C’è qualcosa di scomodo nel fatto che il modo più comune in cui gli aggressori entrano nei sistemi non è attraverso exploit tecnici altamente sofisticati o tecniche all’avanguardia. È attraverso un accesso che non avrebbe mai dovuto esserci.
Il controllo degli accessi non funzionante ha occupato il primo posto della OWASP Top 10 per un motivo. Si ripresenta più volte nelle indagini sulle violazioni. , in tutti i settori, indipendentemente da quanto le organizzazioni investano in strumenti di sicurezza.
Infatti, OWASP ha rilevato che il 94% delle applicazioni testate presentava una qualche forma di controllo degli accessi non correttoil che evidenzia quanto sia diffuso il problema.
La cosa più preoccupante è che non si tratta di un problema nuovo. Il controllo degli accessi è una sfida nota da anni, eppure continua a essere una delle debolezze più sfruttate. Non perché sia invisibile, ma perché si colloca in quel difficile spazio tra tecnologia, processo e comportamento umano.
La lenta costruzione del rischio
Il controllo degli accessi raramente fallisce in un momento drammatico. Tende a disfarsi gradualmente, a causa di decisioni quotidiane che in quel momento sembrano ragionevoli.
Forse qualcuno entra a far parte di un team e gli viene dato un ampio accesso per poter iniziare rapidamente. O forse un collega cambia ruolo ma mantiene l’accesso ai sistemi precedenti “per sicurezza”. Potrebbe anche accadere che un progetto finisca, ma nessuno riveda chi ha ancora i permessi legati a quel progetto. Nel corso del tempo, queste piccole decisioni si sovrappongono l’una all’altra fino a quando l’accesso non riflette più la realtà.
È così che l’eccesso di permessi diventa normale. Non succede perché le persone sono negligenti, ma perché la velocità, la convenienza e la continuità aziendale hanno spesso la priorità sul momento.
Il problema è che gli aggressori non vedono queste decisioni come innocue. - vedono un’opportunità.
Quando l’accesso eccessivo diventa la norma
In molte organizzazioni, l’accesso viene concesso molto più facilmente di quanto non venga rimosso. C’è una tendenza naturale a consentire alle persone di svolgere il proprio lavoro senza attriti, il che ha senso dal punto di vista della produttività.
La sfida è che l’accesso tende ad accumularsi. Più a lungo una persona lavora in un’organizzazione, più sistemi, file e dati può raggiungere. Questo fenomeno viene spesso definito “privilege creep”, anche se raramente viene percepito come un problema mentre si sta verificando.
Dal punto di vista della sicurezza, però, il quadro è molto diverso. Un singolo account compromesso può aprire molte più porte del previsto. Quello che inizia come un’email di phishing o una credenziale rubata può rapidamente degenerare in qualcosa di molto più serio se l’account in questione ha permessi eccessivi.
Questo aspetto diventa ancora più significativo se si considera che Le credenziali rubate sono coinvolte in quasi la metà di tutte le violazioni, secondo Rapporto sulle indagini sulle violazioni dei dati di Verizon.
Questo è uno dei motivi per cui il controllo degli accessi non funzionante viene sfruttato così frequentemente. Gli attaccanti non hanno bisogno di superare più livelli di difesa se l’accesso esiste già.
Il problema della visibilità
Una delle sfide più grandi che le organizzazioni devono affrontare è semplicemente capire chi ha accesso a cosa.
Il controllo degli accessi non è sempre gestito in un unico luogo. Si estende su sistemi di identità, applicazioni, piattaforme cloud, unità condivise e strumenti di terze parti. Ognuno di questi ambienti può avere un proprio modo di assegnare e monitorare le autorizzazioni, il che rende difficile costruire una visione chiara e coerente.
Senza questa visibilità, diventa quasi impossibile individuare tempestivamente i rischi. Allo stesso tempo, gli attacchi basati sull’identità continuano ad aumentare, con Microsoft che ha segnalato oltre 600 milioni di attacchi di identità ogni giorno, dimostrando quanto gli aggressori facciano affidamento sugli accessi compromessi.
Questa mancanza di chiarezza non riguarda solo i team di sicurezza, ma crea incertezza a tutti i livelli dell’organizzazione, dall’IT alla leadership, sul fatto che l’accesso sia gestito in modo efficace.
Le minacce interne ed esterne si confondono tra di loro
Spesso si tende a separare le minacce interne dagli attacchi esterni, ma il controllo degli accessi non funzionante dimostra quanto questi siano in realtà strettamente collegati.
Un attaccante esterno che ottiene l’accesso a un account legittimo sta operando come un insider. Utilizza credenziali reali, si muove nei sistemi in modo apparentemente normale e sfrutta le autorizzazioni già esistenti.
Allo stesso tempo, i veri insider possono involontariamente creare rischi attraverso le azioni quotidiane. Condividere l’accesso per rispettare una scadenza, utilizzare account personali per comodità o non effettuare il logout dai sistemi condivisi possono esporre informazioni sensibili.
Il confine tra rischio interno ed esterno diventa meno significativo quando l’accesso è il fattore comune. Ciò che conta è il modo in cui l’accesso viene concesso, gestito e monitorato nel tempo.
Perché sistemare le cose sembra così difficile
Se il controllo degli accessi interrotti è così ben compreso, sorge spontanea una domanda. Perché è ancora un problema così persistente?
Parte della risposta sta nella scala. Le grandi organizzazioni possono avere migliaia di utenti, centinaia di applicazioni e ruoli e responsabilità in continua evoluzione. Mantenere l’accesso in linea con la realtà richiede uno sforzo continuo, non una soluzione una tantum.
C’è anche la complessità degli ambienti moderni. I servizi cloud, il lavoro da remoto e le integrazioni di terze parti hanno ampliato notevolmente il numero di punti di accesso. Ogni nuovo sistema introduce un altro livello da gestire.
La responsabilità è un altro fattore che spesso viene trascurato. Il controllo degli accessi non ha sempre un proprietario chiaro. I team IT possono gestire i sistemi di identità, i team di sicurezza si concentrano sui rischi e i leader aziendali approvano l’accesso in base alle esigenze operative. Senza una chiara responsabilità, le lacune sono quasi inevitabili.
Tutto questo fa sì che il controllo degli accessi sembri un bersaglio mobile. È più facile dare priorità a minacce visibili e immediate che affrontare qualcosa che richiede un coordinamento continuo tra i vari team.
L’elemento umano dietro l’accesso
Il controllo degli accessi si basa essenzialmente su decisioni umane. La tecnologia impone i permessi, ma sono le persone a decidere chi può accedere, quando e perché.
Spesso queste decisioni vengono prese sotto pressione. Un nuovo arrivato ha bisogno di un accesso urgente. Uno stakeholder senior richiede ulteriori permessi. La scadenza di un progetto incombe e non c’è tempo per chiedersi se l’accesso sia strettamente necessario.
In quei momenti, la scelta sicura non è sempre la più facile. Senza una guida chiara e processi coerenti, le persone si affidano a ciò che le aiuta ad andare avanti rapidamente.
Ecco perché la consapevolezza da sola non è sufficiente: dire alle persone di seguire le migliori pratiche non affronta le pressioni sottostanti che guidano il comportamento.
Verso un controllo che rifletta la realtà
Il miglioramento del controllo degli accessi inizia con il riconoscere che non si tratta di un problema statico. Richiede un’attenzione costante e la volontà di adattarsi ai cambiamenti dell’organizzazione.
Ciò significa rivedere regolarmente chi ha accesso e se ha ancora senso. Significa creare processi che rendano più facile rimuovere l’accesso in base all’evoluzione dei ruoli, non solo concederlo. Significa anche creare un quadro più chiaro degli accessi all’interno dell’organizzazione, in modo che le decisioni si basino su dati reali e non su supposizioni.
Altrettanto importante è stabilire una chiara responsabilità. Quando la responsabilità del controllo degli accessi è condivisa ma non definita, diventa difficile promuovere un cambiamento significativo. Assegnare la responsabilità aiuta a garantire che l’accesso sia gestito attivamente piuttosto che ereditato passivamente.
La tecnologia ha un ruolo da svolgere in questo senso, in particolare per automatizzare parti del processo e migliorare la visibilità. Tuttavia, deve essere supportata da una cultura che riconosca l’accesso come una parte fondamentale della sicurezza, non solo un compito amministrativo.
Perché questo rischio continua ad essere trascurato
Il controllo degli accessi non è sempre urgente fino a quando qualcosa non va storto. Non genera gli stessi avvisi immediati di altri tipi di minacce e spesso rimane in secondo piano.
In questo modo è facile deprivilegiare, anche se l’impatto potenziale è significativo.
La realtà è che molti incidenti di sicurezza non iniziano con attacchi sofisticati. Iniziano con un accesso che non è mai stato controllato, non è mai stato rimosso o non è mai stato compreso appieno.
Affrontare questo problema richiede un cambiamento nel modo in cui le organizzazioni pensano all’accesso. Si tratta di un processo continuo che riflette le modalità di lavoro delle persone, l’utilizzo dei sistemi e l’evoluzione del rischio nel tempo.
Come può aiutarti MetaCompliance
Noi di MetaCompliance affrontiamo il controllo degli accessi attraverso la lente del rischio umano.
Capire chi ha accesso è solo una parte del quadro. Altrettanto importante è capire come vengono prese le decisioni sull’accesso, come si sviluppano i comportamenti nel tempo e dove è probabile che emergano le lacune.
Il nostro approccio combina una formazione mirata formazione di sensibilizzazione alla sicurezza con approfondimenti comportamentali, aiutando le organizzazioni ad andare oltre le indicazioni generiche e a concentrarsi sulle aree in cui il rischio si sta effettivamente accumulando. Misurando il modo in cui le persone interagiscono con i sistemi e identificando i modelli di comportamento, aiutiamo i team a capire dove il controllo degli accessi si sta infrangendo. e perché.
A tal fine, supportiamo le organizzazioni con una formazione allineata ai rischi del mondo reale, tra cui le vulnerabilità della OWASP Top 10 come il controllo degli accessi non funzionante. Questo aiuta i team ad andare oltre la teoria e a capire come questi problemi si manifestano nelle decisioni quotidiane, dall’eccesso di autorizzazioni alla mancata revisione degli accessi.
Lavoriamo anche con le organizzazioni per creare programmi che supportino un migliore processo decisionale in materia di accesso durante tutto il ciclo di vita dei dipendenti, dall’inserimento e dal cambio di ruolo fino alla revisione continua degli accessi. L’obiettivo è quello di aiutare le persone a riconoscere i punti in cui si può sviluppare il rischio e fornire loro modi pratici per ridurlo senza rallentare l’attività.
Se il controllo degli accessi ti sembra una sfida in continua evoluzione, è proprio così. La chiave è avere la visibilità, la comprensione e il supporto necessari per gestirlo con sicurezza.