Che cos'è la gestione del ciclo di vita della sicurezza?

Una rete aziendale media ospita migliaia, se non decine di migliaia, di identità, che vanno da utenti umani (sviluppatori e altri stakeholder) a identità non umane (come agenti AI, dispositivi, workload e servizi). Questa popolazione è dinamica. Gli utenti umani entrano, escono e cambiano ruolo frequentemente. Le nuove identità non umane appaiono continuamente man mano che l'infrastruttura effettua il provisioning, scala e si disattiva, soprattutto nei contesti cloud-native e DevOps, in cui la pipeline CI/CD e i workflow automatizzati generano regolarmente servizi e workload di breve durata.

Ogni identità rappresenta una potenziale vulnerabilità. Gli utenti possono usare in modo improprio o negligente i propri privilegi, trasformandosi in minacce interne. Gli attori delle minacce possono impossessarsi delle identità umane e non umane usando credenziali rubate e attacchi di forza bruta per ottenere l'accesso non autorizzato a dati e sistemi sensibili.

In effetti, gli attacchi basati sulle identità, in cui gli hacker abusano di credenziali di account valide per entrare in una rete, sono uno dei metodi di attacco informatico più comuni. Rappresentano il 30% delle violazioni dei dati registrate nell'IBM X-Force Threat Intelligence Index.

La gestione del ciclo di vita della sicurezza mira a ridurre la superficie di attacco alle identità e a colmare le lacune nella sicurezza centralizzando la gestione di queste identità e delle autorizzazioni e credenziali associate in un'unica piattaforma o insieme di strumenti strettamente integrati. La gestione del ciclo di vita della sicurezza automatizza le funzioni fondamentali di cybersecurity, come la creazione e la rotazione delle credenziali, il provisioning e la disattivazione degli account e l'applicazione delle policy di sicurezza, per rafforzare i controlli degli accessi e la gestione dei segreti senza interrompere i workflow critici per le aziende.

La gestione del ciclo di vita della sicurezza usa una piattaforma o un insieme di strumenti integrati per supervisionare a livello centrale e automatizzare le funzioni chiave di cybersecurity, in particolare quelle relative alla sicurezza degli account, alla gestione delle credenziali e ai permessi di accesso degli utenti.

Alcune delle funzioni principali della gestione del ciclo di vita della sicurezza includono la gestione delle identità, la gestione dei segreti e il networking sicuro.

La gestione del ciclo di vita della sicurezza può automatizzare i workflow di gestione delle identità e degli accessi (IAM) sia per identità umane sia non umane, come ad esempio:

• Inserimento di nuovi utenti ed entità, inclusa la creazione di account e l'assegnazione delle autorizzazioni.
  
  
• Adeguare i privilegi di utenti ed entità man mano che i loro ruoli cambiano nel tempo.
  
  
• Applicazione delle politiche di sicurezza attraverso misure come il controllo degli accessi basato sui ruoli (RBAC), l'autenticazione e l'autorizzazione costanti e i privilegi just-in-time.
  
  
• Monitoraggio costante delle attività degli utenti attraverso la registrazione delle sessioni.
  
  
• Disattivazione delle identità quando gli utenti se ne vanno o i servizi vengono ritirati.

Oltre a proteggere le identità, la gestione del ciclo di vista della sicurezza aiuta anche a proteggere le credenziali associate a tali identità. Può automatizzare importanti funzioni di gestione delle credenziali e dei segreti, come:

• Creazione di credenziali robuste per nuove identità umane e non umane, inclusi certificati, chiavi API, password e token.
  
  
• Rotazione regolare delle credenziali.
  
  
• Memorizzazione delle credenziali di alto valore, come credenziali amministrative e di account di servizio che concedono un accesso altamente privilegiato a informazioni e a sistemi nelle casseforti delle credenziali. Le casseforti sono, a loro volta, protette da crittografia e da misure di autenticazione robuste, come l'autenticazione a più fattori (MFA), per garantire che solo gli utenti autorizzati possano accedere a queste credenziali quando necessario.
  
  
• Sostituzione delle credenziali persistenti con credenziali temporanee o just-in-time.
  
  
• Eseguire automaticamente la scansione e la correzione dei segreti esposti memorizzati nel codice, nei repository, nelle piattaforme di collaborazione, negli strumenti per sviluppatori o in altre posizioni.

Alcuni strumenti di gestione del ciclo di vista della sicurezza supportano anche l'iniezione di credenziali, un processo di autenticazione in cui gli utenti non devono mai gestire direttamente le credenziali. Invece, le credenziali vengono inviate dalle casseforti ai servizi appropriati per conto dell'utente, riducendo i rischi di esposizione o furto.

Basandosi sulla protezione delle identità e delle credenziali, la gestione del ciclo di vita della sicurezza facilita anche la connessione e la comunicazione sicure tra le identità, in particolare tra i servizi.

Gli strumenti di gestione del ciclo di vita della sicurezza spesso offrono:

• Una fonte affidabile centralizzata per le identità dei servizi, che consente il rilevamento e il monitoraggio dei servizi, insieme a informazioni in tempo reale sullo stato di salute di un servizio e su altri attributi.
  
  
• Connessioni basate sulle identità, compresa la crittografia da servizio a servizio, l'autenticazione costante e l'autorizzazione basata sugli attributi. Ogni richiesta di accesso viene vagliata e l'accesso ai servizi viene concesso in base ai loro attributi piuttosto che alla posizione della rete.
  
  
• Provisioning automatizzato di infrastrutture di rete sicure, come reti di servizio, bilanciatori di carico, firewall e gateway. La comunicazione sicura viene stabilita, aggiornata e disattivata automaticamente man mano che i servizi vengono creati, ampliati o ritirati.

Sebbene la gestione del ciclo di vista delle identità si concentri solitamente sulle identità, le credenziali, i servizi e l'infrastruttura software, a volte può coinvolgere le funzioni di gestione dei dispositivi. Gli esempi includono l'applicazione automatica di patch per workstation e dispositivi mobili, la gestione dei certificati hardware e il monitoraggio e la correzione costanti per i sistemi di sicurezza on-premise, come telecamere e controlli fisici degli accessi.

Centralizzando e automatizzando le funzioni principali di gestione delle identità e degli accessi (IAM) e dei segreti, la gestione del ciclo di vita della sicurezza aiuta i team di sicurezza ad acquisire maggiore visibilità e controllo sugli utenti umani e sulle identità non umane. La centralizzazione e l'automazione possono aiutare a semplificare il monitoraggio delle attività, i controlli degli accessi e l'applicazione delle policy, riducendo i rischi di attacchi basati sulle identità e altri incidenti di sicurezza e minacce informatiche.

In sistemi IT complessi, identità umane e non umane possono esistere on-premise e spostarsi tra infrastrutture on-premise, remote e cloud. La natura distribuita di queste reti rende difficile per i team di sicurezza tracciare quello che ogni identità sta facendo. Inoltre, le risorse sono spesso dinamiche ed effimere nelle pipeline DevOps. Nuove identità non umane possono essere introdotte in un sistema, accedere a informazioni protette e scomparire prima ancora che il team di sicurezza si accorga della loro presenza. Di conseguenza, l'applicazione delle policy è difficile e i rischi per la sicurezza aumentano.

In assenza di una gestione sicura e di una supervisione centralizzata, i singoli utenti potrebbero non seguire le best practice di igiene della sicurezza. Potrebbero impostare password deboli e riutilizzarle. Potrebbero trascurare di abilitare l'MFA. È noto che le pipeline DevOps sono soggette alla proliferazione di segreti non gestiti attraverso repository, codici, database e altrove, il che le espone a potenziali minacce.

La proliferazione delle app, che porta le app in un ecosistema senza gestione centralizzata, in particolare quelle le cui funzioni di autenticazione e autorizzazione non si integrano con i sistemi di gestione delle identità e degli accessi (IAM) esistenti, introduce anch'essa dei problemi. Quando app separate hanno directory di identità, impostazioni di autorizzazione e credenziali separate, diventa fin troppo facile che importanti attività di sicurezza, come la disattivazione e gli audit dei privilegi, sfuggano alle falle.

La gestione del ciclo di vita della sicurezza può aiutare a ridurre al minimo le minacce poste da controlli deboli di identità, accesso e credenziali, centralizzando la gestione e automatizzando i processi centrali.

La gestione di tutte le identità, umane e non umane, in un unico sistema aiuta i team di sicurezza a definire policy di accesso più coerenti. Il provisioning e la disattivazione automatizzati aiutano a garantire che queste policy vengano applicate in modo tempestivo e standardizzato.

La gestione automatizzata delle credenziali aiuta a garantire che vengano utilizzate, protette e ruotate correttamente credenziali robuste, mentre gli strumenti di rilevamento delle credenziali possono aiutare a individuare segreti non gestiti e non sicuri per la correzione.

Grazie alla registrazione delle sessioni, i team di sicurezza possono monitorare tutto quello che fanno gli utenti, semplificando sia l'applicazione delle policy sia la risposta agli incidenti. Se e quando si verifica una violazione di sicurezza, gli investigatori possono usare la registrazione per vedere cosa hanno fatto gli hacker con un account compromesso.

Infine, garantire le connessioni service-to-service aiuta ad affrontare una delle vulnerabilità più significative nella supply chain del software: le connessioni tra i componenti di un sistema.

Come ha affermato Jeff Crume, Distinguished Engineer and Master Inventor di IBM, nel podcast Security Intelligence :

"Alcune delle maggiori vulnerabilità si verificano in quei punti di collegamento tra due cose diverse in cui si trovano le interfacce. Il mio componente potrebbe essere perfetto e il tuo componente potrebbe essere perfetto, ma la nostra interfaccia non lo è. E, naturalmente, i cattivi andranno ovunque si trovino i punti deboli."

In breve, un approccio completo alla gestione del ciclo di vita della sicurezza può offrire a un'organizzazione un unico sistema di registrazione per identità, credenziali e autorizzazioni umane e non umane in tutto l'ecosistema, supportando lo zero trust e il principio del privilegio minimo.

È importante notare, inoltre, che gli strumenti e le pratiche di gestione del ciclo di vita della sicurezza sono destinati a supportare l'attività rapida e innovativa delle pipeline DevOps. Infatti, possono aiutare a ottimizzare questi processi, togliendo la gestione delle credenziali dalle mani degli sviluppatori. Creando, memorizzando, ruotando e proteggendo automaticamente segreti, la gestione del ciclo di vita della sicurezza può proteggere l'ecosistema IT senza creare alcun ostacolo.