Oltre l’elemento umano: perchè le password statiche non bastano

19/03/2020

Le password statiche non bastano più a proteggere i sistemi

Mentre ci sono state diverse opinioni sulla decisione di ospitare la RSA Conference 2020 a San Francisco, nonostante l’insorgenza delle infezioni da Coronavirus, che si è evoluta nella pandemia di COVID-19, una cosa che gli organizzatori hanno centrato quest’anno era il tema: The Human Element .

Quest’anno segna la prima volta dal 1995 che il tema della conferenza si abbina alle realtà della sicurezza informatica e non è stato guidato esclusivamente dalla campagna pubblicitaria. Quando si tratta di violazioni, tutte le strade portano ancora all’elemento umano. In effetti, gli hacker non effettuano più attività di hacking: accedono utilizzando credenziali deboli, predefinite, rubate o comunque compromesse. Forrester stima che l’80% delle violazioni della sicurezza implichi credenziali privilegiate compromesse. Sembra ovvio, imporre controlli migliori sull’elemento umano dovrebbe portare a significativi miglioramenti nella prevenzione della violazione dei dati.

Nonostante tutte le nuove tecnologie, strategie e intelligenza artificiale utilizzate da esperti di sicurezza e attori della minaccia, una cosa rimane costante: l’elemento umano. Come umani siamo fallibili – un fatto che gli attori delle minacce sfruttano frequentemente quando lanciano campagne di phishing e social engineering, per stabilire un punto d’appoggio nell’ambiente IT delle loro vittime. Tuttavia, la maggior parte delle organizzazioni continua a investire la maggior parte del proprio budget di sicurezza per proteggere il perimetro della rete anziché concentrarsi sui controlli di sicurezza che possono proteggere dal vettore di attacco principale: l’abuso di accesso privilegiato.

Questo è un grosso errore. Il PAM (Privileged Account Management) è stato nella lista dei 10 principali progetti di sicurezza di Gartner negli ultimi due anni per un sacco di buoni motivi. Le organizzazioni dovrebbero fare della gestione degli accessi privilegiati una priorità assoluta, e qui ci sono tre best practice per farlo …

Vai oltre le password
Le password statiche non sono più sufficienti, soprattutto per sistemi e dati aziendali sensibili. Dal momento che non hanno la possibilità di verificare se l’utente che accede ai dati è autentico o solo qualcuno che ha acquistato una password compromessa dai 21 milioni che sono stati rivelati nel database di raccolte n. 1 dell’anno scorso ? Semplicemente non possiamo più fidarci delle password statiche. Le organizzazioni devono rendersi conto che l’ autenticazione a più fattori (AMF) è il frutto più basso possibile per la protezione da credenziali compromesse.

Less is more
Gartner stima che la spesa globale per la sicurezza informatica raggiungerà i 131 milioni di dollari all’anno nel 2020, ma le violazioni continuano ad arrivare. Ciò è probabilmente dovuto al fatto che gran parte di questi investimenti viene incanalata verso soluzioni che non affrontano i moderni problemi di sicurezza o proteggono la superficie di attacco in costante crescita delle aziende senza perimetro. Gli hacker, da parte loro, stanno spostando le loro tattiche e prendendo di mira il percorso di minor resistenza: vale a dire, l’identità. Si rendono conto che ci vuole solo una persona che utilizza ancora “123456” come password per saccheggiare un’organizzazione.

Le aziende di tutte le dimensioni, in tutti i settori devono diventare più strategiche su come e dove allocare i loro dollari di sicurezza. Invece di spendere più soldi per ogni tecnologia di sicurezza sotto il sole, dovrebbero essere focalizzati sul laser per l’acquisto degli strumenti giusti. E poiché l’accesso privilegiato è ora un importante vettore di attacco, ecco dove dovrebbero andare i soldi intelligenti. Se supponiamo che gli hacker siano già nella rete, è meglio spendere più soldi per rafforzare il perimetro o limitare i movimenti all’interno di esso?

Sicurezza basata sull’identità fondata su principi Zero Trust
Zero Trust significa non fidarsi di nessuno – nemmeno utenti o dispositivi noti – fino a quando non saranno stati verificati e validati. Un approccio di sicurezza incentrato sull’identità aiuta le aziende a ristabilire la fiducia applicando l’accesso ai privilegi minimi, in tempo reale in base alla verifica di chi richiede l’accesso, il contesto della richiesta e il rischio dell’ambiente di accesso.

Sicurezza basata sull’identità
Affinché i sistemi possano applicare una politica di sicurezza autorevole, ognuno deve avere un’identità unica stabilita in modo sicuro con la piattaforma di gestione della sicurezza autorevole (ad esempio, Microsoft Active Directory). Non è più accettabile nel panorama delle minacce di oggi consentire ai sistemi di gestione di utilizzare account di accesso anonimi o credenziali iniettate come account super utente condivisi con deposito, dal momento che non possono essere fortemente verificati per le operazioni di sicurezza.

Un’altra cosa importante da considerare è che oggi le identità includono non solo persone ma carichi di lavoro, servizi e macchine. Ciò è particolarmente vero in DevOps e ambienti cloud, in cui l’automazione delle attività gioca un ruolo dominante. La corretta verifica del “chi” prima di autorizzare l’accesso da parte di qualsiasi “entità” richiede l’interrogazione dei repository di identità aziendali per l’autenticazione e i diritti.

Nel frattempo, a tutti gli account che hanno accesso a dati sensibili dovrebbe essere concesso solo il “privilegio minimo” e solo per il periodo di tempo in cui è necessario, quindi l’accesso dovrebbe essere revocato. Questa posizione di “privilegio zero standing” garantisce che ogni accesso ai servizi deve essere autenticato, autorizzato e crittografato.

In conclusione
In realtà, molte violazioni possono essere prevenute implementando i passaggi di base, come indicato in ” Attacchi di phishing: migliori pratiche per non abboccare all’amo “. Queste misure essenziali spaziano dalla formazione sulla consapevolezza della sicurezza e l’autenticazione a più fattori (MFA) fino all’applicazione di tattiche e misure di sicurezza incentrate sull’identità basate su principi Zero Trust, e possono consentire alle organizzazioni di stare al passo con la sicurezza, abbandonando per sempre le password statiche.

 

Autore: Torsten George

Torsten George è attualmente un security evangelist presso Centrify. È inoltre membro del comitato consultivo strategico presso il fornitore di software di gestione del rischio di vulnerabilità, NopSec. Ha più di 20 anni di esperienza globale nella sicurezza delle informazioni ed è un oratore frequente della sicurezza informatica e delle strategie di gestione dei rischi. Torsten fornisce regolarmente commenti e pubblica articoli su violazioni dei dati, migliori pratiche di risposta agli incidenti e strategie di sicurezza informatica nei media. Ha ricoperto posizioni dirigenziali con RiskSense, RiskVision (acquisito da Resolver, Inc.), ActivIdentity (acquisito da HID® Global, un marchio del gruppo ASSA ABLOY ™), Digital Link ed Everdream Corporation (acquisito da Dell).

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

7 suggerimenti per fermare gli hacker del Wi-Fi

7 suggerimenti per fermare gli hacker del Wi-Fi

La sicurezza perimetrale non è più sufficiente per le reti di oggi. Questo perché ci sono tanti modi per aggirare il tuo robusto firewall e semplicemente entrare dalla porta sul retro. Alcuni dei metodi utilizzati dagli hacker per aggirare le difese perimetrali...

Come capire se una mail ha subito spoofing

Come capire se una mail ha subito spoofing

L'email spoofing è la creazione di e-mail con un indirizzo mittente contraffatto, e ha l'obiettivo di indurre il destinatario a fornire denaro o informazioni sensibili. Se la tua azienda utilizza un dominio registrato per la propria e-mail, è probabile che tu ne abbia...