Di Massimo Carlotti, Sales Engineer Italy, CyberArk
Molte organizzazioni oggi si affidano a fornitori esterni per gestire i sistemi più critici, per potersi così concentrare sulle loro attività principali. Questa collaborazione esterna – che spesso avviene da remoto – estende il perimetro IT da difendere ed introduce una nuova sfida: garantire la sicurezza dell’accesso remoto di queste terze parti ai sistemi specifici, fornendoglielo solo quando necessario.
Spesso le aziende monitorano chi accede a quali sistemi o risorse all’interno del loro ambiente utilizzando la prima fase di autenticazione – in cui gli utenti o le macchine dimostrano in qualche modo di essere chi (o cosa) dicono di essere. Il processo di autorizzazione (o rimozione) degli accessi inizia solo quando vengono identificati e autenticati gli utenti delle aziende remote.
Affidarsi a processi manuali per fornire e rimuovere l’accesso remoto delle terze parti è tutt’altro che infallibile e introduce molti potenziali problemi. Queste figure sono spesso assunte solo per periodi di tempo specifici e, in genere, non fanno parte dell’Active Directory aziendale o di altri servizi simili. Inoltre, di solito hanno bisogno di accedere solo a un sottoinsieme specifico di sistemi, vincolato dalla durata del contratto o dal numero di sessioni necessarie per completare i propri compiti. I processi manuali conducono spesso a diverse problematiche:
- Accessi eccessivi con il rischio che il fornitore acceda a sistemi non necessari;
- Accessi insufficienti, che rendono più difficile il lavoro dei fornitori;
- Accesso lasciato libero per molto tempo, anche dopo il completamento di un progetto.
Le policy di bring-your-own-device sono diventate la norma per l’accesso remoto e contribuiscono a rendere il lavoro del team di sicurezza IT molto più difficile e ridisegnano il “perimetro” da difendere. I responsabili IT necessitano di un metodo per garantire che questi dispositivi siano sicuri, anche quando accedono a sistemi critici da remoto. L’approccio Zero Trust concentra i criteri di sicurezza e i controlli di accesso sull’identità di utente/dispositivo e non sulla loro posizione, con un impatto sulla scelta del metodo di autenticazione ideale.
Ci sono diversi metodi per dimostrare l’identità attraverso l’autenticazione, sia all’esterno che all’interno dell’ufficio, ad esempio con l’inserimento di una combinazione di user e password, o metodi più moderni come i sistemi di riconoscimento biometrico o l’utilizzo di un dispositivo affidabile e conosciuto. Ad alti livelli, l’autenticazione assume in genere tre forme:
- Qualcosa che sai: una parola segreta, una combinazione di nome utente e password o un qualsiasi altro codice noto
- Qualcosa che hai: lo smartphone personale, un badge nominale o altro oggetto nella disponibilità dell’utente
- Qualcosa che sei: la scansione dell’impronta digitale, della retina o di un altro parametro fisico individuale.
Queste sono le tre forme di autenticazione top level, ma ci sono innumerevoli progressi tecnologici che introducono metodi per regolare e tracciare chi accede a cosa. Per salvaguardare le risorse critiche, si raccomanda di definire un ulteriore livello di sicurezza con l’autenticazione multi-fattore, che richiede agli utenti di utilizzare più di un metodo per dimostrare la propria identità. Questo può includere qualcosa che conoscono, come la risposta a una domanda di sicurezza oppure un’informazione ricevuta via SMS sul proprio cellulare.
Fino a poco tempo fa, il controllo degli accessi remoti per le terze parti si basava sulle VPN, che fornivano l’accesso alla rete. Le VPN dispongono di misure di sicurezza per provare a verificare l’identità (inclusa l’autenticazione multi-fattore), ma spesso consentono ai vendor remoti un accesso illimitato a sistemi non necessari.
Alcune aziende scelgono di fornire laptop aziendali ai fornitori, concedendo l’accesso solo attraverso questi dispositivi perché controllati e gestiti. Gli agent installati sui computer garantiscono l’accesso solo ai sistemi di cui hanno bisogno, rientrando nella strategia d’autenticazione “qualcosa che hai”, con il rischio però che il PC venga rubato o danneggiato.
I fattori “Qualcosa che sai” e “Qualcosa che hai” hanno dei punti deboli: le informazioni possono essere intercettate e rubate dagli hacker, inoltre dispositivi mobili e laptop sono molto vulnerabili. Di conseguenza, le organizzazioni cercano nuovi modi per proteggere i sistemi più sensibili. Le persone perdono i dispositivi o riutilizzano le stesse password più spesso di quanto pensiamo, Ma le impronte digitali, invece, saranno sempre uniche. La scansione di una retina, delle impronte o di altri parametri fisici può migliorare la sicurezza, rendendo al contempo più agevole il processo per l’utente.
Con una forma di autenticazione biometrica migliore, le aziende possono offrire ai fornitori remoti un metodo più sicuro e pratico per confermare la propria identità. Tuttavia, la gestione di questo processo non è semplice. La maggior parte dei metodi tradizionali richiede la definizione di politiche e strategie di back-end per garantire che gli utenti accedano solo ai sistemi di cui hanno bisogno per il loro lavoro, fornendo l’accesso quando è necessario e rimuovendolo quando l’attività è completa, un problema non semplice da risolvere fino a qualche tempo fa.
L’autenticazione biometrica (se attuata tramite tecnologie adeguate, sicure ed affidabili) si abbina particolarmente bene con l’approccio Zero Trust, perché non può essere rubata, persa, dimenticata o inventata. Per questo motivo, le aziende che utilizzano il modello di sicurezza Zero Trust spesso la prediligono per verificare l’identità dei fornitori remoti. La combinazione dell’autenticazione biometrica con una solida soluzione di back-end è l’approccio ideale per fornire solo l’accesso corretto ai fornitori remoti ed effettuare automaticamente provisioning e de-provisioning.
