics avanzati.
Tuttavia, automazione e AI non sono la stessa cosa.
L'automazione esegue attività predefinite e riduce gli interventi manuali. L'AI, invece,
incorpora il machine learning da grandi set di dati per prendere decisioni senza una
programmazione esplicita. Quando la tua azienda passa dall'automazione al rapido
processo decisionale alimentato da AI, la chiave è garantire trasparenza e spiegabilità
di un'esecuzione così veloce. Sarà compito delle controparti umane intervenire e capire
perché e cosa si cela dietro le decisioni dell'AI.
Lo capiamo: Stai affrontando un mare di problemi che possono
o devono essere gestiti. Da dove iniziare?
I nostri intervistati hanno valutato le best practice che li hanno aiutati
ad avere il massimo impatto contro le minacce legate all'identità.
Al primo posto di quell'elenco (punto n.1 da considerare): adottare
l'accesso JIT per migliorare sicurezza cloud e identity governance
and administration (IGA) automatizzata. Al secondo posto c'è
l'implementazione dell'analisi comportamentale avanzata basata
su AI/ML e il rilevamento delle anomalie.
La scommessa
Oltre alla necessità di sicurezza degli endpoint, identità federate,
cloud infrastructure entitlements manager (CIEM) e automazione
della gestione delle identità di terze parti, vorremmo focalizzare
la tua attenzione sugli strumenti più intelligenti da considerare
per i tuoi investimenti post-violazione.
I rischi di terze e quarte parti sono un motivo di preoccupazione
significativo. Ma, troppo spesso, investire nella gestione del rischio
dei fornitori rimane in fondo all'elenco delle priorità post-violazione.
Se hai subito una violazione relativa a un fornitore di terze o quarte
parti, non sottovalutarla. Aggiungi immediatamente una frequenza
regolare per la valutazione del rischio dei fornitori.
Analogamente, sebbene si sappia che le identità macchina sono tra
le più rischiose, anche gli investimenti nella gestione dei secret e nelle
identità macchina sono carenti. Queste lacune devono essere colmate
rapidamente per garantire una robusta postura di sicurezza.
Quando le sfide diventano pressanti, soprattutto con l'avvento della GenAI, l'unione fa
la forza. Gli esperti di cybersecurity possono imparare dai loro colleghi, valutare i propri
ambienti unici, identificare le aree di rischio più critiche e trovare un percorso agevole.
Cosa significa per te
C'è una pressione costante verso l'acquisto di nuove tecnologie per affrontare
i problemi più recenti. Abbiamo assistito alla corsa all'adozione della GenAI per
vari casi d'uso, tra cui l'aumento delle iniziative di cybersecurity. È importante fare
una pausa e riflettere sui rischi noti e sconosciuti di qualsiasi nuova tecnologia e
considerare se la sua adozione presenti più benefici rispetto ai rischi che comporta.
In un mondo in cui la SEC può ritenere i singoli CISO responsabili di frodi e fallimenti
dei controlli interni, è indispensabile garantire trasparenza, responsabilità e buona
governance nelle iniziative di cybersecurity. Verificare, valutare e iterare qualsiasi
indicatore chiave di prestazione (KPI) delineato dalla tua azienda.
Viviamo indubbiamente in un mondo frenetico, con una lunga lista di quotidiane fatiche
di Sisifo. Ogni difesa messa in campo diventa una partita che i malintenzionati amano
vincere. È sufficiente che un membro del tuo team faccia un solo passo falso per far
crollare tutto il castello di carte.
L'unico vantaggio è poter contare gli uni sugli altri.
“Con il talento si vincono le partite, ma con il lavoro di squadra e l'intelligenza si vincono
i campionati.” Questa non è una nostra citazione (è di Michael Jordan), ma il consiglio
è sempre valido. Il team alle tue spalle non si limita ai tuoi colleghi diretti. Include tutta
l'azienda e persino i fornitori di terze parti. Le minacce alla cybersecurity di quest'anno
potrebbero essere la tempesta del secolo, ma insieme possiamo affrontarla.
Il report CyberArk Identity Security Threat Landscape 2024 è stato condotto su aziende
del settore pubblico e privato con 500 o più dipendenti. È stato realizzato dal partner
di ricerca tecnologica B2B Vanson Bourne tra 1.050 decision maker di cybersecurity.
Gli intervistati avevano sede in Francia, Germania, Italia, Paesi Bassi, Spagna, Regno Unito,
Emirati Arabi Uniti e Israele.
Analisi dei Paesi EMEA
Il panorama della cybersecurity in EMEA è sempre più complesso, influenzato da
rigide policy governative e dinamiche geopolitiche. Gli attacchi informatici, inclusi
ransomware e violazioni dei dati, hanno un impatto profondo, interferiscono con le
attività aziendali ed economiche ed evidenziano la necessità di misure di sicurezza
robuste in quest'area così diversificata.
Come regione, l'EMEA segue il modello globale di violazioni osservato negli ultimi
12 mesi, con una variazione significativa a livello nazionale. Germania e Israele si
distinguono per la loro unicità a livello globale: L'86% degli intervistati tedeschi ha
segnalato una violazione legata all'identità almeno una volta durante lo scorso anno,
rispetto al 100% di quelli israeliani. Questi due Paesi rappresentano i tassi di violazione
più bassi e più alti, non solo in EMEA, ma anche tra i 18 Paesi intervistati a livello globale.
Nelle nostre analisi a livello di Paese, approfondiremo questi risultati contrastanti.
Nella prossima sezione esamineremo alcuni insight specifici a livello nazionale
e li confronteremo con i risultati EMEA. A un livello superiore, approfondiremo il
panorama economico, geopolitico e tecnologico che interessa ogni Paese e il suo
impatto sulle aziende che devono affrontare minacce o violazioni legate all'identità.
Italia
In questo report abbiamo intervistato 150 aziende italiane,
di cui il 74% con più di 1.000 dipendenti. La nostra base
di intervistati include il 54% di dirigenti C-level.
L'Italia segue uno schema simile a quello EMEA in termini
di percentuale di aziende che hanno subito un attacco
legato all'identità. Negli ultimi 12 mesi in Italia:
- Il 90% ha affrontato un attacco legato all'identità
almeno una volta rispetto al 94% in EMEA e
- il 90% ha affrontato due o più attacchi legati
all'identità, rispetto al 93% in EMEA.
Nei prossimi 12 mesi, il 90% delle aziende italiane prevede di adottare tre o più CSP rispetto all'83% in EMEA. Le imprese italiane considerano l'accesso over-provisioned e la compliance normativa le due principali preoccupazioni per la sicurezza cloud. Inoltre, molte soffrono di una mancanza di coinvolgimento da parte di sviluppatori e ingegneri nelle iniziative aziendali di cybersecurity. Analizziamo il confronto tra Italia ed EMEA nelle quattro aree chiave evidenziate in questo report.
(clicca tabelle)
Analisi dei Paesi EMEA 👇
Complete EMEA report 2024 in english 👇
