Paolo Lossa, Country Sales Director di CyberArk Italia , spiega come orientarsi nel complesso panorama di gestione dei secret e come scegliere l’approccio che non lasci le aziende vulnerabili agli attacchi.
Nell’attuale panorama digitale, le imprese devono affrontare una serie formidabile di minacce informatiche, con attacchi e violazioni dei dati sempre più frequenti. Con la crescente adozione di tecnologie trasformative come AI, automazione, architetture cloud-native, microservizi e containerizzazione, la proliferazione delle identità macchina è aumentata, e oggi spesso supera quelle umane.
Il panorama
La ricerca CyberArk 2024 l’ha confermato, con il 39% delle aziende italiane che prevede una crescita di 2 volte nei prossimi 12 mesi (media: 2,4 volte, evidenziando la necessità di mettere a punto solide best practice di gestione dei secret per salvaguardarle. Tuttavia, orientarsi in questo panorama può essere scoraggiante. Inoltre gli errori nella scelta dell’approccio possono lasciare le aziende vulnerabili agli attacchi.
Gestione e rotazione dei secret
È opportuno approfondire due approcci di gestione fondamentali: i secret dinamici e la rotazione dei secret. Facendo così chiarezza sui ruoli distinti e sulle soluzioni ottimali per soddisfare le esigenze specifiche e mitigare il rischio in modo efficace.
Secret dinamici: migliorare la sicurezza in ambienti agili
Analogamente alla rotazione dei secret, quelli dinamici svolgono un ruolo cruciale nel ridurre al minimo la superficie di attacco e attenuare l’esposizione di informazioni sensibili. Operando secondo il principio della generazione di credenziali on demand o just-in-time (JIT), i secret dinamici sono effimeri e di breve durata, con un tempo di vita predeterminato (Time To Live, TTL). Una volta scaduto il TTL, la credenziale non è più valida, rafforzando la sicurezza in ambienti cloud-native effimeri o in architetture di microservizi in cui i consumatori sono transitori.
I lati negativi
Tuttavia, sebbene i secret dinamici offrano vantaggi significativi in ambienti dinamici, potrebbero non essere ideali per verificare l’attività degli account per un periodo prolungato. Infatti, la natura effimera dei segreti dinamici può far variare i nomi degli account utente, complicando i percorsi di verifica. Inoltre, un’insidia comune delle aziende è l’impostazione di un TTL lungo o il rinnovo continuo dello stesso secret dinamico. Questa pratica essenzialmente lo trasforma in statico, aumentando notevolmente il rischio di una fuga di notizie o di un accesso non autorizzato.
Rotazione dei secret: audibility e conformità per gli account persistenti
I secret a rotazione, pietra miliare delle pratiche di sicurezza, sono soggetti a sostituzione a intervalli programmati. Questo approccio proattivo alla loro gestione non è solo una best practice, ma è spesso un requisito normativo imposto da standard rigorosi. Come ad esempio il PCI DSS, che impone cicli di rotazione fino a 90 giorni. La differenza tra i secret a rotazione e quelli dinamici è che durante il processo di rotazione vengono modificate solo le informazioni segrete, mentre il nome o l’identificativo dell’account rimangono costanti. Caratteristica che rende questi secret particolarmente adatti per gli accessi di lunga durata o per gli account che si prevede permangano oltre la durata di vita dei singoli segreti.
Ecco le best practice di gestione e rotazione dei secret
Sebbene i principi della rotazione siano semplici, il successo della sua implementazione richiede una soluzione sofisticata in grado di automatizzare e orchestrare il processo con precisione e affidabilità. Utilizzando automazione e funzionalità di rotazione avanzate, le aziende possono rispettare gli standard di sicurezza, ridurre i rischi e salvaguardare efficacemente le informazioni sensibili.
Creare una strategia di gestione dei secret flessibile e completa
Sia i secret dinamici che la loro rotazione servono a scopi diversi nell’ambito di una strategia di gestione completa, e ciascuno di essi presenta vantaggi unici per casi d’uso e ambienti specifici. Ecco come le aziende dovrebbero utilizzare ciascun approccio:
- i secret dinamici dovrebbero essere utilizzati in ambienti effimeri. Ambienti in cui è necessario un accesso temporaneo e il tempo di vita è inferiore a quello in cui un secret dovrebbe essere ruotato. Ad esempio, meno di 90 giorni se si segue lo standard PCI DSS.
- La rotazione dei secret è ideale per l’auditing e il monitoraggio degli accessi per gli account persistenti o quando l’account deve vivere più a lungo del periodo di tempo in cui un secret deve essere cambiato.
Insieme per salvaguardare i dati sensibili
Le aziende possono affrontare efficacemente una gamma più ampia di requisiti di sicurezza e di sfide operative integrando sia i secret dinamici che la loro rotazione. I primi rispondono alla natura dinamica dei moderni ambienti IT, mentre la seconda rafforza la sicurezza a lungo termine e la conformità. Insieme, costituiscono un approccio solido e completo per salvaguardare i dati sensibili e mitigare efficacemente i rischi. I vantaggi includono:
- miglioramento dell’efficienza operativa. Consente di automatizzare creazione, distribuzione e revoca dei secret, riducendo al contempo il lavoro manuale e gli errori umani legati alla loro gestione.
- Maggiore verificabilità e visibilità. Permette di tracciare e monitorare l’uso e il ciclo di vita dei secret e identificare comportamenti anomali o dannosi.
- Maggiore scalabilità e flessibilità. Consente di supportare diversi tipi di secret e ambienti, in modo che l’azienda possa adattarsi alle mutevoli esigenze di business e di sicurezza.
Massimizzare la protezione con secret dinamici e rotazione dei secret
I secret dinamici e la rotazione sono componenti essenziali di una strategia di gestione completa. Comprendendo i loro ruoli distinti e applicandoli in modo appropriato, le aziende possono migliorare la loro postura di sicurezza. Oltre a ridurre i rischi e proteggere efficacemente le informazioni sensibili in un panorama di minacce in continua evoluzione. Una soluzione di gestione dei secret basata su SaaS offre alle imprese la flessibilità necessaria per portare avanti una strategia di gestione dei secret completa.