Massimo Carlotti, Presales Team Leader di CyberArk, spiega come gestire il “fango” per superare la dispersione della gestione dei Secret.

gestione dei Secret

Quando, nel 2006, Jeff Bezos ha utilizzato per la prima volta il termine “lavoro pesante indifferenziato” stava tenendo un discorso alla conferenza sulle tecnologie emergenti del MIT Tech Review focalizzato in parte su Amazon e in parte sugli ostacoli affrontati dagli imprenditori del web. Bezos ha parlato di “costo di accesso” riferendosi in particolare alle attività di backend – come il server hosting e la gestione della banda – che occupavano circa il 70% del tempo e che, se svolto in maniera inadeguata, può portare al fallimento, ma che non fornisce alcun valore aggiunto evidente. Come questo si collega all’attuale problema della gestione dei Secret?

Arrivando velocemente agli ambienti IT ibridi, agili, focalizzati su DevOps del 2021, resta un fenomeno ancora rilevante, che si manifesta come un problema serio (ma non unico) prevalente nelle isole di sicurezza create con l’utilizzo di strumenti e applicazioni multi-cloud. Ciò che aggiunge valore alla missione dell’azienda è l’applicazione in sé, non il modo in cui si gestiscono le sue credenziali. Ci troviamo quindi nella situazione in cui le credenziali essenziali per utilizzare app, piattaforme e strumenti vengono memorizzate in un milione di luoghi diversi.

Questo è il fulcro del discorso: il modo in cui queste credenziali sono accessibili e gestite è una forma di lavoro pesante indifferenziato che ha generato uno tsunami incontrollato di problemi operativi e di sicurezza. L’economia mondiale potrebbe essere a rischio e la gestione dei Secret rappresenta un pericolo reale e crescente per le aziende che ne ignorano i segnali.

Avere milioni di credenziali o Secret è un problema? Non di per sé. Da Red Hat a Kubernetes, ai fornitori cloud come Azure, la maggior parte possiede un metodo per gestire i Secret altrui. I problemi sorgono se si utilizzano più di uno o due di questi strumenti o sistemi. Se l’intero parco cloud è in AWS e il provider ha un modo automatico per gestire i Secret, la situazione è tranquilla. Se parte del patrimonio viene poi distribuita anche su Azure, con la necessità di iniziare a utilizzare Key Vault come gestore dei Secret, improvvisamente scatterà un problema di governance. E poiché molte organizzazioni dispongono di ambienti ibridi e utilizzano più strumenti di automazione, di gestione dei container e così via, si giunge alla dispersione della gestione dei Secret.

E, non facciamo errori, dare priorità alla gestione dei Secret e delle credenziali è fondamentale. Il Verizon 2021 Data Breach Investigations Report ha rivelato che l’uso di credenziali rubate era presente in oltre il 20% delle violazioni, mentre all’inizio di quest’anno SentinelOne ha identificato una libreria di codice infetto “in the wild” che tentava di installare malware sui Mac utilizzati dagli sviluppatori software. In caso di successo, scaricava un software che monitorava le attività dello sviluppatore attraverso microfono, fotocamera e tastiera. Già nel 2019, Glasswall aveva evidenziato che il ruolo dello sviluppatore software era il più attaccato dagli hacker attivi nel settore tecnologico. Perché? Perché scrivono codice e spesso hanno privilegi di amministratore. Una compromissione in questo caso è un punto di accesso ad alto valore al resto dell’organizzazione.

Quindi, la dispersione della gestione dei Secret – questo lavoro pesante indifferenziato che viene svolto da team di sicurezza sovraccarichi – diventa un elemento vulnerabile. È praticamente impossibile amministrare le credenziali e i Secret per tutti questi strumenti, piattaforme e ambienti, mantenendo visibilità su dove risiedono, senza commettere errori. La prima manifestazione è tipicamente operativa: il team di sicurezza riconosce di non essere in grado di amministrare gli strumenti di gestione dei Secret al livello di servizio richiesto, che nella triade CIA (Confidentiality, Integrity e Availability) si presenterebbe come un problema di disponibilità. La seconda è legata a un problema di riservatezza, tipicamente un riconoscimento da parte del CISO che Secret e credenziali sono a rischio di compromissione a causa di potenziali errori a livello amministrativo.

Risolvere questo problema non è facile, ciò che è certo è che coinvolgerà la stessa automazione insita negli strumenti DevOps applicati alla gestione dei Secret. Questo è l’unico modo per ridurre al minimo interazione umana e intervento manuale, minimizzando sovraccarico di amministrazione ed errori. Ad esempio, ruotando automaticamente i Secret – parole d’ordine, chiavi, certificati – le organizzazioni possono impedire agli attaccanti di accedere agli strumenti DevOps e alle chiavi di accesso. Allo stesso modo è possibile automatizzare le procedure di sicurezza o ruotare automaticamente le credenziali in modo reattivo in caso di violazione. Questo approccio focalizzato su centralizzazione e automazione è ciò che impedirà di fallire nella fase di “costo di accesso” per come è stata indicata da Bezos.

Di Massimo Carlotti, Presales Team Leader di CyberArk