Identità digitale nel mirino degli hacker: come affrontare l’emergenza

La sicurezza delle infrastrutture pubbliche e private è in pericolo; secondo gli esperti l’emergenza è globale. Il Clusit parla addirittura di “far west digitale” e registra, nell’ultimo rapporto, nel Government la prima vittima in assoluto del 2021, con il 15% degli attacchi totali e un più 36,4% rispetto al 2020. In crescita anche gli attacchi all’Healthcare (+24,8%​). Mentre il Cybercrime si conferma la motivazione dell’86% dei cyber attacchi con un +16% rispetto al 2020​. E tra gli elementi che risultano avere il maggiore impatto sulla gestione della cybersecurity, l’identità digitale sale ai primi posti, insieme a smart working e cloud, nelle ricerche dell’Osservatorio Digital Identity e dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano. L’81% dei data breach sono, infatti, legati a credenziali trafugate o troppo deboli. La Digital Identity è diventata un nuovo campo di battaglia contro il cybercrime.

Per condividere soluzioni e buone pratiche per impedire il furto, l’abuso e qualsiasi uso improprio dell’identità digitale, FPA in collaborazione con Microsoft Italia ha organizzato, lo scorso 31 marzo, un confronto riservato ai CISO e DPO pubblici.

L’identità digitale è nel mirino degli Hacker

“Alla base di questo fenomeno ci sono la promiscuità digitale e la scarsa consapevolezza”, ha spiegato Stefano Stinchi, Direttore Divisione Pubblica Amministrazione, Microsoft Italia.

In pandemia, infatti, l’obbligo di smart working ha costretto molte persone a lavorare utilizzando i propri device personali, collegati alla rete aziendale oppure a usare un dispositivo aziendale per usi anche personali, come la DAD dei figli.

Il problema dell’identità digitale si è fatto più evidente perché l’azienda ha bisogno di riconoscere chi si collega alla rete con un dispositivo diverso. Nel momento in cui un hacker riesce a rubare un’ID, però, a tutti gli effetti diventa “invisibile” ai sistemi di cybersecurity, perché gli accessi alla rete aziendale avvengono a nome del derubato. Via via che passa il tempo, il criminale può avvicinarsi a dati cruciali per l’attività e scegliere di comprometterli o sottrarli.

“Abbiamo constatato che una molteplicità di attacchi si sono verificati a partire da persone che, per non avere impatti sulla loro produttività, hanno cercato di bypassare le attività di sicurezza. Si tratta, sorprendentemente, soprattutto di giovani e/o operatori della PA”

Stefano Stinchi (Microsoft)

Per la maggior parte delle persone l’identità digitale è una email e una password, per accedere a servizi o app, ma tutte le attività che si svolgono in rete lasciano delle tracce della propria identità digitale. L’identità digitale è la chiave che permette ai cybercriminali di penetrare nelle reti di un’organizzazione, impersonandone i dipendenti, e per questo oggi è l’obiettivo principale dei threat actor.

Nel 2020 Microsoft ha registrato un aumento del 230% di attacchi detti “password spray”. E dati recenti danno un’idea della crescita del fenomeno: nel 2021 Microsoft ha intercettato 35,7 miliardi di e-mail di phishing e bloccato oltre 25,6 miliardi di attacchi volti al furto di identità. Nel solo mese di dicembre 2021, sono stati lanciati 83 milioni di attacchi, il 78% dei quali hanno avuto come obiettivo l’identità digitale. Le tecniche utilizzate dagli attaccanti sono diverse: brute force, dictionary attack, spear phishing, impersonation.

AgID è corsa ai ripari e a novembre 2021 ha pubblicato le linee guida per la sicurezza del servizio di gestione dello SPID, che passa allo standard OpenID Connect.  Dal primo maggio 2022, i gestori dell’identità digitale, i fornitori pubblici e privati, dovranno erogare i propri servizi online adottando questo standard, che offre un layer di identità sicuro, flessibile e interoperabile.

Può essere sufficiente? La difesa del patrimonio informativo pubblico deve poter poggiare su fattori certi. Da un lato soluzioni che adottano sistemi di autenticazione avanzata e criteri di accesso adattativi, basati sul rischio, senza compromettere la user experience e garantendo un accesso sicuro alle risorse. Dall’altro su una maggiore consapevolezza del rischio all’interno delle organizzazioni, così da ridurre al minimo il cosiddetto “fattore umano”, e percorsi formativi e informativi che accrescano l’awareness.

Cybersecurity in Italia

A inquadrare lo scenario, nella prima parte dei lavori, è stata chiamata Giorgia Dragoni, Direttrice Osservatorio Digital Identity e ricercatrice Osservatorio Cybersecurity & Data Protection del Politecnico di Milano. L’Italia è al secondo posto nel ranking dell’Ue sui paesi dell’Unione più colpiti dal crimine informatico. Prima di noi solo la Spagna. E siamo all’ultimo posto per investimenti in sicurezza informatica in rapporto al PIL: nel 2021 solo lo 0,08%, pari a un quinto o un sesto di ciò che spendono altri.

Parallelamente, come emerge dai dati della ricerca degli osservatori Polimi, il 58% delle grandi imprese italiane ha aumentato il budget per la sicurezza informatica nel 2021. Il mercato italiano di 1,55 miliardi di euro è composto per il 52% da soluzioni di security e per il 48% da servizi professionali e servizi gestiti. Se si scompone il dato sulle soluzioni, si scopre che il 14% di esse riguarda l’Identity & Access Management. E la pubblica amministrazione? Ben il 72% degli enti ha previsto un aumento del budget dedicato alla cybersecurity.

Come avviene un attacco attraverso l’ID

Una tipica catena di attacco fa capire come l’ID giochi un ruolo essenziale per riuscire a penetrare nella rete e fare danni ingenti. A spiegarne il funzionamento è stato Patrizio Rinaldi, Lead of Technical Sales, Cybersecurity, Compliance, Modern Device e Management, Microsoft Italia: “Fino a qualche anno fa, l’utente si collegava a un sito, scaricava un payload, lo eseguiva (spesso senza che l’antivirus lo rilevasse, per mancanza di aggiornamento delle firme o zero-day) e cifrava i dati del disco”.

Oggi dobbiamo immaginare questa stessa tecnica arricchita da un fattore moltiplicativo, rappresentato dalla compromissione l’ID. Questo tipo di attacco, invece di fermarsi, prosegue con l’installazione di un Command & Control (C&C), che permette di compromettere ulteriori account, sempre più privilegiati, fino ad arrivare al Domain-Admin o all’amministratore di un qualsiasi sistema. A questo punto potrà cifrare i Domain controller, quindi compromettere o spegnere i servizi oppure estrarre i dati fondamentali da qualsiasi database presente nell’infrastruttura.

Il paradigma della sicurezza

Non esiste una vera ricetta di sicurezza informatica, tuttavia esistono framework internazionali ai quali fare riferimento. Il framework di riferimento che Microsoft sposa è: Zero Trust e Defence in depth.

Innanzitutto, la filosofia dello Zero Trust. Occorre partire dal principio che ogni richiesta, ogni transazione digitale, deve essere verificata esplicitamente. È necessario inserire nell’infrastruttura strumenti che regolino l’accesso in maniera intelligente, e non solo con user ID e password. Ciò è fondamentale per creare un primo scudo contro le minacce.

Ecco, qualche buon accorgimento:

• verificare ogni richiesta (non fidarsi mai);
• assegnare privilegi minimi e solo quando necessario;
• rendere disponibili punti di accesso solo nel lasso di tempo necessario;
• controllare la postura di sicurezza, per minimizzare il perimetro da proteggere;
• mettere in conto la compromissione, cioè attuare un monitoraggio moderno, estensivo che comprenda la valutazione comportamentale, la correlazione dei segnali e la valutazione delle risposte;
• proteggere tutti i livelli (defence in depth) dell’infrastruttura, calando soluzioni di sicurezza che consentano di mettere a fattore comune i segnali che arrivano da tutti gli strati dell’infrastruttura stessa.

La cybersecurity è un gioco di squadra: questo approccio oggi è indispensabile per indirizzare bene agli investimenti. Il rischio di credere tout court che “a maggiore spesa in tecnologia, corrisponde maggiore efficacia”, potrebbe rivelarsi un pericolosissimo errore.