Le organizzazioni di oggi automatizzano molti processi aziendali e flussi di lavoro chiave utilizzando strumenti come Robotic Process Automation (RPA) e, più di recente, agenti e assistenti AI. Proprio come gli utenti umani, queste entità non umane hanno bisogno di credenziali, spesso chiamate "segreti", per accedere alle risorse organizzative.
Gli utenti non umani spesso richiedono privilegi elevati per completare le loro attività. Un processo di backup automatico, ad esempio, potrebbe avere accesso a file riservati e impostazioni di sistema.
Questi account privilegiati non umani sono bersagli di alto valore per gli hacker, che possono abusare dei loro diritti di accesso per rubare dati e danneggiare sistemi critici eludendo il rilevamento. In effetti, l'hijacking di account validi è oggi il vettore di attacco informatico più comune, secondo l'IBM X-Force Threat Intelligence Index. Questi attacchi rappresentano il 30% di tutti gli incidenti a cui X-Force ha risposto di recente.
I sistemi e i processi di gestione dei segreti consentono alle organizzazioni di creare, controllare e proteggere i segreti utilizzati dalle entità non umane per accedere alle risorse IT. Utilizzando strumenti di gestione dei segreti per gestire e proteggere le credenziali non umane durante l'intero ciclo di vita end-to-end, le organizzazioni possono semplificare i workflow automatizzati prevenendo violazioni dei dati, manomissioni, furti e altri accessi non autorizzati.
Un segreto è una credenziale digitale contenuta in un'applicazione o in un servizio, e consente agli utenti non umani di comunicare ed eseguire azioni su un servizio, database, applicazione o altra risorsa IT. I segreti aiutano le organizzazioni a rafforzare il loro livello di sicurezza garantendo che solo gli utenti autorizzati abbiano accesso a dati e sistemi sensibili.
Alcuni esempi di segreti includono:
Gli strumenti di gestione dei segreti di livello enterprise aiutano le organizzazioni a rilevare, prevenire e porre rimedio agli accessi non autorizzati e all'uso improprio di dati e sistemi sensibili, come le informazioni di identificazione personale (PII). Le organizzazioni possono ridurre il rischio di violazioni e furto dei dati, evitando la perdita di dati preziosi, potenziali multe e danni alla reputazione.
La gestione dei segreti è uno dei pilastri della gestione degli accessi privilegiati (PAM), il sottoinsieme della gestione delle identità e degli accessi (IAM) che si concentra sulla protezione degli account e degli utenti privilegiati.
Gli altri 3 pilastri PAM includono:
La gestione dei segreti è importante per la metodologia DevOps, che enfatizza la distribuzione automatica e continua del software.
I team DevOps utilizzano spesso più strumenti di configurazione o orchestrazione per gestire interi ecosistemi digitali, workflow ed endpoint. Spesso gli strumenti utilizzano automazione e script che richiedono l'accesso a informazioni segrete per essere avviati. Senza un servizio di gestione delle chiavi segrete di livello aziendale, l'uso casuale delle chiavi segrete potrebbe aumentare la vulnerabilità del sistema.
Molte organizzazioni integrano le funzioni di gestione dei segreti nella pipeline di integrazione continua e distribuzione continua, o pipeline CI/CD. Questo aiuta a garantire che tutte le parti mobili, come sviluppatori, strumenti e processi automatizzati, abbiano un accesso sicuro ai sistemi sensibili di cui hanno bisogno, quando ne hanno bisogno.
La gestione dei segreti è considerata una componente fondamentale di DevSecOps, un'evoluzione della metodologia DevOps che integra e automatizza continuamente la sicurezza durante tutto il ciclo di vita DevOps.
Il processo di gestione dei segreti si basa in genere su strumenti appositi che possono essere distribuiti on-premise o come servizi forniti sul cloud, e aiutano a centralizzare, automatizzare e semplificare la creazione, l'uso, la rotazione e la protezione dei segreti.
Alcune funzionalità comuni degli strumenti di gestione dei segreti includono:
Con un servizio di gestione dei segreti di livello aziendale, le organizzazioni possono gestire diversi tipi di segreti in un unico pannello di controllo.
Invece di lasciare che i singoli utenti gestiscano i segreti in piccoli silos, le soluzioni di gestione dei segreti possono memorizzare i segreti in una posizione centrale e sicura chiamata "cassaforte dei segreti".
Quando un utente autorizzato ha bisogno di accedere a un sistema sensibile, può ottenere il segreto corrispondente dalla cassaforte. Lo strumento di gestione dei segreti può verificare, autorizzare e concedere automaticamente agli utenti le autorizzazioni necessarie per eseguire i loro workflow.
La standardizzazione aiuta a prevenire la dispersione dei segreti, che si verifica quando i segreti vengono memorizzati in vari punti dell'organizzazione, spesso codificati in applicazioni o come testo semplice in documenti condivisi. La dispersione dei segreti rende difficile proteggerli dai malintenzionati e tenere traccia del modo in cui vengono utilizzati.
I segreti creati in un secrets manager possono essere statici o dinamici. Un segreto statico è un segreto che rimane valido per un lungo periodo di tempo, in genere fino a quando non viene modificato manualmente o raggiunge una data di scadenza predeterminata.
Un segreto dinamico viene invece creato dal secrets manager su richiesta, nel momento in cui serve. I segreti dinamici scadono abbastanza rapidamente o possono essere monouso.
Un caso d'uso per un segreto dinamico può essere proteggere una risorsa riservata generando dinamicamente chiavi API ogni volta che viene letta o che viene effettuato l'accesso. In questo modo si garantisce che gli aggressori non possano rubare e riutilizzare le chiavi API.
Molti secrets manager possono anche automatizzare la rotazione dei segreti, ossia l'atto di cambiare regolarmente i segreti. La rotazione può essere automatizzata su base programmatica o su richiesta, senza la necessità di riallocare o interrompere le applicazioni. Il time-to-live (TTL) o la durata del leasing possono essere definiti per un segreto al momento della sua creazione, per ridurre il tempo di esistenza del segreto.
I segreti possono essere concessi solo a entità o gruppi specifici per organizzare e limitare l'accesso. Questo viene spesso concesso utilizzando il principio del privilegio minimo, il che significa che a ogni processo viene concesso solo il set di privilegi più restrittivo necessario per eseguire un'attività. Gli utenti possono accedere solo ai segreti necessari per svolgere le attività autorizzate.
Molti secrets manager possono tenere traccia del modo in cui utenti e applicazioni interagiscono e utilizzare i segreti per verificare che i segreti vengano gestiti in modo appropriato durante il loro ciclo di vita. Ciò consente all'organizzazione di condurre un monitoraggio end-to-end in tempo reale di autenticazioni e autorizzazioni.
I secrets manager possono identificare rapidamente i tentativi non autorizzati di visualizzare o utilizzare i segreti e interrompere l'accesso, fermando così hacker, minacce interne e altri aggressori.
Oltre all'utilizzo di soluzioni per la gestione dei segreti, molte organizzazioni seguono pratiche fondamentali comuni nei loro processi di gestione dei segreti, come:
Man mano che gli ecosistemi IT diventano più complessi, la gestione dei segreti diventa sempre più difficile da controllare in modo efficace. Alcune sfide comuni per la gestione dei segreti possono includere:
Gli ecosistemi decentralizzati in cui amministratori, sviluppatori e utenti gestiscono i propri segreti separatamente possono introdurre rischi, poiché le lacune di sicurezza e l'uso dei segreti potrebbero non essere adeguatamente monitorati o verificati.
Le soluzioni centralizzate di gestione dei segreti possono offrire alle organizzazioni maggiore visibilità e controllo sui segreti.
Quando le password o altri segreti sono incorporati come testo semplice nel codice sorgente o negli script, gli aggressori possono scoprirli facilmente e utilizzarli per accedere a informazioni sensibili.
I segreti codificati possono apparire in molti luoghi, tra cui toolchains CI/CD, dispositivi Internet of Things (IoT), piattaforme di orchestrazione di container come Kubernetes, server di applicazioni, scanner di vulnerabilità e piattaforme di Robotic Process Automation (RPA).
La rotazione regolare dei segreti aiuta a prevenire furti e abusi, ma senza un sistema di gestione dei segreti può essere incoerente o inefficace. Se un segreto rimane invariato per troppo tempo, un hacker potrebbe essere in grado di sbloccarlo andando per tentativi o con un attacco brute force.
Più a lungo viene utilizzata una password, più utenti hanno accesso, maggiore è la possibilità di una perdita involontaria.
La crescita dei sistemi IT può portare a una dispersione in cui i segreti vengono diffusi in molte parti isolate del sistema. La dispersione dei segreti è particolarmente preoccupante negli ecosistemi multicloud ibridi, in cui le organizzazioni combinano ambienti cloud pubblici e privati forniti da più provider di cloud.
Le organizzazioni possono avere migliaia, se non addirittura milioni, di segreti in tutte le loro applicazioni cloud-native, contenitori, microservizi e altre risorse IT. Questa proliferazione crea un enorme carico di sicurezza e amplia la potenziale superficie di attacco.
Tra i servizi, la visibilità potrebbe essere limitata e la gestione dei segreti può diventare rapidamente ingombrante se tracciata manualmente o da sistemi eterogenei. La mancanza di un servizio centralizzato di gestione dei segreti rende più difficile, se non impossibile, l'applicazione di una corretta igiene dei segreti.
Quando un'organizzazione non dispone di un sistema di gestione dei segreti, questi possono essere condivisi manualmente, ad esempio tramite e-mail o SMS, dove gli attori delle minacce possono intercettarli.
Scopri di più sul panorama della gestione delle identità e degli accessi dei clienti (CIAM) e sulle tendenze attuali del mercato.
Scopri come ridurre la complessità della gestione delle identità con l'approccio indipendente dal prodotto di IBM all'orchestrazione dell'identity fabric.
Ottieni una definizione chiara di identity fabric e scopri in che modo l'identity fabric consente un controllo e una visibilità continui.
I costi delle violazioni dei dati hanno raggiunto un nuovo massimo. Ottieni informazioni essenziali per aiutare i tuoi team di sicurezza e IT a gestire meglio i rischi e limitare le potenziali perdite.
Resta aggiornato sulle tendenze e le notizie più recenti riguardanti la gestione delle identità e degli accessi.