Nel podcast di oggi, realizzato in collaborazione con CyberArk, suggeriamo alle aziende i cinque motivi per i quali gli accessi privilegiati debbano avere priorità nella sicurezza aziendale.

Accessi privilegiati: nella mente degli hacker 

Naturalmente non parliamo di privilegi in senso generale, ma di accessi privilegiati, cioè gli accessi legati a quegli account che hanno funzione di amministratore di un ambito aziendale. La priorità è, si capisce facilmente, quella di difenderli. E questo è ovvio, quasi scontato. Ma lo diventa di meno se per una volta proviamo a immaginare quel che accade da un punto di vista diverso: quello di chi attacca.

È un punto poco considerato, nelle case history raccontate dalla – chiamiamola così – letteratura aziendale. Di solito si narrano i problemi che le imprese e le varie organizzazioni hanno avuto in seguito a un attacco; si narra l’episodio, insomma, come se si dovesse scrivere un pezzo per la cronaca nera.

“La rapina è avvenuta alle ore 4.50 del mattino, e il ladro – digitale – brandendo un piede di porco – digitale -, ha forzato la saracinesca – digitale – dell’azienda portando via un sostanzioso bottino – digitale: decine e decine di mail, ID e password, tutte cose preziose che consentiranno a lui, o a chi per lui, di violare fondamentali segreti aziendali”. 

Accessi privilegiati: i preferiti dai criminali

Ok, nelle case history non è scritto esattamente così. Ma il senso è quello. Proviamo però a ribaltare la prospettiva, e a metterci nei panni, come dicevamo, del ladro digitale. Che cosa cerca, quando deve bucare un’azienda per sottrarre dati sensibili, diffondere ransomware o utilizzare l’infrastruttura per operazioni illecite di cryptomining? Cerca gli accessi privilegiati, cioè il varco dal quale si raggiungono gli asset più preziosi. 

Questa considerazione si basa su numeri: secondo le stime di Forrester, riferite al 4° trimestre 2018,  l’80% delle violazioni della sicurezza coinvolge credenziali privilegiate Dopotutto, se il privilegio è di fatto il denominatore comune di ogni attacco grave, il motivo è chiaro: gli attaccanti hanno bisogno di credenziali, segreti e account privilegiati per acquisire autorizzazioni o strumenti che permettano loro di agire da insider e quindi di accedere a informazioni o asset privilegiati. Senza un accesso privilegiato, un attaccante ha la lancia spuntata; con l’accesso privilegiato, invece, vince.

E allora analizziamo i cinque motivi per i quali la priorità difensiva deve essere accordata ai privilegi.

Accessi privilegiati, primo motivo: i controlli di dominio 

L’abbiamo appena visto: se un attaccante raggiunge i controller di dominio, ottiene in sostanza l’accesso libero all’intera organizzazione, e quindi può compromettere la rete senza alcun disturbo. La sicurezza degli accessi privilegiati è quindi lo strumento principale per proteggere gli asset più importanti, i cosiddetti Tier 0.

Tuttavia, nelle aziende in cui lo sviluppo dei software nasce dal dialogo tra chi quei software deve usare e gli sviluppatori, c’è un proliferare di strumenti che, appunto, mettono in condizione gli utenti di muoversi agilmente. E quegli strumenti richiedono spesso l’intervento umano per eseguire attività amministrative privilegiate di un certo livello. Ecco perché devono essere protetti come gli altri asset economicamente rilevanti e Tier 0, e questa protezione deve realizzarsi senza introdurre vincoli, rallentamenti o cambiamenti radicali nell’esperienza cui gli utenti sono abituati. 

Accessi privilegiati, secondo motivo: “Errare humanum est”

L’uomo cerca per sua natura sempre la strada più facile. Nessuno, dopotutto, ha voglia di complicarsi la vita. Ma proprio questa naturale e tutto sommato legittima tendenza dell’uomo lo rende l’anello debole nel vettore di attacco. Per dire: se chi accede a determinati ambienti IT può farlo attraverso scorciatoie che eludano passaggi precisi, ciò percorsi non monitorati che possono anche consentire di accedere laddove non si dovrebbe. Gli hacker cercano proprio quello: la scorciatoia. 

Ecco perché bisogna proteggere le persone da se stesse, e il modo migliore per farlo è attuare un programma specifico per gli accessi privilegiati. Il privilegio è il controllo necessario per far sì che le persone accedano alle applicazioni sensibili e all’infrastruttura di cui hanno effettivamente bisogno per il proprio lavoro, e niente di più. I controlli privilegiati permettono di controllare eventuali attività dannose all’interno delle applicazioni, e di intervenire rapidamente per risolverle.

Accessi privilegiati, terzo motivo: i robot

Se a grandi linee possiamo affermare che in un’organizzazione, per ogni persona, esistano da 3 a 5 account privilegiati, per gli utenti non umani il numero è addirittura superiore. Queste entità digitali che agiscono in automatico spesso sono difficili da monitorare, controllare o persino identificare.

Le applicazioni commerciali “tradizionali” che vengono attualmente implementate  richiedono l’accesso a varie parti della rete per completare le attività di competenza. Ma per accedervi è tuttavia necessario l’accesso all’intero dominio: il risultato è queste entità dispongono essenzialmente di accesso trasversale a tutto l’ambiente, e quindi devono essere protette. 

Accessi privilegiati, quarto motivo: i privilegi di default

Quando in un’azienda si comincia a riflettere sulla protezione dei propri ambienti, ci si limita a considerare server, database, switch, router e firewall. Bisogna però tenere presente che tutte le workstation contengono privilegi di default. Tutte, nessuna esclusa: su di esse esistono account di amministratore integrati che possono essere utilizzati dagli utenti IT interni per correggere i problemi che si verificano in locale.

Questo, però, crea un’enorme falla di sicurezza perché questi account di amministrazione sono accessibili tramite account condivisi difficili da monitorare e che possono anche fornire un accesso non necessario. La preparazione di un piano per proteggere l’ambiente deve includere un passaggio per l’attribuzione di priorità ai privilegi e la rimozione dei diritti di amministratore locale sulle workstation. 

Accessi privilegiati, quinto motivo: i controlli

Il GDPR è solo l’ultima delle novità normative che ha imposto alle aziende e alle organizzazioni maggior attenzione nel proteggere i dati personali degli utenti.  Ecco perché è fondamentale identificare strumenti di sicurezza e programmi che tutelino le aziende stesse quando ci sono i controlli (gli audit), durante i quali può essere chiesto che siano presentati registri completi, record e prove che dimostrino che l’organizzazione protegge i dati più sensibili.

La priorità al privilegio consente di registrare automaticamente tutte le attività correlate all’infrastruttura IT critica ai dati sensibili: in questo modo è possibile dimostrare ad auditor e autorità di regolamentazione che l’azienda è compliant ed è in grado di rispondere ad attività pericolose.