Con l'aumento del lavoro da remoto, gli amministratori IT, i team di sicurezza e i dipendenti regolari ora fanno molto affidamento sull'accesso remoto ai sistemi aziendali, agli ambienti e alle applicazioni DevOps. Ciò offre agli attori delle minacce una superficie di attacco molto più ampia: la rappresentazione.
Le identità digitali sono emerse come l'arma preferita dai criminali informatici. Laddove gli utenti con privilegi di un'organizzazione utilizzano abitualmente account con privilegi condivisi per l'accesso, in particolare in remoto su una VPN, qualsiasi utente malintenzionato che compromette tali credenziali ha, nel peggiore dei casi, un accesso di vasta portata a dati e risorse mission-critical. Inoltre, non solo gli utenti privilegiati sono a rischio. Molti attacchi informatici prendono di mira i normali account dei dipendenti per utilizzarli come trampolino di lancio per esplorare la rete.
Con questo in mente, le organizzazioni dovrebbero rivedere l'impatto di una forza lavoro distribuita, appaltatori esterni e la crescente superficie di attacco di un'infrastruttura IT altamente distribuita, e prendere in considerazione l'implementazione di nuove strategie Zero Trust per rispondere meglio a queste nuove dinamiche.
Strategia zero trust per identità umane e macchine
Con il modello Zero Trust, nessun attore che richiede l'accesso a dati, applicazioni o infrastrutture aziendali sensibili viene considerato attendibile in anticipo. Tuttavia, le misure di sicurezza non dovrebbero fermarsi alle identità degli utenti umani. Le identità non umane e gli account di servizio per macchine, applicazioni e altri carichi di lavoro costituiscono sempre più la maggioranza degli "utenti" in molte organizzazioni, soprattutto negli ambienti cloud e DevOps in cui strumenti per sviluppatori, applicazioni containerizzate, microservizi e carichi di lavoro elastici - che richiedono che le identità comunichino tra loro - giocano un ruolo dominante. Pertanto, per migliorare la propria posizione di sicurezza basata sull'identità, le organizzazioni dovrebbero concentrarsi sulla gestione delle autorizzazioni di accesso con privilegi basate su un approccio zero trust.
Sicurezza Zero Trust tramite Privilege Access Management (PAM)
Il tradizionale perimetro di rete si sta dissolvendo man mano che gli utenti e le risorse IT diventano più distribuiti geograficamente. Di conseguenza, non è più pratico basare le decisioni di accesso su concetti semplici come "gli utenti fidati sono all'interno del perimetro e gli utenti non fidati sono all'esterno" e utilizzare gli indirizzi IP per questa distinzione. Le aziende devono presumere che gli attori delle minacce siano già all'interno dei loro sistemi. L'approccio obsoleto "fidati ma verifica" deve essere sostituito con "non fidarti mai, verifica sempre".
"Non fidarti mai" significa che gli amministratori legittimi non hanno più carta bianca per accedere agli account privilegiati. Cioè, invece di consentire agli account con privilegi condivisi come root e amministratore locale di fare ciò che vogliono, gli amministratori utilizzano il loro account aziendale controllato dalle risorse umane, che ha privilegi di base. Ciò impedisce errori irreversibili e riduce l'impatto se un utente malintenzionato compromette quell'account. I controlli di sicurezza PAM possono quindi concedere selettivamente privilegi elevati quando la situazione lo richiede, in base a ruoli e policy centralizzati. Piuttosto che identità con ampi privilegi per tutto il tempo, questo approccio con privilegi minimi riduce i rischi per la sicurezza pur consentendo agli amministratori legittimi di svolgere il proprio lavoro richiedendo privilegi sufficienti, just-in-time e per un periodo di tempo limitato. Per garantire una protezione efficace, le aziende devono applicare in modo coerente questo approccio a tutte le risorse IT, sia nel data center, nella zona demilitarizzata (DMZ), nel cloud privato virtuale o in ambienti multi-cloud.
Implementando questo approccio zero-trust al PAM utilizzando controlli di accesso con privilegi minimi, le organizzazioni riducono al minimo la loro superficie di attacco, migliorano la visibilità di audit e conformità e riducono rischi, complessità e costi.
Passi importanti sulla via del buon zero trust
PAM è una tecnologia complessa, ma le organizzazioni possono compiere progressi significativi nella sicurezza con poche nozioni di base e continuare a migliorare il proprio livello di maturità Zero Trust implementando capacità successivamente più avanzate. I primi passi importanti sono il miglioramento dell'igiene delle password, la protezione degli account con privilegi condivisi e l'applicazione dell'autenticazione a più fattori (MFA) per gli amministratori.
1. Buona igiene delle password per le identità umane e delle macchine
Una singola password compromessa può potenzialmente danneggiare l'intera organizzazione. Le password ad alta entropia difficili da decifrare sono quindi essenziali. Le frequenti rotazioni delle password riducono anche la finestra di opportunità per potenziali aggressori. Questo è importante anche per gli account non umani. Raramente vengono modificati per paura di danneggiare un'applicazione o un servizio. PAM consente la gestione centralizzata di questi account e l'applicazione di una politica di rotazione frequente. In tal modo, queste soluzioni possono sfruttare una funzionalità di account multiplex per garantire che la password sia sincronizzata su tutti i computer dipendenti prima della rotazione per mitigare il rischio di errore dell'applicazione.
Poiché gli esseri umani sono ancora l'anello più debole della catena della sicurezza e quindi uno dei principali bersagli degli aggressori, la formazione continua sulla sicurezza dovrebbe essere obbligatoria per tutti gli utenti, non solo per gli amministratori.
2. Autenticazione a più fattori per gli amministratori
Un altro passo concreto per rafforzare la sicurezza delle identità è l'implementazione dell'autenticazione a più fattori per tutti gli amministratori. Anche per gli aggressori il tempo è denaro. Pertanto, ulteriori ostacoli alla sicurezza come l'autenticazione a più fattori possono indurre un utente malintenzionato a passare semplicemente alla prossima potenziale vittima.
L'utilizzo di un autenticatore fisico (ad es. YubiKey, notifica push o dati biometrici incorporati come Apple Touch ID) come secondo fattore rappresenta un ostacolo molto elevato per gli aggressori, poiché questa misura blocca anche bot o malware. L'applicazione coerente dell'MFA su più punti di accesso è essenziale.
3. Protezione delle password
Le identità con autorizzazioni permanenti rappresentano un rischio significativo per la sicurezza. I sistemi Linux in particolare sono una grande fonte di account con privilegi locali. Il metodo migliore è eliminare il maggior numero possibile di questi account. Gli account che un'azienda non può eliminare dovrebbero essere conservati in un deposito di password e l'accesso limitato solo alle emergenze. Già queste due misure riducono notevolmente la superficie di attacco. Come passaggio successivo, agli amministratori dovrebbero essere concesse solo le autorizzazioni di cui hanno bisogno, appena in tempo, quando ne hanno bisogno.
Il numero crescente di attacchi informatici riusciti dimostra che i tradizionali concetti di sicurezza basati sul perimetro non sono più sufficienti. Perché una volta superato questo muro protettivo, i criminali di solito hanno vita facile. Le aziende devono presumere che gli aggressori siano già sulle loro reti e basare le loro misure di sicurezza su questo presupposto. Questo è l'unico modo per proteggere tutte le risorse e i dati sensibili di un'azienda e ridurre al minimo i danni causati da attacchi esterni e minacce interne.
Maggiori informazioni su Sophos.com
Informazioni su Thycotic Centrify ThycoticCentrify è un fornitore leader di soluzioni per la sicurezza dell'identità nel cloud che consentono la trasformazione digitale su larga scala. Le soluzioni PAM (Privileged Access Management) leader del settore di ThycoticCentrify riducono i rischi, la complessità e i costi proteggendo i dati aziendali, i dispositivi e il codice in ambienti cloud, on-premise e ibridi. ThycoticCentrify è considerato affidabile da oltre 14.000 aziende leader in tutto il mondo, inclusa più della metà delle Fortune 100. I clienti includono le più grandi istituzioni finanziarie del mondo, agenzie di intelligence e società di infrastrutture critiche. Che si tratti di persone o macchine, nel cloud o on-premise, con ThycoticCentrify l'accesso privilegiato è sicuro.