In un ambiente aziendale, l’accesso privilegiato è un termine utilizzato per descrivere accessi o poteri speciali ben oltre quelli garantiti ad un utente standard. Gli accessi privilegiati consentono di proteggere la propria infrastruttura e le proprie applicazioni.
Durante lo scorso decennio, ci sono state diverse violazioni alla sicurezza legate all’utilizzo illegittimo degli accessi privilegiati. Da Terry Childs ed Edward Snowden all’attacco alla rete elettrica ucraina o la pubblicizzatissima violazione ai sistemi Uber: tutti questi eventi avevano in comune lo sfruttamento delle credenziali privilegiate per pianificare, coordinare ed eseguire attacchi informatici.
Le organizzazioni implementano strategie di gestione degli accessi privilegiati (PAM) per proteggersi da minacce come il furto delle credenziali o l’utilizzo illegittimo dei privilegi. L’acronimo PAM si riferisce a una strategia complessiva per la sicurezza informatica che include persone, processi e tecnologie e implica il controllo, il monitoraggio, la protezione e la verifica di tutte le identità privilegiate, umane o non umane, presenti complessivamente in un ambiente IT aziendale. Gli ultimi dati dicono che è possibile ridurre del 90% il rischio di un attacco informatico, anche da Ransomware.

Gli esseri umani sono il punto più debole. Si tratti di utenti privilegiati interni che utilizzano illegittimamente il proprio livello di accesso, oppure di aggressori informatici esterni che prendono di mira e si appropriano dei privilegi degli utenti per operare di nascosto come “interni privilegiati”, gli esseri umani sono sempre il punto più debole nella catena della sicurezza informatica. La gestione degli accessi privilegiati aiuta le organizzazioni a fare in modo che gli operatori dispongano solo del livello di accesso richiesto per adempiere alle proprie mansioni. Una strategia PAM consente inoltre ai team di sicurezza di identificare le attività nocive legate all’utilizzo illegittimo dei privilegi e di reagire rapidamente per contrastarle.

Al crescere dell’adozione di cloud, DevOps, automazione robotica di processo, IoT e altro ancora, è aumentato il numero macchine e applicazioni che richiede l’accesso privilegiato, così come si è estesa la superficie di attacco. Queste entità non umane sono molte di più delle persone in un’azienda, e gestirle e monitorarle risulta molto più complesso e sempre che si riesca a identificarle. Le applicazioni COTS (Commercial-Off-The-Shelf) richiedono tipicamente l’accesso a diverse parti della rete, e questo è un punto di attacco per gli aggressori.

Potrei riassure le migliori pratiche per la gestione degli accessi privilegiati nel seguente modo.

    Isolare tutti gli accessi privilegiati ai controller di dominio e agli altri asset Tier0 e Tier1, e richiedere l’autenticazione multifattoriale.
    Riporre tutti gli account ben noti dell’infrastruttura in una cassaforte digitale gestita a livello centrale.
    Isolare tutti gli accessi alle ID condivise e richiedere l’autenticazione multifattoriale.