L’accesso privilegiato è un termine utilizzato nel lessico della sicurezza informatica per descrivere accessi o poteri speciali più estesi rispetto a quelli concessi ad un utente standard.
Si tratta di una tipologia di privilegi spesso riconducibili alla figura di un amministratore di sistema, che, attraverso il proprio account, li utilizza per operare da qualunque dispositivo su tutte le risorse aziendali – siano esse a livello di rete, sistema o applicazione –, svolgendo dalle più semplici attività di manutenzione fino alle azioni più critiche. Questo genere di privilegi potrebbero essere visti, quindi, come le chiavi di accesso all’intera infrastruttura IT di un’azienda e, dunque, ai suoi dati più sensibili e pregiati.
Le minacce informatiche sono in costante trasformazione: al fine di proteggere il loro core business ed evitare perdite economiche sostanziali, le aziende dovrebbero continuamente aggiornarsi sull’attuale scenario e investire le risorse necessarie per proteggere una superficie d’attacco sempre più ampia e vulnerabile causata dalla crescente interconnessione tra sistemi, applicazioni, account M2M, ambienti sia cloud che ibridi, DevOps, RPA e dispositivi IoT. Il panorama delle minacce informatiche è cambiato drammaticamente e i relativi rischi per le reti rimangono elevati.
La domanda da porsi, però, è quanto si riesca a proteggere efficacemente da questi accessi privilegiati.
L’importanza di una corretta gestione degli accessi privilegiati
Da sempre, infatti, gli attacchi informatici tendono a sfruttare ampiamente proprio gli accessi privilegiati per colpire il cuore delle infrastrutture aziendali e per accedere alle informazioni più riservate. Per questo motivo la protezione e la gestione degli accessi privilegiati (PAM) rappresenta un elemento cardinale nella protezione di qualsiasi sistema informatico, al fine di rilevare questi attacchi prima che riescano a causare danni irreparabili.
Il mondo della criminalità informatica sta prendendo sempre più di mira i professionisti e le imprese.
A riprova di quanto affermato, basti pensare che, secondo molti dei report specialistici stilati nell’ultimo periodo, analizzando le decine di migliaia di violazioni dei dati avvenute nel 2020, quasi tutte hanno avuto come obiettivo primario anzitutto la ricerca di un accesso privilegiato. Questi dati, peraltro, evidenziano anche una notevole incidenza di questo approccio negli attacchi provenienti dall’esterno della struttura aziendale – nel 70% dei casi – rispetto al 30% di azioni provenienti dall’interno e quindi potenzialmente da dipendenti o da consulenti accreditati.
In un simile scenario, quindi, non può apparire strano che sempre più imprese ed organizzazioni ricorrano a sistemi per il monitoraggio degli accessi attraverso gli account privilegiati.
“In ambito aziendale la gestione degli account cosiddetti privilegiati fa riferimento a tutte quelle attività volte a proteggere accessi o poteri speciali all’interno di infrastrutture IT (reti, sistemi, applicazioni, cloud) e costituisce una delle tematiche di interesse all’interno della disciplina più ampia di gestione in generale delle identità e degli accessi”, spiega Osvaldo Bucci, capo del team di “Cyber Security” di N.I.D.O. S.p.A., e distributore ufficiale di Entrust in Italia.
PAM e Hardware Security Module (HSM) strumenti necessari per mitigare le minacce
“Alla luce di un numero costantemente in crescita di attacchi informatici e dell’impatto che questi hanno avuto sull’operatività, sulla reputazione e sul business delle aziende colpite, queste tematiche – continua Bucci – negli ultimi anni hanno assunto un rilievo di fondamentale importanza e sono state sviluppate una serie di contromisure (cito per esempio le soluzioni PAM di Privileged Access Management e il contestuale uso di HSM per la protezione delle chiavi crittografiche utilizzate per cifrare le credenziali) atte a contrastare questo trend crescente di incidenti relativi al furto di identità.
Il processo di violazione delle informazioni d’accesso parte, infatti, dall’individuazione delle vulnerabilità all’interno del sistema, per poter reperire le credenziali privilegiate e procedere poi con il furto di informazioni riservate, fino al danneggiamento dell’esercizio delle infrastrutture IT e di conseguenza dell’operatività e del business. Una corretta valutazione delle contromisure in essere per difendere gli account privilegiati e in generale le identità aziendali (siano esse relative a persone o a cose)” – conclude il manager – “deve prendere in considerazione un mix di componenti software e hardware atte a cooperare nel garantire accessi sicuri e certi, nonché un costante processo di sensibilizzazione in seno alle aziende su un corretto utilizzo delle credenziali.”
Con gli HSM si proteggono password e chiavi SSH
Quindi, molte delle piattaforme di protezione degli accessi privilegiati si possono integrare con l’uso di Hardware Security Module (HSM), dispositivi che, collegati alla rete, proteggono e gestiscono le chiavi fondamentali utilizzate dalle applicazioni crittografiche. Questi dispositivi, infatti, sono in grado di memorizzare le chiavi all’interno di un sistema certificato, chiuso e sicuro, proteggendole da quegli attacchi che potrebbero compromettere le informazioni riservate.
In questo modo non solo si potranno proteggere le credenziali, incluse password e chiavi SSH, ma si eseguirà anche un controllo costante degli accessi ai diversi account, isolando e registrando sessioni privilegiate che possono facilitare attività di auditing e analisi forense che permettono di individuare quelle attività sospette o potenzialmente rischiose.
‘‘Le minacce non provengono solo dal perimetro della rete, si sa, spiega Gianluca Boccacci, ethical hacker e Presidente dell’Associazione Cyberactors. ‘‘Oramai la maggior parte degli attacchi informatici avviene attraverso i client, magari con l’invio di una mail di phishing, attraverso il quale gli attaccanti iniziano a fare lateral movement e pivoting cercando di scalare i privilegi fino a diventare amministratore.
Le password amministrative, gli account predefiniti e le credenziali hardcoded, negli script e nelle applicazioni, spiega l’esperto, sono tutti punti di ingresso che gli attaccanti cercano di sfruttare come facciamo anche noi penetration tester. Spesso mi capita di ottenere accessi a delle macchine con privilegi bassi e quindi di iniziare a sfruttare tutti gli exploit e le tecniche per ottenere quella che si chiama una Privilege Escalation cercando di ottenere quelli più alti: un tempo si diceva infatti ROOT IS A STATE OF MIND (essendo root l’utente coi massimi privilegi nei sistemi Unix-like).
Quando, invece, continua Boccacci, mi sono trovato ad effettuare attività di sicurezza offensiva su reti in cui era stato configurato PAM (ed utilizzati moduli HSM), a meno che non fosse stato commesso qualche errore come, ad esempio, l’utilizzo di chiavi legacy precedenti all’implementazione di PAM o la presenza di connessioni M2M che non fossero registrate nel vault, è stato quasi impossibile scalare i privilegi.
Concedere privilegi agli utenti solo per i sistemi su cui sono autorizzati e quello conseguente di concedere l’accesso solo quando necessario e revocarlo quando non lo è più, conclude Boccacci, già aiuta molto a proteggersi dai ransomware ed aumenta notevolmente il tempo di exploitation da parte di un attaccante che alla lunga potrebbe desistere’’.
I vantaggi degli HSM
- Proteggono chiavi che criptano le password all’interno di un sistema crittografico e garantiscono che le stesse vengano utilizzate per lo scopo preposto.
- Garantiscono la disponibilità usando una sofisticata gestione, archiviazione e ridondanza delle chiavi, assicurandosi che queste siano sempre disponibili all’occorrenza.
- Fornisce prestazioni elevate a supporto dei sempre più esigenti requisiti aziendali.
