Avete passato l’intero pomeriggio a tagliare il prato, ma nel giro di un’ora tre bambini, un vicino e il ragazzo delle consegne lo hanno calpestato per raggiungere la vostra porta. E questo nonostante il cartello “Non calpestare il prato”. Quindi la volta successiva, metterete due cartelli… poi tre… poi quattro… sempre con lo stesso risultato. È la stessa situazione che si trovano a vivere i team di sicurezza IT aziendali quando gestiscono le identità e proteggono l’accesso privilegiato nei loro ambienti IT, ibridi e in continua espansione. Proteggere le identità digitali è infatti un mondo in evoluzione.
Barriere logiche e fisiche semplicemente non possono impedire ai cyber criminali di accedere alla rete, come pure i segnali di avvertimento non fermano i lavoratori che vogliono solo svolgere con calma le loro attività. Per tornare alla metafora del prato, non bastano cartelli minacciosi a tenere i visitatori lontani dal prato. Quindi, cosa si può fare? Eliminare i cartelli e adottare un approccio proattivo e completo nella protezione del prato e soprattutto nella sicurezza dell’identità.
Ripensare chi e cosa deve entrare e uscire. Vanno bene le api tra i preziosi cespugli di rose, vanno bene anche i coniglietti saltellanti, purché si tengano fuori dal giardino, ma le marmotte? No. Il problema è che questi animali non possono leggere i cartelli.
Il concetto di “identità” si è evoluto. Una volta era facile individuare un gruppo di amministratori IT che aveva bisogno di un accesso privilegiato. Questi utenti lavoravano in uffici dedicati, protetti da muri fisici e firewall. Ma oggi, molti utenti non IT hanno accesso diretto a dati e sistemi sensibili, spesso attraverso applicazioni web, che utilizzano da dispositivi e luoghi differenti. Il concetto di “Identità” comprende anche ciò che non è logico, perché non si tratta di proteggere solo l’accesso umano. Negli ambienti a perimetro zero, devono essere protette anche le identità delle macchine, le applicazioni autenticate e i secret DevOps gestiti in modo sicuro. In questo panorama, qualsiasi identità – umana o macchina – può diventare privilegiata in determinate circostanze.
È necessario quindi un controllo più granulare della difesa in profondità sulle singole identità. Un primo passo essenziale è quello di unificare i meccanismi di autenticazione forte – come l’adaptive single-sign on (SSO) e l’autenticazione a più fattori (MFA) – con il Privileged Access Management (PAM) per applicare in modo coerente i controlli di sicurezza di minimo privilegio su identità, dispositivi e risorse IT.
Ricordare che le “regole” a volte cambiano. Se il cane dei vicini è una minaccia scava buche, a cui è vietato l’accesso al vostro giardino, ma i proprietari sono grandi amici che si fermano spesso, capiterà a volte che portino il loro cane a giocare con il vostro. Quindi, che vi piaccia o no, anche i “permessi di accesso” del cane dei vicini al vostro cortile non saranno sempre fissi, ma cambieranno a seconda delle condizioni di contorno.
I processi di sicurezza dovrebbero essere dinamici quanto quelli IT che intendono proteggere. Ad esempio, il provisioning di accesso just-in-time rende possibile concedere a un’identità accesso elevato solo alle risorse giuste, nel momento giusto, cosa che la rende elemento fondamentale delle iniziative di accesso Zero Trust, particolarmente utile negli ambienti cloud e ibridi.
Anticipare le aree ad alto traffico nel vostro giardino. Dedicate la maggior parte del vostro tempo e del budget a rafforzare l’erba in queste sezioni per renderla più resistente.
Un primo esempio di cybersicurezza: gli attaccanti cercano utenti privilegiati, non solo amministratori IT, ma anche sviluppatori e altri utenti aziendali con elevati livelli di accesso. È importante identificare subito le parti interne ed esterne che hanno a che fare direttamente con sistemi e dati aziendali di valore, poi concentrarsi sul rafforzamento delle protezioni di questi utenti privilegiati con controlli di gestione delle credenziali e delle sessioni basati sul rischio, formazione mirata sulla cybersecurity e altre considerazioni legate alla gestione degli accessi privilegiati.
Mantenere radici sane è molto simile alla sicurezza di un ambiente IT. Su scala aziendale, la protezione delle identità deve essere una difesa profonda. Ci sono pratiche di cybersecurity fondamentali che non si possono evitare, come bloccare gli endpoint – dalle workstation dei dipendenti ai server – rimuovendo i diritti di amministratore locale o aggiungendo la protezione VM per il furto di credenziali e le policy di controllo delle applicazioni per impedire ai malintenzionati di raggiungere i loro obiettivi.
Il panorama è sempre più dinamico. I controlli di sicurezza implementati tre anni fa potrebbero non essere adatti a gestire il panorama IT ibrido oggi. Costruire processi che permettano di rivalutare costantemente policy e considerazioni di Identity Security per tutte le identità, dai nuovi dipendenti ai fornitori di terze parti inattivi, attraverso sistemi on-premises, SaaS e ambienti di cloud pubblico. In caso contrario, si potrebbero trovare rapidamente altri intrusi a curiosare in giro.
Si desidera un prato sano e incontaminato, senza dover passare il tempo libero spingendo un tosaerba e facendo la guardia dalla veranda? È il momento di automatizzare le attività più complesse: puntare una telecamera sul prato e installare un sistema di irrigazione – si risparmieranno tempo e risorse a lungo termine.
Implementare una sicurezza completa non deve per forza significare più lavoro, ed è bene individuare ogni opportunità per automatizzare le attività manuali di protezione, dispendiose in termini di tempo. Allo stesso modo, aggiungere capacità di rilevamento delle minacce che possono avvisare automaticamente di comportamenti rischiosi come tentativi di login anomali, inserimento di un comando sensibile in una sessione privilegiata o creazione di un nuovo account IAM cloud con privilegi amministrativi. Questi processi possono aiutare a mantenere programma di sicurezza dell’identità efficace, e team costantemente concentrati ed efficaci.
In un panorama in evoluzione, proteggere le identità e gestire l’accesso privilegiato non può essere un approccio reattivo o frammentato, ma uno sforzo olistico con una filosofia coerente che comprenda tutte le identità, dall’endpoint al cloud, per tutto il loro ciclo di vita. Altrimenti, ci si troverebbe a gridare “Via dal mio giardino!” allo schermo del computer.
Di Paolo Lossa Country Sales Director di CyberArk Italia
