Gestire gli account privilegiati per combattere i data breach e ridurre il potenziale distruttivo degli attacchi informatici

La gestione degli account cosiddetti privilegiati, vale a dire aventi privilegi amministrativi sulla infrastruttura IT (reti, sistemi, applicazioni, cloud), costituisce una delle tematiche, nell’ambito della disciplina più ampia della gestione delle identità e degli accessi (IAM), che ha assunto un rilievo particolare negli ultimi anni, alla luce dei più recenti ed eclatanti attacchi informatici e dell’impatto che questi hanno avuto sull’operatività, la reputazione ed il business delle Aziende ed Organizzazione colpite.

Il modus operandi di tali attacchi è spesso riconducibile a dei modelli comuni (cosiddette “kill chain”) che in generale partono dall’individuazione di vulnerabilità sfruttabili, per proseguire con il successivo guadagno di un accesso iniziale (ad esempio su una postazione di lavoro), il consolidamento della posizione e quindi la ricerca ed il reperimento con varie tecniche delle credenziali amministrative all’interno dell’organizzazione colpita (privileged accounts), per poi procedere con l’individuazione dei target interni con finalità diverse che vanno dal furto di informazioni riservate fino alla danneggiamento dell’esercizio delle infrastrutture IT e di conseguenza dell’operatività e del business.

Per tutti vale l’esempio dell’attacco cosiddetto NotPetya del 2017, probabilmente il più devastante cyberattack mai misurato per gli effetti sia in termini di danni procurati che di vastità della sua diffusione. Su Wired si trova un interessantissimo articolo che ne racconta i dettagli, utile sia per capire i meccanismi che ne hanno favorito diffusione ed efficacia distruttiva, sia per la qualità della narrazione che rende davvero piacevole la lettura.

In definitiva, la componente associata all’efficacia distruttiva di questo evento, per molti aspetti drammatico, ha molto a che vedere con la gestione degli account privilegiati. In questo, come nella maggior parte dei casi, l’adozione di corrette procedure e di soluzioni per la gestione dei privileged account avrebbero, con buona probabilità, reso meno distruttivo l’attacco e quindi ridotto l’impatto davvero ingentissimo sul business dell’organizzazione colpite, con numeri impressionanti.

Quali sono quindi le possibili contromisure utili per una corretta strategia per la gestione degli account privilegiati?

1. Prevenire il furto delle identità privilegiate

Gli account privilegiati detengono le chiavi per l’accesso ad informazioni aziendali altamente sensibili e una volta che queste credenziali sono compromesse, possono facilmente aprire la porta alle risorse più preziose di un’azienda.

Il tipo di dati rubati spesso include informazioni altamente critiche/sensibili come i dettagli di carte di credito, account utente o cartelle cliniche, per citarne solo alcuni.

I danni creati da un furto di identità privilegiato, tuttavia, possono essere ridotti in modo significativo quando le aziende stratificano i controlli di sicurezza, andando oltre la mera gestione delle password. Sapere chi può accedere agli account con privilegi non è più sufficiente e, probabilmente, non lo è mai stato.

È necessario adottare ulteriori e più dettagliati passaggi per garantire che le minacce vengano rilevate prima che degenerino in attacchi in piena regola. Capire da dove iniziare può essere una sfida, ma prendersi del tempo per implementare i controlli appropriati può far risparmiare alle imprese grandi e piccole eventi i cui impatti possono essere devastanti ed i danni associati irreparabili.

2. Proteggere gli account privilegiati

Poiché gli account con privilegi sono destinati esclusivamente ad utenti di fiducia, come amministratori di sistema, fornitori di servizi IT o appaltatori di terze parti, è fondamentale fornire formazione sulla valutazione e la mitigazione dei rischi. I membri di questi team con accesso a dati sensibili dovrebbero capire cosa cercare e dovrebbero avere l’autorità per segnalare attività sospette.

Inoltre, l’implementazione di funzionalità di sicurezza a più livelli li aiuterà a mantenere tutti i sistemi in esecuzione con una riduzione del rischio. Per mitigare le vulnerabilità, è essenziale disporre di sistemi operativi, applicazioni e firewall aggiornati; l’uso di ambienti basati su tecnologie obsolete o non aggiornate è un invito aperto ai cyber-criminali.

In termini pratici, le password dovrebbero comunque essere modificate e ruotate spesso e dovrebbero essere accoppiate con l’autenticazione a più fattori per tutti gli account, in particolare per gli utenti privilegiati.

Inoltre, le sessioni privilegiate devono essere ispezionate. Come parte di un programma di gestione degli accessi privilegiati, ogni sessione dovrebbe essere registrata, archiviata e quelle rischiose dovrebbero essere esaminate per attività sospette. Ciò può aiutare a prevenire azioni dannose o, in caso di incidente, a ridurre drasticamente il tempo per trovare la causa principale del problema.

Ispezioni regolari possono salvare un’azienda riducendo la probabilità che i dati sensibili vengano esfiltrati nel corso dell’attacco, consentendo di intercettare lo sviluppo della kill-chain prima che arrivi al target.

Le violazioni più importanti di cui si ha notizia come ad esempio quella presso l’Office of Personnel Management (OPM) del governo degli Stati Uniti, Sony e Target sono passate inosservate per mesi mentre gli aggressori si muovevano liberamente e programmavano l’estrapolazione di dati di alto valore.

Secondo l’ultimo Verizon DBIR, il 68% delle violazioni ha richiesto mesi o più per essere rilevate.

3. Analisi dei comportamenti degli utenti privilegiati

L’implementazione di analisi del comportamento degli utenti con privilegi può aggiungere un altro livello di supporto per la protezione, poiché monitora e analizza le attività degli utenti privilegiati e rileva comportamenti insoliti per aiutare a prevenire il furto dei dati.

Raccogliendo le “impronte digitali” degli utenti, viene acquisita una baseline di attività con l’uso di algoritmi di apprendimento automatico avanzati per rilevare le anomalie in tempo reale, e spesso questo può fare la differenza, consentendo di rilevare insider malevoli che agiscono in maniera insolita o i movimenti laterali degli attaccanti.

Essa fornisce inoltre una scala di priorità associata al rischio dei comportamenti che possono portare a problemi di sicurezza, consentendo di concentrare gli sforzi su situazioni e attività potenzialmente ad alto rischio e migliorando quindi l’efficienza dell’attività di contrasto.

In definitiva, sugli account privilegiati occorre innalzare il livello di protezione. Sulla scia di così tante violazioni, adottare ulteriori misure per stringere e stratificare i controlli di sicurezza su di essi non è più un’opzione, è un requisito improcrastinabile.

Per un approfondimento sulle soluzioni One Identity per il miglioramento della gestione degli account privilegiati: https://www.oneidentity.com/ICT_Magazine_Italy

Per maggiori informazioni visita il sito: http://www.oneidentity.com

Condividi sui Social Network:

Ultimi Articoli