Il punto di vista di CyberArk
Le aziende stanno vivendo una crescita esplosiva delle identità, sia umane che macchina. Queste ultime, in particolare, come le applicazioni e i flussi di lavoro, ormai superano quelle umane di 45:1 e, associate a nuove norme legate a lavoro e cloud ibrido e all’innovazione continua, fanno sì che le aziende si trovino ad affrontare assalti continui di ransomware e phishing.
La soluzione per gestire il caos? La sicurezza delle identità.
La sicurezza delle identità è considerata il fondamento della moderna resilienza informatica perché unisce la forza della gestione delle identità e degli accessi (IAM), quella della governance e dell’amministrazione delle identità (IGA) con la gestione degli accessi privilegiati (PAM). Questa combinazione di funzionalità consente di ridurre al minimo i privilegi di endpoint aziendali, data center e cloud, permettendo alle imprese di proteggere le proprie risorse digitali e di condurre le attività in tranquillità.
Controllo dei privilegi per qualsiasi identità
Sono finiti i tempi in cui solo gli utenti privilegiati avevano accesso ai sistemi più critici e ai dati sensibili di un’azienda. Oggi, più della metà (52%) delle identità della forza lavoro ha accesso a questo livello di informazioni. Nel frattempo, il 77% dei responsabili delle decisioni in materia di sicurezza afferma che gli sviluppatori hanno troppi privilegi e solo il 25% dichiara che la propria azienda ha protetto l’accesso sensibile a bot e automazione dei processi robotici (RPA). Ampliamento che può portare a un maggiore rischio informatico.
Guardando al passato, l’84% delle aziende ha subito una violazione dell’identità nell’ultimo anno e il 99% dei responsabili della sicurezza ritiene che la subirà nei prossimi mesi.
Questa, ovviamente, non è una novità. Nel rapporto Risk Vulnerability Assessment (RVA) del 2022, la Cybersecurity Infrastructure and Security Agency (CISA) ha indicato che in oltre la metà (54%) delle organizzazioni valutate, gli attaccanti hanno utilizzato account validi per ottenere l’accesso iniziale ed elevare i privilegi per accedere a risorse critiche e dati sensibili.
I numeri sono sconcertanti, ma le imprese possono adottare misure per proteggere tutte le identità con controlli intelligenti dei privilegi, come l’accesso zero standing privilege (ZSP) e just-in-time (JIT), la registrazione e la protezione delle sessioni, il loro isolamento e monitoraggio e il privilegio minimo degli endpoint. Questi controlli intelligenti devono lavorare di concerto per proteggere l’accesso di ogni identità. Il monitoraggio e l’analisi continui e costanti di tutte le attività di ogni identità consentono di rilevare e reagire a comportamenti insoliti.
Ecco un approfondimento sui cinque controlli intelligenti critici dei privilegi:
- Zero privilegi permanenti (ZSP) e accesso Just-in-Time (JIT)
Molte aziende forniscono agli utenti un accesso permanente sempre disponibile, indipendentemente dal fatto che sia stato richiesto. Si tratta di un problema prevalente negli ambienti cloud, dove le aziende concedono agli utenti molti più diritti di quelli effettivamente necessari per garantire che possano lavorare rapidamente.
Per ridurre i rischi, l’impresa può implementare il provisioning degli accessi JIT, che concede agli utenti privilegi di accesso elevati in tempo reale per eseguire le attività necessarie. In altre parole, un utente può accedere alle risorse utili per un tempo specifico necessario a completare un’attività, e poi viene revocato.
Portando il concetto di JIT a un livello superiore, ZSP è un principio di sicurezza in rapida ascesa che consente agli utenti del cloud di accedere alle risorse solo in tempo reale, con autorizzazioni specifiche richieste per una determinata attività e solo quando necessario. ZSP consente di ridurre il rischio di furto di credenziali e l’impatto potenziale di un’acquisizione di account, limitando significativamente le opzioni di un attaccante. - Isolamento della sessione
L’isolamento della sessione crea una separazione tra il dispositivo dell’utente e le risorse a cui intende accedere, instradando il traffico attraverso un server proxy. In questo modo, se un utente viene attaccato, si riduce il rischio di compromettere il sistema a cui l’utente sta accedendo. - Registrazione e protezione delle sessioni
La registrazione e il monitoraggio delle sessioni, invece, sono una annotazione ricercabile delle azioni di ogni utente, fino ai clic durante le sessioni all’interno di applicazioni web, console cloud e altri dispositivi. Quando i team di sicurezza combinano l’isolamento e il monitoraggio delle sessioni, possono rilevare le attività anomale degli utenti e sospendere le sessioni a rischio. Questo controllo può proteggere le risorse più critiche da processi dannosi che hanno origine negli endpoint. Più la sessione è privilegiata (con livelli di accesso più elevati), più questi controlli diventano necessari. - Endpoint Least Privilege
Un controllo delle applicazioni completo e basato su criteri condizionali può aiutare a creare ambienti di lavoro sicuri per tutti i gruppi di utenti, dalle risorse umane a DevOps. Le aziende possono gestire e proteggere i loro endpoint con controlli che consentono di mantenere il minimo privilegio e di considerare variabili come il contesto, i parametri e gli attributi di un’applicazione per consentire o bloccare determinati script o operazioni.
Questo è particolarmente importante in un momento in cui gli attacchi ransomware stanno aumentando in frequenza, conseguenze e costi. Nell’ambito di un approccio integrato alla sicurezza delle identità, i privilegi minimi degli endpoint possono ridurre in modo significativo la superficie di attacco e la capacità di soddisfare i requisiti normativi. - Gestione delle credenziali e dei segreti
Le credenziali, come nomi utente e password, sono elementi di prova che confermano l’identità dichiarata di un’entità. La gestione delle credenziali comprende la rotazione delle password e delle chiavi, l’applicazione delle policy sulle password e la convalida costante dell’autenticità dell’entità che richiede l’accesso. La gestione dei secret consente alle aziende di applicare policy di sicurezza simili per le identità non umane (macchina). In genere, credenziali e secret vengono utilizzati per ottenere privilegi per eseguire un’attività aziendale.
I vantaggi di un controllo intelligente dei privilegi
Anche gli attacchi legati all’identità stanno diventando sempre più sofisticati. Sebbene la maggior parte delle aziende operi secondo la mentalità “assume breach”, è altrettanto importante essere resilienti dal punto di vista informatico con un approccio proattivo, reattivo e predittivo. I controlli intelligenti dei privilegi di cui sopra consentono una sicurezza su scala, una riduzione del rischio e una resilienza informatica senza pari, proteggendo l’accesso a qualsiasi identità.
I risultati di una solida strategia di sicurezza delle identità parlano da soli: una ricerca di CyberArk indica che il 60% dei 1.500 responsabili delle decisioni in materia di sicurezza intervistati ritiene di poter mitigare il rischio in tempi accettabili. Senza una solida strategia di protezione delle identità con strumenti giusti, integrazioni, automazione, monitoraggio continuo e reporting, l’80% di essi dichiara che avrebbe bisogno fino a 15 persone in più per la cybersecurity.
Oltre a questi vantaggi misurabili, la sicurezza delle identità basata su controlli intelligenti dei privilegi offre alle aziende il beneficio aggiuntivo della durata a lungo termine, dell’adattabilità e della recuperabilità di fronte a potenziali attacchi.
Non basta limitarsi a gestire le identità. È necessario proteggerle con una strategia di sicurezza completa basata su controlli intelligenti dei privilegi.