Data di pubblicazione: 19 luglio 2024
Autore: Matteo Kosinski
La gestione degli accessi privilegiati (Privileged Access Management, PAM) è la disciplina di cybersecurity che regola e protegge gli account con privilegi (come gli account amministratore) e le attività privilegiate (come l'utilizzo di dati sensibili).
In un sistema informatico, il termine "privilegio" si riferisce alle autorizzazioni di accesso superiori a quelle di un utente standard. Un account utente normale potrebbe avere l'autorizzazione a visualizzare le voci di un database, mentre un amministratore privilegiato potrebbe essere in grado di configurare, aggiungere, modificare ed eliminare le voci.
Anche gli utenti non umani, come macchine, app e workload, possono disporre di privilegi elevati. Ad esempio, un processo di backup automatico potrebbe avere accesso a file riservati e impostazioni di sistema.
Gli account privilegiati sono bersagli di alto valore per gli hacker, che possono abusare dei loro diritti di accesso per rubare dati e danneggiare sistemi critici eludendo il rilevamento. In effetti, il dirottamento di account validi è oggi il vettore di attacco informatico più comune, secondo l'IBM® X-Force Threat Intelligence Index.
Gli strumenti e le pratiche PAM aiutano le organizzazioni a proteggere gli account privilegiati dagli attacchi basati sull'identità. In particolare, le strategie PAM rafforzano il livello di sicurezza dell'organizzazione riducendo il numero di utenti e account privilegiati, proteggendo le credenziali privilegiate e applicando il principio del privilegio minimo.
La gestione delle identità e degli accessi (IAM) è un settore ampio che comprende tutte le attività di protezione delle identità di un'organizzazione per tutti gli utenti e le risorse. Il PAM è un sottoinsieme dell'IAM che si concentra sulla protezione degli account e degli utenti privilegiati.
IAM e PAM sono sovrapponibili per diversi aspetti. Entrambi implicano il provisioning di identità digitali, l'implementazione di politiche di controllo degli accessi e l'implementazione di sistemi di autenticazione e autorizzazione.
Tuttavia, il PAM va oltre le misure IAM standard perché gli account con privilegi richiedono una protezione più avanzata rispetto agli account standard. I programmi PAM utilizzano misure di sicurezza avanzate come gli strumenti di protezione delle credenziali di accesso e la registrazione delle sessioni per controllare rigorosamente il modo in cui gli utenti ottengono privilegi elevati e l'uso che ne fanno.
Sarebbe poco pratico e inefficace applicare misure così severe ad account non privilegiati. Queste misure interromperebbero l'accesso regolare degli utenti e renderebbero difficile lo svolgimento del lavoro quotidiano. Questa differenza nei requisiti di sicurezza è il motivo per cui PAM e IAM si sono differenziati in discipline distinte, ma correlate.
Scopri perché IBM Security Verify è stata riconosciuta come leader nell'ultimo report Gartner® Magic Quadrant™ for Access Management.
Gli account con privilegi presentano rischi maggiori per la sicurezza. I loro permessi elevati sono particolarmente suscettibili a un uso improprio, e molte organizzazioni faticano a monitorare l'attività privilegiata nei sistemi on-premise e cloud. Il PAM aiuta le organizzazioni a ottenere un maggiore controllo sugli account con privilegi per fermare gli hacker e fornire al contempo agli utenti le autorizzazioni di cui hanno bisogno.
Gli attacchi basati sull'identità, in cui gli hacker si appropriano degli account degli utenti e abusano dei loro privilegi validi, sono in aumento. Il report X-Force di IBM segnala che questi attacchi sono aumentati del 71% lo scorso anno. Ora rappresentano il 30% delle violazioni di sicurezza. Questi attacchi spesso prendono di mira gli account con privilegi, direttamente o tramite movimento laterale.
I soggetti malintenzionati, che siano minacce interne o aggressori esterni, che mettono le mani su account privilegiati, possono causare gravi danni. Possono utilizzare i permessi elevati per diffondere malware e accedere a risorse critiche senza restrizioni, ingannando le soluzioni di sicurezza fingendosi utenti legittimi con account validi.
Secondo il report Cost of a Data Breach Report di IBM, le violazioni in cui gli hacker utilizzano le credenziali rubate sono tra i più costosi, con una media di 4,62 milioni di dollari. Le minacce interne che abusano dei loro privilegi validi possono causare danni ancora maggiori, con violazioni che costano in media 4,90 milioni di dollari.
Inoltre, la trasformazione digitale e la crescita dell'intelligenza artificiale hanno aumentato il numero di utenti con privilegi nella rete media. Ogni nuovo servizio cloud, applicazione AI, workstation e dispositivo Internet of Things (IoT) porta con sé nuovi account privilegiati. Questi account includono sia gli account amministratore necessari agli utenti umani per gestire questi asset, sia gli account utilizzati da questi asset per interagire con l'infrastruttura di rete.
Inoltre, spesso le persone condividono gli account con privilegi, complicando ulteriormente le cose. Ad esempio, anziché assegnare a ciascun amministratore di sistema un proprio account, molti team IT configurano un account amministratore per sistema e condividono le credenziali con gli utenti che ne hanno bisogno.
Di conseguenza, è difficile per le organizzazioni tracciare gli account privilegiati mentre gli attori malintenzionati concentrano la loro attenzione proprio su quegli account.
Le tecnologie e le strategie PAM aiutano le organizzazioni a ottenere maggiore visibilità e controllo sugli account e sulle attività privilegiate senza interrompere il lavoro degli utenti legittimi. Il Center for Internet Security elenca le attività principali del PAM tra i suoi controlli di sicurezza "critici".1
Strumenti come i vault di credenziali e l'elevazione dei privilegi just-in-time possono facilitare l'accesso sicuro per gli utenti che ne hanno bisogno, tenendo lontani hacker e persone non autorizzate. Gli strumenti di monitoraggio delle sessioni privilegiate consentono alle organizzazioni di tracciare tutto ciò che ogni utente fa con i propri privilegi attraverso la rete, consentendo ai team IT e di sicurezza di rilevare attività sospette.
La gestione degli accessi privilegiati combina processi e strumenti tecnologici per controllare le modalità di assegnazione, accesso e utilizzo dei privilegi. Molte strategie PAM si concentrano su tre pilastri:
Gestione degli account privilegiati: la creazione, il provisioning e l'eliminazione sicura di account con permessi elevati.
Gestione dei privilegi: la gestione di come e quando gli utenti ottengono i privilegi, nonché di ciò che gli utenti possono fare con essi.
Gestione privata delle sessioni: il monitoraggio delle attività privilegiate per rilevare comportamenti sospetti e garantire la conformità.
La gestione degli account con privilegi supervisiona l'intero ciclo di vita degli account con permessi elevati, dalla creazione alla disattivazione.
Un account con privilegi è qualsiasi account con diritti di accesso superiori alla media in un sistema. Gli utenti con account privilegiati possono effettuare operazioni come modificare le impostazioni di sistema, installare nuovi software e aggiungere o rimuovere altri utenti.
Negli ambienti IT moderni, gli account con privilegi assumono molte forme. Sia gli utenti umani che gli utenti non umani, come i dispositivi IoT e i workflow automatizzati, possono avere account con privilegi. Ecco alcuni esempi:
Gli account amministratore locali consentono agli utenti di controllare un singolo laptop, un server o un altro endpoint individuale.
Gli account amministratore di dominio consentono agli utenti di controllare un intero dominio, ad esempio tutti gli utenti e le postazioni di lavoro di un dominio Microsoft Active Directory.
Gli account utente business con privilegi offrono agli utenti un accesso elevato per scopi non informatici, come l'account utilizzato da un dipendente del settore finanziario per accedere ai fondi aziendali.
Gli account superutente concedono privilegi illimitati in un determinato sistema. Nei sistemi Unix e Linux®, gli account superutente sono chiamati account "root". In Microsoft Windows sono chiamati account "amministratore".
Gli account di servizio consentono alle app e ai workflow automatizzati di interagire con i sistemi operativi.
Gli account di applicazioni consentono alle applicazioni di interagire tra loro, di effettuare chiamate alle application programming interface (API) e di svolgere altre funzioni importanti.
La gestione degli account con privilegi si occupa della gestione dell'intero ciclo di vita di questi account, tra cui:
Discovery: inventariare tutti gli account con privilegi esistenti in una rete.
Provisioning: creare nuovi account con privilegi e assegnare autorizzazioni in base al principio del privilegio minimo.
Accesso: gestire chi può accedere agli account con privilegi e come.
Eliminazione: disattivazione sicura degli account con privilegi che non sono più necessari.
Uno degli obiettivi principali della gestione degli account con privilegi consiste nel ridurre il numero di account con privilegi in un sistema e limitare l'accesso a tali account. La gestione delle credenziali è uno strumento fondamentale per raggiungere questo obiettivo.
Piuttosto che assegnare account con privilegi ai singoli utenti, molti sistemi PAM centralizzano questi account e memorizzano le loro credenziali in un vault di password. Il vault conserva in modo sicuro password, token, chiavi Secure Shell (SSH) e altre credenziali in forma crittografata.
Quando un utente, umano o non umano, deve svolgere un'attività privilegiata, deve estrarre le credenziali dell'account appropriato dal vault.
Ad esempio, supponiamo che un membro del team IT debba apportare delle modifiche a un laptop aziendale. Per fare ciò, deve utilizzare l'account amministratore locale per questo laptop. Le credenziali dell'account sono conservate in un vault di password, quindi il membro del team IT inizia richiedendo la password dell'account.
Il membro del team deve prima superare una richiesta di autenticazione avanzata, ad esempio l'autenticazione a più fattori (MFA), per dimostrare la propria identità. Quindi, il vault utilizza il controllo degli accessi basato sui ruoli (RBAC) o politiche simili per determinare se l'utente è autorizzato ad accedere alle credenziali di questo account.
Il membro del team IT è autorizzato a usare questo account amministratore locale, quindi il vault di credenziali concede l'accesso. Il membro del team IT può ora utilizzare l'account amministratore locale per apportare le modifiche necessarie al laptop aziendale.
Per una maggiore sicurezza, molti vault di credenziali non condividono direttamente le credenziali con gli utenti. Invece, utilizzano il single sign-on (SSO) e il session brokering per avviare connessioni sicure senza che l'utente veda mai la password.
L'accesso all'account dell'utente scade in genere dopo un determinato periodo di tempo o dopo il completamento dell'attività. Molti vault di credenziali possono ruotare automaticamente le credenziali in base a una pianificazione o dopo ogni utilizzo, rendendo più difficile per i malintenzionati il furto e l'uso improprio di tali credenziali.
Il PAM sostituisce i modelli basati su privilegi perpetui, in cui un utente dispone sempre dello stesso livello statico di autorizzazioni, con modelli di accesso just-in-time in cui gli utenti ricevono privilegi elevati quando devono svolgere attività specifiche. La gestione dei privilegi è il modo in cui le organizzazioni implementano questi modelli dinamici di accesso con privilegi minimi.
I vault di credenziali consentono alle organizzazioni di eliminare i privilegi perpetui, in quanto gli utenti possono accedere agli account privilegiati solo per un periodo di tempo limitato e per scopi limitati. Ma i vault non sono l'unico modo per controllare i privilegi degli utenti.
Alcuni sistemi PAM utilizzano un modello denominato elevazione dei privilegi just-in-time (JIT). Anziché accedere ad account privilegiati separati, le autorizzazioni degli utenti vengono temporaneamente estese quando devono eseguire attività privilegiate.
Nel modello di elevazione del privilegio JIT, ogni utente dispone di un account standard con autorizzazioni standard. Quando un utente deve eseguire un'operazione che richiede permessi elevati, ad esempio un membro del team IT che modifica impostazioni importanti su un laptop aziendale, invia una richiesta a uno strumento PAM. La richiesta potrebbe includere qualche tipo di giustificazione che spieghi cosa deve fare l'utente e perché.
Lo strumento PAM valuta la richiesta in base a un set di regole predefinite. Se l'utente è autorizzato a eseguire una specifica attività sul sistema, lo strumento PAM ne aumenta i privilegi. Questi privilegi elevati sono validi solo per un breve periodo di tempo e consentono all'utente di eseguire solo le attività specifiche necessarie.
La maggior parte delle organizzazioni utilizza sia l'elevazione dei privilegi che il vaulting delle credenziali per la gestione dei privilegi. Alcuni sistemi richiedono account privilegiati dedicati, come gli account amministratore predefiniti integrati in alcuni dispositivi, mentre altri non li richiedono.
La gestione delle sessioni privilegiate (PSM) è l'aspetto del PAM che supervisiona le attività privilegiate. Quando un utente controlla un account privilegiato o i privilegi di un'app vengono elevati, gli strumenti PSM tengono traccia di ciò che fanno con tali privilegi.
Gli strumenti PSM possono registrare l'attività della sessione privilegiata registrando eventi e sequenze di tasti. Alcuni strumenti PSM acquisiscono anche registrazioni video di sessioni privilegiate. I record PSM aiutano le organizzazioni a rilevare attività sospette, attribuire attività privilegiate ai singoli utenti e creare tracce di verifica a fini di conformità.
La gestione delle identità privilegiate (PIM) e la gestione degli utenti privilegiati (PUM) sono sottocampi sovrapposti della gestione degli accessi privilegiati. I processi PIM si concentrano sull'assegnazione e sulla gestione dei privilegi per le singole identità in un sistema. I processi PUM si concentrano sulla gestione degli account utente con privilegi.
Tuttavia, le differenze tra PIM, PUM e altri aspetti del PAM non sono universalmente concordate. Alcuni professionisti utilizzano persino questi termini in modo intercambiabile. L'aspetto più importante è che rientrano tutti nell'ambito del PAM. Organizzazioni diverse potrebbero concettualizzare le attività PAM in modo diverso, ma tutte le strategie PAM condividono l'obiettivo di prevenire l'uso improprio degli accessi privilegiati.
È inefficiente, e spesso impossibile, svolgere manualmente le attività fondamentali del PAM, come l'elevazione dei privilegi e la rotazione regolare delle password. La maggior parte delle organizzazioni utilizza soluzioni PAM per semplificare e automatizzare gran parte del processo.
Gli strumenti PAM possono essere installati on-premise come appliance software o hardware. Sempre più spesso, vengono forniti come applicazioni software-as-a-service (SaaS) basate sul cloud.
La società di analisi Gartner suddivide gli strumenti PAM in quattro classi:
Gli strumenti di gestione degli account e delle sessioni privilegiate (PASM) si occupano della gestione del ciclo di vita degli account, della gestione delle password, dell'archiviazione delle credenziali e del monitoraggio delle sessioni privilegiate in tempo reale.
Gli strumenti di gestione dell'elevazione e della delega dei privilegi (PEDM) consentono l'elevazione dei privilegi just-in-time valutando, approvando e negando automaticamente le richieste di accesso privilegiato.
Gli strumenti di gestione dei segreti si concentrano sulla protezione delle credenziali e sulla gestione dei privilegi per gli utenti non umani, come app, workload e server.
Gli strumenti di gestione delle autorizzazioni nell'infrastruttura cloud (CIEM) sono progettati per la gestione delle identità e degli accessi in ambienti cloud, dove gli utenti e le attività sono più diffusi e richiedono controlli diversi rispetto alle loro controparti on-premise.
Mentre alcuni strumenti PAM sono soluzioni mirate che coprono una singola classe di attività, molte organizzazioni stanno adottando piattaforme complete che combinano le funzioni di PASM, PEDM, gestione dei segreti e CIEM. Questi strumenti possono anche supportare integrazioni con altri strumenti di sicurezza, come l'invio di log di sessione privilegiate a una soluzione di gestione delle informazioni e degli eventi di sicurezza (SIEM).
Alcune piattaforme PAM complete dispongono di funzioni aggiuntive, tra cui:
La possibilità di individuare automaticamente account privilegiati precedentemente sconosciuti
La possibilità di applicare l'autenticazione a più fattori agli utenti che richiedono l'accesso privilegiato
Accesso remoto sicuro per attività e utenti privilegiati
Capacità di gestione degli accessi privilegiati dei fornitori (VPAM) per appaltatori e partner terzi
Gli analisti prevedono che gli strumenti PAM, come altri controlli di sicurezza, integreranno sempre più l'AI e il machine learning (ML). Infatti, alcuni strumenti PAM utilizzano già AI e ML nei sistemi di autenticazione basati sul rischio.
L'autenticazione basata sul rischio valuta continuamente il comportamento dell'utente, calcola il livello di rischio di quel comportamento e modifica dinamicamente i requisiti di autenticazione in base a tale rischio. Ad esempio, un utente che richiede privilegi per configurare un singolo laptop potrebbe dover superare l'autenticazione a due fattori. Un utente che desidera modificare le impostazioni di tutte le workstation in un dominio potrebbe dover fornire ulteriori prove per verificare la propria identità.
Una ricerca di OMDIA2 prevede che gli strumenti PAM potrebbero utilizzare l'AI generativa per analizzare le richieste di accesso, automatizzare l'elevazione dei privilegi, generare e perfezionare le politiche di accesso e rilevare attività sospette nei record delle sessioni privilegiate.
Sebbene gli strumenti e le tattiche PAM gestiscano le attività privilegiate all'interno di un'organizzazione, possono anche aiutare ad affrontare specifiche sfide legate alla sicurezza delle identità e degli accessi.
Gli attori delle minacce utilizzano sempre più spesso account validi per infiltrarsi nelle reti. Allo stesso tempo, molte organizzazioni risentono dell'innalzamento dei privilegi. Gli utenti hanno privilegi superiori a quelli di cui hanno realmente bisogno, e gli account privilegiati obsoleti non vengono adeguatamente disattivati.
Di conseguenza, le identità sono diventate il rischio più grande per molte organizzazioni. Gli strumenti e le tattiche PAM possono aiutare a porre rimedio a queste vulnerabilità.
I vault di credenziali rendono più difficile il furto di account con privilegi e gli strumenti PEDM applicano un accesso granulare con il minimo privilegio necessario, limitando il movimento laterale. Le organizzazioni possono utilizzare queste e altre soluzioni PAM per sostituire i privilegi perpetui con un modello zero trust in cui gli utenti devono essere autenticati e autorizzati per ogni connessione e attività. Questo modello può aiutare a ridurre la superficie di attacco legata alle identità e limitare le opportunità per gli hacker.
La trasformazione digitale ha provocato una crescita esponenziale delle identità privilegiate nelle reti aziendali, rappresentando una sfida significativa per la sicurezza delle informazioni.
In media, un dipartimento aziendale utilizza 87 diverse app SaaS3, senza contare i vari dispositivi IoT, servizi di infrastruttura cloud e utenti remoti con dispositivi BYOD che ora popolano le reti aziendali. Molti di questi asset e utenti necessitano di account privilegiati per interagire con le risorse IT.
E man mano che sempre più organizzazioni incorporano l'AI generativa nelle loro operazioni, queste nuove app e integrazioni di AI introducono un'altra serie di identità privilegiate.
Molte di queste identità privilegiate appartengono a utenti non umani, come le app di AI e i dispositivi IoT. Oggi, in molte reti, gli utenti non umani sono più numerosi degli umani e sono notoriamente poco abili nel mantenere segrete le proprie credenziali. Ad esempio, alcune app scaricano le credenziali in formato di testo normale nei log di sistema e nei report di errore.
Il PAM può aiutare le organizzazioni a gestire l'espansione delle identità, conservando le credenziali privilegiate all'interno di vault per gli utenti umani e non umani e controllando centralmente l'accesso a queste credenziali. La rotazione automatizzata delle credenziali può limitare i danni legati a eventuali perdite di credenziali, mentre gli strumenti di monitoraggio delle sessioni aiutano a monitorare ciò che tutti questi utenti diversi fanno con i loro privilegi.
Le normative sulla privacy e sulla sicurezza dei dati, come l'Health Insurance Portability and Accountability Act (HIPAA), il Payment Card Industry Data Security Standard (PCI DSS) e la General Data Protection Regulation (GDPR) richiedono che le organizzazioni controllino l'accesso alle informazioni sanitarie, ai numeri delle carte di credito e ad altri dati sensibili.
Il PAM può aiutare le organizzazioni a soddisfare i requisiti di conformità in vari modi. Gli strumenti PAM possono applicare privilegi di accesso granulari in modo che solo gli utenti che ne hanno bisogno, e solo per motivi autorizzati, possano accedere ai dati sensibili.
I vault di credenziali e l'elevazione dei privilegi eliminano la necessità di account amministratore condivisi, che possono comportare l'accesso di utenti non autorizzati ai dati sensibili.
Il monitoraggio delle sessioni privilegiate aiuta le organizzazioni ad attribuire le attività e a produrre tracce di verifica per dimostrare la conformità in caso di violazione o indagine.
La gestione delle credenziali privilegiate, spesso chiamate "segreti" negli ambienti DevOps, può essere particolarmente difficile per i team DevOps.
La metodologia DevOps utilizza ampiamente servizi cloud e processi automatizzati, il che significa che ci sono molti utenti umani e non umani con privilegi sparsi in molte parti diverse della rete.
Non è raro che chiavi SSH, password, chiavi API e altri segreti vengano codificati nelle app o memorizzati come testo normale nei sistemi di controllo delle versioni e altrove. In questo modo gli utenti possono facilmente ottenere le credenziali quando ne hanno bisogno, senza interrompere i workflow, ma diventa anche più facile per i malintenzionati sottrarre tali credenziali.
Gli strumenti PAM possono rivelarsi utili perché consentono di memorizzare i segreti DevOps in un vault centralizzato. Solo gli utenti e i workload legittimi possono accedere ai segreti, e solo per motivi legittimi. I vault possono ruotare automaticamente i segreti, in modo che le credenziali rubate diventino rapidamente inutili.
Proteggi e gestisci clienti, forza lavoro e identità privilegiate sull'hybrid cloud, con l'integrazione dell'AI.
Proteggi i tuoi utenti e le tue app, dentro e fuori dall'azienda, con un approccio low-friction, cloud-native e software-as-a-service (SaaS) che utilizza il cloud.
Scopri di più su una gestione completa, sicura e conforme delle identità e degli accessi per le aziende moderne.
Preparati alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi.
Scopri le tattiche comuni degli aggressori per proteggere meglio persone, dati e infrastrutture.
Scopri di più sull'identity orchestration e sul coordinamento di diversi sistemi di gestione delle identità e degli accessi (IAM) in workflow senza attriti.
Tutti i link sono esterni a ibm.com.
1 CIS Critical Security Controls, Center for Internet Security, giugno 2024.
2 Generative AI Trends in Identity, Authentication and Access (IAA), Omdia, 15 marzo 2024.
3 2023 State of SaaS Trends, Productiv, 21 giugno 2023.