Semperis pubblica uno studio sull’impatto dell’AI sulla superficie di attacco dei sistemi di identità

Di
Redazione Data Manager Online
-
Semperis pubblica uno studio sull’impatto dell’AI sulla superficie di attacco dei sistemi di identità

Lo studio rivela che le aziende stanno concedendo agli agenti AI accesso ai sistemi essenziali più rapidamente di quanto implementino misure di sicurezza. Senza una protezione completa dei sistemi di identità, gli hacker possono accelerare i tentativi di compromettere Active Directory, EntraID o Okta

Semperis, azienda di cyber resilience e gestione delle crisi basata sull’identità, ha pubblicato i risultati di uno studio globale condotto su 1.100 organizzazioni appartenenti a diversi settori industriali, con l’obiettivo di comprendere l’impatto dell’intelligenza artificiale sulla superficie di attacco dei sistemi di identità come Active Directory, EntraID o Okta.

Lo studio evidenzia che l’AI sta ridefinendo silenziosamente i confini delle superfici di attacco legate alle identità digitali a livello globale e che le organizzazioni stanno affidando agli agenti AI le chiavi dei sistemi critici più rapidamente di quanto stiano introducendo adeguati meccanismi di controllo per queste nuove identità.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Lo studio The State of Identity Security in the AI Era ha rilevato che il 74% delle organizzazioni negli Stati Uniti, Regno Unito, Francia, Germania, Spagna, Italia, Singapore e Australia ritiene che l’AI aumenterà gli attacchi contro le infrastrutture di identità (in Italia lo ritiene il 62%). Inoltre, il 93% utilizza già o prevede di utilizzare agenti AI per attività di sicurezza sensibili come il reset delle password e l’accesso VPN. Il 92% dichiara che l’AI è installata almeno su alcune macchine locali con accesso a chiavi SSH e di crittografia, ma a livello globale solo il 32% si dichiara molto sicuro di poter riprendere il controllo nel caso in cui l’AI esponga credenziali amministrative a un attaccante. Negli Stati Uniti, il 53% delle aziende ha espresso fiducia nella propria capacità di recupero, mentre in Francia la percentuale crolla al 12%. In Italia, solo un’azienda su 5 è molto confidente nelle capacità di recupero (20%).

Leggi anche:  Il gruppo russo RomCom sfrutta una nuova vulnerabilità e prende di mira aziende in Europa e Canada

“L’adozione accelerata dell’AI sta introducendo una moltitudine di nuovi agenti, ciascuno con una propria identità non umana (NHI), all’interno delle imprese globali, e molte aziende sono semplicemente troppo ottimiste riguardo alla propria capacità di ripristinare l’infrastruttura di identità dopo una violazione, anche mentre espandono questo panorama di NHI”, ha dichiarato Alex Weinert, Chief Product Officer di Semperis.

A livello globale, solo il 65% delle organizzazioni afferma che le identità AI sono completamente registrate, autenticate e autorizzate all’interno di un sistema formale, mentre il 6% ammette di non monitorarle affatto. Tra le organizzazioni che tracciano le identità AI, il 57% utilizza lo stesso sistema impiegato per le identità umane, mentre il 43% le autentica e autorizza tramite un sistema separato rispetto agli utenti umani (in Italia, il 55% delle aziende usa un sistema separato rispetto a quello impiegato per le identità umane, percentuale più alta tra tutti i Paesi coinvolti nello studio).

“Ciò che colpisce dello studio AI di Semperis non è solo la rapidità con cui l’AI viene integrata nei sistemi di identità, ma anche quanto molte organizzazioni siano impreparate a recuperare il controllo quando qualcosa va storto. Introdurre l’AI a livello dell’identità offre vantaggi operativi, ma deve essere accompagnato da controlli, osservabilità e capacità di recupero. Si tratta, in fondo, di una nuova dimensione di una vecchia domanda: siete sufficientemente resilienti da reagire in caso di interruzione critica?”, ha dichiarato Grace Cassy, Partner di Ten Eleven Ventures.

Le organizzazioni sono pronte alle violazioni dell’identità alimentate dall’AI?

L’aspetto più preoccupante emerso dallo studio è che l’AI viene collocata sempre più vicino a infrastrutture di identità sensibili e che troppo poche organizzazioni sono preparate alle potenziali conseguenze. Oltre un quarto delle organizzazioni intervistate (29%) utilizza già agenti AI per gestire ticket di help desk legati alla sicurezza, inclusi reset password e accessi VPN (la stessa percentuale vale anche per l’Italia). Un ulteriore 65% intende farlo entro il prossimo anno (in Italia, il 62%). Parallelamente, il 92% degli intervistati afferma che una parte della propria forza lavoro ha installato AI su macchine locali dove può accedere a chiavi SSH e di crittografia.

Leggi anche:  Acronis presenta Cyber Protect Local, la soluzione unificata di resilienza digitale per ambienti IT/OT on-premises e gestiti direttamente dalle organizzazioni

“Il fenomeno delle organizzazioni globali che sovrastimano la rapidità con cui possono recuperare da un attacco informatico è reale, soprattutto quando l’identità rientra nel raggio d’impatto. Sulla carta, le organizzazioni dispongono di piani e backup; nella pratica, i fallimenti legati all’identità trasformano incidenti tecnici in crisi aziendali prolungate, evidenziando un pericoloso divario tra resilienza percepita e realtà”, ha dichiarato Chris Inglis, primo U.S. National Cyber Director e Strategic Advisor di Semperis.

Gli intervistati in Australia (70%), Stati Uniti (81%), Singapore (86%), Francia (71%), Germania (74%), Spagna (67%) e Regno Unito (72%) sono quelli che più probabilmente si aspettano che gli attacchi basati sull’IA prendano di mira le reti (seguono identità, data center e macchine locali). Tuttavia, gli intervistati in Italia sono quelli che più probabilmente si aspettano che gli attacchi basati sull’IA prendano di mira l’identità (74%).

Sul fronte positivo, l’83% degli intervistati ha indicato che la governance delle identità AI rappresenta una priorità per i prossimi mesi (l’80% in Italia). Ma come possono le organizzazioni governare queste identità difficili da controllare? Al momento, le best practice includono:

  • Trattare esplicitamente gli agenti AI come identità non umane (NHI) all’interno del sistema di identità.
  • Applicare agli agenti il principio del minimo privilegio, con accessi limitati allo stretto necessario e concessi solo quando serve realmente, con la stessa rigorosità riservata agli utenti umani.
  • Separare, ove opportuno, i confini di fiducia tra agenti AI e utenti umani.
  • Utilizzare analisi di tipo UEBA per rilevare comportamenti anomali o “zombie” degli agenti.
  • Garantire che l’organizzazione sia in grado di ripristinare rapidamente i sistemi di identità a uno stato affidabile in caso di compromissione.
Leggi anche:  Acronis: dalla sicurezza preventiva alla cyber resilience nel disaster recovery

“Questa ricerca mette in chiaro che nell’era dell’IA in cui viviamo, l’adozione dell’intelligenza artificiale sta superando la preparazione in materia di sicurezza all’interno della maggior parte delle organizzazioni, soprattutto per quanto riguarda i sistemi di identità”, ha affermato Antonio Feninno, AVP di Semperis per il Sud Europa. “Come Semperis, il nostro impegno nella sicurezza delle identità nell’era dell’IA è più cruciale che mai. In particolare, in Italia stiamo assistendo a una crescente consapevolezza che l’intelligenza artificiale amplifica sia le opportunità che le minacce. La nostra priorità è garantire che le organizzazioni siano in grado di proteggere le identità digitali con resilienza, trasparenza e un approccio proattivo, anticipando i rischi prima che diventino crisi.”