Spesso rafforzare la protezione delle credenziali privilegiate non è una delle priorità dei responsabili della sicurezza. Invece dovrebbe esserlo, in particolar modo in questo periodo di intenso smart working dato che si tratta di un vettore di attacco primario per i cybercriminali.
I malintenzionati spesso sfruttano abitualmente questi account per rubare informazioni riservate, spacciarsi per dipendenti fidati o compromettere applicazioni e servizi critici per il business.
Gli account con credenziali privilegiate sono onnipresenti: nei sistemi, nei database e nelle applicazioni, risiedono on premise e nel cloud e sono utilizzati da persone, applicazioni, processi automatizzati, macchine e bot, e una media azienda dovrebbe tracciarne e metterne al sicuro centinaia, se non migliaia.
Secondo Massimo Carlotti, Presales Team Leader di CyberArk per mitigare il rischio, le credenziali devono essere protette con misure di sicurezza robuste e adeguate alla loro criticità.
Tuttavia, l’implementazione di un programma di gestione degli accessi privilegiati (PAM) efficace è una sfida per molti, poiché il panorama delle minacce è ampio, complesso ed in continua evoluzione.
Quando ubiquità vuol dire vulnerabilità
Quando le organizzazioni migrano rapidamente a piattaforme cloud e adottano nuove tecnologie come la Robotic process automation (RPA), il numero di persone, server e applicazioni aumenta in modo esponenziale. Le aziende devono quindi adattare continuamente i sistemi e le misure PAM per tenere il passo dell’innovazione e dell’evoluzione parallela delle minacce.
Secondo Carlotti molte aziende si affidano ancora a processi manuali inefficienti per assegnare e monitorare le credenziali degli account privilegiati.
Le password e le chiavi di accesso rimangono invariate per mesi, o addirittura anni, dopo la loro emissione. Ex dipendenti, collaboratori e partner commerciali spesso mantengono l’accesso ad applicazioni e sistemi critici per molto tempo dopo la fine delle attività, esponendo l’azienda a violazioni di dati e attacchi (anche dolosi).
Dipendenti scontenti o aggressori esterni possono sfruttare profili dormienti o password invariate per lanciare attacchi sofisticati. Una volta che un cybercriminale esperto ottiene l’accesso a credenziali di account privilegiati può muoversi lateralmente/verticalmente e violare altre risorse aziendali importanti in pochi minuti.
Dall’intrusione in una workstation all’acquisizione dei pieni diritti di amministratore su un domain controller possono passare meno di 20 minuti.
Ecco perché, spiega Carlotti, ragionando come un hacker, le aziende possono difendersi dalle tecniche utilizzate per accedere ad account privilegiati, rubare dati e distruggere sistemi.
Un piano di Privileged Access Management
Avere un quadro di sicurezza basato su priorità e fasi, che allinei le iniziative PAM alla potenziale riduzione del rischio, aiuta le organizzazioni ad affrontare le responsabilità il più rapidamente possibile.
I responsabili della sicurezza, spiega Carlotti, dovrebbero seguire queste tre asi fondamentali:
- Identificare account, credenziali e segreti privilegiati più importanti, e annullare quei profili che potrebbero mettere a rischio l’infrastruttura o esporre dati sensibili.
- Sviluppare un piano di priorità per ridurre le vulnerabilità e rafforzare la sicurezza. Stabilire le azioni più importanti, gli elementi potenzialmente raggiungibili rapidamente e con risorse minime e quali invece richiedono tempo e sforzi significativi.
- Una volta che il piano è in atto, è necessario analizzarlo e migliorarlo in modo costante per affrontare al meglio le minacce in evoluzione e le nuove tecnologie.
Sfruttare gli investimenti
Gli aggressori affinano continuamente le loro capacità, trovando nuovi modi per penetrare nelle reti ed evitare di essere scoperti. I team IT e di sicurezza possono superare queste sfide e ridurre al minimo i rischi di accesso privilegiato osservando da vicino i metodi utilizzati, identificando i vettori di attacco più comuni e mettendosi nei panni del cybercriminale.
Per prevenire il furto di credenziali, pertanto, le aziende devono intervenire sui processi disgiunti e manuali di gestione delle credenziali e dei segreti, introdurre un cosiddetto Digital Vault come repository robusto e sicuro per memorizzare e tracciare centralmente le credenziali degli account privilegiati e ruotare automaticamente le password e le chiavi di accesso in base a policy definite.
Seguendo queste raccomandazioni iniziali, è possibile rafforzare la propria postura di sicurezza, ridurre i rischi e sfruttare al meglio tutti gli investimenti tecnologici.
