Home » News » 5 Passaggi per l’auditing dei diritti di accesso agli amministratori
Gli account con privilegi amministrativi ed elevati sono necessari sia per le funzioni aziendali che per quelle IT, ma rappresentano un rischio significativo per l’organizzazione. Nelle mani di un insider incurante o malcontento o di un avversario, le credenziali privilegiate aprono la porta a violazioni dei dati, interruzioni dell’infrastruttura e violazioni della conformità.
Secondo Forrester, uno sbalorditivo 80% della violazione dei dati comporta account privilegiati. La chiave per ridurre questo rischio è un approccio moderno alla gestione degli accessi privilegiati (PAM). Invece di cercare di impedire che centinaia o migliaia di account potenti vengano utilizzati in modo improprio utilizzando strategie come i vault delle password, ti consente di ridurre il numero di account privilegiati che esistono al minimo assoluto, riducendo così drasticamente il rischio. Ecco i passi da compiere.
Fase 1. Scopri tutti gli account con accesso privilegiato
Il primo passo è scoprire tutti i tuoi account privilegiati. Alcuni account sono facili da identificare, come quelli che sono membri di potenti gruppi di sicurezza come Domain Admins. Ma alcuni sono meno ovvi; in effetti, si stima che nella maggior parte delle organizzazioni, più della metà di tutti i diritti privilegiati sono sconosciuti. È particolarmente facile dimenticare gli amministratori di livello inferiore come i DBA e gli utenti aziendali con accesso a dati o sistemi altamente sensibili.
Per semplificare il lavoro, considera l’ordinamento di tutti i tuoi account utente nei seguenti gruppi:
Amministratore/Root/Super Utente
Infrastruttura/Applicazione/Utente di potere
Utente CEO/CFO/CISO/Senior Business
Personale/Utente ordinario
Fase 2. Identificare il proprietario di ogni account privilegiato
Molti account privilegiati saranno assegnati a una specifica persona. Ma potrebbe essere difficile determinare il proprietario di alcuni account. I seguenti dati su ciascun sistema possono aiutare:
Fonte di autenticazione: l’origine delle autenticazioni per l’account privilegiato potrebbe essere una workstation o un server con un proprietario chiaro.
Data ultima modificata di ciascun profilo utente: se il profilo di un utente è stato modificato di recente, è un buon indicatore che è un utente attivo del sistema, quindi potrebbe essere in grado di determinare i proprietari di account con accesso privilegiato al sistema.
Dimensione di ogni profilo utente: se ci sono molti utenti che sfruttano un sistema, cerca quelli con i profili più grandi.
Attualmente registrati utente: le persone che stanno attualmente accedendo al sistema possono avere informazioni su chi possiede i relativi account privilegiati.
L’ultimo accesso all’utente – Allo stesso modo, chiunque abbia effettuato l’accesso al sistema di recente potrebbe essere in grado di aiutare a identificare il proprietario dell’account.
Tipo di servizio — Per gli account di servizio, il tipo di servizio può portare al proprietario dell’applicazione.
Fase 3. Lavora con i proprietari per capire lo scopo di ogni account
Intervista al proprietario di ogni account privilegiato per capire a cosa viene utilizzato e quali diritti di accesso richiede e se è ancora necessario. Ecco alcune domande che potresti voler fare:
Qual è lo scopo del conto? Che cosa è usato per fare?
I privilegi che ha bisogno di compiere queste azioni?
Se l’account è condiviso da più persone, come viene garantita la responsabilità individuale?
Fase 4. Rimuovere gli account che non sono più necessari
Con l’iscrizione ai proprietari degli account, rimuovi gli account privilegiati che non hanno bisogno di un accesso persistente, a partire dalle risorse più critiche. Per dare la priorità, considera fattori quali:
Quali risorse a cui l’account può accedere – Ad esempio, un account con accesso a un controller di dominio è più critico di uno utilizzato per gestire i server di stampa.
Laddove tali risorse risiedano — Un conto amministrativo per un laboratorio di prova è probabilmente meno critico di uno nell’ambiente di produzione.
La sensibilità delle risorse – L’account ha accesso a dati finanziari regolamentati o cartelle cliniche personali o ad applicazioni vitali come il CRM o l’ERP?
Per gli account che non possono essere rimossi, ridurre i loro diritti di accesso al minimo richiesto per svolgere la loro funzione. Si noti che i conti di servizio in particolare sono spesso sovra-forniti.
Fase 5. Implementare il privilegio di zero standing (ZSP)
Ora ti rimane una serie di account privilegiati che conosci effettivamente servono a uno scopo. Ma anche se vengono utilizzati solo occasionalmente, sono a rischio di essere utilizzati in modo improprio 24 ore su 24, 7 giorni su 7.
Con una moderna soluzione PAM, è possibile sostituire questi privilegi di stagiona in piedi con l’accesso just-in-time (JiT). Esistono due metodi per l’implementazione di JiT:
Account effimeri – Quando un utente deve eseguire un’attività che richiede diritti elevati, creare un account che esiste abbastanza a lungo per completare l’attività.
Escalation temporanea dei privilegi — In alternativa, concedere all’account esistente l’utente i privilegi necessari per eseguire l’attività e rimuoverli non appena l’attività è completata.
Come Netwrix può aiutare
La soluzione di gestione degli account Privileged di Netwrix fornisce una visibilità dinamica e continua sugli account privilegiati su tutti gli endpoint, consentendo alle organizzazioni di ridurre le superfici di attacco con la scoperta continua e la rimozione dei privilegi non gestiti. La nostra soluzione sostituisce gli account privilegiati convenzionali con un accesso privilegiato just-in-time, garantendo una maggiore sicurezza senza compromettere la produttività degli amministratori. Monitorando e registrando sessioni di utenti privilegiati, Netwrix Privilege Secure facilita le indagini, soddisfa i requisiti di audit e stabilisce la responsabilità. Questa soluzione consente inoltre alle organizzazioni di visualizzare, analizzare e gestire la loro superficie di attacco attraverso dashboard su misura, eliminando una lacuna di responsabilità e sicurezza senza sacrificare la convenienza per gli utenti.
Raggiungere l’accesso privilegiato
Scoprindo tutte le identità privilegiate nel tuo ecosistema IT e sostituendole con un approccio ZSP, puoi ridurre drasticamente i rischi per la sicurezza, la conformità e la continuità aziendale. Dopo tutto, se un account privilegiato non esiste, non può essere compromesso.
Compila il form per richiedere informazioni su Netwrix
Articolo originale: 5 Steps to Auditing Administrator Access Rights Autore: Da Martin Cannard (Netwrix Blog)
Riadattamento da parte di CIPS Informatica - Netwrix Blog