Il « Just in Time »: una strategia indispensabile per la sicurezza degli accessi

Con la trasformazione digitale delle aziende e la necessità di accedere da remoto ai sistemi informativi, il tipo di utenti privilegiati (amministratori, business manager, fornitori…) e il loro numero continuano ad aumentare. È quindi necessario ridurre e controllare l’impronta di questi accessi privilegiati nel proprio ambiente, controllandone la portata (quali autorizzazioni sono concesse e dove queste autorizzazioni sono applicabili) e la durata (quando l’autorizzazione è concessa e per quanto tempo). La riduzione dei rischi legati agli abusi di accesso privilegiato, fino alla totale eliminazione dei privilegi (Zero Standing Privilege – ZSP), è il principio stesso del « Just-In-Time (JIT) ». Esistono diversi metodi per implementare il JIT, ma l’obiettivo rimane quello di controllare il tempo di utilizzo del privilegio, di una possibile utilizzazione impropria dello stesso e di ridurre le superfici di attacco (IoT, ambiente multi-cloud, uso di DevOps, automazione dei processi robotici…).

Secondo Gartner, entro il 2025, il 75% delle cyber assicurazioni richiederà l’uso del JIT nell’implementazione della gestione degli accessi privilegiati PAM… quindi preparatevi subito con PAM4ALL!

Perché implementare il « Just In Time »?

La sicurezza degli accessi Just in Time (JIT) è una pratica fondamentale che consente di ridurre i privilegi di accesso eccessivi e costituisce uno strumento essenziale nell’implementazione del principio del minimo privilegio e dei modelli di sicurezza Zero Trust. Gli utenti, i processi, le applicazioni e i sistemi dispongono dei diritti e degli accessi necessari per svolgere determinate attività definite, e per una durata specifica.

La sicurezza Just in Time mira a minimizzare il rischio di privilegi permanenti al fine di limitare l’esposizione alle cyberattacchi. Quando un gran numero di utenti in un’organizzazione dispone in ogni momento di molti privilegi, i rischi di furto, sfruttamento delle credenziali per rubare segreti, crittografare dati o paralizzare sistemi aumentano. Elevando i privilegi solo quando necessario — né più né meno — l’esposizione è ridotta al minimo e gli utenti possono continuare il loro lavoro.

Nel 2021, il rapporto sulle vulnerabilità dei software Microsoft indica che l’elevazione dei privilegi era la categoria di vulnerabilità n°1, rappresentando il 44% del totale delle vulnerabilità, quasi tre volte di più rispetto all’anno precedente. (Senza dimenticare che la rimozione dei diritti di amministrazione sui terminali ridurrebbe del 56% tutte le vulnerabilità critiche di Microsoft!)

Un account privilegiato sempre attivo può essere facilmente ridotto da uno stato attivo permanente a un uso controllato in pochi minuti. Moltiplicando questo approccio su tutti gli account, l’impatto sulla riduzione dei rischi è estremamente rapido. E il criterio del tempo non è l’unico elemento di protezione, i vettori di attacco che utilizzano tecniche come il movimento laterale saranno anche attenuati, impedendo agli attori malintenzionati di progredire ed elevare i loro privilegi nella rete.

Le politiche JIT aiutano le aziende a:

–        Migliorare la loro posizione globale in materia di cybersicurezza

–        Eliminare i privilegi eccessivi e implementare una politica di « Zero Standing Privileges »

–        Razionalizzare e automatizzare i processi di escalation dei privilegi

–        Gestire gli utenti privilegiati che sono sia macchine che esseri umani

–        Consentire di proteggere gli accessi remoti agli asset sensibili

–        Facilitare la sicurezza senza influire sulla produttività

Come funziona il JIT?

L’obiettivo del JIT è di attribuire automaticamente i privilegi necessari al volo e si concentra sui tre principali fattori di accesso: il luogo, il tempo e le azioni. Da dove l’utente intende accedere? Per quanto tempo avrà bisogno di un accesso? È autorizzato a lavorare durante questo periodo? Cosa intende fare esattamente con questo accesso?

Prendiamo l’esempio di Alice, appaltatrice della società ACME, che desidera accedere al sistema informatico per eseguire la manutenzione di alcuni server chiave. Alice può creare un ticket che, dopo essere stato approvato dall’IT, le darà un accesso esclusivo alla macchina specifica su cui deve lavorare, e a nessun’altra, per un periodo di tempo determinato secondo condizioni prestabilite.

Nel caso di Alice, la sicurezza Just in Time eleva i privilegi in condizioni predefinite per garantire una sicurezza solida:

• Accesso solo durante l’orario di lavoro
• Accesso ai beni sensibili solo per eseguire compiti specifici
• Elevazione dei privilegi solo dell’applicazione, e non dell’intera sessione dell’utente
• Accesso remoto sicuro per i dipendenti e i fornitori esterni

Esistono molte regole e trigger contestuali del JIT in base agli usi e alle caratteristiche degli account privilegiati, basati sui diritti, i workflow di approvazione, gli accessi contestualizzati, l’autenticazione multifattoriale. Ogni volta è necessario chiedersi quali sono le regole che governano l’uso e l’automazione di un accesso JIT e quali sono le condizioni da soddisfare per la sua revoca.

Come implementare il JIT?

La prima fase consiste nell’effettuare un audit di tutti i privilegi di accesso degli utenti a livello aziendale per determinare la portata e i potenziali rischi. Quanti utenti ci sono, quali sono i loro profili e a quali applicazioni e sistemi hanno generalmente accesso, quanti account utente sono inattivi e quanti privilegi elevati sono raramente o mai utilizzati?

In base alle risposte, la fase successiva consisterà nello stabilire una politica interna che definisca i requisiti che gli utenti devono soddisfare se desiderano accedere ai sistemi target. Per quanto tempo deve essere autorizzato l’accesso? A quali funzioni e a quali apparecchiature? E in quali condizioni?

Sarà inoltre necessario riprendere il controllo di tutte le password e gli identificativi dei sistemi target. La centralizzazione della gestione e della rotazione delle password delle applicazioni e delle risorse informatiche è essenziale per garantire una gestione completa dei rischi e delle vulnerabilità.

Ora sei pienamente preparato per adottare la politica del Just in Time. Non resta che implementare la soluzione PAM4ALL di WALLIX!

WALLIX PAM4ALL offre una risposta concreta ai problemi degli account sempre attivi. PAM4ALL è la soluzione di gestione unificata dei privilegi e degli accessi che consente di proteggere, controllare e gestire tutti gli accessi degli utenti (umani o macchine – admin IT, dipendenti, subappaltatori…) e pone le basi per un’architettura Zero-Trust basata su:

• Il MFA – Autenticazione multi-fattore che neutralizza i rischi associati agli identificativi compromessi utilizzando una vasta gamma di meccanismi.
• La gestione degli accessi remoti per i fornitori, i dipendenti o i manutentori terzi applicando autorizzazioni granulari per le persone che accedono ai servizi digitali sensibili dell’azienda.
• La gestione delle sessioni che consente di aumentare la supervisione della sicurezza e controllare “quando, cosa e come” le persone interne o esterne accedono alle risorse strategiche dell’azienda.
• La gestione delle password con la sicurezza e la rotazione delle password e delle chiavi, nonché l’eliminazione delle password hardcoded. PAM4ALL consente inoltre di separare gli account dedicati all’amministrazione degli utenti aziendali (silo) e di proteggere gli identificativi e le password di accesso all’Active Directory.
• La gestione del minimo privilegio per eliminare i diritti di amministrazione locali sui dispositivi, al fine di concedere i giusti privilegi, al giusto utente e al momento giusto, bloccare i movimenti laterali e fermare la diffusione di malware.

Con PAM4ALL, gli utenti come gli amministratori IT che hanno accesso agli account non dispongono più di privilegi illimitati. Gli utenti umani e le macchine possono richiedere un’elevazione temporanea dei loro privilegi quando devono svolgere compiti occasionali o eseguire comandi che richiedono privilegi elevati. I trigger, le regole di gestione e di revoca dei privilegi, nonché i metodi di applicazione del JIT sono sotto il controllo dell’IT, che può adattare l’uso del JIT in base ai criteri della loro politica di sicurezza.

WALLIX PAM4ALL protegge tutti gli utenti, anche al di fuori del team IT. I terminali sono una fonte costante di vulnerabilità. La gestione del minimo privilegio consente agli utenti di elevare dinamicamente e in modo trasparente i privilegi per un’applicazione o un processo specifico senza dover elevare i privilegi di sessione o dell’utente. Con PAM4ALL, l’accesso è concesso e l’elevazione dei privilegi è autorizzata Just in Time, ovvero nel momento in cui un utente deve svolgere un compito specifico (esecuzione di un programma, installazione di un software approvato), bloccando al contempo le operazioni di crittografia non autorizzate o i tentativi di elevazione dei privilegi.