L’era post-quantum non è ancora arrivata, ma ci stiamo avvicinando a grandi passi. Una volta che i computer quantistici raggiungeranno la maturità pratica, acquisiranno la capacità di compromettere i sistemi crittografici alla base di quasi tutte le interazioni digitali su cui oggi contiamo. Pagamenti online, email sicure, VPN, sistemi blockchain – persino il lucchetto HTTPS in un browser diventerà vulnerabile.
È questa la natura del mondo post-quantum, che non si svilupperà gradualmente, ma arriverà come una scossa dirompente. Ci sarà un giorno in cui la crittografia classica passerà dall’essere affidabile a essere considerata obsoleta. Anche se saremo chiamati ad affrontare sfide future importanti, con una risposta mirata e strategica possiamo costruire sistemi che non siano solo sicuri post-quantum, ma abbastanza resilienti da gestire ciò che verrà dopo – minacce a velocità macchina guidate dalla Artificial General Intelligence (AGI). Con questa evoluzione, ci troveremo di fronte a metodi di attacco più complessi, sofisticati e nuovi, e persino a un nuovo concetto di matematica.
Indice degli argomenti
AI e quantum: un panorama di rischio convergente
Il quantum computing rappresenta una minaccia diretta alla crittografia moderna. L’AGI, nel contempo, potrebbe introdurre una sfida più ampia e dinamica al modo in cui, noi e le macchine che difendono il nostro mondo digitale, discerniamo cosa sia buono o cattivo, amico o nemico. Insieme, creano una tempesta perfetta all’interno della quale l’identità assume il ruolo di controllo di sicurezza più critico.
L’AGI non farà leva sugli stessi metodi degli attaccanti tradizionali – ma impersonerà, si adatterà e opererà molto più rapidamente. Proviamo solo a immaginare l’impatto di contenuti di phishing generati da un’AGI con conoscenza in tempo reale del comportamento e dei modelli linguistici di un bersaglio, o di un malware in grado di riscrivere e ottimizzare continuamente il proprio codice basandosi sul feedback di risposta alle minacce in tempo reale.
l pericolo del “raccogli ora, decifra dopo”
E c’è il rischio concreto che il quantum computing presenti già oggi una minaccia che sarà sfruttata ancora di più in futuro: “raccogli ora, decifra dopo”. È quasi certo che – sfruttando ogni opportunità di violazione – stati-nazione e altri attori stiano già raccogliendo traffico Internet e dati cifrati archiviati. I futuri computer quantistici saranno probabilmente in grado di decifrare e utilizzare questi dati per favorire ulteriormente impersonificazioni e attacchi.
Non si tratta di semplice teoria, ma di una realtà che sta prendendo forma. Si prevede che l’AGI opererà a velocità macchina, rendendo in gran parte potenzialmente inefficaci le tradizionali difese perimetrali, il rilevamento manuale delle minacce e la risposta agli incidenti guidata dall’uomo. Le strategie di difesa devono operare allo stesso ritmo ed essere adattive, autonome e ancorate al livello fondamentale della sicurezza digitale attraverso l’identità.
L’identità macchina come nuovo perimetro digitale
In un panorama di minacce modellato dalla decrittografia quantistica e dalla compromissione guidata dall’AGI, l’identità, in particolare quella macchina, diventa il nuovo perimetro.
Come la comunicazione machine-to-machine ora guida una vasta porzione delle attività aziendali, con ogni probabilità le identità macchina saranno la linea del fronte.
API, container, cloud workload, microservizi e sempre più agenti AI dipendono dalle identità macchina, non solo per connettersi, ma per eseguire anche le funzioni aziendali più fondamentali. Se le identità macchina, ad esempio certificati o chiavi API, vengono gestite in modo non adeguato, sono compromesse o scadono, introducono opportunità per gli attaccanti di impersonare, elevare i privilegi ed esfiltrare dati su larga scala.
Affrontare tutto questo richiede più di quanto abbiamo pensato oggi sulla gestione di secret, certificati o chiavi. In questo contesto, le identità macchina devono essere:
- Agili nella crittografia – in grado di adattarsi rapidamente all’evoluzione degli standard di cifratura.
- Pronte per la velocità macchina – poter essere erogate, validate e revocate in millisecondi, non minuti.
- Completamente automatizzate – in grado di gestire operazioni su larga scala senza intervento umano.
Questo rappresenta la prossima evoluzione nella cybersecurity: un livello di sicurezza in grado di difendersi da minacce ad alta velocità, guidate dalle macchine, in ambienti cloud-native e basati su AI.
Verso una gestione automatizzata e intelligente delle identità
La buona notizia è che si può agire subito, poiché stanno già emergendo alcuni elementi fondamentali della preparazione alla protezione delle identità post-quantum.
Il primo passo è la visibilità. Le aziende devono concentrarsi sull’ottenere una visione completa e in tempo reale di tutte le identità nei loro ambienti, specialmente quella macchina, che includono certificati TLS, chiavi SSH e API, account di servizio, secret integrati nelle pipeline CI/CD, certificati di firma del codice, token di accesso e identità dei cloud provider – molte delle quali non vengono ancora rilevate con le attuali pratiche di sicurezza.
Una volta raggiunta la visibilità, la priorità successiva diventa la ”intelligenza” (nel senso semantico di “comprensione”). I team di sicurezza non solo devono sapere che esiste un’identità, ma comprenderne il contesto e il comportamento, ponendosi domande quali: su quali servizi si basano? Con quale frequenza vi si accede – e da quali posizioni o sistemi? La creazione di baseline comportamentali e il rilevamento di anomalie sono essenziali per informare l’applicazione dinamica e basata sul rischio delle policy.
L’automazione è il terzo pilastro e, al tempo stesso, il più critico. La gestione manuale delle identità macchina non è un approccio scalabile negli ambienti moderni. Non sarà più possibile affidarsi ai fogli di calcolo, con Google, Microsoft e Apple che hanno concordato una durata massima di 47 giorni per ogni certificato pubblico. Ogni azienda e governo a livello globale non ha libertà di scelta o potere decisionale in merito. L’intero ciclo di vita delle identità macchina, dalla scoperta alla rotazione fino alla revoca, deve essere automatizzato per consentire una risposta in tempo reale ed eliminare il rischio di errore umano.
La preparazione deve anche comprendere l’agilità crittografica. Le aziende dovrebbero iniziare i test e integrare gradualmente algoritmi quantum-resistant. L’agilità, in questo caso, sta nella capacità di sostituire librerie e primitive crittografiche senza dover ridisegnare nuovamente le applicazioni ed architetture, attività che poche aziende sono attualmente attrezzate per fare.
Infine, un modello Zero Trust adeguato deve estendersi oltre gli utenti, includendo anche le macchine. Ogni servizio cloud, container, API o agente AI deve essere autenticato e autorizzato in modo continuo. La fiducia dovrebbe essere contestuale, applicata in fase di esecuzione e governata dai principi del minimo privilegio.
Prepararsi al futuro della sicurezza digitale
Se, e quando, l’AGI diventerà realtà, non solo la cybersecurity, ma il nostro mondo digitale sarà a rischio, aumentando la necessità di sistemi per verificare che i dati siano reali, che le macchine siano ciò che dicono di essere e che le loro azioni siano legittime. In altre parole, si tratta di problemi di identità.
Le identità macchina che proteggono il mondo digitale non possono più essere date per scontate, soprattutto ora che è stato affrontato con successo il problema di quelle umane. Devono essere costantemente controllate e applicate, ed è esattamente ciò che la machine identity security rende possibile. In un mondo modellato da quantum computing e AGI, questo sarà il fondamento dell’economia digitale e della società stessa.
Concentrandosi sulle identità macchina e preparandosi ora al passaggio a un mondo post-quantum, le aziende possono guardare con fiducia a questa transizione.
