Tre tesi per il futuro dell'Identity & Access Management. Zero Trust rende i firewall e le password irrilevanti. Anche l'autenticazione a più fattori è un must per l'accesso.
La protezione delle reti aziendali sensibili e delle infrastrutture critiche è sempre più al centro della situazione di sicurezza tesa. I concetti di sicurezza informatica attualmente in uso sono spesso messi alla prova. Sta diventando sempre più chiaro che i classici concetti di firewall da soli non sono più in grado di offrire una resistenza sufficiente ai modelli di attacco ibridi. Una gestione delle identità e degli accessi moderna e centralizzata è di particolare importanza. In questo contesto, becom menziona tre tesi essenziali:
Tesi 1: autenticazione a più fattori
Molte aziende e agenzie governative provano un falso senso di sicurezza perché hanno implementato metodi di autenticazione a più fattori (MFA). Tuttavia, non tutte queste tecnologie offrono una protezione sufficiente contro gli attacchi online. Ad esempio, le password monouso (OTP) tramite app per smartphone o le registrazioni tramite SMS o chiamata vocale non sono più a prova di phishing secondo gli standard odierni. D'altra parte, si consigliano procedure MFA basate su standard come WebAuthn o Fido2 in connessione con token di sicurezza basati su hardware o smart card.
Tesi 2: L'era delle password sta volgendo al termine
Nel contesto della moderna gestione delle identità e degli accessi, le password hanno perso il loro ruolo precedente e in genere non offrono alcun valore aggiunto che vada al di là di un guadagno percepito in termini di sicurezza. Idealmente, le password possono essere completamente eliminate. Se ciò non è possibile o desiderato, allora, contrariamente all'intuizione, dovrebbero essere evitate complesse regole per la password o l'obbligo di cambiare regolarmente la password. Il motivo: ora è stato dimostrato che normative di questo tipo hanno spesso l'effetto opposto nella pratica e tendono a portare a password e processi meno sicuri.
Tesi 3: concedere solo l'accesso strettamente necessario
Il controllo degli accessi basato sui ruoli si basa in genere su ruoli relativamente statici e predefiniti. Ciò significa quasi inevitabilmente che anche i dipendenti hanno accesso illimitato alle risorse che utilizzano più e più volte, ma solo relativamente raramente. Si consiglia pertanto di utilizzare autorizzazioni di accesso significativamente più dinamiche e dettagliate ove possibile. Idealmente, gli utenti hanno accesso solo a una risorsa specifica per il periodo in cui tale accesso è effettivamente necessario.
“In definitiva, zero trust significa un chiaro cambio di paradigma. Il concetto precedentemente utilizzato di una rete interna presumibilmente sicura, protetta dalle minacce provenienti da Internet da un firewall, non offre più una sicurezza sufficiente contro le moderne tecniche di attacco. La base per un concetto Zero Trust, d'altro canto, è considerare la rete interna come fondamentalmente insicura e compromessa. Una logica e chiara conseguenza di ciò è il passaggio da un login utente a livello di rete a un login o autenticazione a livello di applicazione. Il numero crescente di segnalazioni di attacchi informatici eseguiti in modo sempre più professionale da una vasta gamma di attori dimostra quanto sia importante e anche urgente l'implementazione di una tale architettura di sicurezza di rete", afferma Ralf Becker, amministratore delegato di becom Systemhaus GmbH & Co. KG.
Altro su becom.net
A proposito di diventare casa di sistema
becom è una delle principali case di sistemi IT dell'Assia centrale ed è anche uno dei maggiori fornitori di servizi Internet della regione nel segmento commerciale. Fondata nel 1988, l'azienda, in qualità di specialista di rete, offre soluzioni per tutto ciò che riguarda le connessioni Internet, il networking dei siti, la sicurezza IT, VPN e il cloud computing. Dal 2017 becom si occupa principalmente della progettazione e realizzazione di infrastrutture SD-WAN (Software-Defined WAN). La system house ha sede a Wetzlar e supporta aziende, autorità e organizzazioni in tutta la regione di lingua tedesca.