L'accesso alle applicazioni, ai server e alle risorse di rete è una delle pietre angolare delle aziende IT. Abilitare la connettività ai servizi è essenziale, ma non tutti i dipendenti dovrebbero avere pieno accesso a ciò che è presente nel network, ed è proprio qui che entrano in gioco i software per la gestione dei privilegi (Managing Privileged Access).
Implementando un sistema di account privilegiati si può selezionare esattamente cosa un gruppo di utenti può fare e cosa no. Si tratta di un concetto molto familiare agli utenti delle distribuzioni Linux visto dove, per determinate operazioni, è necessario eseguire il login come root o sfruttare un sistema come sudo che concede, agli utenti abilitati, permessi di amministratore temporanei per un'azione.
A livello aziendale si tende solitamente ad adottare sistemi chiamati PAM (Pluggable Authentication Modules) e IAM (Identity and Access Management). PAM è un meccanismo per integrare più schemi di autenticazione a basso livello in un'unica API ad alto livello, permettendo ai programmi che necessitino di autenticazione di essere scritti indipendentemente dallo schema sottostante utilizzato. IAM, invece, è un servizio che permette di gestire utenti e autorizzazioni utente da un sistema centralizzato all'interno di un sistema informatico. Tramite IAM è possibile amministrare livelli di sicurezza, come chiavi di accesso e autorizzazioni, cosi da definire chi ha accesso a determinate directory o risorse.
Dunque, a seconda delle esigenze le aziende adottano diversi sistemi di gestione dei privilegi. Ma in che modo dovrebbero essere organizzati tali privilegi? Come si dovrebbero monitorare gli utenti?
Account locali
Può capitare che una volta ottenuti i diritti di amministratore lo stesso utente crei un account secondario con gli stessi privilegi, andando quindi a creare un contesto dove un utente non identificato ha accesso a tutte le directory anche in sistemi come Active Directory. Gli admin devono sempre monitorare gli account di amministratori locali in modo da evitare la creazione di "aree grige" nelle regole di sicurezza.
Monitoraggio
I privilegi di amministrazione non sono quasi mai eterni e immutabili, c'è sempre qualche modifica da apportare e dunque è bene tenere aggiornate le proprie impostazioni e i privilegi utente di Active Directory. I vecchi utenti tendono a mantenere i loro privilegi anche quando non più necessari, dunque è bene eseguire un monitoraggio continuo degli account con privilegi attivi.
Sessioni
Mentre un monitoraggio continuo degli account con privilegi attivi è importante, al contrario il monitoraggio constante di tutte le azioni degli utenti non è cosi vitale. Registrare ogni singola azione può portare a rallentamenti. Un utente malintenzionato, inoltre, può bypassare la registrazione delle proprie azioni in diversi modi e non è detto che una volta registrato tutto sia possibile individuare le attività illecite successivamente. La registrazione della sessione ha quindi un'utilità marginale.
Accessi e credenziali
Oggi la sicurezza di un account o di un servizio passa attraverso più forme di autenticazione, come ad esempio la verifica in due passaggi delle proprie credenziali. Le soluzioni basate su password robuste stanno dunque iniziando a diminuire, per assicurare una maggiore sicurezza è bene che l'amministratore di rete si focalizzi sul controllo dei vari accessi alle risorse piuttosto che sul controllo delle credenziali.
Movimenti laterali
Spesso gli attaccanti sfruttano un set di credenziali per accedere alle risorse e ai dati per poi spostarsi lateralmente, ovvero eseguire degli spostamenti progressivi attraverso il sistema aziendale, volti alla ricerca dei dati chiave o alle risorse a cui sono realmente interessanti. La principale contromisura da adottare, sia informa precauzionale che in caso di rilevamento di movimenti laterali, è sfruttare delle soluzioni PAM per controllare l'accesso e le credenziali degli account cosi da limitare le loro azioni quando necessario.
Via Esecurityplanet