Netwrix: Tutto ciò che c’è da sapere sul Privileged Access Management (PAM)

Tutti quegli utenti con accesso privilegiato ai sistemi e alle reti di un’azienda, rappresentano nient’altro che una minaccia, prendendo di mira gli account privilegiati, grazie al phishing.

Che cos'è l' accesso privilegiato?

L’accesso privilegiato è, innanzitutto, un livello superiore di accesso IT, concesso a degli utenti specifici come i professionisti IT o chiunque abbia accesso o debba leggere dati sensibili, come i dati dei clienti archiviati all’interno dei database. Sostanzialmente gli account con privilegi dispongono di ulteriori autorizzazioni per accedere a sistemi, servizi, endpoint e dati, rispetto a un qualsiasi account utente. 

Questi account privilegiati sono ad esempio: 

  • Account amministratore IT: con il quale i professionisti IT possono installare hardware o software, reimpostare password per gli account utente standard, accedere ad ogni dispositivo e apportare modifiche alle infrastrutture IT. 
  • Account amministrativo del dominio: con questo tipo di account si può accedere a tutte le workstation e server all’interno del dominio.
  • Account di servizio: con il quale si può accedere a dati ed altre risorse da un’applicazione. 
  • Account applicazione: sempre da un’applicazione si può accedere ai database, eseguire lavori batch o script, oltre a poter fornire l’accesso ad altre applicazioni. 
  • Account utente con privilegi aziendali: questi sono account che vengono forniti ad esempio a operatori di database o manager che lavorano con dati sensibili. 
  • Account di emergenza: infine questi, sono account forniti agli utenti per gestire disastri o interruzioni che interferiscono con la disponibilità di rete e dei sistemi aziendali. 
Per avere più informazioni a riguardo, clicca il pulsante sottostante: 

Protezione speciale per i PAM

L’ accesso privilegiato, rappresenta comunque un rischio significativo per la sicurezza di ogni azienda, non possiamo negarlo. 

Tre di fatti sono i motivi principali per gestirlo: 

 

1) Sono obbiettivi chiave per gli aggressori

Un malintenzionato potrebbe accedere a questi account per mettere le mani sui dati sensibili, coprendo le proprie tracce a lungo.

2. Anche i proprietari possono utilizzarlo in modo improprio

Gli amministratori potrebbero accidentalmente ( o volontariamente) disattivare i controlli di sicurezza, rubare i dati sensibili e così via...

3. E' un requisito di ogni normativa di conformità

I revisori, infatti, fanno particolare attenzione a questo requisito. Ogni mancanza di controllo può portare a multe non indifferenti.

Ecco qui alcuni esempi di come un account con privilegi, potrebbe essere utilizzato impropriamente: 

Utenti oltrepassano i confini di sicurezza
Le best practice consigliano di assegnare a ciascun amministratore non solo un account utente privilegiato, ma anche un account utente normale da utilizzare per le attività quotidiane che non richiedono diritti di accesso speciali. La mancata osservanza di questa best practice può portare a incidenti di sicurezza. Ad esempio, se un amministratore utilizza il proprio account privilegiato per accedere a una workstation, le sue credenziali possono essere archiviate localmente e un utente malintenzionato può rubarle.
Gli account privilegiati sono condivisi
Se più amministratori condividono l'accesso a un account privilegiato, è difficile ritenere le persone responsabili delle proprie azioni, il che aumenta la possibilità che uno di loro possa utilizzarlo in modo non autorizzato.
Maggiore superficie di attacco dai privilegi
Di solito, gli account con privilegi sono account permanenti. Pertanto, un utente malintenzionato che compromette un account amministratore, è libero di usarlo per spostarsi lateralmente nel tuo ambiente e cercare opportunità per aumentare i propri privilegi. Ciò aumenta notevolmente il rischio che riescano a raggiungere il loro obiettivo finale di rubare dati o fare altri danni alla tua organizzazione.
Previous
Next

 

Se si vuole essere protetti contro il furto e ridurre il rischio di abuso di credenziali, PAM è sicuramente la soluzione migliore. 

Le caratteristiche principali di ogni PAM, infatti, permetto una maggiore sicurezza: 

  • Gestione delle credenziali privilegiate: viene gestito il processo di archiviazione e recupero della password per gli account utente con privilegi, così da ridurre il furto di credenziali. 
  • Metodi PAM just-in-time: viene così garantito che gli account ricevano gli accessi privilegiati solo quando necessario e solo per il tempo opportuno, completando così l’attività richiesta. Viene così impedito agli account utente di mantenere privilegi di accesso maggiori più a lungo, evitando anche minacce esterne. 
  • Rilevamento e onboarding: viene così scoperto dove esistono account con privilegi, all’interno di un’azienda, coì che siano protette da PAM. 
  • Monitoraggio delle attività: si può così tenere traccia di come gli utenti utilizzano le loro credenziali, identificandone più rapidamente l’uso improprio. 
  • Registrazione e Reporting: può essere registrato e creato il report sull’utilizzo di account con privilegi. 
  • Autenticazione a più fattori: obbliga gli utenti a confermare la propria identità in più modi prima di farli accedere ad applicazioni e sistemi aziendali. 
  • Gestione delle sessioni privilegiate: fornisce agli amministratori della sicurezza, il controllo sulle sessioni di lavoro degli utenti con accesso privilegiato. Si può ad esempio bloccare l’accesso a risorse critiche. 
  • Elevazione e delega dei privilegi: consente agli amministratori di eseguire un controllo più granulare sui diritti, concessi agli account utente con privilegi. 
  • Automazione delle attività privilegiate: consente agli amministratori di impostare flussi automatizzati che gestiscono attività PAM ripetitive. 

Quindi: 

1) Un utente che deve eseguire un’attività che richiede autorizzazioni elevate può richiedere l’accesso a un account utente
privilegiato. L’utente deve fornire una giustificazione aziendale con il motivo per cui necessita dell’accesso privilegiato.

2) La soluzione PAM approva o rifiuta la richiesta e registra la decisione. La maggior parte delle soluzioni PAM può essere configurata per richiedere l’approvazione del manager per determinate richieste.

3) Se viene concessa l’approvazione, all’utente viene concesso temporaneamente l’accesso privilegiato necessario per completare l’attività specificata. 

 

Le grandi sfide di PAM

Gli approcci tradizionali alla PAM comportano tutti una serie sfide, tra cui: 

Processi manuali : Le organizzazioni potrebbero scegliere di archiviare le credenziali privilegiate nei fogli di calcolo e ruotarle manualmente, comportando inevitabili errori. 

Strumenti gratuiti: Questi lasciano lacune, come il flusso di lavoro, la rotazione post-sessione o l’impossibilità di controllare chi vi sta accedendo.

Soluzioni PAM tradizionali: Le vecchie soluzioni PAM presentano due sfide principali. Innanzitutto, la loro complessità li rende costosi da implementare facendo sì che le organizzazioni debbano investire molte ore nella configurazione, nell’implementazione e nella manutenzione continua. Molte soluzioni PAM richiedono, inoltre,  licenze aggiuntive per funzionare, come CAL di terze parti, infrastruttura di database e componenti aggiuntivi.

In secondo luogo, la maggior parte delle soluzioni PAM adotta un approccio incentrato sul vault: gestiscono semplicemente gli account con privilegi e si concentrano solo sul controllo degli accessi. Gli attori delle minacce come il ransomware possono propagarsi tra le organizzazioni, sfruttando gli account privilegiati, anche se sono archiviati.

Il modo migliore per ridurre il rischio per la sicurezza, senza influire sull’efficienza aziendale, consiste nell’abilitare i privilegi su richiesta. Zero Standing Privilege è un approccio in cui agli amministratori viene concesso il privilegio sufficiente per completare un’attività specifica e solo per il tempo necessario per completare tale attività. Quando l’amministratore ha terminato, i privilegi vengono rimossi dall’account o l’account viene rimosso completamente. Questo approccio just-in-time riduce drasticamente il rischio che account potenti vengano sfruttati da minacce interne o esterne.

Best practice per la gestione degli accessi privilegiati

– Fai l’inventario di tutti i tuoi account privilegiati.

– Conduci una valutazione dei rischi per comprendere le minacce più gravi ai tuoi account privilegiati.

– Implementa un modello Zero Standing Privilege per rimuovere gli account con privilegi quando non sono in uso.

– Imposta criteri formali per controllare l’accesso ai privilegi.

– Tieni traccia dell’utilizzo di account con privilegi in modo da poter segnalare rapidamente comportamenti sospetti.

– Sfrutta gli strumenti che abilitano il privilegio su richiesta per le attività quotidiane.

– Pulisci gli account inattivi o non utilizzati in Active Directory prima che possano essere utilizzati in modo improprio.

– Impiega i principi di Zero Trust e privilegio minimo.

PAM just-in-time riducendo la superficie di attacco.

Netwrix SbPAM facilita l’accesso amministrativo sicuro utilizzando una tecnologia di terza generazione economica, intuitiva e facile da implementare. Netwrix SbPAM genera automaticamente account temporanei per ogni sessione privilegiata, quindi
esegue il provisioning e il deprovisioning dinamico delle autorizzazioni just-in-time appropriate per l’attività richiesta. Questa azione rimuove la superficie di attacco “privilegio permanente” quando gli account sono inattivi, fornendo un accesso privilegiato controllato senza l’overhead e la responsabilità delle tradizionali soluzioni incentrate sul vault.

Per leggere l’articolo, tratto dal blog di Netwrix, clicca qui

Compila il form per avere maggiori informazioni su Netwrix 

Torna in cima