CIS Control 6: Gestione del Controllo degli Accessi

Il Center for Internet Security (CIS) pubblica i Critical Security Controls che aiutano le organizzazioni a migliorare la cybersecurity. Nella versione 8, il Controllo 6 si occupa della gestione del controllo degli accessi (nelle versioni precedenti, questo argomento era trattato da una combinazione del Controllo 4 e del Controllo 14).

Il Controllo 6 offre le migliori pratiche sulla gestione degli accessi e definisce le linee guida di sicurezza per la gestione dei privilegi degli utenti, in particolare l’uso controllato dei privilegi amministrativi. Le buone pratiche prevedono l’assegnazione dei diritti a ciascun utente in conformità con il principle of least privilege — ogni utente dovrebbe avere solo i diritti minimi necessari per svolgere i propri compiti assegnati. Questo limita i danni che il titolare dell’account può causare, sia intenzionalmente che accidentalmente, e riduce anche la portata di un attaccante che riesce a ottenere il controllo di un account.

Sfortunatamente, le organizzazioni tendono a concedere agli account più privilegi di quanti ne necessitino perché è più comodo — è più facile aggiungere un account al gruppo degli Amministratori locali su un computer, ad esempio, piuttosto che determinare i privilegi esatti di cui l'account ha bisogno e aggiungere l'utente ai gruppi appropriati. Inoltre, spesso non revocano i privilegi di cui gli utenti non hanno più bisogno quando cambiano ruolo all'interno dell'organizzazione, spesso a causa della mancanza di comunicazione e procedure standard. Di conseguenza, le aziende corrono un rischio inutile di perdita di dati, inattività e mancato rispetto delle normative.

Per mitigare questi rischi, CIS Control 6 offre 8 linee guida per stabilire una solida gestione del controllo degli accessi.

6.1 Stabilire un processo di concessione dell'accesso.

Avere un processo definito per concedere i diritti di accesso agli utenti quando entrano a far parte dell'organizzazione e quando i loro ruoli cambiano aiuta a far rispettare e mantenere il principio del privilegio minimo. Idealmente, il processo dovrebbe essere il più automatizzato possibile, con insiemi standard di permessi per diversi asset e dispositivi nella rete associati a diversi ruoli e anche a diversi livelli all'interno di un ruolo.

6.2 Stabilire un processo di revoca dell'accesso.

Le organizzazioni spesso non riescono a revocare i diritti di accesso che non sono più necessari, esponendosi ad attacchi e sfruttamenti. Ad esempio, se l'account di un dipendente licenziato non viene disabilitato o eliminato tempestivamente, quella persona o chiunque comprometta le credenziali dell'account potrebbe sfruttarne i privilegi.

Anche la revoca dell'accesso è spesso necessaria quando un utente cambia ruolo all'interno dell'organizzazione. Questo si applica non solo in caso di retrocessioni, ma anche per movimenti laterali e promozioni. Ad esempio, un utente che passa dal reparto vendite al marketing potrebbe non avere più una legittima necessità aziendale di accedere ai dati e alle applicazioni utilizzate dal team di vendita; similmente, un individuo esperto che passa a un ruolo manageriale avrà probabilmente bisogno di revocare alcuni dei suoi vecchi diritti e di aggiungerne di nuovi.

6.3. Richiedere MFA per applicazioni esposte esternamente.

L'autenticazione multifattore (MFA) è considerata una best practice perché rende inutili le credenziali rubate agli attaccanti. Con MFA, gli utenti devono fornire due o più fattori di autenticazione, come la combinazione ID utente/password più un codice di sicurezza inviato alla loro email. Senza il secondo fattore, un potenziale avversario verrà negato l'accesso ai dati richiesti, ai sistemi o ai servizi.

Il controllo 6.3 raccomanda di richiedere l'MFA per tutte le applicazioni software esposte esternamente (rivolte a Internet), come gli strumenti utilizzati da clienti, partner commerciali e altri contatti.

6.4 Richiedere MFA per l'accesso remoto alla rete.

Questa salvaguardia si basa su quella precedente, raccomandando l'MFA ogni volta che gli utenti tentano di connettersi da remoto. Questa pratica è particolarmente importante oggi, poiché molte organizzazioni hanno molti lavoratori remoti e ibridi.

6.5. Richiedere MFA per l'accesso amministrativo.

Secondo il Controllo 6.5 del CIS, gli account amministrativi di un'organizzazione richiedono anche la sicurezza aggiuntiva dell'MFA, poiché questi account concedono Privileged Access Management agli asset IT, spesso includendo non solo dati sensibili ma anche la configurazione di sistemi centrali come server e database.

6.6. Stabilire e mantenere un inventario dei sistemi di autenticazione e autorizzazione.

A un livello superiore, le organizzazioni devono monitorare tutti i loro sistemi di autenticazione e autorizzazione. L'inventario dovrebbe essere rivisto e aggiornato almeno annualmente. Oltre ad essere prezioso per la sicurezza, questo inventario può anche aiutare l'organizzazione a raggiungere la conformità normativa.

6.7. Centralizzare il controllo degli accessi.

Il controllo centralizzato dell'accesso consente agli utenti di accedere a diverse applicazioni, sistemi, siti web e strumenti utilizzando le stesse credenziali. Il Single sign-on (SSO) è un esempio di controllo centralizzato dell'accesso.

Diversi fornitori offrono prodotti di controllo centralizzato dell'accesso e di Identity Management progettati per aiutare le aziende a semplificare l'accesso degli utenti, migliorare la sicurezza e razionalizzare le operazioni IT aziendali.

6.8. Definire e mantenere il controllo degli accessi basato sui ruoli.

Cercare di assegnare a ogni utente il giusto accesso individualmente attraverso l'assegnazione diretta dei permessi e mantenere tali diritti aggiornati nel tempo, semplicemente non è un approccio scalabile al controllo degli accessi. Invece, il Controllo 6.8 raccomanda di implementare il controllo degli accessi basato sui ruoli (RBAC) — assegnando privilegi di accesso a ruoli definiti nell'organizzazione e poi rendendo ogni utente membro dei ruoli appropriati. I ruoli e i loro diritti associati dovrebbero essere rivisti e aggiornati almeno annualmente.

Sommario

Il controllo dei diritti di accesso è fondamentale per la sicurezza dei dati sensibili, delle applicazioni e di altre risorse IT. I processi chiave di controllo degli accessi includono flussi di lavoro che consentono agli utenti di effettuare richieste di accesso e ai proprietari dei dati di approvarle o rifiutarle, e processi che consentono ai proprietari dei dati di rivedere e modificare regolarmente i diritti di accesso ai loro dati.

Gli account privilegiati richiedono un'attenzione speciale perché possono infliggere gravi danni se utilizzati impropriamente dai loro proprietari o compromessi da attaccanti. Netwrix Privileged Access Management solution semplifica il controllo degli accessi privilegiati concedendo dinamicamente agli amministratori esattamente i permessi di cui hanno bisogno per completare un determinato compito e rimuovendo automaticamente tali diritti subito dopo. Di conseguenza, le organizzazioni possono eliminare praticamente tutti i loro account privilegiati permanenti, riducendo notevolmente la loro superficie di attacco e evitando gli oneri e le responsabilità delle soluzioni tradizionali incentrate su vault. Inoltre, la Netwrix Privileged Access Management solution è conveniente, intuitiva e facile da implementare.