Integrazione PAM-ITSM: Quali sono le buone pratiche da applicare?

Secondo Forrester, l’80% delle violazioni della sicurezza riguarda credenziali di account privilegiati compromessi, che possono avere un impatto notevole sull’attività di un’azienda. Tuttavia, il rischio rappresentato da questi account può essere mitigato integrando un sistema di Privileged Access Management (PAM) con una soluzione di Information Technology Service Management (ITSM). Questa integrazione preserva il concetto di approvazione per impedire a chiunque (anche alle persone autorizzate) di accedere alle macchine senza motivo, oltre a garantire la tracciabilità della gestione end-to-end degli interventi. Questi principi di Zero Trust e di minimizzazione dei privilegi, uniti al sistema di gestione degli incidenti ITSM, proteggono saldamente gli asset sensibili dell’azienda, chiudendo la porta agli attacchi e garantendo la conformità alle normative sulla cybersecurity.

Integrazione tra PAM e ITSM: Gestione degli incidenti Just-In-Time (JIT)

La gestione degli accessi privilegiati (PAM) è un sottoinsieme dell’Identity and Access Management (IAM) che si concentra esclusivamente sulla protezione degli account e degli accessi privilegiati. Inoltre, il PAM fa parte della strategia generale di cybersecurity delle organizzazioni, controllando, monitorando, proteggendo e verificando tutti gli account privilegiati negli ambienti IT o industriali. Inoltre, permette di monitorare chi accede alle risorse e quando, per controllare i livelli di privilegio degli utenti. Tutto questo avviene attraverso tre processi chiave: identificazione, autenticazione e autorizzazione. Gli strumenti di IT Service Management (ITSM) sono suite di soluzioni che integrano sistemi di gestione del flusso di lavoro per gestire incidenti, richieste di servizio e/o modifiche alla configurazione. Questa suite di strumenti include anche un database che elenca e garantisce tutte le configurazioni distribuite sugli asset dell’azienda: il CMDB (Configuration Management DataBase). Pertanto, queste due soluzioni sono molto utili indipendentemente, ma è la loro stretta integrazione che aumenta il livello di sicurezza generale. Ad esempio, integrando PAM e ITSM, è possibile tracciare le azioni sulle macchine concedendo l’accesso a un obiettivo direttamente attraverso un sistema Just-In-Time ticket. Ogni volta che un dipendente vuole connettersi a un obiettivo, deve giustificare la sua richiesta di connessione prima di ottenere un’autorizzazione per un periodo definito. In questo modo, la sicurezza degli accessi viene rafforzata e tracciata end-to-end.

Integrazione di PAM e ITSM: Migliore correlazione delle informazioni

Se le soluzioni PAM accoppiate con IdaaS possono gestire le identità, gli accessi e le password degli account privilegiati, come si fa a tenere traccia degli accessi agli obiettivi e dei dettagli degli interventi? In molte aziende si può notare l’isolamento delle soluzioni ITSM e PAM. Da un lato, lo strumento ITSM riconosce l’incidente ed elenca le richieste di intervento o le richieste di creazione di nuovi servizi; dall’altro, la soluzione PAM si concentra sulle persone identificate e autorizzate a lavorare su queste richieste. Il suo funzionamento a sé stante, la mancanza di integrazione ITSM/PAM non permette di convalidare e giustificare gli interventi e rende più complessa l’analisi post-incidente, a causa della mancanza di tracce e prove. Tutte le richieste effettuate nella soluzione PAM devono quindi essere collegate a quelle registrate e integrate nella soluzione ITSM. Grazie all’interazione di queste due soluzioni, tutte le richieste di intervento sono dichiarate e verificabili dall’ITSM. Questa politica consente di utilizzare le funzionalità della soluzione PAM, come ad esempio WALLIX Bastion PAM4ALLper tracciare gli eventi e autorizzare non solo le persone che eseguiranno l’ordine di intervento, ma anche le persone che hanno autorizzato l’operazione e la motivazione. In caso di audit a seguito di un incidente o di un audit di conformità controllo di conformitàè possibile correlare le informazioni relative all’evento e alle azioni eseguite attraverso il numero di ticket registrato nello strumento ITSM. Gli auditor possono quindi collegare una sessione eseguita e capire la validità (o meno) della richiesta originale. Affinché questa politica sia efficace, si raccomanda che sia PAM che ITSM abbiano un elenco di risorse sincronizzato.

Coerenza tra ITSM, CMDB e PAM: Una protezione aggiuntiva

Questa perfetta sincronizzazione tra il Configuration Management DataBase (CMDB) del sistema ITSM e la soluzione PAM implementata si rivela molto utile durante l’analisi post incidente per poter contare su tracce e prove. In questo modo è più facile identificare gli accessi fraudolenti a un obiettivo, soprattutto quando gli attori sono in outsourcing. Le sessioni remote devono incorporare lo stesso livello di controllo, approvazione, monitoraggio e supervisione delle sessioni interne, quindi la mappatura del CMDB sugli obiettivi dichiarati nella soluzione PAM aggiunge ulteriore protezione. Grazie al provisioning implementato nella soluzione PAM e collegato al CMDB, è possibile verificare che un utente identificato e autorizzato stia effettivamente cercando di connettersi al target specificato nel ticket precedentemente aperto nell’ITSM. Questa coerenza tra CMDB, ITSM e PAM può essere raggiunta in diverse fasi, a seconda del livello di integrazione che l’azienda desidera implementare:

• Il primo livello di integrazione può essere quello tra il sistema di ticketing ITSM e il workflow di approvazione di PAM4ALL Bastion. In questo caso, l’obiettivo è stabilire il collegamento grazie a uno script dedicato che si adatti automaticamente ai diversi tipi di flussi di lavoro sul lato ITSM. Infatti, poiché questi possono essere diversi se si tratta della risoluzione di un incidente o della creazione di un servizio, i flussi di lavoro di approvazione sul lato PAM devono tenere conto di questa differenziazione. A seconda della loro configurazione, le approvazioni possono essere automatiche o manuali, con il supporto di autorizzazioni dinamiche.
• È anche possibile stabilire un secondo livello di stretta integrazione tra il CMDB e il PAM a livello di risorse, con chiamate API dalla soluzione PAM. In questo caso, il provisioning di Bastion può essere effettuato insieme al CMDB. Questo livello di integrazione aggiunge un ulteriore livello di protezione, ad esempio verificando che la persona che richiede l’approvazione stia compilando un ticket sul lato ITSM che riguarda lo stesso obiettivo a cui desidera accedere tramite Bastion.

Come abbiamo appena visto, le soluzioni ITSM e PAM sono altamente configurabili dalle aziende, è necessario costruire un progetto di integrazione in base agli obiettivi strategici di ogni organizzazione: un’integrazione ITSM/PAM standardizzata non esiste in quanto tale. Ogni azienda deve elencare le proprie esigenze in termini di priorità, determinare cosa è possibile fare nell’ambito della propria politica di cybersecurity, personalizzare le impostazioni di autorizzazione o divieto, definire l’automazione desiderata, adattare i flussi di lavoro di approvazione o delega dell’IT e del business e soprattutto non trascurare l’esperienza dell’utente. Ogni integrazione deve quindi coinvolgere, a monte, i team che gestiscono l’ITSM, quelli che gestiscono la soluzione PAM e, spesso, il team devops che lavora sugli script.

Integrare le soluzioni PAM e ITSM, una buona pratica

Implementazione di una Gestione degli accessi privilegiati (PAM) consente di monitorare in modo efficace gli accessi privilegiati alle infrastrutture IT critiche. Per ridurre i tempi di analisi e ricerca dei team IT e di sicurezza, un’integrazione con una soluzione ITSM può facilitare il compito collegandosi alla gestione degli incidenti o alla richiesta di creazione di servizi. Diventa così possibile correlare la necessità di intervento con gli interventi stessi. La visione di un’azione è quindi completa, dalla richiesta iniziale alla creazione del ticket nel sistema ITSM, passando per il flusso di lavoro di approvazione, fino al rapporto sull’elaborazione dell’incidente e alla traccia video fornita dalla soluzione PAM: un elemento fondamentale in caso di audit e nel contesto della conformità normativa.