Florian Malecki, International product marketing director di SonicWall illustra una strategia vincente per gestire al meglio gli account amministrativi e i loro privilegi di azione.
Per molte aziende, l’Identity and Access Management (IAM) è soggetto a costanti cambiamenti, deadline severe, budget risicati e regolamentazioni rigorose. Si tratta di una componente fondamentale della sicurezza aziendale e in quest’ottica assume particolare rilevanza anche il Privileged Account Management (PAM). Sfortunatamente, al cospetto delle interminabili sfide di cui sopra, è prassi molto comune tra le imprese quella di mettere insieme “mezze soluzioni” di PAM, nella speranza che quelle di prossima generazione siano in grado di far fronte alle esigenze future.
Questo approccio “a metà” espone l’azienda a seri rischi di costosi breach. Adottando la giusta strategia, tuttavia, il Privileged Account Management può rivelarsi un successo. A tal proposito prendiamo in considerazione l’esperienza di un’azienda internazionale che si occupa di elaborazione dei pagamenti tramite carta di credito. Questa azienda si è trovata a fronteggiare tutte le tipiche sfide legate al PAM. A causa di un numero elevato di password di amministratore condivise, l’organizzazione non era in grado di risalire al responsabile di ogni singola attività. Dato che gli utenti effettuavano il login su account privilegiati come amministratori, non c’era modo di conoscere con esattezza chi avesse accesso ai profili, in quale momento o cosa stesse facendo. La prima misura messa in atto dall’azienda è stata implementare un “privilege safe” con funzionalità di verifica delle sessioni per eliminare la condivisione di password, assegnare alle attività un responsabile e fornire uno storico delle revisioni quando era in uso l’account privilegiato. La tecnologia “privilege safe” è l’equivalente software della combinazione in una cassaforte, fa in modo che le password degli account privilegiati non restino nelle mani degli amministratori che le hanno in precedenza condivise, e si rivela molto utile per le password a codifica fissa nelle applicazioni. Questa attività application-to-application (A2A) e application-to-database (A2DB) è infatti una falla – spesso sopravvalutata – nella sicurezza degli account privilegiati, che può essere facilmente resa innocua con la giusta tecnologia di PAM. La seconda tappa dell’azienda verso un efficace Priviledge Account Management è stata la protezione del proprio ambiente UNIX e l’implementazione della root delegation per un sottogruppo di server UNIX altamente sensibili, per dare vita a un modello con privilegi minimi. Le soluzioni di delegation aiutano a creare tale modello dando agli amministratori il minimo privilegio necessario per portare a termine il proprio lavoro, dato che gran parte delle attività IT – come per esempio creare un nuovo utente, resettare una password o effettuare il back up di sistema – richiedono l’utilizzo solo di una parte delle funzionalità dell’account amministratore. Le delegation privilegiate possono anche dare esecuzione a una serie di altri meccanismi di attuazione delle policy, incluse la limitazione dell’accesso per un determinato periodo di tempo a un’applicazione o ad altri asset specifici, a un file di sistema, o a una serie di comandi definiti. Queste soluzioni usano tipicamente una policy centralizzata e offrono uno storico delle revisioni completo, con report unificato degli accessi in tutto l’ambiente. L’azienda ha inoltre predisposto il monitoraggio delle sessioni e il keystroke logging per controllare e loggare tutta l’attività nei suoi account privilegiati. Ciò è tanto importante per la verifica delle sessioni privilegiate quanto per il controllo degli accessi, perché non è sufficiente controllare semplicemente quello che agli amministratori è concesso di fare tramite privilege safe e delegation. Verifiche delle sessioni e keystroke logging sono due alternative per tenere sotto osservazione l’attività degli amministratori – aspetto particolarmente importante ai fini della compliance. Appena l’azienda ha implementato queste soluzioni, il risultato è stato un immediato miglioramento della sicurezza dei propri account privilegiati, oltre alla certezza che gli amministratori avessero solo accesso per porre in essere le attività per le quali avevano l’autorizzazione ad agire. La storia del PAM, tuttavia, non termina qui, dato che la tappa finale nel viaggio verso un efficace Privileged Account Management è la governance. In un mondo ideale, la governance si tradurrebbe in un’unica policy universale e un solo set di regole, con un’interfaccia comune in grado di controllare l’accesso degli utenti privilegiati e di quelli ordinari. E quando viene assunto un nuovo amministratore, gli stessi processi automatici che creano il suo account e autorizzano l’accesso alle applicazioni, dovrebbero configurare anche i corretti account privilegiati, inclusi tutti i necessari diritti di privilege-safe e di minimo privilegio, le approvazioni e i workflow.
L’accesso privilegiato può causare seri rischi di sicurezza e le misure intraprese per proteggerlo devono essere ben ponderate, pratiche e bilanciate. La strategia adottata dalla sopramenzionata azienda rappresenta un approccio azionabile, economico e sostenibile alle sfide del Privileged Account Management. Adottando questo tipo di strategia modulare e integrata ‒ anche con la previsione della governance ‒ qualunque azienda può focalizzarsi sul raggiungimento dei propri obiettivi di business ed essere fiduciosa del fatto che gli account privilegiati non rappresentino potenziali veicoli di costosi breach di sicurezza.
