Gestire gli accessi a infrastrutture e sistemi di produzione in modo sicuro non è sempre semplice e l’emergenza Covid-19 ha evidenziato una maggiore attenzione al problema. Spunti e idee per una valutazione degli aspetti legati alla cybersecurity

Oggigiorno le aziende hanno innumerevoli sistemi informatici all’interno delle proprie realtà, i sistemi sono gestiti sia da personale interno ma spesso anche esterno. Infrastrutture IT e sistemi specifici devono essere raggiunti e gestiti da personale esperto, ma come dobbiamo comportarci quando questo non è possibile con personale interno? Non tutte le aziende hanno reparti IT strutturati con compiti ben definiti, capita allora che le competenze vengano cercate fuori dall’azienda e quindi è necessario prestare maggiore attenzione a chi interagisce con i nostri sistemi. Bloccare una produzione per attività svolte senza la corretta attenzione può avere delle gravi ripercussioni. “Fidati dei tuoi collaboratori, ma presta attenzione” perché quando si gestiscono più attività contemporaneamente allora la probabilità di commettere errori non è così remota. Per questo motivo, ogni volta che un’azienda permette di accedere ai propri sistemi da personale esterno deve fare in modo che agisca solo sui sistemi necessari. Sistemi e infrastrutture IT rappresentano uno degli asset più preziosi delle aziende, una loro corretta gestione deve permettere e autorizzare gli accessi solo allo stretto necessario.  Sulla carta questo processo si disegna facilmente, ma per implementarlo è necessario cambiare processi, dotarsi di strumenti adeguati e cambiare il modo di lavorare degli utilizzatori.

Definizione di “perimetro”

Prima di mettere in sicurezza ogni sistema è necessario porsi qualche domanda. Per esempio domandarsi:

  • Su quale infrastruttura è ospitato un particolare sistema?
  • Da dove devo consentire l’accesso a esso?
  • Come permetto di eseguire una prima valutazione?

I posizionamenti degli accessi come le segregazioni diventano fattori importanti e definiscono i perimetri come pure le zone di lavoro. Oggi le infrastrutture IT stanno diventando sempre più complesse, interconnesse, integrate e in molti casi escono anche dai perimetri fisici aziendali. I reparti IT e d’ingegneria si ritrovano a dover gestire un mix di perimetri differenti, che vanno ad aggiungersi a quelli interni. Le soluzioni cloud sono sempre più diffuse e si mescolano agli ambienti lavorativi tradizionali (workspace) e alle varie piattaforme di accesso (workplace). Teoricamente, se volessimo controllare gli accessi di una infrastruttura IT basterebbe lo scollegamento da Internet. Sappiamo che questo approccio non è più possibile e darebbe solo una falsa impressione di riduzione d’attacco. Le minacce di attacco non provengono solo dall’esterno, ma con attenzione è possibile ridurre la probabilità che questo evento avvenga e possa essere mitigato. Fornitori non attenti o dipendenti scontenti posso essere un esempio su cui fare una riflessione.

Per perimetro di sicurezza si intende uno spazio isolato e controllato da sistemi di controllo (es. firewall, endpoint…). In sostanza, nella sicurezza perimetrale, i professionisti della sicurezza devono valutare i rischi e cercare un approccio basato sul perimetro da proteggere per mitigare le minacce verso i sistemi presenti in una rete definita. Le procedure consigliate per la sicurezza perimetrale infatti includono il riconoscimento delle minacce, il rilevamento della sorveglianza e l’analisi dei modelli da applicare. Definire dei perimetri aiuta a definire meglio gli ambiti su cui concentrarsi. Prima di iniziare a proteggere qualsiasi asset è necessario definire i perimetri o le zone da controllare. L’esempio in Figura 1 aiuta fare una prima suddivisione, e suddividere un problema in zone più piccole permette di condurre delle valutazioni più semplici e gestibili.

Figura 1 – Esempio di perimetri e zone da controllare

Tuttavia, nel settore della sicurezza IT la sola sicurezza perimetrale non può essere del tutto efficace. Con i perimetri è possibile definire delle migliori regole di comunicazione da e verso altre reti ma, per limitare la probabilità di un evento di mancata sicurezza avvenga, è necessario fare un passo successivo e capire cosa proteggere.

Cosa dobbiamo proteggere

Se da un lato i perimetri aiutano a proteggere delle aree di accesso, dall’altro non sono sempre sufficienti. Infatti, vi sono dei casi in cui il furto di credenziali, i movimenti laterali o verticali e l’ottenere privilegi superiori mette in crisi il modello basato solo sulla gestione del perimetro. Seguendo i punti indicati, si procede partendo dall’inventario dei propri sistemi al fine di definire una lista che includa non solo i sistemi ma anche i servizi e infrastrutture a supporto. La lista aiuta a valutare il rischio potenziale per l’azienda e a definire le modalità operative di accesso e utilizzo. Il passo successivo è quello di identificare le identità con accesso privilegiato che possono essere sfruttate per controllare un intero ambiente (per esempio cloud o on-premise). L’attenzione su queste identità deve essere maggiore se vogliamo ridurre i rischi.

Figura 2 – Modello basato sulla gestione del perimetro

Le aziende più attente al problema hanno già definito delle buone pratiche di gestione, spesso i processi che li governano sono manuali. Assegnare e tracciare profili privilegiati e gestire gli account che utilizzano o fanno funzionare i sistemi può non bastare più. Per esempio, senza un processo di gestione degli account e di rotazione delle password associate, a volte le credenziali rimangono non modificate per mesi o addirittura anni dopo che i sistemi sono stati implementati. A tutto questo si aggiunge l’utilizzo di stesse password comuni per profili (per esempio password uguali per account amministrativi di accesso ai server). Il processo manuale sarebbe anche funzionale, ma, nella quotidianità e con ritmi di lavoro più frenetici, spesso gli account dei dipendenti, dei fornitori e dei partner commerciali possono rimanere attivi per lungo tempo. La combinazione di account dormienti e di account di servizio che non modificano mai le password, espongono l’azienda a possibili violazioni di dati e attacchi dannosi. Dipendenti scontenti o gli aggressori esterni possono sfruttare account dormienti o password obsolete per strutturare attacchi sofisticati.

Suggerimenti per un processo di buona gestione

Per definire un processo di buona gestione è necessario mescolare un insieme di componenti differenti. Sono suggerite almeno 6 fasi da valutare, tutte facenti parte di un modello iterativo. Lo schema in Figura 3 sintetizza meglio questi punti.

Figura 3 – Processo di buona gestione

I primi due sono già stati introdotti nel paragrafo precedente, gli altri saranno analizzati di seguito. La strategia è importante per definire un approccio strutturato per come affrontare problematiche comuni. Ogni volta che deve essere permesso un accesso a un sistema, un insieme di domande permette di eseguire una valutazione rapida e standardizzata per ridurre i rischi. Le minacce oggi possono arrivare da più fonti e farsi trovare impreparati ogni volta rallenta i processi di attivazione. Spesso si dimentica la formazione che gioca un ruolo molto importante nella buona gestione dei processi e non farla parte integrante della strategia ne riduce l’efficacia o in alcuni casi vanifica il processo stesso. A questo punto il supporto della tecnologia diventa funzionale perché i processi manuali sono validi solo quando gli elementi da gestire sono relativamente pochi. Al crescere del numero di servizi e di perimetri da gestire è fondamentale dotarsi di strumenti abilitanti per agevolarne la gestione. Gli strumenti che possono aiutarci nella buona gestione possono essere raggruppati in:

  • Identity Governance & Administration (IGA): per autorizzare l’assegnazione dei profili con funzionalità specifiche, tracciarne le assegnazioni ai fini qualitativi e definire quali training abilitanti devono essere verificati prima delle assegnazioni.
  • Privileged Access Management (PAM): soluzioni per gestire gli accessi privilegiati includendo tipicamente un Access Manager, un Session Manager e un Password Manager per rilevare e difendere dalle minacce legate sicurezza.

Anche il controllo delle sessioni di accesso è un aspetto da non sottovalutare. L’accesso che viene concesso verso sistemi e infrastrutture va indirizzato solo a quello strettamente necessario al fine di svolgere i propri compiti. Gli accessi non possono sempre essere supervisionati o autorizzati ogni volta dai dipendenti. I fornitori e utenti remoti, che in genere devono accedere frequentemente a risorse interne, devono essere gestiti con un processo valutato e approvato.

Figura 4 – Processo di valutazione e gestione

La buona gestione diventa una conseguenza naturale quando le precedenti fasi sono state seguite e valutate con attenzione. Infine, per completare il processo, è necessario eseguire periodicamente una rivalutazione della gestione. Nuove necessità o l’integrazione di nuove soluzioni possono essere importanti per migliorare ulteriormente il proprio flusso di gestione.

L’autore
Luca Zammarchi, Digital Governance International Delivery Director, PQE Group