Le nuove funzionalità aumentano le opzioni a disposizione delle aziende per implementare controlli “least privilege” all’interno di un’infrastruttura IT ibrida
CyberArk, azienda attiva a livello mondiale quotata tra quelle al vertice nella fornitura di soluzioni per la sicurezza on-premise o nel multi-cloud degli accessi privilegiati, ha annunciato per il suo portfolio una serie di nuove funzionalità “Just-in-Time”.
Nel complesso, hanno l’obiettivo di ridurre il rischio e migliorare l’efficienza operativa durante l’implementazione, da parte delle diverse organizzazioni aziendali, di strategie di “least privilege”.
La criticità dei privilegi
Il principio del Least Privilege o del privilegio minimo è un principio sviluppatosi nel campo della sicurezza informatica che prevede che le diverse entità attinenti a un sistema informatico quali processi, programmi o utenti, e in funzione dell’argomento, possano accedere esclusivamente alle risorse e ai dati utili allo scopo.
In pratica, consiste nella possibilità di attribuire automaticamente o manualmente a un particolare account esclusivamente il set di privilegi strettamente necessari affinché possa svolgere la funzione prevista.
Ad esempio, per effettuare un backup di file o dati non serve installare del software e quindi qualsiasi privilegio inerente la sua installazione viene in quel contesto temporaneamente sospeso.
Nel caso di un utente che tramite il suo computer opera usualmente come un normale account, può altresì prevedere che qualora le condizioni in cui opera e l’attività da svolgere lo richiedano (ad esempio si pensi a un utente mobile, o in smart working, o residente presso un cliente o che operi nel cloud), lo stesso possa aprire un account privilegiato e protetto da password.
I benefici del Just-in-Time
Ampliando il supporto Just-in-Time con la possibilità di rimuovere la necessità di disporre di un accesso stabile a sistemi Linux, CyberArk si conferma in sostanza come fornitore di soluzioni di privileged access management in grado di mettere a disposizione un’offerta molto ampia di funzionalità Just-in-Time per ambienti cloud, ibridi e sull’endpoint.
I benefici derivanti dal just-in-time quando si tratta di cybersecurity sono consistenti. Un tipico caso è offerto dagli account privilegiati che dispongono su in pianta stabile di un accesso anche se dal punto di vista operativo ne necessitano solo per brevi periodi di tempo o in particolari condizioni, ad esempio quando risiedono in determinati luoghi.
Il disporre su pianta stabile dei privilegi anche quando non servono finisce con l’ampliare anche fortemente i tempi e la superficie a disposizione di un attaccante e, in definitiva, un più che proporzionale aumento del rischio.
La cosa risulta particolarmente critica per quanto concerne le chiavi SSH (Secure Shell), un protocollo che prevede l’autenticazione tramite crittografia a chiave pubblica con la creazione di una coppia di chiavi, una privata sul dispositivo dell’account ed una pubblica utilizzata dal server a cui ci si deve connettere per collegarsi ad esempio alla casella personale.
Se le chiavi non sono adeguatamente gestite possono risultare facilmente attaccabili. Per ridurre i rischi le nuove funzionalità rilasciate da CyberArk sfruttano un’autenticazione temporanea basata sull’uso di un certificato SSH per proteggere l’accesso a istanze Linux nuove o già in esercizio, senza dover gestire manualmente account e credenziali.
‘Least Privilege’ e ‘Just in time’ esteso al Cloud
Le funzionalità espandono quello che già costituiva un ampio portfolio che consente in ambito Just-in-Time l’utilizzo di funzionalità least privilege, tra le quali va annoverato:
- Elevazione temporanea: tramite la funzionalità di elevazione Just-in-Time e alle funzionalità d’accesso presenti in CyberArk Endpoint Privilege Manager, è possibile attribuire su base individuale e per un periodo di tempo determinato un accesso admin temporaneo alle workstation Windows e Mac, così come ai server Unix e Linux.
- Account temporanei: consiste nella possibilità di fornire accessi temporanei a sistemi Unix e Linux basati sui permessi definiti in Microsoft Active Directory e la creazione di un account provvisorio da utilizzare per sessioni monouso da parte di utenti autorizzati. La soluzione CyberArk si integra inoltre con AWS Security Token Service per richiedere credenziali limitate e temporanee per utenti di AWS Identity and Access Management (IAM).
- Mediazione dell’accesso Remoto e Rimozione dell’accesso: in aggiunta all’accesso Just-in-Time mediante autenticazione di certificato SSH attraverso CyberArk Core Privileged Access Security o CyberArk Privilege Cloud (una soluzione per la gestione degli accessi privilegiati erogata sotto forma di servizio SaaS), un accesso Just-in-Time agli utenti di terze parti e contractor è fornita anche dalla soluzione CyberArk Alero. A livello operativo, tramite l’integrazione con le più diffuse soluzioni di IT Service Management, permette di disporre di un accesso elevato temporaneo dopo aver verificato che l’utente abbia aperto un ticket o che abbia ricevuto una conferma manuale da un utente autorizzato.
“Just-in-Time è una classe di funzioni presente nella suite di gestione degli accessi privilegiati che rafforza i principi di least privilege. Abbinata ad altri elementi chiave, diventa una componente fondamentale per consentire l’attuazione di una strategia in evoluzione per la protezione degli accessi privilegiati. Just-in-Time aiuta le organizzazioni a ridurre il rischio legato all’accesso privilegiato permanente, a semplificare le operazioni e a rafforzare la postura complessiva di sicurezza in ambienti IT ibridi “, ha commentato Nir Gertner, Chief Security Strategist di CyberArk.
Per garantire una elevata sicurezza, semplificare la gestione e abilitare attività di auditing, le sessioni vengono anche automaticamente isolate, registrate e monitorate in tempo reale a prescindere dal fatto che l’accesso sia fornito in modalità just-in-time o meno.