CYBERARK – MA UN HACKER, QUANDO ATTACCA, QUALE BERSAGLIO PREFERISCE?
Contenuto sponsorizzato
APPROFONDIMENTI
VUOI RICEVERE VIA E-MAIL I PROSSIMI CONTENUTI DI RADIO IT?
Iscriviti alla nostra newsletter
Nel podcast di oggi, realizzato in collaborazione con CyberArk, suggeriamo alle aziende i cinque motivi per i quali gli accessi privilegiati debbano avere priorità nella sicurezza aziendale.
Accessi privilegiati: nella mente degli hacker
Naturalmente non parliamo di privilegi in senso generale, ma di accessi privilegiati, cioè gli accessi legati a quegli account che hanno funzione di amministratore di un ambito aziendale. La priorità è, si capisce facilmente, quella di difenderli. E questo è ovvio, quasi scontato. Ma lo diventa di meno se per una volta proviamo a immaginare quel che accade da un punto di vista diverso: quello di chi attacca.
È un punto poco considerato, nelle case history raccontate dalla – chiamiamola così – letteratura aziendale. Di solito si narrano i problemi che le imprese e le varie organizzazioni hanno avuto in seguito a un attacco; si narra l’episodio, insomma, come se si dovesse scrivere un pezzo per la cronaca nera.
“La rapina è avvenuta alle ore 4.50 del mattino, e il ladro – digitale – brandendo un piede di porco – digitale -, ha forzato la saracinesca – digitale – dell’azienda portando via un sostanzioso bottino – digitale: decine e decine di mail, ID e password, tutte cose preziose che consentiranno a lui, o a chi per lui, di violare fondamentali segreti aziendali”.
Accessi privilegiati: i preferiti dai criminali
Ok, nelle case history non è scritto esattamente così. Ma il senso è quello. Proviamo però a ribaltare la prospettiva, e a metterci nei panni, come dicevamo, del ladro digitale. Che cosa cerca, quando deve bucare un’azienda per sottrarre dati sensibili, diffondere ransomware o utilizzare l’infrastruttura per operazioni illecite di cryptomining? Cerca gli accessi privilegiati, cioè il varco dal quale si raggiungono gli asset più preziosi.
Questa considerazione si basa su numeri: secondo le stime di Forrester, riferite al 4° trimestre 2018, l’80% delle violazioni della sicurezza coinvolge credenziali privilegiate Dopotutto, se il privilegio è di fatto il denominatore comune di ogni attacco grave, il motivo è chiaro: gli attaccanti hanno bisogno di credenziali, segreti e account privilegiati per acquisire autorizzazioni o strumenti che permettano loro di agire da insider e quindi di accedere a informazioni o asset privilegiati. Senza un accesso privilegiato, un attaccante ha la lancia spuntata; con l’accesso privilegiato, invece, vince.
E allora analizziamo i cinque motivi per i quali la priorità difensiva deve essere accordata ai privilegi.
Accessi privilegiati, primo motivo: i controlli di dominio
L’abbiamo appena visto: se un attaccante raggiunge i controller di dominio, ottiene in sostanza l’accesso libero all’intera organizzazione, e quindi può compromettere la rete senza alcun disturbo. La sicurezza degli accessi privilegiati è quindi lo strumento principale per proteggere gli asset più importanti, i cosiddetti Tier 0.
Tuttavia, nelle aziende in cui lo sviluppo dei software nasce dal dialogo tra chi quei software deve usare e gli sviluppatori, c’è un proliferare di strumenti che, appunto, mettono in condizione gli utenti di muoversi agilmente. E quegli strumenti richiedono spesso l’intervento umano per eseguire attività amministrative privilegiate di un certo livello. Ecco perché devono essere protetti come gli altri asset economicamente rilevanti e Tier 0, e questa protezione deve realizzarsi senza introdurre vincoli, rallentamenti o cambiamenti radicali nell’esperienza cui gli utenti sono abituati.
Accessi privilegiati, secondo motivo: “Errare humanum est”
L’uomo cerca per sua natura sempre la strada più facile. Nessuno, dopotutto, ha voglia di complicarsi la vita. Ma proprio questa naturale e tutto sommato legittima tendenza dell’uomo lo rende l’anello debole nel vettore di attacco. Per dire: se chi accede a determinati ambienti IT può farlo attraverso scorciatoie che eludano passaggi precisi, ciò percorsi non monitorati che possono anche consentire di accedere laddove non si dovrebbe. Gli hacker cercano proprio quello: la scorciatoia.
Ecco perché bisogna proteggere le persone da se stesse, e il modo migliore per farlo è attuare un programma specifico per gli accessi privilegiati. Il privilegio è il controllo necessario per far sì che le persone accedano alle applicazioni sensibili e all’infrastruttura di cui hanno effettivamente bisogno per il proprio lavoro, e niente di più. I controlli privilegiati permettono di controllare eventuali attività dannose all’interno delle applicazioni, e di intervenire rapidamente per risolverle.
Accessi privilegiati, terzo motivo: i robot
Se a grandi linee possiamo affermare che in un’organizzazione, per ogni persona, esistano da 3 a 5 account privilegiati, per gli utenti non umani il numero è addirittura superiore. Queste entità digitali che agiscono in automatico spesso sono difficili da monitorare, controllare o persino identificare.
Le applicazioni commerciali “tradizionali” che vengono attualmente implementate richiedono l’accesso a varie parti della rete per completare le attività di competenza. Ma per accedervi è tuttavia necessario l’accesso all’intero dominio: il risultato è queste entità dispongono essenzialmente di accesso trasversale a tutto l’ambiente, e quindi devono essere protette.
Accessi privilegiati, quarto motivo: i privilegi di default
Quando in un’azienda si comincia a riflettere sulla protezione dei propri ambienti, ci si limita a considerare server, database, switch, router e firewall. Bisogna però tenere presente che tutte le workstation contengono privilegi di default. Tutte, nessuna esclusa: su di esse esistono account di amministratore integrati che possono essere utilizzati dagli utenti IT interni per correggere i problemi che si verificano in locale.
Questo, però, crea un’enorme falla di sicurezza perché questi account di amministrazione sono accessibili tramite account condivisi difficili da monitorare e che possono anche fornire un accesso non necessario. La preparazione di un piano per proteggere l’ambiente deve includere un passaggio per l’attribuzione di priorità ai privilegi e la rimozione dei diritti di amministratore locale sulle workstation.
Accessi privilegiati, quinto motivo: i controlli
Il GDPR è solo l’ultima delle novità normative che ha imposto alle aziende e alle organizzazioni maggior attenzione nel proteggere i dati personali degli utenti. Ecco perché è fondamentale identificare strumenti di sicurezza e programmi che tutelino le aziende stesse quando ci sono i controlli (gli audit), durante i quali può essere chiesto che siano presentati registri completi, record e prove che dimostrino che l’organizzazione protegge i dati più sensibili.
La priorità al privilegio consente di registrare automaticamente tutte le attività correlate all’infrastruttura IT critica ai dati sensibili: in questo modo è possibile dimostrare ad auditor e autorità di regolamentazione che l’azienda è compliant ed è in grado di rispondere ad attività pericolose.
Vuoi rimanere aggiornato via e-mail?
Cliccando su “Invia” dichiari di aver letto e accettato l’Informativa Privacy.
0 Comments