Looking Ahead. Riflessioni sulla sicurezza.
Affrontando il 2022, con uno sguardo alle sfide del 2021, potrebbe essere difficile rimanere ottimisti. Come sappiamo che la prossima evoluzione delle pratiche di identità e sicurezza sarà sufficiente? E questo periodo dell’anno vede sempre una raffica di previsioni su quali tendenze emergeranno e cosa dovrebbe essere al primo posto nello spazio della sicurezza.
Looking Ahead. Always to do.
Il lavoro nel settore IT è in continua evoluzione. L’elenco dei progetti critici non viene mai completato. La tecnologia progredisce. Continuiamo a ottimizzare, migliorare e ritirare sistemi e processi legacy. I cattivi attori sono altrettanto innovativi. Si adegueranno per compromettere la nostra infrastruttura e capitalizzare sui sistemi privi di priorità. Il filo conduttore di ciascuno degli incidenti è la loro dipendenza da attacchi basati sull’identità. In genere tramite password deboli o autenticazione facile da compromettere, come quelli basati su SMS. La buona notizia è che ci sono alcuni passaggi facili e a basso impatto che possono essere presi. Uno di questi è spostare il nostro pensiero verso l’idea di considerare l’identità e gli obiettivi di sicurezza come un tutt’uno. Un altro è adottare una solida strategia di sicurezza che non renda le persone il tuo anello più debole, ovvero resistente al phishing e privo di metodi legacy.
Looking Ahead. Come.
Si è compreso che le persone sono il nuovo perimetro. Indipendentemente dal fatto che utilizzi ufficialmente Zero Trust o meno. Sono potenzialmente la risorsa più forte per qualsiasi team di sicurezza. Devono essere dotati degli strumenti appropriati e facili da usare. Autenticazione a più fattori (MFA) e il Single Sign-On (SSO). Il sistema sottostante deve essere dotato di un’applicazione delle policy che valuti il contesto a livello granulare. L’uso di sistemi di autenticazione basati sul rischio che utilizzano segnali provenienti da più fonti (come la rete dell’utente, il computer e persino altre applicazioni) consentirà alle aziende di creare una migliore sicurezza migliorando al contempo l’esperienza complessiva dell’utente.
Looking Ahead. Learning never stops.
Negli anni ’80, nessuno avrebbe pensato che saremmo andati in giro con qualcosa chiamato Internet in tasca. L’innovazione e il progresso costanti comporta rischi che inizialmente non erano stati considerati. Le password sono ora viste come gateway di sicurezza inefficaci. I firewall hanno ancora uno scopo. Non dovrebbero più essere il punto di ingresso nelle aziende. Poiché i dati ora sono spesso archiviati nel cloud, non dovremmo utilizzare basi di codice progettate senza tenere a mente la sicurezza.
Looking Ahead. Keys.
Ecco alcune cose chiave da portare nel nuovo anno poiché abbiamo imparato e sperimentato più dolori della crescita nel 2021:
- Il codice/sviluppo deve sfruttare API e iniezioni sicure. Il codice non è mai stato sviluppato pensando alla sicurezza. I praticanti dovrebbero costruire pensando alla sicurezza fin dall’inizio, piuttosto che trattarla come un ripensamento.
- Il lavoro dinamico è la nuova realtà. Dobbiamo cambiare la nostra mentalità per costruire la sicurezza nella nostra infrastruttura, a partire dai punti di accesso: persone e dispositivi.
- Le password devono essere sostituite con metodi di autenticazione nuovi e più efficaci come WebAuthn.
Looking Ahead. optimistic and realistic.
Passwordless è un sogno. Diventa complicato e talvolta impossibile quando le tecnologie legacy non supportano l’autenticazione moderna. Ci si sta muovendo verso l’interruzione dell’uso dei metodi antiquati di nome utente e password. Le aziende devono continuare il percorso di trasformazione digitale e sfruttare soluzioni che le aiutino a modernizzare la propria infrastruttura senza oneri pesanti. Dovrebbero iniziare a prepararsi per un futuro senza password identificando e rimuovendo i sistemi che non supportano i moderni standard di autenticazione.
Looking Ahead. Change can be scary.
Gli hacker hanno utilizzato la pandemia per industrializzare. Gli attacchi informatici sono diventati più veloci, grandi e organizzati. I criminali informatici sono diventati parte di ecosistemi complessi che fanno di tutto. Vendita dell’accesso, account compromessi, generazione di payload di attacchi in blocco e gestione del lato finanziario dell’estorsione di denaro. I grandi eventi ora si verificano su base settimanale e il 2022 probabilmente porterà più o meno lo stesso. Siamo in un’era di fiducia digitale. Che si tratti del nostro lavoro o delle esperienze personali, è necessario porre l’accento sull’interazione nel mondo digitale tenendo conto della sicurezza. Le aziende devono trovare un modo per costruire una vera cultura della sicurezza informatica. Formare i dipendenti, migliorare il comportamento informatico e l’igiene individuale. I gruppi di sicurezza dovrebbero essere in grado di tradurlo in budget più grandi e investire ulteriormente in tecnologie zero trust.
Looking Ahead. Plan and build.
Non appena pensiamo di aver capito qualcosa e di aver mitigato le minacce, qualcosa di nuovo viene esposto e sfruttato. Imparando dagli attacchi passati, possiamo creare per il 2022una strategia di sicurezza più forte che mai:
- Investi in una soluzione di identità leader del settore che fornisce un’autenticazione avanzata
- Usa il principio del “privilegio minimo” nel tuo ambiente per prevenire i movimenti laterali
- Valuta il contesto a ogni tentativo di accesso con criteri per ridurre la superficie di rischio
- Investi in tecnologie che ridurranno la tua dipendenza dalle password, ma ridurranno anche l’attrito
- Inizia il tuo viaggio con l’identità per adottare una strategia di sicurezza zero trust
Leggi l’articolo completo: https://www.okta.com/blog/2022/01/reflections-on-security-looking-ahead/
Consulta la nostra pagina https://www.bludis.it/okta/ e se hai bisogno di maggiori informazioni manda una e-mail a sales@bludis.it o chiamaci allo 0643230077