Sei sulla pagina 1di 16

Sette aspetti da considerare per

la valutazione di soluzioni per la


sicurezza degli account con privilegi
Sommario

Introduzione 1

Sette domande da porre a ogni provider di soluzioni per la sicurezza degli account con privilegi 4

1. È davvero sicura questa soluzione? 5

2. È in grado di individuare e proteggere tutti gli account? 6

3. È in grado di proteggere tutte le credenziali? 7

4. Funziona nell’ambiente esistente? 9

5. Che tipo di protezioni vengono fornite? 10

6. In che modo è possibile minimizzare i costi di gestione della soluzione? 11

7. Quanto è affidabile il vendor? 12

Conclusioni 13
ACCOUNT CON PRIVILEGI:
IL PASS DI ACCESSO USATO DAGLI HACKER
PER PASSARE OVUNQUE

per:
ADMIN
i z z a t o
util
ò essere
t o PA SS pu **** I
Que s q u alsiasi
o a ositivo
o p r i v i legiat e d i s p
Access , applicazione
IT
sistema finale da
di uten
te
e e s e mplice to
oc ot
s t a m e nto vel on rischio rid
Spo c
a sistema
siste m a
ne ROOT
i i n d i v iduazio m ultiple
d i po n t e
d e l l e teste d o complessa ********
e rendon dalle reti
Stabilir e c h e
stin er
clande n e d e gli hack
zio
la rimo
t i d e l registro
a
lare i d illecite
Cancel i a t t i v i t à ADMIN
prove d
e altre ********

ROOT
********
ADMIN
**** I
ROOT
*******
RENDERE INOFFENSIVI GLI
ACCOUNT CON PRIVILEGI:

Situazione odierna Minaccia effettiva


??????? degli incidenti gravi per
DALL’
La maggior parte delle organizzazioni non sa 80% la sicurezza informatica
coinvolge account con
quanti account con privilegi possiede o dove FINO AL
privilegi, secondo una
si trovano, risulta perciò sempre più complicato 100% stima degli esperti
rintracciarli e monitorarli.

**********
In media, un’organizzazione ha un numero
di account con privilegi che è almeno

3, 4 volte
superiore al numero dei suoi dipendenti

Gli attacchi che coinvolgono


account con privilegi stanno
aumentando e diventano
sempre più sofisticati
2
La linea del fronte della sicurezza informatica è costretta
ad arretrare di fronte agli exploit di account con privilegi

Il 90% delle organizzazioni ha ammesso di essere stata di più, per accedere ad altro ancora e per scorazzare
oggetto di violazione almeno una volta nell’arco di un sempre più liberamente. Una volta ottenuti i privilegi
anno e, nello stesso periodo, il 59% ha subìto due o necessari, gli hacker passano in ricognizione la rete per
più violazioni. È chiaro che le difese tradizionali del determinare il modo migliore per raggiungere il bersaglio.
perimetro non sono più adeguate. Allora, che cosa può Messo a punto il piano di attacco, si muovono
essere fatto per proteggere i dati sensibili e avere la lateralmente fino alla posizione ideale e poi aumentano i
possibilità di sconfiggere degli aggressori così loro privilegi fino a che non riescono a raggiungere
motivati? l’obiettivo (o il sistema) e possono cominciare a esfiltrare
i dati sensibili.
Recenti attacchi di alto profilo ci hanno mostrato che
non è rilevante da dove ha origine un attacco... Gli Visto il nuovo scenario di minacce, è giunto il momento
hacker abili in qualche modo riescono a passare. di adeguare le contromisure e di assumere una posizione
E, una volta entrati, tutti seguono uno stesso percorso più proattiva per la sicurezza dichiarando guerra all’interno
puntando a dati sensibili e di valore. Per riuscire in della rete. Il modo più efficace per vincere (e tenere i dati
questa impresa, per prima cosa cercano un accesso sensibili al di fuori della portata degli hacker) è proteggere
a un account interno, che abbia preferibilmente dei gli account con privilegi, dal momento che sono
privilegi amministrativi. Poi, gli hacker sfruttano gli indispensabili per qualunque malintenzionato voglia
account compromessi dotati di privilegi per continuare sferrare un attacco e riuscire a portarlo a termine.
ad acquisire ulteriori privilegi, per trovare in rete molto

le
o latera
t
en
m
i
ov
M
MINACC

one
E IN

Accesso
esistente
TER

izi
gn
NE

Aumento co
Ri
di privilegi
NE

Esfiltrazione
TER

Perimetro dati
E ES

compromesso
MINACC

PERIMETRO DELLA RETE

3
Sette domande da porre a ogni provider di
sicurezza degli account con privilegi

Che la tutela degli account con privilegi sia di primaria importanza nella strategia di sicurezza di un’orga-
nizzazione, è ormai un dato di fatto. Ma come fare per scegliere la soluzione giusta dal provider giusto?
Occorre una guida per sapere che cosa aspettarsi e che cosa cercare quando si esaminano le soluzioni
per la sicurezza degli account con privilegi. Per aiutarvi a prendere decisioni informate, come parte del
vostro processo di valutazione, di seguito trovate sette domande da porre a ogni potenziale vendor.

4
1. È davvero sicura questa soluzione?
Le soluzioni per la sicurezza degli account con privilegi archiviano alcune delle risorse più sensibili di un’im-
presa: le credenziali necessarie per accedere all’infrastruttura IT, ai sistemi business critical, alla proprietà
intellettuale, alle informazioni finanziare, ai dati di audit e a molto altro. Prima di affidarsi a un vendor per
proteggere tali informazioni, è importante verificare che la soluzione in sé sia sicura e capace di garantire
sicurezza per tali risorse sensibili. Non solo l’infrastruttura deve essere in grado di resistere agli attacchi
ma, per rispettare le specifiche necessità di sicurezza della vostra organizzazione, la soluzione dovrebbe
anche supportare policy flessibili di controllo delle credenziali e degli accessi.

Al momento di valutare la capacità di garantire sicurezza offerta dalle varie soluzioni per la sicurezza degli
account con privilegi, ecco alcune domande importanti da porre ad ogni potenziale fornitore:

Checklist riguardo alla sicurezza


Sette livelli fondamentali di protezione
La soluzione impiega livelli di sicurezza multipli
Per essere altamente efficaci, le soluzioni per la
integrati per la protezione delle credenziali con
privilegi? protezione degli account con privilegi dovrebbero
impiegare livelli di sicurezza multipli e integrati,
La soluzione fornisce registri di audit e registrazioni compreso:
delle sessioni che siano a prova di manomissione
Crittografia gerarchica
per garantire l’integrità dei controlli?
Protezione dei dati memorizzati ottenuta tramite crittografia, in
La soluzione supporta controlli degli accessi basati modo univoco, di ogni singolo dato, nonché di ogni livello dati
sul ruolo e separazione dei compiti, in modo tale
Crittografia delle sessioni
da accertarsi che solo gli utenti autorizzati possano
Protezione dei dati in transito ottenuta tramite VPN integrata
vedere e accedere agli account di cui hanno
bisogno?
Autenticazione
La soluzione supporta flussi di lavoro automatizzati Supporto di una varietà di metodi di autenticazione per la
per l’approvazione degli accessi di credenziali, verifica dell’identità degli utenti
incluso controlli duali e integrazione con i sistemi
di creazione ticket di help desk? Firewall integrato
Autorizzazione dell’ingresso nel Vault solo a determinato
La soluzione include una policy di gestione delle traffico, per ridurre la superficie di attacco
credenziali flessibile e automatizzata e che
coinvolga aging, complessità, controllo delle Separazione dei compiti
versioni e archiviazione? Certezza che gli utenti possano solo vedere e accedere
unicamente ai dati destinati al loro specifico ruolo
Il vendor offre assistenza immediata per sistemi
di autenticazione a più fattori? Auditabilità a prova di manomissione
Archiviazione di tutti i dati di audit in una posizione sicura,
La soluzione garantisce la flessibilità necessaria per dotata di controllo degli accessi, e a disposizione solo degli
applicare facilmente policy granulari per rispondere amministratori di sicurezza autorizzati e dei revisori
a specifiche esigenze di conformità o di Business
Unit? Monitoraggio completo
Monitoraggio di tutto il sistema e dati degli eventi di sicurezza
associati con la soluzione per la sicurezza degli account con
privilegi

5
2. È in grado di individuare e proteggere tutti
gli account?

Una tipica organizzazione d’impresa possiede un Tuttavia, prima di poter iniziare a proteggere gli account
numero di account che supera di almeno 3 o 4 volte il utente e di applicazioni dotati di privilegi, è necessario
numero dei suoi dipendenti. Questi account con innanzitutto essere in grado di trovarli, il che può
privilegi si trovano all’interno di qualsiasi componente rivelarsi incredibilmente difficile. Dunque, come prima
hardware e software della rete, e vi accedono utenti cosa, in che modo è possibile individuarli per riuscire a
con privilegi, applicazioni, script e processi aziendali proteggerli efficacemente?
automatizzati. Avere sotto controllo tutte le situazioni
in cui si trovano questi account con privilegi Una buona soluzione dovrebbe aiutare a scoprire e ad
rappresenta una sfida significativa per i dipartimenti effettuare un inventario degli account con privilegi
IT. Il problema è reso ancora più complesso da una presenti in tutto l'ambiente IT. Il modo più efficace per
classe specifica di account con privilegi: gli account ottenere un inventario completo degli account con
di applicazione. Questi account sono estremamente privilegi è ricorrere a uno strumento appositamente
ambiti dai pirati informatici e, se lasciati senza progettato per analizzare l’ambiente e trovare gli
protezione, frequentemente vengono anche sfruttati. account di utenti e applicazioni dotati di privilegi e le
Tuttavia, garantire la necessaria protezione alle credenziali associate. In questo modo, si avrà accesso
credenziali degli account con privilegi risulta spesso a un rapporto completo che delinea gli account con
difficile e dispendioso sia in termini di tempo che di privilegi e lo status di credenziali e account sulla base
denaro. della policy di sicurezza aziendale. Con questo report, si
ha una panoramica degli account con privilegi accessibili
Una soluzione per la sicurezza degli account con da utenti interni ed esterni, come fornitori di terze parti
privilegi veramente efficace deve essere in grado di o collaboratori, e si può iniziare a sviluppare un piano per
proteggere gli accessi (proteggendo, gestendo e proteggere, gestire e monitorare l'uso di tutti questi
ruotando periodicamente le credenziali) a tutti gli account con privilegi.
account di utenti con privilegi e applicazioni, on-site
e sul cloud, e attraverso sistemi operativi, database,
applicazioni, hypervisor, dispositivi di rete e altro
ancora.

Di solito le aziende
hanno come minimo
un numero di account
con privilegi che
supera di 3, 4 volte il
numero dei suoi
dipendenti.

6
3. È in grado di proteggere tutte le credenziali?
Quando i team che si occupano di sicurezza informatica pensano alle credenziali con privilegi, di solito hanno in
mente le password con privilegi, che presentano una moltitudine di problemi per gli addetti alla sicurezza. Spesso le
password vengono trascritte, salvate da utenti finali, condivise tra utenti finali, vengono hard-coded o memorizzate
localmente in formato di testo su applicazioni, risultando perciò senza protezione e vulnerabili. Servendosi di pass-
word con privilegi compromesse, gli hacker possono vagare liberamente per la rete, accedere alle informazioni
sensibili ed eludere sofisticati sistemi di rilevamento delle intrusioni.

Le più efficaci soluzioni di gestione delle password escludono comple-


tamente gli utenti dall'equazione servendosi di un duplice approccio:

Archiviazione a compartimenti stagni: Esposizione limitata:

Provate a immaginare una serie di caveau di Ruotare le password dopo ogni utilizzo assicura
quelli usati dalle banche. Ogni caveau che queste non funzionino più dopo il loro uso
contiene una raccolta di password “sane” iniziale, rendendo così inutili per un potenziale
definite dall’utente e l'accesso è limitato a aggressore le credenziali rubate. Oltre a ciò, le
un utente o a un gruppo. Questa architettura organizzazioni possono scegliere di collegare il
permette ad ogni utente o gruppo di gestire sistema di gestione delle credenziali
le proprie password senza dare l'accesso direttamente a dispositivi e applicazioni in
indesiderato ad altri soggetti all'interno modo tale che un utente non possa mai
dell'organizzazione. vedere, copiare o inserire una password e il
dispositivo dell’utente finale non possa mai
conoscere o memorizzare la credenziale.

7
È in grado di proteggere tutte le credenziali? (seconda parte)

Eppure, le password sono solo una parte dell'equazione. Visto che le chiavi SSH sono in grado di fornire accessi
La concezione tradizionale riguardo alle credenziali con con privilegi, una soluzione completa deve includere
privilegi non prende in considerazione le chiavi SSH, le anche il monitoraggio delle sessioni per garantire che le
quali generalmente forniscono agli utenti e alle chiavi SSH non vengano utilizzate in modo improprio o
applicazioni un accesso privilegiato agli account Unix. fraudolento, oltre all’analisi delle minacce per rilevare
rapidamente eventuali attività anomale con uso di chiavi
Una strategia end-to-end per la sicurezza degli account SSH autorizzate, il che potrebbe indicare un attacco in
con privilegi deve trattare le chiavi SSH come credenziali corso e, infine, avvisare in merito.
con privilegi quali in effetti sono. Una strategia completa
dovrebbe inoltre includere il rintracciamento delle chiavi, Una soluzione completa per la sicurezza degli account
per capire quali utenti e applicazioni hanno accesso a con privilegi consentirà alla vostra organizzazione di
quali sistemi; garantire la memorizzazione delle chiavi, archiviare in modo sicuro tutti i tipi di credenziali con
per rimuovere le chiavi private dagli endpoint, applicare privilegi e di nasconderle agli utenti finali per ridurre il
controlli di accesso ed eseguire la rotazione proattiva rischio che finiscano nelle mani sbagliate.
delle chiavi, in modo che nessuna chiave privata possa
essere utilizzata come backdoor permanente.
Ma non è tutto.

Una grande impresa può possedere fino a


UN MILIONE di chiavi SSH all’interno del proprio ambiente.
Perciò, chi vuole rubare i vostri dati sensibili ha un milione di occasioni per farlo.

Il 64% Il 53%
non ha predisposto policy di
sicurezza per le chiavi SSH Il 51% non ha un controllo
centralizzato sulle chiavi SSH
ha subìto danni connessi a
utilizzo di chiavi SSH

Il 46% Il 60%
non ha modo di rilevare l’introduzione
di nuove chiavi nell’organizzazione
non cambia o ruota mai le
chiavi SSH (che, per altro,
non scadono mai)

permette agli amministratori Il 10%


di controllare e gestire in di tutte le chiavi SSH
Il 74% autonomia le chiavi SSH fornisce accesso root

8
4. Funziona nell’ambiente esistente?

Il vostro ambiente è unico, sviluppato su misura per le Inoltre, dovreste assicurarvi di optare per soluzioni che
esigenze specifiche della vostra organizzazione. sono state progettate per avere un impatto minimo e
Accertatevi che la soluzione, quale che sia, che che vi permettano di ricavare maggiore valore dagli
prenderete in considerazione, sappia proteggere gli investimenti e dalle infrastrutture esistenti. Una
account se non in tutto, almeno nella maggior parte soluzione ottimale per la sicurezza degli account con
del vostro ambiente IT. Se una soluzione per la privilegi dovrebbe essere in grado di integrarsi
sicurezza degli account con privilegi riesce a agevolmente con tecnologie complementari compresi
proteggere gli account solo su un numero limitato di i sistemi di gestione degli eventi e degli incidenti di
piattaforme, fondamentalmente lascia delle parti sicurezza, di gestione delle identità e degli accessi,
dell’ambiente vulnerabili agli attacchi e rende sistemi di creazione ticket e autenticazione a più
necessari ulteriori investimenti per coprire queste fattori. L’integrazione pronta all’uso con tali soluzioni
lacune. Dovreste selezionare quelle soluzioni che sono complementari serve a massimizzare il valore degli
in grado di proteggere l'accesso a una vasta gamma di investimenti IT, a semplificare il processo di
account su più piattaforme compresi, tra gli altri, i distribuzione e a garantire policy di accesso con
sistemi Windows, Unix/Linux, mainframe, ambienti privilegi coerenti in tutta l'organizzazione.
virtuali, database, dispositivi di sicurezza, dispositivi di
rete e applicazioni.

9
5. Che tipo di protezioni vengono fornite?

Per rafforzare la sicurezzae la conformità ai requisiti normativi, è importante stabilire un approccio end-to-end,
improntato al ciclo di vita, per la gestione degli account con privilegi che preveda la possibilità di ampliamento
nel corso del tempo e di adattamento alle mutevoli esigenze e alle priorità della vostra organizzazione.

Una soluzione end-to-end deve prevedere la possibilità di:

Monitorare e registrare le attività degli


Individuare gli account e le credenziali utenti durante le sessioni con privilegi
con privilegi, comprese password e per scoraggiare gli utenti autorizzati dal
chiavi SSH, per eseguire il mapping delle fare un uso improprio dei privilegi e per
relazioni di trust tra utenti e sistemi e aiutare i team che si occupano di sicurezza
creare un piano per proteggere gli a rilevare le attività di sessioni sospette in
account con privilegi. quanto potrebbero essere il sintomo di un
attacco in corso.

Proteggere in maniera proattiva le Isolare le sessioni con privilegi per


credenziali degli account con privilegi prevenire la diffusione di malware dagli
memorizzando le credenziali in un endpoint degli utenti fino ai sistemi critici,
repository centralizzato e sicuro, oltre che per impedire che entrambi, gli
sottoposto a severi controlli di accesso. utenti e i loro dispositivi, possano avere
accesso alle credenziali di account con
privilegi.

Applicare controlli di accesso per Applicare privilegi minimi al fine di


garantire che, per scopo aziendale, solo gli garantire che gli utenti abbiano i privilegi
utenti legittimi siano in grado di accedere necessari per svolgere il loro lavoro, ma
(o di richiedere l’accesso) alle credenziali nulla di più.
autorizzate.

Ruotare le password e le chiavi SSH in Rimuovere le credenziali di


maniera automatizzata per rinforzare la applicazione dotate di testo normale,
sicurezza senza sovraccaricare il team IT. come password integrate e chiavi SSH
memorizzate localmente per
memorizzarle in un vault ad alta
disponibilità e altamente sicuro.

Monitorare l’accesso agli account con Sfruttare l’analisi comportamentale


privilegi e richiedere agli utenti di per rilevare l'attività sospetta di utenti
eseguire il “check-out" di credenziali di e account che potrebbe indicare la
account condivisi per stabilire la presenza di un account con privilegi
responsabilità individuale e ottenere un compromesso.
audit trail più completo.

10
6. In che modo è possibile minimizzare i costi
di gestione della soluzione?
Una soluzione end-to-end completa per la sicurezza degli account con privilegi richiede vari prodotti per
proteggere, gestire, controllare e monitorare gli account con privilegi, oltre che per rilevare le minacce
attive. Ne consegue che le aziende potrebbero trovarsi dinanzi a una sfida notevole: integrare e gestire
molteplici soluzioni per ottenere la massima protezione. Una buona soluzione dovrebbe aiutarvi a evitare:

Integrazioni costose. Integrazioni di diversi prodotti di uno o più vendor possono risultare
costose per via dei servizi professionali e dei costi di progettazione personalizzata.

Gestione inefficiente. Il compito di gestire prodotti separati attraverso singole interfacce è


dispendioso in termini di tempo e di risorse per il reparto IT e i team che si occupano di
sicurezza.

Report non coerenti. La compilazione di report da diversi prodotti porta a inesattezze e dati
incompleti. Report troppo complicati causano perdite di tempo e processi di audit costosi.

Policy incoerenti. La gestione di policy in sistemi separati può determinare


incoerenze e conflitti.

Per aiutare a semplificare l'implementazione e la gestione e per ridurre il costo totale di proprietà, cercate
soluzioni che siano costruite su una singola piattaforma, gestite da un'interfaccia unificata, e che consento-
no di utilizzare più prodotti per una soluzione completa. Assicuratevi inoltre che la piattaforma si integri con
gli ambienti informatici - on-site, cloud o OT/SCADA - e possa essere successivamente scalata in base alle
vostre esigenze.

Piattaforma singola = distribuzione semplificata + gestione = TCO ridotto

11
7. Quanto è affidabile il vendor?

L'unico modo per spezzare in modo efficace la catena degli attacchi informatici è quello di evitare proatti-
vamente che gli hacker acquisiscano privilegi amministrativi elevati necessari per raggiungere (e rubare) i
dati sensibili all'interno dell'organizzazione. Ecco perché è fondamentale accertarsi che un potenziale
vendor consideri la sicurezza degli account con privilegi come il proprio orientamento strategico primario.

L'impegno del fornitore per una continua innovazione su questo fronte è altrettanto importante. Occorre
prendere in considerazione il modo in cui ciascun fornitore si focalizza nella realizzazione di nuovi e com-
plementari strumenti di rilevamento delle minacce e di monitoraggio di rete per individuare eventuali
attacchi contro gli account con privilegi dell’organizzazione e per riuscire a contrastarli.

le
o latera
t
en
m
i
ov
M
MINACC

STO P
one
E IN

Accesso
esistente
TER

izi
gn
NE

Aumento co
STO P Ri
di privilegi
NE

Esfiltrazione
TER

Perimetro dati
E ES

compromesso
MINACC

PERIMETRO DELLA RETE

12
Conclusioni

Gli account con privilegi sono ovunque. Gli obiettivi di attacchi e le potenziali violazioni della sicurezza sono
ovunque. Si potrebbe mettere insieme una serie di soluzioni per gli account con privilegi nel tentativo di
costruire una difesa efficace, poi intervenire per collegarle, attraverso le piattaforme, regolando le
impostazioni e gestendo contemporaneamente tutte le varie soluzioni. Tutto nella speranza che qualcosa
non si inserisca attraverso le fessure e che il tutto finisca per costare più di quanto si poteva immaginare.

Oppure, si potrebbe proteggere tutti i propri account con privilegi, ovunque, con una soluzione per la
sicurezza degli account con privilegi integrata, di un unico, affidabile fornitore che mantiene l’attenzione
sulla protezione delle imprese contro gli attacchi informatici che cercano riparo dietro i privilegi di insider e
prendono di mira le risorse aziendali critiche.

E voi come intendete proteggere ciò che conta di più?

13
Per ulteriori informazioni su come CyberArk è in grado di aiutare le organizzazioni ad
affrontare le sfide poste dalla sicurezza degli account con privilegi, visitare CyberArk.com.

Fonti:
www.aberdeen.com/research/9166/RR-SSH.aspx/content.aspx
www.computerworld.com/article/2488012/malware-vulnerabilities/poorly-managed-ssh-keys-pose-serious-risks-for-most-companies.html
www.cyberark.com/threat-report/
www.datacenterjournal.com/it/data-centers-secure-primer-secure-shell-key-mismanagement-risks/
www.isaca.org/Education/Conferences/Documents/NAISRM-2013-Presentations/244.pdf
www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf

Tutti i diritti riservati. Il presente documento contiene informazioni e concetti che sono di proprietà di CyberArk Software Ltd. Nessuna
parte del presente documento può essere riprodotta, memorizzata in un sistema, o trasmessa, in qualsiasi forma o con qualsiasi mezzo,
sia esso elettronico, meccanico, di fotocopiatura, di registrazione, di scansione o altro, senza avere ricevuto la preventiva autorizzazione
scritta da parte di CyberArk Software Ltd.
Copyright © 2000-2016 di CyberArk Software Ltd. Tutti i diritti riservati. | cyberark.com