Identità macchina: prossimo obiettivo degli hacker

I criminali informatici sono sempre più abili ad attaccare reti e sistemi aziendali per esfiltrare quanti più dati sensibili possibili. Oggi, l’attenzione degli hacker, inizia a concentrarsi sulle identità macchina delle tecnologie cloud native, sempre più adottate dalle organizzazioni moderne. In questo articolo scopriamo come si sta evolvendo questa tendenza e cosa possono fare le potenziali vittime per difendersi.

È intitolata “The Impact of Machine Identities on the State of Cloud Native Security in 2024” la più recente ricerca di Venafi, a CyberArk company. Giunto alla seconda edizione, il report annuale condotto su un campione di 800 responsabili di sicurezza e IT di grandi aziende in Stati Uniti, Regno Unito, Francia e Germania, esamina le principali tendenze e sfide legate alla sicurezza delle identità macchina che oggi influenzano lo stato della cloud native security.

L’indagine rivela che gli attaccanti stanno compromettendo gli ambienti cloud native con una regolarità allarmante, con l’86% delle aziende che ha subìto un incidente di sicurezza legato a questi ambienti nell’ultimo anno. Le conseguenze? Il 53% ha dovuto ritardare il lancio di un’applicazione o rallentarne i tempi di produzione; il 45% ha vissuto interruzioni o disservizi del servizio applicativo e il 30% ha dichiarato che gli attaccanti hanno avuto accesso non autorizzato a dati, reti e sistemi.

I risultati chiave dell’indagine

• Gli account di servizio sono la nuova frontiera della minaccia: l’88% dei responsabili della sicurezza ritiene che le identità macchina, in particolare i token di accesso e gli account di servizio a essi collegati, siano il prossimo grande obiettivo degli attaccanti. Oltre la metà (56%) ha subìto un incidente di sicurezza legato alle identità macchina che utilizzano questa tipologia di account nell’ultimo anno.
• Gli attacchi alla supply chain sono destinati a subire una trasformazione a causa dell’intelligenza artificiale: il 77% dei responsabili della sicurezza ritiene che il poisoning dell’AI sarà il nuovo attacco alla software supply chain, mentre per un ulteriore 84% resta un pericolo chiaro e presente. Tuttavia, un preoccupante 61% afferma che nell’ultimo anno il senior management ha ridotto il focus su questo segmento di protezione.
• I team di sicurezza e sviluppo continuano a scontrarsi: il 68% dei responsabili di security ritiene che queste due divisioni saranno sempre in contrasto, e il 54% pensa che cercare di convincere gli sviluppatori ad avere una mentalità orientata alla protezione sia una battaglia persa.

“Gli attaccanti stanno esplorando attivamente le infrastrutture cloud native”, ha dichiarato Kevin Bocek, Chief Innovation Officer di Venafi, a CyberArk company. “Un’ondata massiccia ha colpito l’infrastruttura cloud nativa e la maggior parte degli ambienti applicativi moderni. Come se non bastasse, i cyber criminali stanno utilizzando l’intelligenza artificiale in modi differenti per ottenere accessi non autorizzati alle identità macchina, sfruttando gli account di servizio su scala crescente. Volume, varietà e velocità delle identità macchina stanno diventando il sogno degli attaccanti”.

Le minacce all’intelligenza artificiale si profilano all’orizzonte

Gli intervistati hanno inoltre segnalato il rischio che la sicurezza cloud nativa sia sempre più sotto pressione, poiché gli attaccanti prendono di mira questi ambienti per compromettere modelli e applicazioni di intelligenza artificiale:

• Il 75% teme il furto dei modelli.
• Il 73% è preoccupato dall’uso dell’ingegneria sociale guidata dall’AI.
• Un ulteriore 72% è allarmato dalla provenienza di strumenti AI della supply chain.

“L’intelligenza artificiale ha un enorme potenziale per trasformare positivamente il nostro mondo, ma deve essere protetta,” continua Kevin Bocek. “Che si tratti di un attaccante che si intrufola e corrompe o – addirittura – ruba un modello, di un criminale informatico che impersona un’AI per ottenere un accesso non autorizzato o di una nuova forma di attacco a cui non abbiamo ancora pensato, i team di sicurezza devono essere in prima linea. Ecco perché un “kill switch” per l’AI – basato sull’identità unica dei singoli modelli addestrati, distribuiti ed eseguiti – è più che mai importante”.

Aumenta la complessità della sicurezza delle identità macchina

La ricerca ha inoltre fornito indicazioni su quali siano le aree dell’infrastruttura cloud native in cui sono stati riscontrati incidenti di sicurezza da parte delle aziende. Le identità macchina, come i token di accesso utilizzati con gli account di servizio, guidano la classifica con il 56%, ma quasi altrettanti (53%) hanno registrato incidenti legati ad altre identità macchina, come i certificati.

Parte del motivo per cui questi incidenti si verificano con tale regolarità è la crescente complessità degli ambienti cloud native che si traduce in nuove sfide per i team di sicurezza che devono gestire e proteggere le identità macchina alla base dell’accesso e dell’autenticazione a questi ambienti:

• Il 74% dei responsabili della sicurezza concorda sul fatto che gli esseri umani siano l’anello debole della machine identity security. L’83% dei team riconosce che la mancata protezione delle identità macchina a livello di workload rende obsolete tutte le altre forme di sicurezza.
• Il 69% afferma che l’accesso sicuro tra ambienti cloud nativi e data center è un “incubo da gestire”, mentre l’89% incontra difficoltà nella gestione e protezione dei secret su larga scala.
• L’83% ritiene che la presenza di più account di servizio crei un’ulteriore complessità, ma la maggior parte (91%) concorda sul fatto che questi account facilitino la definizione e applicazione uniforme delle policy in tutti gli ambienti cloud native.

“Gli attaccanti si concentrano sempre più sulle identità macchina nelle tecnologie cloud native. I team di sicurezza devono dare priorità alla loro protezione, allo stesso livello delle identità umane. La buona notizia è che la gestione di secret e del ciclo di vita dei certificati (CLM) e la sicurezza cloud native sono oggi disponibili. Un programma automatizzato di machine identity security end-to-end permette alle aziende di migliorare la loro sicurezza cloud native, garantendo stabilità operativa e crescita di business”, conclude Kevin Bocek.