Perché Zero Standing Privileges è un approccio migliore al Privileged Access

I diritti di amministratore sono una spada a doppio taglio: sebbene i professionisti IT richiedano diritti elevati per svolgere il loro lavoro, tali privilegi possono essere usati impropriamente dagli stessi amministratori, così come abusati da avversari che hanno compromesso i loro account.

Il primo passo nella difesa contro questi rischi è abbastanza semplice: Ridurre il numero di account amministrativi negando i diritti di amministratore locale agli utenti aziendali. Anche se gli utenti spesso si oppongono a questa misura, di solito non hanno realmente bisogno dei diritti di amministratore locale per svolgere il loro lavoro, e rimuovere tali diritti limita il potere che gli avversari otterrebbero prendendo il controllo del loro account. Ad esempio, non saranno in grado di installare keylogger o eseguire malware.

Ma ciò lascia tutti gli altri account altamente privilegiati nell'ambiente IT, che rappresentano un rischio ancora maggiore. Questi account concedono diritti di cui i loro proprietari hanno effettivamente bisogno per svolgere i compiti assegnati, come ad esempio regolare le configurazioni dell'infrastruttura, creare account per i nuovi dipendenti o reimpostare le password degli utenti. Pertanto, le organizzazioni non possono semplicemente revocare questi diritti elevati nello stesso modo in cui rimuovono i diritti di amministratore locale; hanno anche bisogno di un meccanismo che fornisca privilegi elevati quando necessario.

Un approccio efficace per risolvere questa sfida è zero standing privileges (ZSP). ZSP sostituisce gli account privilegiati rischiosi con accessi temporanei, just-in-time access. Questo articolo spiega come funziona ZSP e come supera le sfide intrinseche negli approcci tradizionali a Privileged Access Management (PAM).

Perché le soluzioni tradizionali di Privileged Access Management lasciano un'ampia superficie di attacco

Le soluzioni tradizionali di Privileged Access Management sono progettate per aiutare le organizzazioni a proteggere gli account con diritti di accesso elevati. Le organizzazioni tipicamente hanno dozzine o persino centinaia di questi account. Le soluzioni PAM tradizionali spesso memorizzano le credenziali degli account privilegiati in una cassaforte per password. Le persone autorizzate poi prelevano le loro credenziali ogni giorno per ottenere l'accesso amministrativo ai sistemi che gestiscono, come un particolare database o sistemi come Active Directory.

Tuttavia, cercare di controllare strettamente l'accesso privilegiato utilizzando tecniche tradizionali di Privileged Access Management (PAM) come una cassaforte per password lascia un enorme rischio di sicurezza. Quando esistono account potenti in ogni momento, quei privilegi permanenti sono sempre vulnerabili ad essere abusati dai loro proprietari o presi di mira dagli attaccanti.

Inoltre, anche se sono in atto controlli di accesso rigorosi, questi tendono ad accumulare molti più diritti di quanti siano effettivamente necessari. Di conseguenza, sono maturi per l'abuso da parte dei loro proprietari e per l'acquisizione da parte di avversari. Infatti, le credenziali di amministratore sono un obiettivo principale degli attori malevoli perché consentono loro di ottenere accesso privilegiato a dati sensibili, sistemi e altre risorse IT critiche.

Cos'è Zero Standing Privileges?

Zero standing privileges è un approccio moderno al Privileged Access Management che supera le limitazioni degli strumenti tradizionali. L'obiettivo è ridurre il numero di account con privilegi elevati il più vicino possibile allo zero. Invece, l'accesso privilegiato viene concesso solo quando è necessario, delimitato precisamente al compito da svolgere e rimosso automaticamente subito dopo. Di conseguenza, una strategia ZSP ti consente di ridurre drasticamente la superficie di attacco e diminuire il rischio di data breach e interruzioni aziendali. E controllando strettamente l'accesso privilegiato, gli strumenti ZSP sono un componente prezioso in un modello di cybersecurity Zero Trust.

Il ruolo di un cassiere in un'attività commerciale fornisce un'analogia utile. La maggior parte del tempo, la cassa rimane chiusa a chiave. Si apre solo quando una transazione richiede al cassiere di accedervi. Una volta completata la transazione, il cassetto si chiude automaticamente di nuovo. Come con ZSP, non c'è un pulsante sempre presente che il cassiere può premere per aprirla quando lo desidera.

Esempio ZSP

Per vedere come funziona ZSP, seguiamo ciò che accade quando un amministratore di nome Alex ha bisogno di ottenere l'accesso privilegiato a una risorsa IT sensibile per eseguire un compito assegnato:

1. Alex invia una richiesta che dettaglia il compito e quali privilegi sono necessari per completarlo.
2. Quando la richiesta viene approvata, la soluzione ZSP crea un'identità temporanea con i privilegi appena sufficienti per eseguire il compito.
3. Il compito viene eseguito interattivamente da Alex (ad esempio, utilizzando RDP su un server) o dal sistema per conto loro (ad esempio, riavviando un server).
4. Quando il compito è completato, l'identità temporanea viene eliminata automaticamente.

Elementi chiave di ZSP

Come l'esempio illustra, il modello ZSP si basa sul fornire accesso limitato per un periodo di tempo limitato. Di conseguenza, gli strumenti ZSP devono garantire sia l'accesso just-in-time (JIT) che il privilegio appena sufficiente (minimo privilegio).

• Accesso JIT — Gli utenti non dispongono di account privilegiati permanenti. Invece, viene concesso loro il diritto di accesso elevato quando ne hanno bisogno e solo per il tempo necessario per eseguire il loro compito specifico.
• Privilegio appena sufficiente — Il principio del minimo privilegio impone che ogni account riceva solo i diritti di accesso necessari per le attività assegnate. Le soluzioni ZSP devono rispettare questo principio durante la fornitura JIT dei privilegi e concedere all'utente solo i diritti di accesso di cui ha bisogno per specifiche applicazioni, sistemi o altre risorse IT richieste per il compito da svolgere.

Ulteriori preziose capacità ZSP

Le soluzioni avanzate ZSP offrono capacità aggiuntive di grande valore, come:

• Flussi di lavoro di richiesta e approvazione — Nella maggior parte dei casi, una richiesta per una sessione privilegiata deve essere esaminata dal personale appropriato, che può approvarla o negarla. I flussi di lavoro automatizzati semplificano questo processo e quindi possono essere fondamentali per l'accettazione e l'adozione della soluzione.
• Monitoraggio delle sessioni in tempo reale — Il monitoraggio continuo dell'attività privilegiata è essenziale per la rilevazione e la mitigazione in tempo reale di comportamenti sospetti, errori e altre azioni potenzialmente dannose.
• Registrazione e riproduzione delle sessioni — La possibilità di rivedere le registrazioni delle sessioni è inestimabile per le indagini e la responsabilità individuale. E avere una traccia di verifica completa dell'attività privilegiata può essere richiesta durante le verifiche di conformità.

Come Netwrix può aiutare

La soluzione di Privileged Access Management (PAM) di Netwrix ti consente di implementare le best practices del PAM e mitigare i rischi associati all'accesso privilegiato. Questa soluzione PAM all'avanguardia identificherà i privilegi permanenti e li sostituirà con accessi giusti al momento giusto e nella misura necessaria. Offre inoltre flussi di lavoro automatizzati per le richieste/approvazioni e ti permette di monitorare, registrare e riprodurre sessioni privilegiate per intercettare le minacce prima che si intensifichino. Inoltre, la sua suite completa di funzionalità all'avanguardia rappresenta una parte preziosa di una strategia Zero Trust più ampia.