Si torna a parlare di IAM !

Ci siamo sicuramente accorti come la Cybersecurity sia stato uno degli argomenti più trattati in questo primo scorcio del 2025, confermando il trend già constatato negli anni precedenti.

E se andiamo a vedere la recentissima pubblicazione di X-Force Threat Intelligence ecco che balza in evidenza il netto incremento del furto di credenziali a tutti i livelli, vero grimaldello per entrare in possesso dei dati importanti.

Torna così in auge (io dico finalmente) l'attenzione verso la componente IAM (Identity & Access Management), vero cuore pulsante della sicurezza tradizionale e che ora viene rispolverato per essere nuovamente protagonista anche nella sicurezza dei tempi moderni in cui AI e Quantum esercitano pressioni sempre più crescenti.

Eccomi allora a fare alcune riflessioni sull'Identity Management che abbracciano sia il mondo Mainframe che quello Open.

In particolare pongo l'attenzione sull'utilizzo delle numerose identità che non appartengono a persone fisiche, presenti in ogni contesto IT di qualsiasi organizzazione. E' una situazione assai diffusa, utilizzata necessariamente per identificare, gestire e proteggere server e task (o processi), assegnando ad ognuno di loro un'utenza tecnica non associabile ad un'identità umana, un pò come fa RACF con gli started-task o con le componenti middleware, in ambiente zOS.

Ma, come spesso accade, le criticità si concentrano maggiormente nei mondi cloud/open dove vi è spesso un'interattività che ha portato ad un’esplosione dell’accesso ai workload, catturando così l'attenzione di malintenzionati che si adoperano nella ricerca di nuovi vettori di accesso a dati e risorse. Infatti molte delle violazioni avvengono non perché viene violato un account umano, con cui è possibile operare tranquillamente tramite MFA, ma perché viene violato un account tecnico, e ciò rende le operazioni di investigazione ed analisi un pò più complesse.

Per fortuna che ci viene in soccorso lo Zero-Trust, modello di sicurezza che consente di aumentare la qualità di attributi secondari, spesso non considerati, ma assai utili da utilizzare durante le verifiche. Questo approccio, spesso chiamato anche "Autenticazione-Adattiva", permette di effettuare una valutazione del rischio più approfondita, in quanto determina una maggior consapevolezza e conoscenza del contesto.

Gli attributi di cui parlo rispondono ad esempio alle seguenti casistiche:

• l’utente accede ai sistemi nel solito modo?
• utilizza sempre lo stesso punto di ingresso (endpoint)
• tramite lo stesso dispositivo e lo stesso indirizzamento IP ?
• in locale o in remoto ? (dentro od fuori dal perimetro aziendale ?)

Chiaramente sono solo degli esempi di attributi che, se considerati, rendono l’approccio Zero-Trust non solo più efficace nel garantire l’accesso, ma anche nel migliorare complessivamente la postura di sicurezza dell'intera infrastruttura.

Detto ciò possiamo procedere con la verifica complessiva dell'endpoint, per poi passare al controllo della presenza di tutte le patch necessarie, fino ad arrivare ai meccanismi che consentono di mettere in totale sicurezza il dispositivo stesso. A questo punto proeguiamo con le verifiche sul path che conduce all'applicazione interessata, verificando puntualmente tutti gli step autorizzativi. Ma siamo nell'era dell'AI e questa può davvero fornire un valido contributo alla sicurezza, andando ad alleviare alcuni dei compiti di routine relativi alla gestione degli accessi e identità tipiche dello IAM o di RACF, che risultano spesso pesanti, tediose e ripetitive, ma che vanno necessariamente fatte per assicurare che i privilegi di un utente siano costantemente corretti ed allineati alla policy di sicurezza.

E' giusto menzionare anche la crittografia come strumento sempre più fondamentale per la sicurezza dell’identità, soprattutto in un mondo orientato al Quantum Computer.

Pensiamo ad esempio a cosa accadrebbe se la crittografia non risultasse più efficace nella protezione dei dati. Questione sempre più "scottante" man mano che ci si approssima all’utilizzo del calcolo quantistico, dove il Quantum Computer potrebbe tranquillamente superare le capacità dei sistemi attuali andando a scardinare gli odierni sistemi di crittografia basati su chiavi crittografiche che utilizzano algoritmi facilmente violabili.

Non ci sono ancora certezze su quando sarà quel momento, ma di sicuro arriverà presto ed occorre prepararsi ad affrontare questo scenario, tant'è che il NIST, già dal 2016 aveva cominciato a coordinare gli sviluppi di algoritmi crittografici Quantum-Safe. Dal 2024, tre di questi algoritmi sono stati resi pubblici tanto che IBM li ha resi accessibili sui suoi sistemi zSystem-Z16 ed ora sul nuovissimo zSystem Z17 orientato fortemente all' AI. Entrambe i sistemi sfruttano schede crittografiche denominate Crypto-Express, già in grado di trattare due algoritmi Quantum-Safe:

• l'originario Crystal-Kyber, ora col nuovo nome ufficiale del NIST ML-KEM, utilizzato prelevamente per lo scambio delle chiavi di crittografia (Key Encapsulation Mechanism)
• l'originario Crystal-Dilithium, ora col nuovo nome ufficiale del NIST ML-DSA, utilizzato essenzialmente per il digital signing

Il passaggio alla crittografia post-quantistica è un processo che deve essere preso prima o poi in considerazione per la sua attuazione in modo da portare più consapevolezza all'interno di ogni organizzazione che necessita di strutturarsi secondo il processo della Crypto Agility. Ma qui si apre un altro grande tema che mi riservo di discuterlo prossimamente.

Torniamo ora sulla verifica delle identità tramite i sistemi di accesso, per sottolineare come sia cresciuta la diffidenza verso le connessioni remote tradizionali eseguite tramite VPN.

Ciò è dovuto al fatto che le VPN eseguono un solo controllo, una volta sola, aprendo la strada ad una serie di possibili rischi per l'autenticazione delle identità. A tal proposito si sta sviluppando un interesse sempre maggiore verso le ZTNA (Zero Trust Network Access), che utilizzano una tecnologia in grado di verificare non solo l’identità di chi sta accedendo, ma anche la capacità di limitare il traffico di rete fino a quando una specifica policy non lo autorizza, realizzando così un controllo più robusto e adattativo. Con ZTNA è anche possible esercitare la verifica delle identità di tutti gli utenti coinvolti nell'accesso della rete prima di consentirne il traffico, oltre ad un controllo periodico che garantisca che nulla sia cambiato rispetto alla verifica precedente. Questa logica si sposa pienamente col principio del controllo preventivo tipico dell’architettura Zero-Trust (verifica sempre, fidarsi mai).

Alla stessa stregua, c'è anche il Single-Sign-On (SSO) che comincia ad essere messo in discussione. O meglio, diciamo che si trova sotto osservazione per essere traguardato da una soluzione volta al Single-Sign-Off, anima del nuovo framework denominato Continuous Access Evaluation Profile (CAEP). CAEP consente di concludere le sessioni in modo ordinato e sicuro, terminando in maniera "pulita" il ciclo di interoperabilità che si apre quando gli utenti accedono a più sistemi tramite SSO. Un sistema che adotta il CAEP potrebbe chiudere una sessione di un utente nel caso in cui il dispositivo utilizzato per l'accesso non risulti più conforme alla policy. Si tratta di un nuovo standard a cui stanno aderendo molti grandi fornitori di software e che potrebbe diventare uno dei temi di sicurezza principali se non di quest'anno sicuramente del 2026.

Ultima osservazione sul tema SSO, riguarda lo standard Interoperability Profile for Secure Identity in the Enterprise (IPSIE), sviluppato da OpenID Foundation. Il suo obiettivo è quello di consolidare diversi standard di identità in un unico standard armonizzato, migliorando significativamente il Single Sign-On (SSO), risolvendo inoltre il problema della gestione del ciclo di vita degli utenti e la terminazione delle sessioni, perchè sappiamo bene che le sessioni in cui non viene richiesta una riautenticazione periodica sono vulnerabili all’hijacking.

Per concludere:

ciò che risulta interessante è che possiamo tornare a parlare di sicurezza delle identità (semmai ce ne fossimo dimenticati), quindi di IAM in generale e di RACF nello specifico per la piattaforma zOS, per potere essere ben preparati ad affrontare le sfide piuttosto complesse che si prospettano nel futuro ormai prossimo.

Ciò significa che è essenziale implementare strumenti di IAM efficaci capaci di far leva su AI e ML per automatizzare il più possibile i processi di controllo in linea con lo Zero-Trust, con l'unico scopo di abbattere il più possibie l'errore umano aumentando al contempo la produttività nella gestione della sicurezza.