Integrazione PAM-ITSM: quali buone pratiche devono essere applicate?

Secondo il cabinet Forrester, l’80% delle violazioni della sicurezza coinvolgono credenziali di account privilegiati compromessi. E questa compromissione può avere un impatto significativo sull’attività di un’azienda. L’integrazione di un sistema di gestione degli accessi privilegiati – PAM (Privileged Access Management) – con una soluzione di gestione dei servizi IT – ITSM (Information Technology Service Management) – permette di limitare i rischi. Consente di mantenere la nozione di approvazione per evitare che persone (anche autorizzate) si connettano a macchine senza motivo. Permette inoltre di garantire una tracciabilità completa della gestione degli interventi. Questi principi di zero trust e di minimo privilegio, combinati con il sistema di gestione degli incidenti ITSM, mettono in sicurezza fortemente gli asset sensibili delle aziende, chiudendo la porta agli attacchi e garantendo la conformità alle normative in materia di cybersicurezza.

Integrazione PAM e strumento ITSM: Una gestione degli incidenti in modalità Just in Time (JIT)

La gestione degli accessi privilegiati, o Privileged Access Management (PAM), è un sottoinsieme dell’IAM (Identity Access Management) che si concentra esclusivamente sulla protezione degli account e degli accessi privilegiati. Si inserisce nella strategia di cybersicurezza globale volta a controllare, monitorare, mettere in sicurezza e verificare tutti gli account privilegiati nell’ambiente informatico o industriale di un’azienda. Consente di tracciare con precisione chi accede alle risorse, in quale momento e di controllare successivamente i livelli di privilegio dei suoi utenti. Tre processi essenziali contribuiscono a questo fine: identificazione, autenticazione e autorizzazione.

Gli strumenti di gestione dei servizi IT (ITSM) sono suite di soluzioni che integrano sistemi di gestione dei workflow assicurando il trattamento degli incidenti, delle richieste di servizio e/o delle modifiche alle configurazioni. Questa suite di strumenti include anche una base di dati che elenca e garantisce tutte le configurazioni implementate sugli asset dell’azienda – CMDB (Configuration Management DataBase).

Queste due soluzioni sono quindi molto utili indipendentemente l’una dall’altra, ma è la loro stretta integrazione che permette di elevare il livello di sicurezza. Infatti, la loro integrazione consente di tracciare le azioni sulle macchine concedendo l’accesso a un obiettivo direttamente tramite un ticket in modalità Just in Time. Per ogni intervento, un collaboratore deve giustificare la sua richiesta di connessione a un obiettivo per ottenere l’autorizzazione a connettersi per un periodo definito. La sicurezza degli accessi è così rafforzata e tracciata end-to-end.

Integrazione PAM e strumento ITSM: una migliore correlazione delle informazioni

Se le soluzioni PAM, combinate con soluzioni IdaaS, permettono di gestire le identità, gli accessi e le password degli account privilegiati, come si può registrare gli accessi alle risorse e il dettaglio delle interventi? In molte aziende, si può constatare l’isolamento delle soluzioni ITSM e PAM. Da un lato, lo strumento ITSM registra l’incidente e cataloga le richieste di intervento o le richieste di creazione di nuovi servizi e, dall’altro, la soluzione PAM si concentra sulle persone identificate e autorizzate a lavorare su queste richieste.

Il loro funzionamento a silos e l’assenza di un’integrazione ITSM/PAM non permette di validare e giustificare gli interventi e complica l’analisi post-incidente per mancanza di tracce e prove.

Tutte le richieste fatte nella soluzione PAM devono quindi essere collegate a quelle registrate e integrate nella soluzione ITSM. Grazie all’interazione di queste due soluzioni, tutte le richieste di azione sono così dichiarate e verificabili a partire dall’ITSM. Questa politica permette di utilizzare le capacità della soluzione PAM, come WALLIX Bastion PAM4ALL, per tracciare gli eventi e autorizzare le persone che eseguiranno l’ordine di intervento, ma anche le persone che hanno autorizzato questa operazione e la motivazione di quest’ultima.

In caso di audit a seguito di un incidente, o di audit di conformità, è quindi possibile correlare le informazioni relative all’evento e alle azioni realizzate attraverso il numero di ticket registrato nello strumento ITSM. Gli auditor possono così collegare una sessione eseguita e comprendere la validità (o meno) della richiesta iniziale.

Perché questa politica sia efficace, è quindi raccomandato che sia il PAM sia l’ITSM dispongano di una lista sincronizzata di asset.

Coerenza tra ITSM, CMDB e PAM: una protezione supplementare

Questa perfetta sincronizzazione tra la base di dati di gestione della configurazione – CMDB – del sistema ITSM e la soluzione PAM implementata si rivela molto utile durante un’analisi post-incidente per basarsi su tracce e prove.

Permette infatti di identificare più facilmente un accesso fraudolento a una risorsa, specialmente quando gli interventi sono esternalizzati. Le sessioni remote devono integrare lo stesso livello di controllo, approvazione, monitoraggio e sorveglianza delle sessioni interne, e la corrispondenza tra la CMDB e le risorse dichiarate nella soluzione PAM aggiunge quindi una protezione supplementare. Grazie al provisioning implementato nella soluzione PAM e collegato alla CMDB, è possibile verificare che un utente identificato e autorizzato stia effettivamente cercando di connettersi alla risorsa specificata nel ticket precedentemente aperto nell’ITSM.

Questa coerenza tra CMDB, ITSM e PAM può essere raggiunta in diverse fasi in base al livello di integrazione che l’azienda desidera implementare:

• Un primo livello di integrazione può essere realizzato tra il sistema di ticketing dell’ITSM e il workflow di approvazione del Bastion di PAM4ALL. L’obiettivo è, in questo caso, di stabilire il collegamento attraverso uno script dedicato che può adattarsi automaticamente ai diversi tipi di workflow lato ITSM. Infatti, questi possono essere differenti se si tratta di una risoluzione di incidente o di una creazione di servizio, e i workflow di approvazione lato PAM devono tenere conto di questa differenziazione. A seconda della loro configurazione, le approvazioni possono anche essere automatiche o manuali, con gestione delle autorizzazioni dinamiche.
• Un secondo livello di integrazione rafforzata può essere stabilito tra la CMDB e il PAM a livello delle risorse con chiamate API dalla soluzione PAM. In questo caso, il provisioning del Bastion può essere collegato alla CMDB. Questo livello di integrazione permette di aggiungere un ulteriore livello di protezione, ad esempio verificando che la persona che richiede un’approvazione inserisca effettivamente un ticket lato ITSM che riguarda la stessa risorsa alla quale desidera accedere tramite il Bastion.

Poiché le soluzioni ITSM e PAM sono altamente configurabili dalle aziende, è necessario costruire un progetto di integrazione in base agli obiettivi strategici di ciascuna organizzazione: un’integrazione ITSM/PAM standardizzata non esiste in quanto tale. Ogni azienda deve elencare le proprie priorità, determinare ciò che è realizzabile nel contesto della sua politica di cybersicurezza, personalizzare le configurazioni di autorizzazioni o divieti, definire le automazioni desiderate, adattare i workflow di approvazione o delega IT e aziendali, e soprattutto non trascurare l’esperienza degli utenti.

Ogni integrazione deve quindi coinvolgere, a monte, i team che gestiscono l’ITSM, quelli che gestiscono la soluzione PAM e, spesso, il team DevOps che interviene sugli script.

Integrare le vostre soluzioni PAM e ITSM, una buona pratica

Il deployment di una soluzione di gestione degli accessi privilegiati (PAM) consente una robusta sorveglianza di questi accessi privilegiati alle infrastrutture informatiche critiche. Per ridurre i tempi di analisi e ricerca dei team IT e di sicurezza, un’integrazione pertinente con una soluzione ITSM può facilitare il compito collegandosi alla gestione degli incidenti o alla richiesta di creazione di servizi. Diventa infatti possibile correlare le necessità di intervento con gli interventi stessi.

La visione di un’azione è così completa, dalla richiesta iniziale durante la creazione del ticket nell’utensile ITSM, passando per il workflow di approvazione, fino al rapporto di gestione degli incidenti e alla traccia video forniti dalla soluzione PAM: un elemento chiave in caso di audit e nel contesto della conformità normativa.