Con l’accelerazione dell’innovazione digitale, molte organizzazioni si trovano ad adottare nuove tecnologie a ritmi vertiginosi. Il risultato è che ogni nuova applicazione o strumento diventa un nuovo silo di identità, con requisiti unici di gestione delle password, ad esempio per quanto riguarda complessità e frequenza di rotazione.
La richiesta di autenticarsi ripetutamente a questi nuovi sistemi e di mantenere (per non parlare di ricordare!) numerose password complesse crea non poche frustrazioni ai professionisti dell’help desk. Non solo sono incaricati di effettuare il provisioning degli utenti, ma gestiscono anche centinaia (se non migliaia) di account aziendali e le conseguenti e continue richieste di reimpostazione della password e di blocco dell’account.
Utilizziamo alcune stime di settore e semplici calcoli per quantificare l’enorme problema delle password:
· Il costo “tutto compreso” di una chiamata all’help desk per reimpostare una password è tra 40 e 50 dollari: useremo la media di 45 dollari.
· Si stima che ogni utente abbia contattato l’help desk per segnalare da sei a dieci problemi di password all’anno, prima che la pandemia trasformasse il lavoro in remoto. Quindi, otto problemi in un anno, solitamente di 261 giorni lavorativi di otto ore, o 2.088 ore. In altre parole, ogni 261 ore di lavoro viene segnalato all’help desk un problema relativo alle password.
· Si consideri ora che la giornata lavorativa tradizionale per molti si è allungata da otto anche a undici ore, da quando si è diffuso al lavoro a distanza. Ciò significa 261 giornate lavorative di 11 ore, per un totale di 2.871 ore, ovvero 783 ore in più rispetto al “solito”. Ciò si traduce anche in ulteriori problemi di help desk legati alle password per persona.
Sulla base di questi dati, CyberArk stima che per un’azienda con 1.000 dipendenti, ogni anno si spendano 495.000 dollari per risolvere i problemi relativi alle password. (11 richieste di help desk relative alle password per utente, x 45 dollari per richiesta x 1.000 utenti). È risaputo che definire password forti è complesso per gli utenti e quelle che vengono scelte sono spesso troppo semplici, comuni, riutilizzate o condivise. In effetti, i dipendenti riutilizzano le password su una media di 16 account aziendali. Sebbene si sia tentati di affidarsi ai gestori di password per risolvere questa sfida, si tratta comunque di un approccio non privo di rischi. Inoltre, i gestori di password non sono in grado di gestire chi accede a quali risorse sensibili e per quanto tempo. Gli attaccanti sanno che molte organizzazioni si affidano ancora a un solo metodo di verifica, come un unico set di credenziali, per proteggere l’accesso a vari sistemi e strumenti, comportamento particolarmente pericoloso se usato in combinazione con il single sign-on, che consente ampio accesso a molti sistemi e applicazioni.
I cybercriminali sanno che è sufficiente rubare o compromettere le credenziali di un’identità aziendale per ottenere un punto d’appoggio e scalare i privilegi verso risorse di alto valore. Oggi, il 67% di tutte le violazioni è causato dal furto di credenziali (utilizzando password rubate o deboli) e da attacchi social.
Tuttavia, quando i team IT implementano metodi di autenticazione più robusti in nome della sicurezza, i lavoratori spesso sviluppano modi intelligenti per aggirarli o evitare di utilizzare sistemi e applicazioni approvate dall’azienda per rimanere produttivi. In base a una ricerca di SysAid, l’84% dei professionisti nella gestione dei servizi IT ritiene che operare in questo settore continuerà a diventare più difficile nei prossimi tre anni e il motivo è evidente, vista la loro posizione tra incudine (mantenere tutti i sistemi e i dati il più sicuri possibile) e martello (mantenere i team produttivi).
Poiché le minacce basate sull’identità continuano a crescere e le password a non rispondere in modo adeguato al loro obiettivo, è necessario adottare un approccio più solido. Non si tratta più tanto di impedire l’accesso agli attaccanti, quanto di rendere loro molto difficile muoversi all’interno della rete senza far scattare allarmi, per renderli più facili da individuare e bloccare. Dietro le quinte, controlli come l’isolamento e il monitoraggio delle sessioni, l’elevazione e la delega sono integrati nelle funzionalità di gestione degli accessi e delle identità per aumentare responsabilità e conformità. In questo modo, l’accesso può essere monitorato su base continuativa in ambienti data center, ibridi, multi-cloud e SaaS, e che i controlli basati sul rischio possono essere applicati a ogni identità per semplificare le attività degli utenti.
Di Paolo Lossa, Country Sales Director di CyberArk Italia
