Oggi che è sempre più vasta la platea di chi ha un accesso a sistemi e dati maggiore rispetto al classico dipendente interno all’azienda (ovvero gli utenti con accessi privilegiati, o account degli amministratori), la protezione e il controllo degli accessi sono più importanti che mai
Di Luca Mascelloni, PreSales & Technical Director, CA Technologies
Con il termine accesso privilegiato si intende un accesso legato alla figura di amministratore, una figura quindi che ha il potere di accedere a tutte le risorse aziendali in qualunque momento e da qualunque dispositivo. Questi account sono in genere utilizzati per impostare l’infrastruttura IT, installare nuovo hardware o software, eseguire servizi critici e effettuare operazioni di manutenzione. Sono le chiavi di accesso all’intero mondo IT di un’azienda e ai dati sensibili in essa conservati.
Negli anni abbiamo sempre pensato che gli utenti con accessi privilegiati, cioè le figure che hanno il potere di accedere a tutti dati, le risorse e i dispositivi aziendali in qualunque momento, fossero in genere solo le persone interne all’azienda, con incarichi diretti sulla gestione dei sistemi e della rete. Ma oggi non è più così: proteggersi dalle violazioni degli utenti con accessi privilegiati significa qualcosa di ben più ampio respiro rispetto alla vecchia visione del semplice controllo delle cosiddette “minacce interne”.
Guardare all’ecosistema
Certamente anche il personale interno malintenzionato può causare danni, ma alcune delle maggiori violazioni da parte di utenti privilegiati sono da imputare ad atti commessi da fornitori, appaltatori, business partner e altri che hanno ottenuto un accesso privilegiato ai sistemi all’interno dell’organizzazione, e non a dipendenti aziendali. Il numero di utenti privilegiati è in aumento anche alla luce delle migrazioni al cloud e al sempre più ampio ricorso a tecnologie come la virtualizzazione. In particolare, se si guarda al cloud, molti di questi utenti con privilegi di accesso possono anche non far parte del personale IT tradizionale. E, a complicare ulteriormente le cose, oggi tra gli utenti privilegiati non vi sono solo le persone, perché negli ambienti cloud e virtualizzati, gli strumenti automatizzati di configurazione e di provisioning guidati da script e da programmi hanno introdotto ancora più “utenti” con accessi rilevanti su ampie parti dell’infrastruttura. Infine, e forse più importante, bisogna considerare tutti gli account privilegiati e le credenziali connesse, che costituiscono la minaccia più significativa in quanto il loro sfruttamento è fondamentale per le modalità di violazione da parte degli hacker.
La gestione degli accessi privilegiati
Al livello più alto, ci sono tre passaggi chiave in cui la gestione degli accessi privilegiati può aiutare a fermare gli attacchi e a prevenire le violazioni. Il primo passo è quello di impedire gli accessi non autorizzati, e forzare un accesso privilegiato alle risorse attraverso un gateway basato sulla rete fornisce un modo semplice per far rispettare un’autenticazione forte. È un dato di fatto che un tale sistema dovrebbe integrare con l’infrastruttura esistente di gestione delle identità. Diventa quindi fondamentale imporre l’uso di autenticazione a più fattori (MFA, multi-factor authentication) per l’accesso privilegiato, in quanto aumenta significativamente il livello di difficoltà di ottenere l’accesso alla rete all’utente malintenzionato.
Un singolo sign-on anche per gli utenti privilegiati
Passando allo step successivo, sfortunatamente, in molte reti, l’autenticazione finisce per coincidere essenzialmente con il controllo degli accessi: una volta effettuato l’accesso alla rete, si ha spesso l’accesso a tutte le risorse della rete. Ma le funzionalità come il singolo sign-on degli utenti privilegiati aiuta a prevenire tutti questi problemi: l’approccio si basa fondamentalmente sul controllo di accesso del minimo privilegio, denominato controllo degli accessi “zero trust”. Separando l’autenticazione e l’accesso al sistema di gestione degli accessi privilegiati dall’accesso effettivo alle risorse gestite, gli utenti hanno visibilità solo sui sistemi e le risorse in base a ciò che viene definito e consentito dalle policy relative.
Monitorare e registrare
Infine, il terzo passo consiste nelle attività di monitoraggio, registrazione e controllo. Idealmente, il nostro attaccante non potrà mai arrivare al punto in cui è in grado di raggiungere il suo obiettivo finale, in quanto i numerosi controlli e le verifiche stabilite e applicate da un sistema di gestione degli accessi privilegiati forniscono ampie opportunità per fermare l’attacco. Le attività di monitoraggio, registrazione e controllo agiscono da deterrente aggiuntivo per le violazioni, oltre a fornire vantaggi significativi nel malaugurato caso in cui si verifichi una violazione Registrazione log e sessioni offre infatti una serie di vantaggi: gli amministratori a volte commettono errori, e le registrazioni danno la possibilità di rivedere le attività e determinare esattamente le azioni intraprese durante una interazione, per fare un esempio. Naturalmente, nel caso peggiore in cui si verifichi una violazione, le registrazioni e i log si possono rivelare cruciali nel determinare esattamente ciò che è stato fatto a un sistema, quali informazioni sono state catturate e come le risorse sono state compromesse. Tutto questo può rendere più rapide le attività di forensic, oltre che aiutare nella valutazione dei danni e fornire preziose informazioni che potranno essere utilizzate per ridurre il rischio di violazioni future.
